IT-kontrakten er ikke længere kun en kommerciel kontrakt.
Den har i dag primært til formål at understøtte IT-afdelingens KPI’er om tilgængelighed – så tæt på 100 % som muligt.
Derfor er det vigtigt, at du har styr på, hvilke krav den omfattende cybersikkerhedsregulering, f.eks. NIS 2-implementeringslovgivning og DORA, stiller til vilkårene i en IT-kontrakt
Den øgede cybertrussel og det øgede reguleringstryk har givet IT-kontrakten en hovedrolle i organisationens evne til at styre risici forbundet med outsourcing af IT.
Organisationen skal grundlæggende være i stand til at gennemføre de samme tiltag og handlinger, som hvis IT-funktionen var placeret in-house.
Organisationen skal gennem IT-kontrakten stille relevante vilkår til IT-leverandøren, der afspejler de lovkrav, som organisationen er underlagt.
Dette vil ofte ske ved at man som organisation omsætter vilkår til interne politikker.
Mere overordnet er IT-kontrakten endnu et værktøj, som ledelsen bruger til at realisere de målsætninger, som almindeligvis vil være at finde i ledelsens cybersikkerhedsstrategi.
Hvad gør man i praksis?
- Organisationen identificerer først eventuel lovregulering, som denne er underlagt.
- Det kan som anført ovenfor være f.eks. NIS 2-implementeringslovgivning eller DORA, der indeholder krav til kontraktuelle ordninger vedrørende outsourcing af IT.
- Herefter identificeres relevante krav, som loven stiller til kontrakten ved outsourcing.
- Kravene omskrives herefter til specifikke kontraktvilkår, der understøtter opfyldelse af kravet. For at sikre, at vilkårene reelt opfylder kravene, kan der i udarbejdelsen af vilkårene inddrages øvrige kilder, f.eks. materiale fra Digitaliseringsstyrelsen.
Eksempler på krav, der skal gøres til vilkår:
- Punkt 5.1.4 i bilag til NIS 2 gennemførelsesforordningen for IT-leverandører (Gennemførelsesforordning – EU – 2024/2690 – EN – EUR-Lex)
- Artikel og 30, stk. 1-3 i DORA (Forordning – 2022/2554 – EN – EUR-Lex)
- § 30 i udkast til bekendtgørelse om modstandsdygtighed og beredskab i energisektoren (Udkast til bekendtgørelse om modstandsdygtighed og beredskab i energisektoren.pdf)
Brug for hjælp?
Hos Unitas hjælper vi med ovenstående øvelse. Vi sidder klar til også at hjælpe dig.
Jakob Spliid – Legal Compliance Specialist & DPO – 30 11 65 08
