Forsyningssikkerhet i offentlige IT-kontrakter

Anbud365: Forsyningssikkerhet i offentlige IT-kontrakterDet bør alltid gjennomføres en kost-/nyttevurdering knyttet til om forsyningssikkerhetskrav skal og bør stilles, da denne type krav ofte vil være prisdrivende, slår artikkelforfatteren fast.

Skriv ut artikkelen

Av advokatfullmektig Oda Loe, KPMG Law Advokatfirma

Det geopolitiske klimaet i verden er i høyspenn. Vi nærmer oss to år siden det på ny brøt ut krig i Europa. En verdensomspennende pandemi som satte forsyningssikkerhet på dagsordenen for alvor er nå bak oss. Forsyningssikkerhet er et hett tema i offentlig sektor, og kanskje enda mer i IT-sektoren, der manglende tilgang på IT-løsningene raskt kan sette hele etater ut av drift, som Østre Toten kommune og Hydro-angrepet er eksempler på.

Det nye anskaffelsesutvalget arbeider nå med å utvikle nye regler for sikkerhet og beredskap i anskaffelsesregelverket som er varslet kunngjort i mai 2024. Men hva kan offentlige oppdragsgivere gjøre i dag for å sikre at IT-løsningene de kjøper vil fungere om en ny krise inntreffer?

Hva har det geopolitiske klimaet å si for IT-systemene til det offentlige Norge?

Når offentlige oppdragsgivere anskaffer IT-løsninger, er det flere ting det er ønskelig å ta høyde for. Leverandøren som leverer lisensene bør ha kompetanse på å implementere og drifte løsningen. Kanskje må løsningen tilpasses virksomheten som har kjøpt den, med bistand fra leverandør. Det er behov for at løsningen holdes oppdatert av programvareleverandør, og at programvareleverandør har en plan for å fortsette å utvikle denne slik at man får nødvendig sikkerhetspatching, videreutvikling og support. Dersom staten eller kommunen har behov for ytterligere tilpasning av løsningen på et senere tidspunkt, trengs det tilgjengelig kompetanse som kan bistå med dette, enten på stedet eller remote.

I alle disse fasene kan IT-systemets kritikalitet aktualisere seg. Hva vil for eksempel være konsekvensen dersom programvareleverandøren har tilholdssted i Ukraina? Kriser i tredjeland kan påvirke tilgjengeligheten til IT-løsningen. Datasentre som er kritiske for oppetid kan rammes av uforutsette hendelser. Personellet som leverer support og sikkerhetspatching kan være hindret fra å møte på jobb. I ytterste konsekvens kan man tenke seg at programvaren kjøpes opp av et land med politiske interesser i å stenge ned programvaren for ikke-allierte.

Det kan være viktig å øke sannsynligheten for at både programvaren som er kjøpt, kompetansen som skal sette den opp og gjøre senere tilpasninger, og supporten som skal leveres under kontrakten vil være tilgjengelig gjennom hele kontraktsperioden. For hva er egentlig konsekvensen av at journalsystemet til sykehjemmet svikter, fordi det ukrainske supportteamet plutselig er opptatt med langt viktigere ting?

Forsyningssikkerhet vil fortsette å være tema i dagens usikre politiske klima. Anskaffelsesutvalget skal i andre delleveranse «Tydeliggjøre muligheten for å stille krav til sikkerhet og beredskap i offentlige anskaffelser for å ivareta beredskapshensyn og nasjonale sikkerhetsinteresser». Denne leveres etter planen 4. mai 2024.

Å stille forsyningssikkerhetskrav i offentlige IT-kontrakter

I påvente av ny lov og forskrift, inneholder dagens regelverk flere hindringer for å stille egnede forsyningssikkerhetskrav. Mange ønskelige krav kan komme i konflikt med diskrimineringsforbudet og EØS-reglene om fri markedsadgang.

Enkelte oppdragsgivere som drifter graderte tjenester benytter forskrift om forsvars- og sikkerhetsanskaffelser (FOSA), som kan gi utvidede muligheter. Denne kommer vi kort tilbake til mot slutten av denne artikkelen.

