{"id":70660,"date":"2024-05-16T19:51:15","date_gmt":"2024-05-16T10:51:15","guid":{"rendered":"https:\/\/monolith.law\/no\/?p=70660"},"modified":"2024-08-09T01:05:11","modified_gmt":"2024-08-08T16:05:11","slug":"vendor-compensation","status":"publish","type":"post","link":"https:\/\/monolith.law\/no\/it\/vendor-compensation","title":{"rendered":"Skade ved cyberangrep. Hva er systemleverand\u00f8rens erstatningsansvar? Forklaring av eksempler p\u00e5 kontraktsformuleringer"},"content":{"rendered":"\n<p>I de senere \u00e5r har cyberangrep mot bedrifter v\u00e6rt i stadig \u00f8kning.<\/p>\n\n\n\n<p>If\u00f8lge en unders\u00f8kelse utf\u00f8rt av den japanske ideelle organisasjonen Japan Network Security Association (JNSA), utgjorde andelen av personopplysningslekkasjer for\u00e5rsaket av uautorisert tilgang 4,7 % av det totale antallet i 2013, men \u00f8kte til 20,3 % i 2018 (<a href=\"https:\/\/www.jnsa.org\/result\/incident\/2018.html\" target=\"_blank\" rel=\"noreferrer noopener\">2018-rapport om informasjonssikkerhetshendelser[ja]<\/a>).<\/p>\n\n\n\n<p>I denne artikkelen vil vi forklare ansvarsomr\u00e5det til systemleverand\u00f8rer ved cyberangrep, basert p\u00e5 tidligere rettsavgj\u00f8relser. Vi vil ogs\u00e5 forklare hvilke roller og ansvarsomr\u00e5der som b\u00f8r fastsettes i kontrakter for at leverand\u00f8rer og brukere sammen kan beskytte seg mot cyberangrep, basert p\u00e5 en modellkontrakt.<\/p>\n\n\n\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_53 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<span class=\"ez-toc-title-toggle\"><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/monolith.law\/no\/it\/vendor-compensation\/#Kan_systemleverandorer_holdes_ansvarlige_for_erstatning_ved_cyberangrep\" title=\"Kan systemleverand\u00f8rer holdes ansvarlige for erstatning ved cyberangrep?\">Kan systemleverand\u00f8rer holdes ansvarlige for erstatning ved cyberangrep?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/monolith.law\/no\/it\/vendor-compensation\/#Systemleverandorens_erstatningsansvar_og_eksempler_pa_kontraktsformuleringer\" title=\"Systemleverand\u00f8rens erstatningsansvar og eksempler p\u00e5 kontraktsformuleringer\">Systemleverand\u00f8rens erstatningsansvar og eksempler p\u00e5 kontraktsformuleringer<\/a><ul class='ez-toc-list-level-3'><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/monolith.law\/no\/it\/vendor-compensation\/#Programvareutviklingskontrakt\" title=\"Programvareutviklingskontrakt\">Programvareutviklingskontrakt<\/a><ul class='ez-toc-list-level-4'><li class='ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/monolith.law\/no\/it\/vendor-compensation\/#Oppdragskontrakt\" title=\"Oppdragskontrakt\">Oppdragskontrakt<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/monolith.law\/no\/it\/vendor-compensation\/#Forvaltningskontrakt\" title=\"Forvaltningskontrakt\">Forvaltningskontrakt<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/monolith.law\/no\/it\/vendor-compensation\/#Systemvedlikeholds-_og_driftsavtale\" title=\"Systemvedlikeholds- og driftsavtale\">Systemvedlikeholds- og driftsavtale<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/monolith.law\/no\/it\/vendor-compensation\/#Avtale_om_bruk_av_skytjenester\" title=\"Avtale om bruk av skytjenester\">Avtale om bruk av skytjenester<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/monolith.law\/no\/it\/vendor-compensation\/#Retningslinjer_for_vurdering_av_systemleverandorens_erstatningsansvar\" title=\"Retningslinjer for vurdering av systemleverand\u00f8rens erstatningsansvar\">Retningslinjer for vurdering av systemleverand\u00f8rens erstatningsansvar<\/a><ul class='ez-toc-list-level-3'><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-9\" href=\"https:\/\/monolith.law\/no\/it\/vendor-compensation\/#Har_tiltakene_fulgt_teknologinivaet_pa_utviklingstidspunktet\" title=\"Har tiltakene fulgt teknologiniv\u00e5et p\u00e5 utviklingstidspunktet?