Baggrund
IT-kontrakten startede bredt betragtet i 90’erne som et middel til at beskrive levering af ydelser, som de ansvarlige hos parterne ikke havde den store erfaring med eller teknisk indsigt i. Derfor var de første IT-kontrakter omfattende, ordrige og svære at forhandle på plads.
Så kom cloudbølgen. IT-kontrakten svandt ind til at beskrive pris og måske serviceniveauet ud over de sædvanlige ansvarsfraskrivelser. Med undtagelse af hostingaftaler gled selv beskrivelsen af serviceniveauet efterhånden også ud.
Nu står indkøbsafdelingerne imidlertid ved en ny skillevej. IT-kontrakten skal indeholde en række Fremmede Vilkår. Vilkårene kan siges at være fremmede, fordi den indkøbende organisation ikke selv har en interesse i at fastsætte disse vilkår, da vilkårene ofte er fordyrende, og som udgangspunkt ikke giver en bedre funktionalitet. Endelig er de Fremmede Vilkår sjældent til forhandling.
De Fremmede Vilkår kommer især, men ikke udelukkende fra GDPR, NIS 2 (18. oktober 2024) og DORA (17. januar 2025).
IT-kontrakten er blevet EU’s forlængede arm. I dag må man eksempelvis efter GDPR kun indkøbe IT-ydelser, der behandler personoplysninger, hvis IT-kontrakten – udover pris – indeholder vilkår om, at IT-leverandøren skal være med til at sikre, at de registrerede kan håndhæve deres rettigheder om sletning, dataportabilitet osv. Derudover skal myndighederne gennem IT-kontrakten have adgang til kontrol med IT-leverandøren. Endelig er organisationen forpligtet til i IT-kontrakten at fastsætte vilkår om IT-sikkerhedsniveauet, så organisationen gennem IT-kontrakten kan leve op til kravet om fastsættelse af IT-sikkerhed på et passende niveau. De nævnte Fremmede Vilkår samles som bekendt i databehandleraftalen.
Med især NIS 2 og DORA skal der flere Fremmede Vilkår med i IT-kontrakten, hvilket reelt vil sige i IT-kontraktens bilag – det er typisk også der, man finder databehandleraftalen. IT-kontraktens indhold er dermed i tiltagende mindre grad udtryk for parternes forhandling på baggrund af de traditionelle kommercielle og driftsmæssige behov. I højere grad afspejler IT-kontrakten således myndighedernes krav til IT-anvendelse alt efter 1) hvilken behandling, der skal finde sted, 2) af hvilke data, 3) hvor behandlingen skal finde sted samt 4) hvilken organisation, der outsourcer, 5) til hvem.
Denne udvikling sker endda på et tidspunkt, hvor indkøberne og IT-leverandørerne som nævnt er vant til, at IT-kontrakten er reduceret til et minimum. For især SaaS-løsningers vedkommende gælder det således, at IT-kontrakterne reelt ikke forhandles på andet end pris, hvis det da overhovedet er tilfældet.
IT-kontrakten vil med sine stadigt flere Fremmede Vilkår minde mere og mere om en byggetilladelse end en klassisk aftale mellem to frie parter. Byggetilladelser udstedes som bekendt kun, hvis byggeprojektet, som bygherren har fået udformet, tager højde for bygningsreglementets krav til eksempelvis adgangsforhold, spildevand, parkering osv.
Når de relevante Fremmede Vilkår er kommet med i IT-kontraktens bilag, og der således er taget højde for de forskellige regelsæt såsom GDPR, NIS 2, DORA osv., kan IT-kontrakten ”udstedes” som en art tilladelse. IT-kontrakten udstedes dog ikke af kommunen, men af den indkøbende organisations compliancefunktion, uanset hvordan compliancefunktionen i øvrigt måtte være konkret placeret i eksempelvis IT, Jura eller Informationssikkerhed.
Idéen er herefter, at myndighederne kan føre tilsyn med
- indholdet af den selvudstedte tilladelse (har IT-kontrakten de rigtige Fremmede Vilkår?) samt føre tilsyn med
- den indkøbende organisations kontrol af, om IT-leverandøren så reelt efterlever de Fremmede Vilkår.
- Er der mangler i den første del af processen (IT-kontrakten har ikke de rette Fremmede Vilkår) eller det andet led i processen (der føres ikke tilsyn med leverandørens efterlevelse af de Fremmede Vilkår), er det naturlige næste skridt for myndighederne at føre tilsyn med, om den indkøbende organisations indkøbsproces fungerer, som den skal (har man de rette skriftlige procedurer).