Uavhengig av regelverk; kontraktskrav som stilles skal øke sannsynligheten for at IT-systemene fortsetter å fungere gjennom en krise. Utfordringer kan hovedsakelig oppstå på tre områder:

  1. I kontraktsforholdet med kontraktsmotparten, ofte et norsk selskap som tilbyr lisenser på vegne av en tredjepart og kompetanse på å sette opp og tilpasse løsningen
  2. Hos programvareleverandøren, ofte i et tredjeland utenfor Norge
  3. Hos programvareleverandørens supporttjeneste/utviklerteam, ofte i et tredjeland utenfor Norge

En side mot force majeure

Det grunnleggende utgangspunktet i kontraktsretten er at partene selv bærer risikoen for egne ytelser. Ett av unntakene fra dette, som er relevant når vi snakker om forsyningssikkerhet, er force-majeure-situasjoner. Dersom vilkårene for force majeure er oppfylt, vil partenes forpliktelser etter kontrakten bli suspendert til forholdet har normalisert seg. Dersom forholdet varer lenge kan det være avtalt en rett til å heve avtalen. Suspenderte forpliktelser hemmer naturligvis forsyningssikkerheten.

Vilkårene for at en force majeure-situasjon skal være tilstede, er at det har oppstått en hindring som gjør det tilnærmet umulig å oppfylle forpliktelsene etter avtalen, og hindringen må ikke med rimelighet kunne overvinnes. Hindringen burde eller kunne ikke vært forutsett ved avtaleinngåelsen, og ligger utenfor partens kontroll. Force majeure må også påberopes av parten som ikke kan levere.

Formålet med å stille forsyningssikkerhetskrav er å sikre at leverandøren er rigget for å håndtere en utfordrende tid. Gjennom gode forsyningssikkerhetskrav kan tidspunktet for når leverandøren er hindret fra å levere forskyves.

I relasjon til at hindringen ikke med rimelighet må kunne overvinnes, kan oppdragsgivere «påvirke» når dette vil inntreffe ved å kontraktsfeste hvordan leverandører skal rigge seg i det daglige for å oppfylle kontrakten. Eksempelvis vil et vilkår om at det skal leveres support fra to ulike lokasjoner kunne medføre at en «hindring» i det ene landet, som kunne medført en force majeure-situasjon for leverandøren, ikke vil være tilstede for det andre landet. Oppdragsgiver har på den måten sikret seg at det fortsatt leveres support.

Også i relasjon til at hindringen må gjøre det umulig å oppfylle forpliktelsene, vil oppdragsgiver kunne påvirke når en utfordrende situasjon blir en uoverkommelig hindring, ved å forutse forsyningsproblematikk ved utlysningen av kontrakten. Oppdragsgivere som har kontraktskrav om at leverandøren skal ha lagerhold for hardware i Norge, for det tilfelle at grensene stenges ved en ny pandemi, vil ha sikret seg leveranser selv om en situasjon som hindrer tilgang på hardware fra utlandet inntreffer.

Krav som tvinger leverandører til å være forberedt på krisetid, kan medføre at tidspunktet for når en hindring foreligger, eller når en hindring ikke med rimelighet kan overvinnes forskyves.

Hvordan stille gode kontraktskrav for å øke forsyningssikkerheten?

  • Kontraktskrav må være klart utformet og gi tydelige forpliktelser

For at kontraktskrav skal gi merverdi, bør de være konkrete og gi klare forpliktelser som det er mulig for leverandørene å forstå konsekvensen av, og for oppdragsgivere å følge opp. Klare kontraktskrav kan være avgjørende når formålet er å tvinge leverandøren til å rigge seg for en krise og håndtere uforutsette hindringer.

Desto mer konkret et forsyningssikkerhetskrav er, vil det også være enklere for leverandørene å prise tjenestene. Uklare krav kan medføre at leverandøren priser inn risikoen ved å oppfylle de, slik at oppdragsgiver ender opp med en dyrere leveranse. Uklare kontraktskrav kan også bidra til at leverandører undervurderer kompleksiteten i å oppfylle et krav. I oppfyllelsen av kontrakten vil leverandøren pådra seg uforutsette merkostnader for å oppfylle kravet, som kan gi leverandørene utfordringer med å levere i henhold til avtalte priser.

Klare kontraktskrav øker også sannsynligheten for at håndhevelsen av kravet i kontraktsperioden er i tråd med avtalen. Uklare kontraktskrav kan medføre at oppdragsgiver må tilpasse, tilføre eller presisere kravet i kontraktsperioden for at kravet skal gi verdi. Dette kan gi økt risiko for at kontrakten endres vesentlig og oppdragsgiver havner i brudd med FOA § 28-2 og forbudet mot vesentlig endring.