\">Har tiltakene fulgt teknologiniv\u00e5et p\u00e5 utviklingstidspunktet?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-10\" href=\"https:\/\/monolith.law\/no\/it\/vendor-compensation\/#Har_brukerbedriften_gjort_feil\" title=\"Har brukerbedriften gjort feil?\">Har brukerbedriften gjort feil?<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-11\" href=\"https:\/\/monolith.law\/no\/it\/vendor-compensation\/#Tre_Viktige_Punkter_for_Sikker_Systemutvikling\" title=\"Tre Viktige Punkter for Sikker Systemutvikling\">Tre Viktige Punkter for Sikker Systemutvikling<\/a><ul class='ez-toc-list-level-3'><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-12\" href=\"https:\/\/monolith.law\/no\/it\/vendor-compensation\/#Forsta_Cyberrisikoer_Identifisert_av_Offentlige_Etater\" title=\"Forst\u00e5 Cyberrisikoer Identifisert av Offentlige Etater\">Forst\u00e5 Cyberrisikoer Identifisert av Offentlige Etater<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-13\" href=\"https:\/\/monolith.law\/no\/it\/vendor-compensation\/#Begge_Parter_Ma_Forsta_Behovet_for_Sikkerhet\" title=\"Begge Parter M\u00e5 Forst\u00e5 Behovet for Sikkerhet\">Begge Parter M\u00e5 Forst\u00e5 Behovet for Sikkerhet<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-14\" href=\"https:\/\/monolith.law\/no\/it\/vendor-compensation\/#Begge_Parter_Ma_Samarbeide_for_a_Handtere_Cyberangrep\" title=\"Begge Parter M\u00e5 Samarbeide for \u00e5 H\u00e5ndtere Cyberangrep\">Begge Parter M\u00e5 Samarbeide for \u00e5 H\u00e5ndtere Cyberangrep<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-15\" href=\"https:\/\/monolith.law\/no\/it\/vendor-compensation\/#Oppsummering_Konsulter_en_advokat_for_a_utarbeide_systemutviklingskontrakter\" title=\"Oppsummering: Konsulter en advokat for \u00e5 utarbeide systemutviklingskontrakter\">Oppsummering: Konsulter en advokat for \u00e5 utarbeide systemutviklingskontrakter<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-16\" href=\"https:\/\/monolith.law\/no\/it\/vendor-compensation\/#Veiledning_om_tiltak_fra_vart_firma\" title=\"Veiledning om tiltak fra v\u00e5rt firma\">Veiledning om tiltak fra v\u00e5rt firma<\/a><\/li><\/ul><\/nav><\/div>\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Kan_systemleverandorer_holdes_ansvarlige_for_erstatning_ved_cyberangrep\"><\/span>Kan systemleverand\u00f8rer holdes ansvarlige for erstatning ved cyberangrep?<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" src=\"https:\/\/monolith-law.jp\/wp-content\/uploads\/2023\/02\/shutterstock_134919143.jpg\" alt=\"Kan systemleverand\u00f8rer holdes ansvarlige for erstatning ved cyberangrep?\" class=\"wp-image-58926\" \/><\/figure>\n\n\n\n<p>N\u00e5r en bedrift p\u00e5 brukersiden blir utsatt for et cyberangrep og lider skade, er det f\u00f8rst og fremst angriperen som b\u00f8r holdes ansvarlig. Men hvis det er en mulighet for at systemutvikling eller -drift har v\u00e6rt uaktsom og dermed gjort angrepet lettere, kan brukersiden ogs\u00e5 ha rett til \u00e5 kreve erstatning fra systemleverand\u00f8ren.<\/p>\n\n\n\n<p>Grunnlaget for erstatningskrav mot systemleverand\u00f8ren kan v\u00e6re:<\/p>\n\n\n\n<ul>\n<li>Ansvar for kontraktsbrudd<\/li>\n\n\n\n<li>Brudd p\u00e5 plikten til \u00e5 utvise aktsomhet<\/li>\n<\/ul>\n\n\n\n<p>Det kan imidlertid ogs\u00e5 v\u00e6re tilfeller der feil p\u00e5 brukersiden har bidratt til \u00e5 forverre skaden. I slike tilfeller kan brukersiden ogs\u00e5 bli holdt ansvarlig. I faktiske rettssaker har det v\u00e6rt tilfeller der erstatningskrav mot systemleverand\u00f8ren har blitt begrenset p\u00e5 grunn av medvirkning fra brukersiden.