Hva kan leverandører lære av Nordlo-dommen?

Hva skjedde?

Den 21. april 2021 ble IT-leverandøren Nordlo Haugesund (Nordlo) utsatt for et cyberangrep. Nordlo tilbyr kunder en sentralisert driftstjeneste hvor Nordlo drifter en datasentral som tilgjengeliggjør kundens data og applikasjoner når kunden logger seg på denne skyløsningen. Gjennom Nordlos Cyber-forsikring i Tryg ble bistand fra Ateas cybersikkerhetsteam rekvirert, for kartlegging av hendelsesforløp, omfang og få reetablert driften til Nordlo og tjenesten til kundene, herunder at kundene igjen fikk tilgang til sine systemer med dokumenter, regnskap, kunde- og ordresystem mv.

Det gikk ikke like bra med alle kundene til Nordlo. Tre kunder var som følge av cyberangrepet helt uten tilgang til sine systemer i flere uker, og mye av kundenes data viste seg å være tapt. Disse kundene krevde erstatning fra Nordlo for sitt økonomiske tap.

Var hackerangrepet noe Nordlo kunne bruke for å bli ansvarsfri?

Avtalen inneholdt en typisk bestemmelse om force majeure:

«Dersom Avtalens gjennomføring helt eller delvis hindres, eller i vesentlig grad vanskeliggjøres av forhold som ligger utenfor partenes kontroll, suspenderes partenes plikter i den utstrekning forholdet er relevant, og for så lang tid som forholdet varer. Slike forhold inkluderer, men er ikke begrenset til, streik, lockout, og ethvert forhold som etter norsk rett vil bli bedømt som force majeure.»

I dommen fremgår det at de kriminelle stadig forsøker å finne sikkerhetshull, og at det er viktig at datasystemer beskyttes. Nordlo hadde ikke regionsperre og gjorde det valgfritt for dets kunder å benytte tofaktorautentisering. Retten påpekte at Nordlo kunne krevd tofaktorautentisering eller isolert kunder i sitt driftsmiljø som ikke brukte tofaktorautentisering for å beskytte øvrige kunder med tofaktorautentisering. Det forelå dermed ikke en force majeure hendelse som Nordlo kunne påberope seg.

Gjelder de avtalte begrensningene for leverandørens erstatningsansvar fullt ut?

Avtalen inneholdt følgende bestemmelse om erstatningsansvar:

«Ved mislighold i henhold til pkt. 10, kan den part som rammes kreve erstatning for dokumentert økonomisk tap etter alminnelige prinsipper for erstatninger i avtaleforhold. Indirekte tap dekkes imidlertid ikke. Som indirekte tap regnes, dog ikke begrenset til, Kundens tap av fortjeneste av enhver art, tap grunnet driftsavbrudd, avsavnstap, samt krav fra tredjepart. Erstatningskravet etter denne bestemmelse kan ikke overstige et beløp som tilsvarer 3 månedsleier i henhold til denne Avtalen.»

Kundene påpekte at Nordlo etter avtalen skulle ta sikkerhetskopi av kundenes data flere ganger daglig, at Nordlo garanterte 99,5% oppetid og responstid, at Nordlo påtok seg ansvaret drift og tilgang til funksjonalitet og virkemåte i programmene.

Retten var ikke enig med saksøkerne i at avtalens ordlyd måtte settes til side. I dommen fremgår det at retten mener avtalen er enkel å forstå, og det etter rettens syn ikke foreligger uklarheter eller motstrid i avtalebestemmelsene som innebærer at ansvarsbegrensningen må settes til side.

Retten var heller ikke enig med saksøkerne i at avtalen må revideres grunnet «brudd på hovedforpliktelsene» som Nordlo hadde påtatt seg. Retten påpekte bl.a. at kundene betalte beskjedne beløp for tjenesten. I tillegg stod det i avtalen at «Kunden er selv ansvarlig for å forsikre verdien av egne data». Retten påpekte at det stod uttrykkelig i avtalen at det er begrenset ansvar for Nordlo og at kunden selv må tegne cyberforsikring for verdien av kundens data.

Retten kom også frem til at Nordlo ikke hadde utvist grov uaktsomhet.

Etter dette ble resultatet en erstatning begrenset til det avtalen tilsa et direkte tap for hver kunde som tilsvarer maksimal avtalt erstatning på 3 månedsleier i henhold til hver kundeavtale.

Hva kan vi lære fra Nordlo-dommen?

Det er lurt å velge IT-løsninger med god nok informasjonssikkerhet – det gjelder generelt for både kunder og leverandører:

• Det gir økt datasikkerhet at datasystemene til enhver tid har de siste sikkerhetsoppdateringene fra programvareleverandørene.
  
  
• IT-løsninger som tilbys som skyløsninger, bør ha passende preventive sikkerhetstiltak. Et eksempel er regionsperre, dvs. en geo-sperre for hvilke land bruker og dermed hacker kan logge seg på fra. I tillegg bør løsningen ha tofaktorautentisering for sikrere pålogging som vanskeliggjør hackerangrep eller annet misbruk av kundens data fra uvedkommende.

Det er en fordel – spesielt for leverandører – å skrive gode kundeavtaler:

• En god avtale vil inneholde avtaleklausuler som kan leses i sammenheng for å gi partene en klar avtale å forholde seg til.
  
  
• Avtalte erstatningsbegrensninger for leverandøren kan lettere stå seg dersom avtalen også ellers presiserer hva som er henholdsvis leverandørens og kundens ansvar. Et eksempel er en ekstra forpliktelse i avtalen om at kunden selv må forsikre sitt tap dersom kundens data blir tapt.

Nordlo-dommen er Haugaland og Sunnhordland tingretts dom 28. september 2023. Dommen er anket og dermed ikke rettskraftig. Det er mulig vi kan få mer læring dersom saken avgjøres av lagmannsretten eller Høyesterett.