Cybernodens krönika
25-08-27
Krönikör: Johanna Parikka Altenstedt
Några rättsliga perspektiv och en ny temagrupp för juridik
Vårt rättssystem är baserat på ett normaltillstånd i samhället, och är dåligt anpassat till kris, krig och höjd beredskap. Det uppstår normkrockar och vi har inte alltid facit om ”vad som gäller” t ex med nya EU-förordningar och direktiv som de facto har företräde före nationella lagar inom frågor som berör den gemensamma marknaden, hållbarheten eller miljön. Eftersom många regler och praxis idag behöver justeras utifrån vårt digitala samhälle och dess sårbarhet, krävs det att jurister kliver in i ändringsprocesser i god tid vid sidan av andra professioner. Därför har vi på Cybernoden startat en ny temagrupp ”Juridik för cybersäkerhet” som leds av jurist Katarina Tullstedt med bakgrund som åklagare och enhetschef på IMY.
Några exempel om dagens utmaningar
Inom avtalsjuridiken finns det ett begrepp som ofta används på franska – force majeure – som betyder en oförutsedd händelse som uppstår oberoende avtalspartners agerande och som är så stor att den blir oemotståndlig. En force majeure -klausul i avtalet avser en sådan händelse som gör det omöjligt att uppfylla avtalet och befriar avtalsparten från ansvar vid avtalsbrott eftersom hindret ligger utanför partens kontroll. Sådana händelse är t ex naturkatastrofer, krig, statliga ingripanden, strejker och pandemier. Samt ibland cyberincidenter.
Cyberattacker – särskilt när de påverkar affärskritiska system och gör det omöjligt att leverera enligt avtal – kan utgöra grund för att åberopa force majeure, förutsatt att avtalsklausulen är så utformad. I Sverige är force majeure inte lagreglerat. Det är därför avgörande vad som står i det enskilda avtalet, då avtalsrätten gäller.
Det sker en stadig ökning av attacker som fundamentalt påverkar offrets förmåga att leverera avtalade tjänster och produkter till samhällskritiska sektorer. Tyska bränsledistributören Mabanaft (MB Energy) och dess närstående företag Oiltanking Deutschland drabbades i januari 2022 av en omfattande cyberattack som orsakade betydande störningar i deras affärsverksamhet. Som svar på detta åberopade de force majeure i flera av sina avtal. I Sverige känner de flesta till incidenten 2024 när Tietoevry attackerades av en rysk aktivistgrupp och det ledde till skador för många kunder och beroenden. I USA stängde Colonial Pipeline 2021 ner en stor oljeledning på grund av en attack vilket störde bränsleförsörjningen i sydöstra USA.
Dagens bolagsjurister är fokuserade på att införa force majeure -klausuler för att skydda företaget framförallt från ekonomiskt ansvar vid cyberincidenter som hindrar deras vanliga drift. Men få har tittat på det faktum att om en leverantör av kritiska tjänster eller material till samhällskritisk verksamhet – t ex inom branscher som räknas upp av NIS2 bilagorna – har en force majeure -klausul i sitt leveransavtal eller i upphandlingsavtal, då slås viktiga leverantörer ut t ex för energibolag, vattenverk, transportbolag, eller sjukhus, trots avtalade leveranser. Skulle kris eller krig inledas är det dessutom möjligt att sådana leverantörer inte kommer kunna leverera till alla och inom ramen av det leveransavtalet som förlorat sin kraft p g a force majeure kan beställaren inte säkra sig om fortsatta leveranser. Det behövs en helt annan typ av beredskapsavtal på plats.
Ransomware-attacker är enligt bl a ENISA idag de vanligaste och skadligaste attackerna mot samhällskritisk verksamhet. Med tanke på de internationella spänningarna har det diskuterats om den här typen av attacker kan betraktas som krigshandlingar eller terrorism enligt folkrätten. Då klassificeras de direkt som force majeure. Vi behöver dock ett system där samma bedöms samma – så det inte blir godtyckligt med att vissa incidenter ses som brott mot folkrätten, men andra inte. Och vi behöver ett system där beredeskapsavtal tar över om samhällskritisk verksamhet förlorar sina leverantörer.
Ett annat intressant faktum är att om verksamheten bevisligen utsätts för en cyberattack av brottslingar eller antagonister, betraktas det som ett brott – och vid polisanmälan kickar förundersökningssekretess in. Det innebär att företag ej får dela med sig av varningar eller information om hoten och skadorna så länge förundersökningen pågår. Hela avsikten med EU:s nya regler inom t ex NIS2 om att dela med sig om kunskaper och erfarenheter för att skydda andra, kan skymmas av denna sekretess.
Cybernodens juristgrupp kommer inte att lösa alla dessa strukturella rättsliga problem, men kan vara en hjälp på vägen och i alla fall formulera problemen utifrån juristernas perspektiv som ett första steg mot förändring. Vi behöver jobba ihop och dela med oss av mer information – cybersäkerhet är en teamsport!