<\/p>\n\n\n\n<p>Relatert artikkel: <a href=\"https:\/\/monolith-law.jp\/corporate\/categories-of-cyber-crime\" target=\"_blank\" rel=\"noreferrer noopener\">Hva er de tre kategoriene av cyberkriminalitet? En advokat forklarer tiltakene mot hver type skade[ja]<\/a><\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Systemleverandorens_erstatningsansvar_og_eksempler_pa_kontraktsformuleringer\"><\/span>Systemleverand\u00f8rens erstatningsansvar og eksempler p\u00e5 kontraktsformuleringer<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Som representative eksempler p\u00e5 IT-systemkontrakter mellom en systemleverand\u00f8r og en brukerbedrift, finnes det f\u00f8lgende tre typer:<\/p>\n\n\n\n<ol>\n<li>Programvareutviklingskontrakt<\/li>\n\n\n\n<li>Systemvedlikeholds- og driftskontrakt<\/li>\n\n\n\n<li>Brukerkontrakt for skytjenester<\/li>\n<\/ol>\n\n\n\n<p>Erstatningsansvar vurderes ut fra den opprinnelige kontrakten, s\u00e5 vi vil forklare dette for hver kontraktstype nedenfor.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Programvareutviklingskontrakt\"><\/span>Programvareutviklingskontrakt<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>En programvareutviklingskontrakt er en avtale som inng\u00e5s n\u00e5r en brukerbedrift gir en programvareleverand\u00f8r i oppdrag \u00e5 utvikle sitt eget system.<\/p>\n\n\n\n<p>Hvis brukerbedriften blir utsatt for et cyberangrep og s\u00e5rbarheter i programvaren f\u00f8rer til \u00f8kt skade, kan brukeren holde leverand\u00f8ren ansvarlig.<\/p>\n\n\n\n<p>Leverand\u00f8rens ansvar i en programvareutviklingskontrakt avhenger av kontraktstypen og kan deles inn i to kategorier:<\/p>\n\n\n\n<ul>\n<li>Oppdragskontrakt: Ansvar for kontraktsbrudd<\/li>\n\n\n\n<li>Forvaltningskontrakt: Brudd p\u00e5 plikten til aktsomhet<\/li>\n<\/ul>\n\n\n\n<h4 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Oppdragskontrakt\"><\/span>Oppdragskontrakt<span class=\"ez-toc-section-end\"><\/span><\/h4>\n\n\n\n<p>En oppdragskontrakt er en avtale hvor leverand\u00f8ren lover \u00e5 fullf\u00f8re systemet, og betaling skjer for det ferdige produktet.<\/p>\n\n\n\n<p>Hvis det leverte produktet ikke oppfyller &#8220;kontraktens form\u00e5l&#8221;, vil leverand\u00f8ren v\u00e6re ansvarlig for kontraktsbrudd (i henhold til <a href=\"https:\/\/elaws.e-gov.go.jp\/document?lawid=129AC0000000089\" target=\"_blank\" rel=\"noreferrer noopener\">Japansk sivilrett, artikkel 559 og 562[ja]<\/a>) i en viss periode etter levering.<\/p>\n\n\n\n<p>Med andre ord, hvis produktet er s\u00e5 s\u00e5rbart at det lett kan for\u00e5rsake systemfeil ved et cyberangrep, kan brukeren kreve erstatning for kontraktsbrudd.<\/p>\n\n\n\n<p>Om dette kravet blir godkjent, avhenger av sikkerhetsniv\u00e5et som partene har avtalt p\u00e5 forh\u00e5nd.<\/p>\n\n\n\n<div class=\"wp-block-group has-background is-layout-constrained wp-block-group-is-layout-constrained\" style=\"background-color:#f4f4f4\"><div class=\"wp-block-group__inner-container\">\n<p>\u3010Eksempel p\u00e5 ansvar for kontraktsbrudd\u3011<\/p>\n\n\n\n<p>Artikkel X: Hvis det etter fullf\u00f8rt inspeksjon i henhold til forrige artikkel oppdages uoverensstemmelser mellom det leverte produktet og systemspesifikasjonene (inkludert feil, heretter referert til som &#8220;kontraktsbrudd&#8221; i denne artikkelen), kan part A kreve at part B retter opp kontraktsbruddet (heretter referert til som &#8220;retting&#8221; i denne artikkelen), og part B skal utf\u00f8re denne rettingen. Hvis det ikke p\u00e5legger part B en urimelig byrde, kan part B utf\u00f8re rettingen p\u00e5 en annen m\u00e5te enn det part A har krevd.<\/p>\n\n\n\n<p>2. Uavhengig av forrige avsnitt, hvis kontraktsbruddet ikke hindrer oppn\u00e5elsen av form\u00e5let med den individuelle kontrakten og rettingen krever uforholdsmessige kostnader, er part B ikke forpliktet til \u00e5 utf\u00f8re rettingen som angitt i forrige avsnitt.<\/p>\n\n\n\n<p>3. Hvis part A lider skade som f\u00f8lge av kontraktsbruddet (kun hvis det skyldes part B), kan part A kreve erstatning fra part B.