Leverandørens ansvar ved hackerangreb

Leverandørens ansvar ved hackerangreb

IT-ret Kontraktret Persondata og cybersikkerhed
En norsk dom afviser force majeure ved cyberangreb, når leverandøren mangler grundlæggende sikkerhedsforanstaltninger. Leverandøren hæfter for direkte tab, men et aftalt ansvarsloft står ved magt uden grov uagtsomhed. Dommen skærper krav til IT-kontrakter og sikkerhedsbaseline.

En nyere dom fra Norge fastslår, at en IT-leverandør ikke kan støtte ret på force majeure, når utilstrækkelige cybersikkerhedsforanstaltninger har muliggjort eller forværret et hackerangreb. Leverandøren blev holdt ansvarlig for kunders direkte tab efter længerevarende nedetid og permanent datatab, men erstatningen blev begrænset af et aftalt ansvarsloft, da retten ikke fandt grov uagtsomhed. Leverandøren skulle bistå med datagendannelse, men blev ikke pålagt at betale løsesum.

Retten lagde vægt på, at angrebet kunne være forebygget eller begrænset gennem rimelige tiltag, herunder tofaktorautentificering, geografisk blokering, opdateret software og backup adskilt i et separat netværk. Cyberangreb er derfor ikke i sig selv uforudsigelige begivenheder uden for leverandørens kontrol, når basale sikkerhedskrav ikke er opfyldt. Samtidig anerkendte retten de aftalte ansvarsbegrænsninger mellem professionelle parter, og fastholdt sondringen mellem direkte og indirekte tab.

Dommen giver praktiske pejlemærker for udformning og forvaltning af IT-kontrakter i Norden. Den peger på nødvendigheden af at beskrive et minimumsniveau for sikkerhed, knytte SLA’er til både oppetid og genopretningsmål og tydeligt placere ansvar for backup, gendannelse og hændelseshåndtering.

For at styrke kontraktgrundlaget kan følgende overvejes:

  • Definér en sikkerhedsbaseline med konkrete tekniske og organisatoriske foranstaltninger samt reference til standarder som ISO 27001, NIS2 og GDPR artikel 32.
  • Indfør klare force majeure-klausuler med carve-outs for cyberhændelser, hvis sikkerhedsbaselinen ikke er opfyldt.
  • Fastlæg ansvarsstruktur med differentiering mellem direkte og indirekte tab, præcis beskrivelse af grov uagtsomhed og et gennemtænkt ansvarsloft.
  • Fordel pligter for backup, test af gendannelse, netværkssegmentering og logning samt krav til hændelsesrespons og rapportering.

Selv om afgørelsen er norsk, harmonerer dens præmisser med EU-retlige forventninger til passende sikkerhed. Danske parter bør derfor sikre, at kontrakter og praksis afspejler et dokumenteret risikobillede og et aktuelt sikkerhedsniveau, så force majeure kun bliver relevant, når hændelser reelt er uden for kontraktpartens kontrol.

Læs hele artiklen hos DAHL →
Søgeord
Databehandleraftale, Informationssikkerhed, Risikostyring, Beredskabsplan, Kontraktfortolkning, Ansvarsbegrænsning, Service level agreement, SLA, NIS2, Cybersikkerhed, Incident response, Penetrationstest, Erstatningsret, Culpa, Direkte tab, Indirekte tab, Force majeure, Hændelseshåndtering, Patch management, Logning, Objektivt ansvar, Grov uagtsomhed, GDPR artikel 32, Netværkssegmentering, IT sikkerhed, Kontraktret, It ret, Driftsaftale, Oppetid, Ransomware, Dataansvar, Erstatningsloft, Dataresiliens, Tofaktor autentificering, Regionsblokering, Offline backup, Genskabelse af data, Driftsleverandør, Sikkerhedshændelse

Relaterede artikler

Slutrapporter fra første runde af den regulatoriske sandkasse om AI
Datatilsynet

Slutrapporter fra første runde af den regulatoriske sandkasse om AI

Datatilsynet og Digitaliseringsstyrelsen udgiver slutrapporter fra AI-sandkassen med konkret vejledning om GDPR, test på rigtige data, rollefordeling og risikovurderinger i forsikrings- og kommunale AI-projekter. Næste runde inddrager AI Act med fokus på risikoklassificering.
Forbud mod brug af data
Sø- og Handelsretten

Forbud mod brug af data

Sø- og Handelsretten gav BoligPortal medhold i, at platformens lejeboligdata er databasebeskyttet. ReDatas scraping og videreformidling krænkede rettigheder og overtrådte markedsføringslovens § 3. Retten lagde vægt på tydelige brugsvilkår efter ophavsretslovens § 11 b, stk. 2, og nedlagde forbud.
Ny praksis: Hvor "endelig" er en beslutning om stillet sikkerhed egentlig?
Kromann Reumert

Ny praksis: Hvor "endelig" er en beslutning om stillet sikkerhed egentlig?

En ny delkendelse under AB 18 fastslår, at 8-ugers fristen kun gør beslutningen om stillet sikkerhed endelig for likviditetsspørgsmålet. Parterne kan stadig få prøvet den underliggende fordring ved voldgift. Afgørelsen kan få betydning for hurtige afgørelser – husk forældelse.
Mere nyt om EU-Domstolens afgørelse om pseudonymiserede personoplysninger
Datatilsynet

Mere nyt om EU-Domstolens afgørelse om pseudonymiserede personoplysninger

Pseudonymiserede data er fortsat personoplysninger i et databehandlerforhold, fastslår Datatilsynet med henvisning til EU-Domstolen i C-413/23. Vurderingen sker fra den dataansvarliges perspektiv. Brug til egne formål kræver lovlig videregivelseshjemmel hos den oprindelige dataansvarlige.

Relaterede kurser

Risikovurderinger og GDPR
4
JUC
Risikovurderinger og GDPR
AI og jura - Forstå hvad AI kan, og hvad du må
Dansk Industri
AI og jura - Forstå hvad AI kan, og hvad du må
Warranty & Indemnity forsikringer
6
JUC
Warranty & Indemnity forsikringer

Relaterede jobs

Fynbus
FynBus søger en juridisk leder til Jura
Fynbus
Forsvarets Koncernfælles Informatiktjeneste (FKIT)
Udbudskonsulenter til Sourcing Divisionen
Forsvarets Koncernfælles Informatiktjeneste (FKIT)
Advokathuset Funch & Nielsen Advokatpartnerselskab
Advokatfuldmægtig – evt. advokat søges - Thisted/Nykøbing Mors afdeling
Advokathuset Funch & Nielsen Advokatpartnerselskab
Københavns Kommune
GDPR-jurist til Center for Digitalisering, Data og Analyse i Socialforvaltningen
Københavns Kommune
Forsvaret
Jurister til Forsvarets kontrakter
Forsvaret
Accura Advokatpartnerselskab
Erfaren fuldmægtig eller advokat med 1-2 års erfaring til Accuras afdeling for IP & Life Science
Accura Advokatpartnerselskab
Gratis adgang til alle juridiske nyheder, artikler og opdateringer.
Opret dig gratis i dag, vælg dine fagområder, og få adgang til et skræddersyet nyhedsoverblik, der gør dig klogere – og holder dig foran.
Opret gratis profil →