Digitaliseringsstyrelsen har i årevis vejledt om at inddrage informationssikkerhed i IT-kontrakter. Det således næsten nye er, at GDPR, og især NIS 2 og DORA, gør inddragelsen af informationssikkerhed i IT-kontrakter lovpligtig som Fremmede Vilkår. Især mange private virksomheder har ikke nødvendigvis tidligere haft nok fokus på dette.
GDPR: Databehandleraftalen er fremmede vilkår
Der har i tidens løb været rigeligt fokus på GDPR og de krav heri, som organisationer, der fungerer som dataansvarlige, skal efterleve.
De dataansvarlige skal således overordnet set blandt andet:
- efterleve principperne for behandling af personoplysninger (artikel 5),
- risikovurdere behandlingen i forhold til indvirkningen på de registreredes rettigheder samt implementere passende sikkerhedsforanstaltninger (artikel 24 og 32),
- implementere databeskyttelse gennem design og gennem standardindstillinger (artikel 25),
- indgå databehandleraftaler (artikel 28) samt
- ved høj risiko for de registrerede gennemføre konsekvensanalyser (artikel 35).
Der har imidlertid været væsentligt mindre fokus på, hvordan arbejdet med at efterleve kravene hænger sammen med organisationens forskellige aktiviteter. Overordnet set må det være fair at konkludere, at ledelsens styring af informationssikkerheden (ISMS) i vidt omfang havner i IT-kontrakterne med især, men ikke udelukkende, cloud – og SaaS-leverandørerne. Dette er selvsagt ikke tilfældet, hvor organisationen har hele eller dele af sit IT-miljø i egne maskinstuer i kælderen.
Det er således svært at efterleve kravet om at udarbejde GDPR-risikovurderinger samt implementere passende sikkerhedsforanstaltninger uden at inddrage IT-leverandøren gennem IT-kontrakten. De Fremmede Vilkår skal fremgå af databehandleraftalen, der således skal indeholde de sikkerhedstiltag, der er resultatet af organisationens GDPR-risikovurderinger.
Reelt er der flere steder sket det, at sammenhængen mellem efterlevelsesindsatsen og de affødte Fremmede Vilkår til IT-kontrakten uventet og ubelejligt er dukket op nede i Indkøb som en eftertanke. De dele af organisationen, der vurderer, beslutter og formulerer sikkerhedskrav, er mange steder ganske enkelt ikke koblet på indkøbsprocessen.
NIS 2: Fremmede Vilkår afledt af forsyningskædesikkerhed
NIS 2 stiller krav om, at NIS 2-enhedernes net- og informationssystemer er beskyttet mod cyberangreb.
Bestyrelse og direktionen (”ledelsesorganer”) i NIS 2-omfattede enheder skal således blandt andet, men væsentligst (artikel 20 og 21),
- identificere cybersikkerhedsrisici mod de net- og informationssystemer, som enheden anvender til deres operationer eller til at levere deres tjenester,
- vurdere metoderne til styring af cybersikkerhedsrisici,
- godkende mitigerende foranstaltninger (og sikre finansiering heraf) og
- føre tilsyn med, at de mitigerende foranstaltninger gennemføres af den øvrige organisation.
Dertil kommer, at medlemmerne af ledelsesorganerne er personligt ansvarlige for NIS 2-efterlevelsen og kan få bøder, alt efter om overtrædelsen er begået forsætligt eller uagtsomt (artikel 32 og 33).
Rette ledelsesorgan må i øvrigt kunne delegere sine NIS 2-pligter indenfor nogle vedtagne rammer ned til et arbejdsudvalg eller en driftsorganisation. Det må dog samtidig antages, at ledelsesorganet til fulde fortsat hæfter for efterlevelsen, jf. det generelle princip om ansvarlighed, at nok kan man overlade arbejdet, herunder undersøgelser af sagens fakta og indstillinger på baggrund heraf, til andre, men ikke ansvaret, herunder navnlig beslutningerne på baggrund af indstillingerne.
Endelig skal ledelsesorganerne sikre, at rette NIS 2-myndighed uden unødigt ophold modtager underretning om enhver hændelse, der har en væsentlig indvirkning på leveringen af tjenester, eksempelvis levering af vand, varme osv. alt efter sektor samt efter omstændighederne sikre, at modtagerne af tjenesten ligeledes modtager underretning herom, eksempelvis vandforbrugere (artikel 23).