<\/p>\n\n\n\n<p>Kilde: <a href=\"https:\/\/www.ipa.go.jp\/ikc\/reports\/20201222.html\" target=\"_blank\" rel=\"noreferrer noopener\">Japansk informasjonssystem-modelltransaksjonskontrakt (andre utgave)[ja]<\/a><\/p>\n<\/div><\/div>\n\n\n\n<h4 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Forvaltningskontrakt\"><\/span>Forvaltningskontrakt<span class=\"ez-toc-section-end\"><\/span><\/h4>\n\n\n\n<p>Forvaltningskontrakter er ikke underlagt ansvar for kontraktsbrudd, da det ikke er noen forpliktelse til \u00e5 fullf\u00f8re et produkt. I stedet p\u00e5legges leverand\u00f8ren en &#8220;plikt til aktsomhet som en god forvalter&#8221; (aktsomhetsplikt).<\/p>\n\n\n\n<p>Hvis et cyberangrep f\u00f8rer til systemfeil, kan utviklingen av et slikt system anses som et brudd p\u00e5 aktsomhetsplikten (i henhold til <a href=\"https:\/\/elaws.e-gov.go.jp\/document?lawid=129AC0000000089\" target=\"_blank\" rel=\"noreferrer noopener\">Japansk sivilrett, artikkel 656 og 644[ja]<\/a>), selv om sikkerhetsniv\u00e5et ikke ble avtalt ved kontraktsinng\u00e5elsen, og leverand\u00f8ren kan bli holdt ansvarlig for erstatning.<\/p>\n\n\n\n<div class=\"wp-block-group has-background is-layout-constrained wp-block-group-is-layout-constrained\" style=\"background-color:#f4f4f4\"><div class=\"wp-block-group__inner-container\">\n<p>\u3010Eksempel p\u00e5 aktsomhetsplikt\u3011<\/p>\n\n\n\n<p>Artikkel X: Part B skal, etter \u00e5 ha inng\u00e5tt en individuell kontrakt som angitt i artikkel X, tilby tjenester for \u00e5 st\u00f8tte part A i utarbeidelsen av kravspesifikasjoner basert p\u00e5 informasjonssystemkonseptdokumenter og systemplanleggingsdokumenter utarbeidet av part A (heretter referert til som &#8220;st\u00f8ttetjenester for utarbeidelse av kravspesifikasjoner&#8221;).<\/p>\n\n\n\n<p>2. Part B skal, basert p\u00e5 sin spesialkunnskap og erfaring innen informasjonsteknologi, utf\u00f8re st\u00f8ttetjenester som unders\u00f8kelser, analyser, organisering, forslag og r\u00e5dgivning med aktsomhet som en god forvalter for \u00e5 sikre at part A&#8217;s arbeid utf\u00f8res jevnt og hensiktsmessig.<\/p>\n\n\n\n<p>Kilde: <a href=\"https:\/\/www.ipa.go.jp\/ikc\/reports\/20201222.html\" target=\"_blank\" rel=\"noreferrer noopener\">Japansk informasjonssystem-modelltransaksjonskontrakt (andre utgave)[ja]<\/a><\/p>\n<\/div><\/div>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Systemvedlikeholds-_og_driftsavtale\"><\/span>Systemvedlikeholds- og driftsavtale<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>En systemvedlikeholds- og driftsavtale er en kontrakt der en bedrift engasjerer en programvareleverand\u00f8r til \u00e5 utf\u00f8re vedlikeholds- og driftsoppgaver for eksisterende programvare. Ved inng\u00e5else av en vedlikeholds- og driftsavtale er det vanlig \u00e5 inkludere sikkerhetsstandarder som m\u00e5 oppfylles i kontrakten, for eksempel i en arbeidsbeskrivelse.<\/p>\n\n\n\n<p>Hvis det oppst\u00e5r skade som f\u00f8lge av et cyberangrep, og sikkerhetsniv\u00e5et i systemet er lavere enn det som ble avtalt ved kontraktsinng\u00e5elsen, kan mislighold av kontrakten p\u00e5beropes som grunnlag for \u00e5 holde leverand\u00f8ren ansvarlig.<\/p>\n\n\n\n<p>Men hvis sikkerhetsniv\u00e5et ikke er spesifisert p\u00e5 forh\u00e5nd, kan det \u00e5 vedlikeholde og drifte et system som er s\u00e5rbart for cyberangrep anses som et brudd p\u00e5 den japanske plikten til \u00e5 utvise aktsomhet, og leverand\u00f8ren kan holdes ansvarlig.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Avtale_om_bruk_av_skytjenester\"><\/span>Avtale om bruk av skytjenester<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>En avtale om bruk av skytjenester er en kontrakt som inng\u00e5s n\u00e5r en leverand\u00f8r tilbyr tjenester p\u00e5 skyen. Siden det er forventet at leverand\u00f8ren tilbyr samme tjeneste til mange brukere, er det vanlig \u00e5 inng\u00e5 avtalen i henhold til leverand\u00f8rens bruksvilk\u00e5r.<\/p>\n\n\n\n<p>Generelt sett inneholder denne avtalen forh\u00e5ndsbestemte ansvarsforhold i tilfelle tjenesten ikke kan leveres p\u00e5 grunn av et cyberangrep.