Omfanget av cyberangrep har vokst eksponentielt de siste par årene. Cyberkriminalitet påførte verdensøkonomien et estimert tap på 6 billioner dollar i 2021. Tapet ventes å vokse med inntil 15 prosent årlig, opp til 10,5 billioner dollar innen 2025.
Vår erfaring er at IT-kontrakter ofte mangler en tilfredsstillende fordeling av ansvaret for forebyggende sikkerhet og håndtering av cyberangrep. Hverken Statens Standardavtaler (SSA), Dataforeningen eller IKT-Norges standardavtaler regulerer ansvaret for å forhindre cyberangrep. Standardavtalene er dessuten i all hovedsak tause om ansvar for kostnader ved opprydding av cyberangrep samt hvem som har ansvar for de tap som oppstår.
Partene i en IT-kontrakt får også begrenset drahjelp av lovgivningen. Eksempelvis stiller personvernforordningen krav til kunder og leverandørers implementering av tekniske og organisatoriske sikkerhetstiltak ved behandling av personopplysninger, men det er lagt opp til at disse tiltakene skal fastsettes på ad-hoc-basis. Virksomheten har også rapporteringsplikter etter samme regelverk, men det er ikke alltid enkelt uten juridisk bistand å vurdere om et angrep skal rapporteres.
Både leverandører og kunder bør bli mer bevisst på fordeling av risiko og ansvar for cyberangrep. Dette bør reguleres i kontraktbilagene, for eksempel kundens kravbilag, bilaget med leverandørens løsningsforslag, en databehandleravtale og/eller et eget bilag om sikkerhet. Ved inngåelse av nye kontrakter må dette være en selvfølge, men også løpende kontrakter bør undersøkes nærmere og eventuelt forsøkes reforhandlet.
Årsaken til at et cyberangrep lykkes, kan skyldes svakheter hos den rammede virksomheten, for eksempel teknisk gjeld eller at egne ansatte uforvarende har installert skadelig programvare ved phishing eller bruk av usikrede eksterne lagringsmedier. Det vellykkede angrepet kan også skyldes at IT-leverandøren ikke har gjort det som kan forventes for å forebygge eller avverge dette.
Under angrepet er det lite tid og mye som står på spill. Da bør ikke partene bruke tiden til å diskutere fordeling av kostnader og tap
Dersom virksomheten blir rammet av et cyberangrep og fordeling av risiko på forhånd ikke er presist regulert, vil risikofordelingen bero på om årsaken til angrepet tilsier at det er virksomheten eller IT-leverandøren som må bære risikoen. Denne vurderingen vil ofte være kompleks, og noen ganger vil konklusjonen være usikker.
Dersom et angrep inntreffer, må det håndteres omgående. Under angrepet er det lite tid og mye som står på spill. Da bør ikke partene bruke tiden til å diskutere fordeling av kostnader og tap.
Hvis det er tvil om hvem som har ansvaret, bør partene raskt søke å avtale at dette skal avklares i ettertid og at alle kontraktsfestede frister knyttet til reklamasjon og krav om justering av vederlag og annet fryses inntil videre. Dersom virksomheten ikke får leverandøren med på en slik avtale, bør virksomheten utstede en endringsordre. Det er som regel når angrepet er under kontroll at virksomheter og deres IT-leverandører kan evaluere angrepet og gjennomføre et endelig økonomisk oppgjør derav.
Virksomheter som rammes av cyberangrep må heller ikke forsømme de lovpålagte plikter som gjelder for rapportering av slike angrep. Selv dersom slike rapporteringsplikter er delegert til IT-leverandøren, bør virksomheten ta eierskap til rapporteringsprosessen, da den som oftest vil være pliktsubjektet etter loven og nærmest til å sikre hensiktsmessig rapportering.
Stein E. Hove
Partner og advokat
Alexander Mollan
Assosiert Partner og advokat
Pamir Ehsas
Advokatfullmektig
Alle i Brækhus Advokatfirma
