Dora-anpassning av företagets IKT-avtal – så ska du tänka!
• Isabella Stafström och Johanna Borg är verksamma vid Kompass Advokat.
Vad är egentligen en IKT-tjänst och vilka leverantörer omfattas av Dora? Och hur ska egentligen kraven ut när det gäller avtal om IKT-tjänster? Johanna Borg och Isabella Stafström vid Kompass Advokat reder ut vad du behöver tänka på i förhållande till Dora-regelverket.
Det har nu gått något mer än en vecka sedan Dora (EU:s förordning för digital operativ motståndskraft) började att tillämpas. Dora ställer flera krav på företagens hantering av sina leverantörer, bland annat genom krav på avtalsinnehållet.
En stor del av genomförandet av Dora handlar därför om att förhandla om avtal med olika leverantörer. När företagen arbetar med detta uppstår en mängd olika frågor att ta ställning till.
IKT-tjänst eller inte?
Det är vanligt att leverantörer ifrågasätter om de tjänster de tillhandahåller verkligen omfattas av Dora. Detta beror på om den aktuella leveransen är, helt eller delvis, en IKT-tjänst i Doras bemärkelse. För att det ska vara fråga om en IKT-tjänst ska det enligt Dora vara ”en digital tjänst eller datatjänst som fortlöpande tillhandahålls genom IKT-system, till en eller flera interna eller externa användare”.
I vissa fall är det förhållandevis enkelt att avgöra att det rör sig om en IKT-tjänst. I andra fall är det svårare, särskilt eftersom flera av begreppen inte definieras i Dora. Vad menas till exempel med ”digital”, ”data” och ”IKT-system”? Ett exempel på ett annat svårbedömt fall utgörs av en ”traditionell” tjänst, till exempel en administrativ tjänst som i sig inte är en IKT-tjänst, men som också innehåller delar som är IKT-tjänster och leder till att man vid en bedömning av helheten kommer fram till att den administrativa tjänsten ändå innehåller leverans av IKT-tjänst.
Dora ger inte något direkt svar på dessa frågor, men definitionen av IKT-tjänster ska ”ges en vid tolkning”, det vill säga att det är fråga om en bred definition. Den enda uttryckliga begränsningen i legaldefinitionen är att traditionella analoga telefonitjänster inte är IKT-tjänster.
En aktuell fråga i Dorasammanhang är vilken betydelse bilaga III till kommissionens genomförandeförordning avseende informationsregistret, får för bedömningen av vad som är en IKT-tjänst. Bilagan räknar upp olika IKT-tjänster med tillhörande identifieringskoder, som ska användas i informationsregistret. Innehållet i bilagan kan till viss del användas som vägledning i frågan om vilka typer av tjänster som ska betraktas som IKT-tjänster. Men det är viktigt att komma ihåg att det är Doras definition som är avgörande vid bedömningen av om en tjänst är en IKT-tjänst eller inte.
Stödjer IKT-tjänsten en kritisk eller viktig funktion?
Om den relevanta tjänsten är en IKT-tjänst enligt Dora ska företagen i nästa steg identifiera om tjänsten stöder en kritisk eller viktig funktion hos företaget. Den bedömningen ligger till grund bland annat för vilka avtalskrav som ska inkluderas.
Dora anger inga tröskelvärden för på vilken nivå eller med vilken intensitet en IKT-tjänst ska användas för att den ska anses stödja en kritisk eller viktig funktion. I de europeiska tillsynsmyndigheternas forum för frågor och svar har dock EU-kommissionen lämnat följande kommentar:
” […] The level of engagement required for an ICT service should be considered in the light of the notion of ‘critical or important functions’, which is defined under Article 3(22) DORA […] The word ”supporting” is referring to the fact that an ICT service is necessary for the delivery of critical or important functions.”
Utifrån detta uttalande är det tänkbart att man, i vart fall som utgångspunkt, motsatsvis kan dra slutsatsen att en IKT-tjänst som inte är nödvändig för leveransen av en kritisk eller viktig funktion inte heller anses stödja den. Det är dock viktigt att komma ihåg att varken EU-kommissionens eller de europeiska tillsynsmyndigheternas tolkning av Dora kan jämställas med lag eller förordning (det är i slutändan upp till EU-domstolen att tolka förordningen) och vi behöver därför tillämpa kommentarer av det här slaget med en viss försiktighet.
Vad ställer Dora för krav på avtalsvillkoren?
I Dora uppställs flera krav som ska inkluderas i IKT-avtalen. Dessutom finns det allmänna principer som bör beaktas vid avtalsskrivningen.
Vissa villkor gäller både för avtal om IKT-tjänster som stöder en kritisk eller viktig funktion och sådana som inte gör det. För båda typerna av avtal finns det alltså vissa generella krav på avtalsinnehållet. Avtalen ska till exempel innehålla bestämmelser om tillgänglighet, äkthet, integritet och konfidentialitet vad gäller skydd av data, inklusive personuppgifter. De ska också innehålla en skyldighet för leverantören att fullt ut samarbeta med tillsynsmyndigheterna samt personer som har utsetts av dem.
För avtal om IKT-tjänster som stöder kritiska eller viktiga funktioner uppställs ytterligare krav. I dessa avtal ska det finnas krav på att leverantören ska genomföra och testa beredskapsplaner för verksamheten samt ha infört IKT-säkerhetsåtgärder, IKT-verktyg och IKT-strategier som ger en lämplig säkerhetsnivå vid tillhandahållandet av tjänster från det beställande företagets sida. Ett annat exempel är att det i avtalet ska finnas en rätt att fortlöpande övervaka leverantörens prestanda, vilket bland annat omfattar en obegränsad rätt till tillgång, inspektion och revision för det beställande företaget.
Ytterligare krav på avtalsinnehållet finns i det utkast till tekniska standarder som de europeiska tillsynsmyndigheterna publicerade i juli 2024 och som avser avtal för IKT-tjänster som stöder kritiska eller viktiga funktioner där leverantören använder sig av underleverantörer (JC 2024 53). I utkastet finns flera krav på företagens IKT-avtal, men också på underleverantörsavtalet. Även om den slutligt antagna tekniska standarden inte har publicerats finns goda skäl att ta hänsyn till dessa i avtalen.
Johanna Borg
Isabella Stafström
Kompass Advokat