Igen må man kunne konkludere, at det er særdeles svært at efterleve kravet om, at ledelsen skal styre sikkerheden, sikre hændelsesunderretning osv., hvis man ikke har sat de relevante Fremmede Vilkår herom ind i IT-kontrakterne.
Det er derfor heller ikke svært at forstå, at EU-lovgiver med NIS 2 i et vist omfang regulerer indkøbs- og kontraktstyringen. NIS 2 stilles således et krav om forsyningskædesikkerhed, som skal iagttages, når der indgås IT-kontrakter (artikel 21, stk. 2):
”De i stk. 1 omhandlede foranstaltninger [der skal tilvejebringe et sikkerhedsniveau i net- og informationssystemer, der står i forhold til risiciene] baseres på en tilgang, der omfatter alle farer og sigter på at beskytte net- og informationssystemer og disse systemers fysiske miljø mod hændelser, og mindst omfatter følgende:
[..]
d) forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter vedrørende forholdene mellem den enkelte enhed og dens direkte leverandører eller tjenesteudbydere”
NIS 2 uddyber en smule, hvad kravet om forsyningskædesikkerhed indeholder (artikel 21, stk. 3):
”3. Medlemsstaterne sikrer, at enhederne, når de overvejer, hvilke foranstaltninger omhandlet i denne artikels stk. 2, litra d) [kravet om forsyningskædesikkerhed], der er passende, tager hensyn til de sårbarheder, der er specifikke for hver direkte leverandør og tjenesteudbyder, og den generelle kvalitet af deres leverandørers og tjenesteudbyderes produkter og cybersikkerhedspraksis, herunder deres sikre udviklingsprocedurer. Medlemsstaterne sikrer også, at enhederne, når de overvejer, hvilke foranstaltninger omhandlet i nævnte litra, der er passende, er forpligtet til at tage hensyn til resultaterne af de koordinerede sikkerhedsrisikovurderinger af kritiske forsyningskæder, der foretages i overensstemmelse med artikel 22, stk. 1.”
Forsyningskædesikkerhed indebærer således ikke mindst, at de NIS 2-omfattede enheder skal kortlægge de konkrete sårbarheder hos en given direkte leverandør eller tjenesteudbyder samt kortlægge samme leverandør eller tjenesteudbyders generelle produktkvalitet og cybersikkerhedspraksis med det formål at mitigere eventuelt opdagede risici.
En sådan mitigerende indsats kan formentlig ikke ske uden at indsætte velovervejede Fremmede Vilkår i IT-kontrakten. Med andre ord løber de IT-styringsrelaterede beslutninger også her ned i styringen af leverandørerne gennem IT-kontrakten i form af Fremmede Vilkår.
Henvisningen til de ”koordinerede sikkerhedsrisikovurderinger” i citatet ovenfor indebærer, at der principielt set i IT-kontrakternes Fremmede Vilkår skal tages højde for resultaterne af et slags EU-tilsyn med IT-leverandørerne.
NIS 2 angiver nemlig, at der kan finde ”koordinerede sikkerhedsrisikovurderinger” af ”specifikke kritiske IKT-tjenester, -systemer eller -produktforsyningskæder” sted (artikel 22, stk. 1).
Kommissionen identificerer således de specifikke kritiske IKT-tjenester, -systemer eller -produkter, der kan være genstand for den koordinerede sikkerhedsrisikovurdering (artikel 22, stk. 2). Sådanne koordinerede sikkerhedsrisikovurderinger skal med EU’s håndtering af etableringen af 5G-nettet som forbillede blandt andet identificere foranstaltninger, afbødningsplaner og bedste praksisser, der kan afbøde konsekvenserne af kritiske afhængigheder, samt undersøge hvordan NIS 2-enheder kan tilskyndes til at indføre disse foranstaltninger, afbødningsplaner og bedste praksisser.
Samlet set kan forsyningskædesikkerhed siges at indeholde i hvert fald følgende tre tilsynsaktiviteter, som efter en risikovurdering skal foretages med passende mellemrum:
- Vurdering af den direkte IT-leverandør,
- vurdering af IT-leverandørens produkter eller services samt undersøgelse af,
- om EU gennem sine koordinerede risikovurderinger har begrænset adgangen til anvendelsen af netop dette bestemte produkt eller service.
