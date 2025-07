I en tid hvor nesten alle bedrifter har overlatt dataene sine til eksterne tjenesteleverandører, kaster en fersk dom fra Haugaland og Sunnhordland tingrett lys over en viktig problemstilling: Hvor godt sikret er egentlig dataene dine?

I april 2021 ble IT-driftsleverandøren Nordlo Haugesund utsatt for et målrettet profesjonelt hackerangrep og avkrevd løsepenger. Angrepet førte til at én av selskapets kunder, Btec, mistet tilgang til store mengder virksomhetskritisk data som var nødvendig for produksjon og leveranser. Tapet førte til produksjonsstans, tap av kunder og store kostnader knyttet til rekonstruksjon av data og gjenoppretting av virksomheten.

Btec krevde 60 millioner kroner i erstatning fra Nordlo, med påstand om at Nordlo hadde handlet uaktsomt ved ikke å sikre seg bedre mot dataangrep, og ved å ha mangelfulle rutiner for backup. Ekspertvurderinger i saken avdekket svakheter i Nordlos infrastruktur, inkludert fravær av tvungen to-faktorautentisering og geografiske innloggingsbegrensninger. Selskapet brukte utdaterte programmer og hadde mangelfull testing av sikkerhetskopiering.

Nordlo slapp så langt unna med skrekken Kristian Foss og Nora Dahle Kittelsen

Retten konstaterte at en av Nordlos hovedforpliktelser etter avtalen var å tilby en dataløsning som ivaretok nødvendig beskyttelse mot cyberangrep og at «noen løsninger ikke var helt optimale». Likevel konkluderte retten med at Nordlo ikke hadde handlet uaktsomt. Retten fant heller ikke grunnlag for ansvar basert på kontrollansvar. Kontrollansvar innebærer ansvar uten skyld for alt som ikke er utenfor selgers kontroll ved leveranse av standard tjenester og varer.

Retten la avgjørende vekt på at Nordlo hadde implementert flere tiltak for å redusere risikoen for sikkerhetshendelser, blant annet ved segmentering av kritisk infrastruktur og backup i egne nettverk og at hackergruppen var svært profesjonell. I tillegg vektla retten at Nordlo var en liten IT-leverandør og andre aktører også tillot fravalg av to-faktorautentisering. Kunden hadde heller ikke stilt i møter hvor den ville fått informasjon som kunne redusert risiko, og hadde heller ikke forsikret seg.

I det hele tatt kunne en kjøper av standard ASP-tjenester til en lav pris ikke forvente at leverandøren tar over virksomhetsrisikoen sin.