Både økte priser og ulovlige endringer kan påvirke oppdragsgivers forsyningssikkerhet ved at leverandørens leveranser stopper opp, kontrakten må sies opp fra oppdragsgivers side, eller at kontrakten kjennes uten virkning i en domstol.

  • Forsvars- og sikkerhetsindustrien om konkrete kontraktskrav

Også Forsvars og sikkerhetsindustriens forening (FSi), som består av leverandører til forsvarssektoren, er i sitt innspill til anskaffelsesutvalget tydelig på at kontraktskrav må være konkrete og tydelige. FSi trekker frem at leverandører må få informasjon om hva som er «nødvendig med hensyn til bemanning, opplagring av komponenter, hvilke tidsfrister som gjelder og om det skal stilles krav til fast bemanning eller beredskapsvakter».

Å utforme konkrete krav er grunnleggende for å sikre at beredskapsklausulene faktisk gir den merverdi de er ment å ha, og ikke blir papirtigre der oppdragsgiver og leverandør har helt ulike forventninger til hva kravet reelt sett innebærer.

FSi påpeker også at «generelle kontraktsbestemmelser som ikke sier noe om f.eks responstider, krav om skalering, krav til bemanning, forventede lokasjoner for leveranser, risiko og lignende mangler forutsigbarhet om hva oppdragsgiver faktisk etterspør». Aksept av den type klausuler fører ikke nødvendigvis til at oppdragsgiver får den forsyningssikkerhet og beredskap den trenger hvis behovet oppstår, ifølge FSi.

Å stille forsyningssikkerhetskrav krav etter forskrift om forsvars- og sikkerhetsanskaffelser

Forskrift om forsvars- og sikkerhetsanskaffelser (FOSA) tar særskilt for seg forsyningssikkerhet. I veilederen til FOSA er et eget kapittel dedikert til hvordan stille gode forsyningssikkerhetskrav.

FOSAs anvendelsesområde defineres i forskriftens § 1-3. Oppdragsgivere som anskaffer forsvarsmateriell, gradert materiell eller tjenester i tilknytning til dette bør bevisstgjøre seg om anskaffelsene er underlagt FOSA. 

Uavhengig av om anskaffelsen er underlagt FOSA, vil deler av forskriften og FOSAs veileder gi gode eksempler på hvilke kontraktskrav som bør vurderes når man anskaffer samfunnskritiske systemer og tjenester.

FOSA § 8-8 inneholder flere gode eksempler på forsyningssikkerhetskrav som i varianter kan anvendes også utenfor FOSAs virkeområde, se faktaboks.

Hvordan man anvender forslagene i FOSA § 8-8 må avveies mot diskrimineringsforbudet, EØS-avtalens bestemmelser om markedsadgang og hvordan kravene reelt sett påvirker dette.

Eksempler på kontraktskrav som kan øke forsyningssikkerheten

Hvorvidt kontraktskrav knyttet til forsyningssikkerhet kan og bør stilles, bør være basert på en vurdering av risiko knyttet til det som skal anskaffes, oppdragsgivers behov for forsyningssikkerhet på området og oppdragsgivers betalingsvillighet.  

Alle kontraktskrav som skal øke forsyningssikkerhet bør følges tett opp, for å sikre at beredskapen er reell, og at leverandøren har riktig forståelse av forpliktelsen.

Noen beredskapskrav vil være vanskelig å detaljere nok forut for valg av leverandør, slik at det kan bli nødvendig at de detaljeres ytterligere i samarbeid med valgt leverandør i etterkant av kontraktsignering. Dette kan også avtalefestes, og må i avtalefasen avveies mot forbudet mot «vesentlig endring», jf. FOA § 28-2.

Under følger en oversikt over eksempler på krav som kan øke forsyningssikkerheten.

  • Spredning i support

– Det kan være hensiktsmessig å kreve at leverandørene har en spredning i support, slik at support leveres fra mer enn én lokasjon. Dette sikrer at support vil være tilgjengelig på tross av ustabilitet eller nedetid som følge av uforutsette hendelser på en av lokasjonene. I dag leveres support av en del IT-systemer ofte fra land med rimeligere arbeidskapasitet, som f.eks. land i Øst-Europa eller India. I dagens sikkerhetspolitiske klima kan dette innebære økt risiko for ustabilitet i landet som kan påvirke levering av support.