Igen er det let at se, hvordan IT-kontrakten står som et helt afgørende element, der skal sikre efterlevelse af pligten til at sikre forsyningskædesikkerheden.
DORA: IT-kontrakten erstattes af Fremmede Vilkår
DORA er en forordning, der på mange måder ligner NIS 2. Det gælder ikke mindst, da formålet med DORA er at ”konsolidere og opgradere kravene til IKT-risiko som en del af kravene til operationel risiko, som hidtil er blevet behandlet separat i forskellige EU-retsakter.” (betragtning 12). Der kan findes generel information om DORA ganske let, så indholdet af DORA skal ikke her nærmere beskrives.
Med rimelighed kan man dog angive, at DORA medfører, at de ca. 22.000 finansielle enheder i EU, som fra 17. januar 2025 skal efterleve DORA, får rig lejlighed til at sikre, at der kommer de rette Fremmede Vilkår med i IT-kontrakten.
DORA skal forstås som et vandfald med flere kar under hinanden, hvor de Fremmede Vilkår er et slutprodukt af, at organisationen har efterlevet de overliggende, bredere krav til organisationens styring af IKT-risikoen.
På øverste niveau i DORA finder vi således det generelle krav om, at finansielle enheder skal indføre en robust, omfattende og veldokumenteret ramme for IKT-risikostyring, der sætter dem i stand til ”at håndtere IKT-risikoen hurtigt, effektivt og fyldestgørende, og som sikrer et højt niveau af digital operationel modstandsdygtighed” (artikel 6, stk. 1).
Rammen for IKT-risikostyring er dog kun øverste niveau i DORA – der er nemlig et niveau over DORA. IKT-risikostyring er således blot en udløber af de finansielle enheders overordnede samlede risikostyring, herunder den finansielle risikostyring, som også er reguleret.
Følger vi strømmen nedefter fra rammen for IKT-risikostyring, ender vi, naturligvis, i IT-kontrakterne. DORA holder sig her ikke tilbage. DORA går ganske håndfast til værks og regulerer hele IT-indkøbsprocessen (artikel 28 – 30).
Det er her værd at bemærke, at i DORAs systematik er IT-kontrakter såkaldte kontraktlige ordninger, der primært skal bidrage til at styre IKT-tredjepartsrisikoen. De Fremmede Vilkår spiller med andre ord her førsteviolin. Alle IT-kontrakter skal således blandt andet omfatte de elementer, der fremgår af artikel 30, stk. 2 og, hvis der er tale om IT-kontrakter, der understøtter kritiske eller vigtige funktioner, også stk. 3. Har man ikke allerede efterlevet de højere, mere brede krav, DORA stiller, kan man slet ikke danne de Fremmede Vilkår i sine IT-kontrakter, som man skal efter artikel 28 – 30.
Ikke nok med at de finansielle enheder skal sikre, at de rette Fremmede Vilkår arbejdes ind i IT-kontrakterne. Som under NIS 2 opstår der under DORA et EU-tilsyn med IT-leverandørerne.
DORA giver EU-tilsynet overskriften ”Tilsynsramme for kritiske tredjepartsudbydere af IKT-tjenester” (kapitel V, afdeling II).
Under Europaudvalgets behandling af DORA blev EU-tilsynet beskrevet således af finansministeren:
“Regeringen støtter et fælles europæisk tilsyn med kritiske it-leverandører, [..]. Det ligger ikke fast endnu, hvilke it-leverandører udpeges som kritiske og kommer under et fælles tilsyn. Det ved vi først med sikkerhed, når Rådet og Europa-Parlamentet har forhandlet forordningen på plads og rammerne for udpegning af kritiske it-leverandører ligger fast. Den umiddelbare forventning fra Kommissionen er, at ca. 10-15 it-leverandører vil blive anset for at være kritiske.
Mulige kandidater kunne bl.a. være Amazon, Google, Microsoft, IBM, Alibaba, Huawei, Apple og Cisco.”
EU-tilsynet, som visse IT-leverandører vil være permanent underlagt, vil løbende medføre, at der stilles yderligere krav til disse IT-leverandører fra EU. Resultaterne af EU-tilsynet, nemlig henstillingerne til IT-leverandørerne, skal med andre ord ligeledes indgå i de finansielle enheders indkøbsproces samt overvejelser før, der eventuelt indgås en IT-kontrakt.