<\/p>\n\n\n\n<p>Ved inng\u00e5else av en avtale om bruk av skytjenester, reguleres vanligvis f\u00f8lgende:<\/p>\n\n\n\n<ul>\n<li>SLA (Service Level Agreement): Garanti for kvalitet og driftsregler<\/li>\n\n\n\n<li>Ansvarsbegrensningsklausul: Omfanget av leverand\u00f8rens ansvar ved mislighold<\/li>\n<\/ul>\n\n\n\n<p>SLA er en skriftlig avtale som beskriver brukerens krav og leverand\u00f8rens driftsregler. Hvis tjenesten som er spesifisert i SLA ikke leveres, kan brukeren kreve erstatning for delvis mislighold. I tillegg kan avtalen inneholde en &#8220;ansvarsbegrensningsklausul&#8221; som p\u00e5 forh\u00e5nd begrenser leverand\u00f8rens ansvar ved mislighold og begrenser erstatningsbel\u00f8pet selv om ansvar er erkjent.<\/p>\n\n\n\n<p>Imidlertid er ansvarsbegrensningsklausuler ofte fordelaktige for leverand\u00f8ren, og kan bli delvis begrenset av japansk rettspraksis hvis det oppst\u00e5r en tvist.<\/p>\n\n\n\n<div class=\"wp-block-group has-background is-layout-constrained wp-block-group-is-layout-constrained\" style=\"background-color:#f4f4f4\"><div class=\"wp-block-group__inner-container\">\n<p>\u3010Eksempel p\u00e5 ansvarsbegrensningsklausul\u3011<\/p>\n\n\n\n<p>Artikkel X: Hvis partene lider skade som f\u00f8lge av den andre partens mislighold av denne avtalen eller individuelle avtaler, kan de kreve erstatning fra den andre parten (kun for skader p\u00e5 grunn av XXX). Imidlertid kan dette kravet ikke fremmes etter at det har g\u00e5tt X m\u00e5neder fra datoen for ferdigstillelse av inspeksjon av leveransen eller bekreftelse av arbeidets fullf\u00f8ring, som spesifisert i den individuelle avtalen.<\/p>\n\n\n\n<p>2. Den totale kumulative erstatningssummen for skader knyttet til oppfyllelsen av denne avtalen og individuelle avtaler, uavhengig av grunnlaget for kravet, inkludert mislighold (inkludert ansvar for manglende samsvar med avtalen), urettferdig berikelse, ulovlig handling eller annet, skal ikke overstige bel\u00f8pet spesifisert i den individuelle avtalen som for\u00e5rsaket misligholdet.<\/p>\n\n\n\n<p>3. Forrige avsnitt gjelder ikke hvis skaden skyldes forsett eller grov uaktsomhet fra den erstatningspliktige partens side.<\/p>\n\n\n\n<p>Kilde: <a href=\"https:\/\/www.ipa.go.jp\/ikc\/reports\/20201222.html\" target=\"_blank\" rel=\"noreferrer noopener\">Informasjonssystemmodelltransaksjons- og kontraktsdokument (andre utgave)[ja]<\/a><\/p>\n<\/div><\/div>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Retningslinjer_for_vurdering_av_systemleverandorens_erstatningsansvar\"><\/span>Retningslinjer for vurdering av systemleverand\u00f8rens erstatningsansvar<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" src=\"https:\/\/monolith-law.jp\/wp-content\/uploads\/2023\/02\/shutterstock_646598212.jpg\" alt=\"Retningslinjer for vurdering av systemleverand\u00f8rens erstatningsansvar\" class=\"wp-image-58928\" \/><\/figure>\n\n\n\n<p>N\u00e5r en brukerbedrift lider skade som f\u00f8lge av et cyberangrep, i hvilke konkrete tilfeller kan systemleverand\u00f8ren holdes ansvarlig?<\/p>\n\n\n\n<p>Nedenfor forklarer vi basert p\u00e5 faktiske rettssaker der systemleverand\u00f8rens ansvar ble vurdert.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Har_tiltakene_fulgt_teknologinivaet_pa_utviklingstidspunktet\"><\/span>Har tiltakene fulgt teknologiniv\u00e5et p\u00e5 utviklingstidspunktet?<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>I faktiske rettssaker der ansvar blir diskutert, legges det vekt p\u00e5 om systemleverand\u00f8ren har implementert sikkerhetstiltak i samsvar med advarsler og manualer fra offentlige etater og bransjeorganisasjoner p\u00e5 utviklingstidspunktet.<\/p>\n\n\n\n<p>Det finnes rettssaker der systemleverand\u00f8ren ble p\u00e5lagt \u00e5 betale erstatning for skader for\u00e5rsaket av cyberangrep.