Dom vedrørende ansvarsfordeling mellom kunde og leverandør ved alvorlig sikkerhetsbrudd
IT-rett
En fersk dom fra Haugaland og Sunnhordland tingrett gir viktig innsikt i hvordan ansvar fordeles mellom kunde og leverandør ved alvorlige sikkerhetsbrudd. Bakgrunnen var et omfattende løsepengevirusangrep i april 2021, som rammet flere kunder av et IT-selskap (leverandør). En av kundene ble særlig hardt rammet og krevde over 60 millioner kroner i erstatning fra sin leverandør. Retten ga dem imidlertid ikke medhold.
I søksmålet hevdet kunden at leverandøren hadde misligholdt sine forpliktelser. Selskapet mente at sikkerhetsoppdateringer var forsømt, at backup-rutinene var mangelfulle og at responsen etter angrepet ikke var tilfredsstillende. Leverandøren avviste ansvar og viste til at tjenesten ble levert til en svært lav månedspris – under 3 000 kroner – og at deres rolle aldri hadde vært å levere helhetlige sikkerhets- eller beredskapstjenester.
Domstolen la betydelig vekt på prisnivået i vurderingen av partenes avtaleforhold. Det ble ansett lite rimelig å forvente omfattende sikkerhetsleveranser innenfor en så begrenset økonomisk ramme. Retten fant ikke grunnlag for å konkludere med grov uaktsomhet fra leverandørens side og mente at leverandøren hadde levert i tråd med det som faktisk var avtalt – både eksplisitt og ut fra partenes faktiske samhandling over tid.
Selv om kunden fikk medhold i et mindre krav for tjenestenedetid – nærmere bestemt kr 8 280 – ble selskapet i det vesentlige dømt til å dekke leverandørens saksomkostninger, som utgjorde over to millioner kroner. Dommen reiser prinsipielt interessante spørsmål om forholdet mellom pris, forventet tjenestenivå og ansvarsplassering i IT-kontrakter, og illustrerer hvordan manglende skriftlige avtaler og uklar rolleforståelse kan svekke kundens posisjon ved tvist. Kunden uttaler til media 8. juli at de har besluttet å anke dommen.
For mange virksomheter er dette en påminnelse om at ansvar for sikkerhet og beredskap må forankres tydelig i kontrakten, og at det er avgjørende å dokumentere hvilke forutsetninger som ligger til grunn for samarbeidet. Dersom det oppstår en uønsket hendelse, vil retten se til det totale risikobildet og de forventningene som følger av både pris og praktisk gjennomføring. I denne saken ble det avgjørende at det ikke forelå noen uttrykkelig avtale om helhetlig sikkerhetsansvar, og at leverandøren heller ikke hadde opptrådt grovt uaktsomt.
Dommen illustrerer at rettslig ansvar for IT-leverandører i stor grad avhenger av hvordan tjenestene er rammet inn, både kontraktuelt og kommersielt. Den tydeliggjør behovet for grundige og skriftlige avtaler der roller, ansvar og risikofordeling kommer klart frem. I en tid der trusselbildet stadig skjerpes, er det ikke lenger tilstrekkelig å lene seg på standardvilkår eller uformelle forventninger.