Efterlevelsesbeviser
Nogle vil svare på ovenstående, at det hele skal klares gennem efterlevelsesbeviser, som IT-leverandørerne i vidt omfang allerede i dag stiller til rådighed i form af eksempelvis ISO27001-certificeringer, ISAE 3402/3000-erklæringer, SOC II-rapporter, CSA STAR-ratings og lignende.
Efterlevelsesbeviser er rigtignok kommet for at blive, men de skal i så fald udvides og præciseres, så de passer bedre til den enkelte organisations Fremmede Vilkår samt den enkelte service eller det enkelte produkt, der leveres.
Anvendelse af efterlevelsesbeviser stiller endelig krav til organisationens evne til at afkode de modtagne efterlevelsesbevisers indhold i forhold til omfang og dybde. Det er ikke sjældent, at efterlevelsesdokumentation ved nærmere eftersyn reelt ikke udgør det krævede efterlevelsesbevis, hvorved organisationen (kunden) ikke efterlever de krav, som ledelsen som udgangspunkt er personligt ansvarlig for at sikre efterlevelse af, jf. igen princippet om, at du kan uddelegere arbejdet, men ikke ansvaret.
Om Cyber Resilience Act kan skabe den fornødne gennemsigtighed er desværre for tidligt at sige. I hvert fald er følgende lovet om CRA:
- Ensure that products with digital elements placed on the EU market have fewer vulnerabilities and that manufacturers remain responsible for cybersecurity throughout a product’s life cycle;
- Improve transparency on security of hardware and software products;
- Business users and consumers benefit from better protection.
EU har også andre tiltag på vej, der skal styrke gennemsigtigheden og lette tilsynsarbejdet. Vi skriver om tiltagene her på bloggen, så snart de og CRA bliver mere aktuelle.
Fremtidsperspektiver
Det er svært at spå, især om fremtiden. Og der er helt sikkert andre perspektiver end de følgende:
- IT-chefer, digitaliseringschefer, CIO’s, CISO’er, IT contract managers, IT-driftschefer, IT-supportere, IT-indkøbere, IT-business partnere vil alle i de kommende år mærke, at rammerne for valg af IT-leverandør snævres ind i lyset af ovenstående. Og de vil opleve, at IT-kontrakten igen skrives på mange sider fuld af Fremmede Vilkår. Under DORA vedtages såkaldte tekniske standarder, der skal hjælpe udviklingen på vej.
- Organisationer bør allerede nu overveje, hvordan man også får informationssikkerheden til at spille smidigt sammen med juraen gennem IT-indkøbsprocessen, samt holder ledelsen orienteret, så de kan udøve deres beslutningsret og – pligt. Mange steder rundt omkring arbejdes der fortsat i siloer og uden reel ledelsesinddragelse. Det skal ændres ved som udgangspunkt at etablere eller styrke et eksisterende ledelsessystem for informationssikkerhed efter ISO27001/2 (ISMS).
- Offentlige indkøbsorganisationer må antages at være bedre stillet overfor håndtering af Fremmede Vilkår, da de i vidt omfang er vant til at inddrage Fremmede Vilkår om eksempelvis miljø, kædeansvar, mærkning osv. Det er dog svært at løbe fra, at en organisation, der er underlagt udbudsreglerne, vil opleve, at ISMS’et og de deraf afledte Fremmede Vilkår for så vidt angår sikkerhed får et ekstra komplicerende lag.
- Det er en rimelig påstand, at IT-leverandørerne, ingen nævnt ingen glemt, skal modtage de Fremmede Vilkår med mere velvillighed end set under de første år med GDPR, hvis NIS 2 og DORA reelt skal virke efter hensigten. IT-kontrakten er nødt til at blive mere fleksibel fra kunde til kunde og have reel sammenhæng med det leverede. Sker det ikke, må vi se, hvor langt myndighederne vil gå for at sikre, at det sker, samt se, om myndighederne lægger presset på ledelserne eller på leverandørerne eller begge og hvor hårdt.
- Alle virksomheder og organisationer, som er underlagt særligt NIS 2 eller DORA, bør etablere eller styrke det eksisterende ISMS. Det er stort set umuligt at sikre, at ledelserne rundt omkring reelt styrer sikkerheden uden en systematisk måde at løse opgaven på. At ledelserne er personligt ansvarlige bør gøre dem interesserede i arbejdet.