<\/p>\n\n\n\n<div class=\"wp-block-group has-background is-layout-constrained wp-block-group-is-layout-constrained\" style=\"background-color:#f4f4f4\"><div class=\"wp-block-group__inner-container\">\n<p>\u3010Rettssak\u3011Tokyo District Court, 23. januar Heisei 26 (2014)<br>Bruker: Selskap X som driver med detaljhandel og netthandel av interi\u00f8rprodukter<br>Leverand\u00f8r: Selskap Y som var ansvarlig for design og vedlikehold av webbestillingssystemet<\/p>\n\n\n\n<p>En hendelse der 7 000 kunders kredittkortinformasjon ble lekket p\u00e5 grunn av et cyberangrep<\/p>\n\n\n\n<p>\u25a0 Dom<br>Systemleverand\u00f8ren ble p\u00e5lagt \u00e5 betale ca. 20 millioner yen i erstatning<br>Bel\u00f8pet oversteg utviklingskostnadene med ca. 2 millioner yen<br>Selskap X ble ogs\u00e5 ansett \u00e5 ha v\u00e6rt uaktsom, og 30 % av erstatningen ble avkortet<\/p>\n\n\n\n<p>\u25a0 Begrunnelse<br>\u30fbSystemleverand\u00f8ren unnlot \u00e5 implementere sikkerhetstiltak i samsvar med teknologiniv\u00e5et p\u00e5 den tiden.<br>\u30fbSelskap X ble ansett \u00e5 ha v\u00e6rt uaktsom ved \u00e5 ikke iverksette tiltak til tross for advarsler fra systemleverand\u00f8ren, og derfor ble 30 % av erstatningen avkortet.<\/p>\n<\/div><\/div>\n\n\n\n<p>I 2014 var &#8220;SQL-injeksjonsangrep&#8221; en vanlig metode for cyberangrep, og det japanske \u00f8konomi-, handels- og industriministeriet (METI) hadde utgitt et dokument som advarte om cyberrisiko og oppfordret til systemforsterkning, kalt &#8220;Advarsel om tiltak for sikkerhetsstyring av personopplysninger i henhold til den japanske personopplysningsloven&#8221;.<\/p>\n\n\n\n<p>Domstolen anerkjente systemleverand\u00f8rens ansvar for ikke \u00e5 ha iverksatt tiltak og p\u00e5la erstatning, samtidig som den anerkjente brukerbedriftens uaktsomhet og avkortet erstatningen med 30 %.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Har_brukerbedriften_gjort_feil\"><\/span>Har brukerbedriften gjort feil?<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Brukerbedriften som bestiller systemutviklingen har ogs\u00e5 plikter, og hvis de gj\u00f8r feil, kan de bli holdt fullt ansvarlig.<\/p>\n\n\n\n<p>F\u00f8lgende er en rettssak som ikke involverer et cyberangrep, men der brukerbedriften ble holdt fullt ansvarlig og p\u00e5lagt \u00e5 betale erstatning.<\/p>\n\n\n\n<div class=\"wp-block-group has-background is-layout-constrained wp-block-group-is-layout-constrained\" style=\"background-color:#f4f4f4\"><div class=\"wp-block-group__inner-container\">\n<p>\u3010Rettssak\u3011Asahikawa District Court, 31. august Heisei 29 (2017)<\/p>\n\n\n\n<p>Bruker: Universitetsklinikk<br>Leverand\u00f8r: Systemfirma som ble bedt om \u00e5 utvikle et elektronisk journalsystem av universitetsklinikken<\/p>\n\n\n\n<p>Rett etter prosjektstart kom det en rekke tilleggsforesp\u00f8rsler fra legene p\u00e5 stedet.<br>Foresp\u00f8rslene stoppet ikke, utviklingen ble forsinket, og universitetsklinikken sa opp kontrakten p\u00e5 grunn av forsinkelsen.<\/p>\n\n\n\n<p>\u25a0 Dom (ankesak)<br>Universitetsklinikken ble p\u00e5lagt \u00e5 betale ca. 1,4 milliarder yen i erstatning<br>F\u00f8rsteinstansdommen som p\u00e5la begge parter erstatning ble opphevet<\/p>\n\n\n\n<p>\u25a0 Begrunnelse<br>\u30fbUniversitetsklinikken ignorerte advarslene fra leverand\u00f8ren om at tilleggsforesp\u00f8rslene ville f\u00f8re til forsinkelser.<\/p>\n<\/div><\/div>\n\n\n\n<p>I denne rettssaken sa brukerbedriften opp kontrakten p\u00e5 grunn av utviklingsforsinkelser, og begge parter saks\u00f8kte hverandre for erstatning.<\/p>\n\n\n\n<p>Domstolen anerkjente at brukerbedriften ignorerte advarslene fra systemleverand\u00f8ren, og holdt brukerbedriften 100 % ansvarlig, og avviste brukerens krav. Systemleverand\u00f8ren har en &#8220;prosjektstyringsplikt&#8221; for \u00e5 sikre at prosjektet fullf\u00f8res i tide. Brukerbedriften har ogs\u00e5 en &#8220;samarbeidsplikt&#8221;, og hvis de unnlater \u00e5 oppfylle denne, kan de bli holdt fullt ansvarlig. I faktiske rettssaker bestemmes erstatningsansvaret basert p\u00e5 denne ansvarsfordelingen.