IT-JUSS | Avtalerett

MER SIKKERHET: Nye regler gjør at virksomheter som leverer samfunnskritiske og viktige tjenester, blir pålagt å sikre sikkerhet i leverandørkjedene.

Nye regler endrer spillereglene for leverandøravtaler

En rekke virksomheter innenfor samfunnskritiske og viktige sektorer kommer til å bli underlagt økte sikkerhetskrav som følge av implementering av europeiske sikkerhetsreguleringer (NIS, NIS2 og DORA).

Camilla Gjersem og Knut Olav Fiane Føyen advokatbyrå
Publisert

NIS-direktivene og DORA-forordningen vil på sikt bli gjennomført i norsk rett gjennom digitalsikkerhetsloven med forskrift, og DORA-loven som nå er sendt ut på høring.

Virksomheter som leverer samfunnskritiske og viktige tjenester, blir pålagt å sikre sikkerhet i leverandørkjedene. Dette gjelder særlig der kunden bruker en leverandør til å levere forretningskritiske funksjoner og deler av kjernevirksomhet. Kunden er da avhengig av at leverandøren ivaretar sikkerhet, dersom et IKT-hendelse skjer hos leverandør som igjen kan ha direkte påvirkning på kundens forretningsdrift og kundens data.

Camilla Gjersem, Føyen
Knut Olav Fiane, Føyen

Leverandøravtalen blir et sentralt verktøy for å sikre etterlevelse av kravene. Leverandører som ikke selv er underlagt regelverkene, vil da gjennom avtalen bli indirekte underlagt tilsvarende sikkerhetskrav. Dette inkluderer eksempelvis et krav om at leverandøren må etablere et styringssystem for informasjonssikkerheten og iverksette passende sikkerhetskrav.

Viktige temaer i kontraktsforhandlingene

Hvilke konkrete kontraktskrav som bør inntas i leverandøravtalen, vil avhenge av tjenesten som leverandøren yter, kundens virksomhet og kundens risikovurderinger.

Av sentrale temaer som ofte må adresseres i kontraktsforhandlinger er blant annet krav til at leverandøren implementerer sikkerhetsstandarder, typisk anerkjente internasjonale sertifiseringsordninger som ISO 27001. I tillegg kan det bli stilt krav til SLA, vilkår i underleverandøravtaler og beredskaps-, kontinuitets- og exit-planer, men også krav til testing, revisjon og varsling ved sikkerhetshendelser.

Kundens risikovurdering er avgjørende for hvor strenge forpliktelser som må inntas i leverandørkontraktene. I lys av et stadig mer komplekst trusselbilde, blir krav til sikkerhet i leverandørkjedene viktig for å øke motstandsdyktigheten mot digitale angrep og sikkerhetshendelser. Dette proaktive fokuset på sikkerhet i leverandørkjeden er derfor ikke bare et spørsmål om etterlevelse, men fornuft satt i et system.

Slik kan leverandører imøtegå nye kontraktskrav

Leverandører kan effektivisere kontraktsprosessen ved å oppdatere sine egne standardavtaler og dokumentere en standardisert sikkerhetspraksis. 

Økte sikkerhetsforpliktelser kan medføre kostnader, så leverandøren bør også proaktivt ta stilling til kostnadsfordelinger i avtalen.

computerworld it-juss