  • Service Level Agreement (SLA) med strenge krav til responstid

– For on-premise-tjenester eller tjenester som krever stedlig support, kan man vurdere å stille strengere krav til leverandørens stedlige supportforpliktelse. Slik kan man forplikte leverandøren til å ha personell tilgjengelig i Norge eller nærliggende land for at support skal kunne leveres på kort varsel. Ved stengte grenser, utfordringer i mer ustabile tredjeland eller lignende, vil dette gi en sikkerhet for oppdragsgiver.

  • Be om roadmap for programvaren

– De fleste programvareleverandører har planer for programvaren for flere år fremover i tid, og hva som eventuelt skal fases ut. I konkurransefasen kan roadmap innhentes, og det kan eventuelt stilles krav til hva leverandøren bør ha planlagt å opprettholde, eller kvalitet/innhold i fremtidig plan. Slik kan man øke sannsynligheten for at den funksjonaliteten som anskaffes vil være tilgjengelig og supportert fremover i tid.

  • Lagerkapasitet i Norge

– For IT-kontrakter som gjelder hardware, kan man vurdere å stille krav om at leverandøren har lagerhold i Norge for et utvalg kritiske komponenter. Dette vil bidra til større sikkerhet for leveranser ved eksempelvis en ny pandemi med stengte grenser, eller ved mangel på råvarer for produksjon av komponenten.

  • Varslingsplikt ved endrede eierinteresser

– En kontraktsbestemmelse som ofte benyttes, innebærer at det stilles krav om at kontraktsmotparten varsler oppdragsgiver ved endringer i eierinteresser som kan medføre endret kontroll av aksjemajoritet. Bestemmelsen kan også gjelde for underleverandører. Oversikt over eierskapsinteressene til IT-leverandør og programvareleverandør kan være avgjørende for å sikre at uønskede utenlandske interesser ikke får kontroll over oppdragsgivers IT-løsninger.

  • Oppfølging av krav til forsyningssikkerhet

– Jevnlige statusmøter med leverandør bør avtales i kontrakten. Her bør rutinemessig oppfølgning av de forsyningssikkerhetskrav som er stilt være et fast agendapunkt.

  • Deponering av kildekode

– Det er mulig å avtale at programvarens kildekode deponeres hos en tredjepart (ofte kalt escrowagent). En slik escrowavtale hindrer at oppdragsgiver får innsyn i programvarens kildekode, men gir tilgang til denne dersom kritiske situasjoner som konkurs eller lignende skulle oppstå. Tilnærmingen kan være praktisk, da oppdragsgiver på denne måten kan benytte egne ressurser eller tredjeparter til å opprettholde funksjonalitet. Kontraktskrav om deponering av kildekode kan ha begrenset praktisk verdi. Mange programvareleverandører tillater ikke dette, og forhandlingsmulighetene er begrensede.

Uavhengig av de forsyningssikkerhetskrav den enkelte oppdragsgiver har stilt i sine kontrakter, kan nasjonal krise- og beredskapslovgivning tilsidesette disse og prioritere leveranser annerledes basert på overordnede nasjonale behov. Dette kan påvirke leveransene til den enkelte oppdragsgiver.

Det grunnleggende først

Også forsyningssikkerhetskrav må ha tilknytning til leveransen og stå i forhold til kontraktens formål og verdi. Nødvendigheten og lovligheten av å stille kravene må vurderes konkret for hver anskaffelse.

Før forsyningssikkerhetskrav implementeres i virksomhetens kontrakter, sørg for at de passer til virksomhetens behov og karakter, og at det er etablert rutiner for å følge opp kravene. Kartlegg virksomhetens risiko i tilknytning til den konkrete anskaffelsen, og hva som er de mest sannsynlige og kritiske konsekvensene av manglende leveranser. Det bør alltid gjennomføres en kost-/nyttevurdering knyttet til om forsyningssikkerhetskrav skal og bør stilles, da denne type krav ofte vil være prisdrivende.

Bli den første til å kommentere på "Forsyningssikkerhet i offentlige IT-kontrakter"

Legg inn kommentar

Epostadressen din vil ikke vises.


*


Dette nettstedet bruker Akismet for å redusere spam. Lær om hvordan dine kommentar-data prosesseres.