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Tre_Viktige_Punkter_for_Sikker_Systemutvikling\"><\/span>Tre Viktige Punkter for Sikker Systemutvikling<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" src=\"https:\/\/monolith-law.jp\/wp-content\/uploads\/2023\/02\/shutterstock_2004030665.jpg\" alt=\"Tre Viktige Punkter for Sikker Systemutvikling\" class=\"wp-image-58929\" \/><\/figure>\n\n\n\n<p>For \u00e5 forberede seg p\u00e5 cyberrisikoer, er det viktig at b\u00e5de brukersiden og leverand\u00f8rsiden samarbeider om \u00e5 iverksette tiltak.<\/p>\n\n\n\n<p>Nedenfor forklarer vi tiltakene som leverand\u00f8rer og brukere kan ta fra sine respektive st\u00e5steder.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Forsta_Cyberrisikoer_Identifisert_av_Offentlige_Etater\"><\/span>Forst\u00e5 Cyberrisikoer Identifisert av Offentlige Etater<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Systemleverand\u00f8rer b\u00f8r sjekke retningslinjene fra spesialiserte organer som det japanske \u00d8konomi-, Handels- og Industriministeriet (\u7d4c\u6e08\u7523\u696d\u7701) og det japanske Information-Technology Promotion Agency (IPA, \u72ec\u7acb\u884c\u653f\u6cd5\u4eba\u60c5\u5831\u51e6\u7406\u63a8\u9032\u6a5f\u69cb), og forst\u00e5 de n\u00e5v\u00e6rende cyberrisikoene og hvordan man kan h\u00e5ndtere dem f\u00f8r de g\u00e5r i gang med utvikling og drift.<\/p>\n\n\n\n<p>Videre b\u00f8r b\u00e5de leverand\u00f8rer og brukerselskaper forst\u00e5 innholdet i retningslinjene til en viss grad, og be om utvikling og drift i tr\u00e5d med disse retningslinjene, samt inkludere sikkerhetsklausuler i kontraktene.<\/p>\n\n\n\n<p>Referanse: <a href=\"https:\/\/www.meti.go.jp\/policy\/netsecurity\/downloadfiles\/guide2.0.pdf\" target=\"_blank\" rel=\"noreferrer noopener\">\u00d8konomi-, Handels- og Industriministeriet\uff5cCybersecurity Management Guidelines Ver 2.0<\/a><\/p>\n\n\n\n<p>Referanse: <a href=\"https:\/\/www.ipa.go.jp\/security\/vuln\/websecurity.html\" target=\"_blank\" rel=\"noreferrer noopener\">Information-Technology Promotion Agency\uff5cHvordan Lage Sikker Nettsted[ja]<\/a><\/p>\n\n\n\n<p>Spesielt innen finanssektoren kan det v\u00e6re krav om h\u00f8y sikkerhet i henhold til lover og retningslinjer. Vi forklarer sikkerhetstiltak for kryptovalutaer i detalj nedenfor.<\/p>\n\n\n\n<p>Relatert artikkel: <a href=\"https:\/\/monolith-law.jp\/corporate\/cryptoassets-security\" target=\"_blank\" rel=\"noreferrer noopener\">Hva er Sikkerhetstiltak for Kryptovalutaer? Forklart med Tre Tyverisaker[ja]<\/a><\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Begge_Parter_Ma_Forsta_Behovet_for_Sikkerhet\"><\/span>Begge Parter M\u00e5 Forst\u00e5 Behovet for Sikkerhet<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>Det japanske \u00d8konomi-, Handels- og Industriministeriets <a href=\"https:\/\/www.meti.go.jp\/policy\/netsecurity\/downloadfiles\/guide2.0.pdf\">Cybersecurity Management Guidelines Ver 2.0<\/a> fastsl\u00e5r at &#8220;cybersikkerhetstiltak er et ledelsesproblem&#8221;.<\/p>\n\n\n\n<p>Bedrifter b\u00f8r ikke overlate alt til leverand\u00f8rene bare fordi de ikke forst\u00e5r sikkerhet, men b\u00f8r betrakte risikostyring som en del av ledelsen og ta ansvar for \u00e5 iverksette tiltak.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Begge_Parter_Ma_Samarbeide_for_a_Handtere_Cyberangrep\"><\/span>Begge Parter M\u00e5 Samarbeide for \u00e5 H\u00e5ndtere Cyberangrep<span class=\"ez-toc-section-end\"><\/span><\/h3>\n\n\n\n<p>N\u00e5r et cyberangrep inntreffer, b\u00f8r b\u00e5de bestilleren og leverand\u00f8ren samarbeide for \u00e5 minimere skaden, i stedet for \u00e5 skylde p\u00e5 hverandre.<\/p>\n\n\n\n<p>Imidlertid har bestilleren ofte en sterkere posisjon enn leverand\u00f8ren i systemutviklingsprosjekter, og utviklingen har en tendens til \u00e5 fokusere p\u00e5 kostnader og tidsfrister. Leverand\u00f8rene f\u00e5r kanskje ikke nok penger eller tid, og deres sikkerhetsforslag blir kanskje ikke akseptert.