Artikkel

Hvem skal bære ansvaret for cyberangrep?

Tingrettsdom viser at ansvarsbegrensningene i kontrakten med IT-leverandør kan få avgjørende betydning.

Publisert: 13. november 2023

Tre firmaer saksøkte Nordlo for erstatning etter at Nordlo ble utsatt for et cyberangrep i april 2021. Angrepet førte til at saksøkerne mistet tilgang til sine systemer i en lengre periode.

Nordlo påstod at angrepet var en force majeure-hendelse og at de derfor ikke var erstatningsansvarlige. De påstod også at ansvarsbegrensningene i avtalen med saksøkerne var gyldige.

Haugaland og Sunnhordland tingrett kom til at Nordlo ikke hadde benyttet tilgjengelige adekvate sikkerhetstiltak for å forhindre eller redusere følgene av angrepet. Hindringen var ikke utenfor Nordlos kontroll, idet Nordlo ikke hadde iverksatt sikkerhetstiltak som bl.a. krav om tofaktorautentisering, regionsperre, oppdatert programvare og dels back-up fysisk atskilt i eget nettverk. Dermed kunne ikke angrepet betraktes som en force majeure-hendelse.  

Imidlertid kom Tingretten også til at ansvarsbegrensningene i avtalen var gyldige. Retten mente at ansvarsbegrensningene var nødvendige for å sikre at Nordlo kunne tilby ASP-tjenester til en rimelig pris.

Saksøkernes krav ble derfor delvis avslått.

Rettens vurdering av ansvarsbegrensningene:

Retten la til grunn at ansvarsbegrensningene i avtalen var klare og uttrykkelige. Retten mente også at ansvarsbegrensningene var rimelige, gitt at saksøkerne også var profesjonelle næringsdrivende. Det ble også hensyntatt at misligholdet var en følge av et målrettet cyberangrep fra utenlandske profesjonelle aktører.

Videre mente retten at det var saksøkernes ansvar å forsikre seg mot tap som følge av et cyberangrep, og at det ville vært svært vanskelig for Nordlo å vurdere risikoen for et cyberangrep, samt prisregulere avtalene deretter. 

Som det følger av dommens side 16: "Det fremgår således uttrykkelig av avtalen at det er begrenset ansvar for Nordlo og at kunden selv må tegne forsikring – såkalt cyberforsikring – for verdien av egne data. Ingen av saksøkerne valgte å gjøre dette." Videre følger det at: "Om avtalen ikke hadde inneholdt en ansvarsbegrensning legger retten uten videre til grunn at Nordlos vederlag da ville gjenspeilt den betydelige forretningsrisikoen det potensielle erstatningsansvaret medførte for Nordlo. Nordlo måtte selv forsikret seg mot dette, om det lot seg gjøre." 

Til tross for at retten finner det utvilsomt at både Nordlo og de tre saksøkerne ble svært hardt rammet ved hackerangrepet, er den inngåtte avtale - mellom dem som næringsdrivende - klar på hvilke forpliktelser hver av partene har, og hvilke ansvarsbegrensninger som gjelder for Nordlo ved mislighold fra deres side. Videre er avtalen klar på at det er saksøkernes ansvar å tegne forsikring for å få dekket inn eventuelt økonomisk tap som følge av tap av data, nedetid osv. 

Konklusjon:

Nordlo er erstatningsansvarlig for saksøkernes direkte tap innenfor rammen av 3 månedsleier, som er i samsvar med inngått avtale.

Norsk Medikal tilkjennes en erstatning fra Nordlo på 11 079 kroner, Emberland på 8 835 koner og Utvik på 40 752 kroner. Nordlo ble tilkjent sine sakskostnader på 777 059 kroner. 

Oppsummering og betraktninger:

Tingrettens dom er et viktig signal til ASP-leverandører. Dommen slår fast at ansvarsbegrensninger i avtaler med næringsdrivende er gyldige, selv om leverandørene har brutt hovedforpliktelsene sine. Videre er dommen et signal til norske bedrifter om å stille tydelige krav til deres underleverandører av IT-sikkerhet. 

Dersom din bedrift enten vurderer å bruke en ekstern IT-leverandør, eller allerede har en avtale med en IT-leverandør om datasikkerhet, er dommen også en viktig påminnelse om risikoen som løper ved cyberangrep. Som et minimum anbefaler Deloitte Advokatfirma at man først får en oversikt over hvilke verdier man sitter på. Dernest må man ta stilling til hvordan man kan beskytte disse verdiene i kravstillingen overfor IT-leverandøren. 

Det er ikke utenkelig at disse spørsmålene ender med en kostnadsvurdering der lav risiko for bedriften innebærer høye leveransekostnader for IT-leverandøren. Hvis IT-leverandøren skal bære alle kostnadene ved eventuelle cyberangrep vil IT-leveransene også bli veldig dyre. Av den grunn gir det mening å ha ansvarsbegrensninger i kontrakten. Det er uansett tydelig at kostnadsfordelingen kan by på krevende vurderinger man må tenke nøye igjennom. 

Dommen viser at IT-leverandøren har et ansvar for å ivareta datasikkerheten, men dette innebærer ikke at også bedriften selv har et ansvar for å vurdere hva som kan bli følgene av et hackerangrep mot datasystemet de er en del av. Selv om man aldri kan være helt trygg på at man ikke blir usatt for hackerangrep, kan man likevel gjøre mye for å bli sikrere. 

Dom avsagt 28.09.2023 i Haugaland og Sunnhordland tingrett, Haugesund. Saksnummer: 23-016539TVI-THOS/THAU. 

Våre tjenester: Personvern og teknologi

Var denne siden nyttig?