<\/p>\n\n\n\n<p>Retningslinjene p\u00e5peker imidlertid at brukerselskaper b\u00f8r betrakte sikkerhetstiltak som en &#8220;investering&#8221; som er essensiell for fremtidig forretningsaktivitet og vekst, i stedet for som en &#8220;kostnad&#8221;.<\/p>\n\n\n\n<p>Det er viktig at leverand\u00f8rer og brukere samarbeider p\u00e5 like vilk\u00e5r for \u00e5 h\u00e5ndtere cyberangrep i systemutvikling.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Oppsummering_Konsulter_en_advokat_for_a_utarbeide_systemutviklingskontrakter\"><\/span>Oppsummering: Konsulter en advokat for \u00e5 utarbeide systemutviklingskontrakter<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Hvis en bedrift blir utsatt for et cyberangrep og p\u00e5f\u00f8res skade, kan leverand\u00f8ren som var involvert i systemutviklingen bli holdt ansvarlig av brukerbedriften for \u00e5 ha unnlatt \u00e5 iverksette tilstrekkelige cybersikkerhetstiltak.<\/p>\n\n\n\n<p>Imidlertid har ogs\u00e5 brukerbedriften ansvar hvis den har unnlatt \u00e5 oppfylle sin samarbeidsplikt overfor leverand\u00f8ren.<\/p>\n\n\n\n<p>For \u00e5 minimere skadeomfanget ved et cyberangrep, er det viktig \u00e5 fastsette systemstandarder og ansvarsomr\u00e5der i kontrakten.<\/p>\n\n\n\n<p>Ved utarbeidelse av kontrakter for systemutvikling, b\u00f8r man konsultere en advokat med avansert ekspertise som forst\u00e5r retningslinjene og de n\u00e5v\u00e6rende cyberrisikoene.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Veiledning_om_tiltak_fra_vart_firma\"><\/span>Veiledning om tiltak fra v\u00e5rt firma<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p>Monolith Advokatfirma er et advokatfirma med h\u00f8y ekspertise innen IT, spesielt internett og jus. Ved systemutviklingskontrakter er det n\u00f8dvendig \u00e5 utarbeide kontrakter. V\u00e5rt firma utarbeider og gjennomg\u00e5r kontrakter for en rekke saker, fra selskaper notert p\u00e5 Tokyo-b\u00f8rsen til oppstartsbedrifter. Hvis du har problemer med kontrakter, vennligst se artikkelen nedenfor.<\/p>\n\n\n\n<p>Monolith Advokatfirmas ekspertiseomr\u00e5der: <a href=\"https:\/\/monolith-law.jp\/systemdevelopment\" target=\"_blank\" rel=\"noreferrer noopener\">Juridiske tjenester relatert til systemutvikling[ja]<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>I de senere \u00e5r har cyberangrep mot bedrifter v\u00e6rt i stadig \u00f8kning. If\u00f8lge en unders\u00f8kelse utf\u00f8rt av den japanske ideelle organisasjonen Japan Network Security Association (JNSA), utgjorde andelen av p [&hellip;]<\/p>\n","protected":false},"author":32,"featured_media":72393,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[16],"tags":[35,19],"acf":[],"_links":{"self":[{"href":"https:\/\/monolith.law\/no\/wp-json\/wp\/v2\/posts\/70660"}],"collection":[{"href":"https:\/\/monolith.law\/no\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/monolith.law\/no\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/monolith.law\/no\/wp-json\/wp\/v2\/users\/32"}],"replies":[{"embeddable":true,"href":"https:\/\/monolith.law\/no\/wp-json\/wp\/v2\/comments?post=70660"}],"version-history":[{"count":3,"href":"https:\/\/monolith.law\/no\/wp-json\/wp\/v2\/posts\/70660\/revisions"}],"predecessor-version":[{"id":72916,"href":"https:\/\/monolith.law\/no\/wp-json\/wp\/v2\/posts\/70660\/revisions\/72916"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/monolith.law\/no\/wp-json\/wp\/v2\/media\/72393"}],"wp:attachment":[{"href":"https:\/\/monolith.law\/no\/wp-json\/wp\/v2\/media?parent=70660"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/monolith.law\/no\/wp-json\/wp\/v2\/categories?post=70660"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/monolith.law\/no\/wp-json\/wp\/v2\/tags?post=70660"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}