Patch management

Formål

Formålet med bestemmelsen er at sikre, at leverandøren ved hjælp af patch management imødekommer svagheder i it-sikkerheden hurtigst muligt og mest hensigtsmæssigt for derigennem at sikre myndighedens data mod tab af fortrolighed, integritet eller tilgængelighed.

Kontrakttyper, hvor bestemmelserne kan bruges 

Bestemmelsen kan anvendes til inspiration i kontrakter, der omfatter it-drift og it-vedligeholdelse af it-løsninger. Anvendelsen bør dog også tage udgangspunkt i en konkret vurdering. Der bør i denne vurdering tages højde for myndighedens behov for, at løsningens tilgængelighed, integritet og fortrolighed bevares, samt hvilke ressourcetræk bestemmelsen kan medføre. Endelig bør der tages højde for lovmæssige krav, herunder blandt andet persondata- og offentligretlige. Endelig bør der tages højde for lovmæssige krav, herunder blandt andet persondata- og offentligretlige.

Klausulens anvendelse er ingen garanti for god sikkerhed, og det er derfor vigtigt, at den enkelte myndighed ser klausulen i sin kontekst og anvender den som inspiration.

Fordele og ulemper ved brug af bestemmelserne

Anvendelse af bestemmelserne kan bidrage til, at leverandøren opretholder et tidssvarende sikkerhedsniveau. Myndigheden skal dog være opmærksom på, at patching af systemer kan falde sammen med myndighedens daglige drift, hvis ikke der særskilt er taget højde for dette.

Opfølgning i driftsfasen

Bestemmelsen forpligter leverandøren til løbende at rapportere, men der er også givet mulighed for, at myndigheden til enhver tid kan udbede sig relevant dokumentation for, at ydelsen leveres.  

Bod/bonus

Det anbefales, at misligholdelse af de i nærværende bestemmelse indeholdte forpligtelser behæftes med særskilte misligholdelsesbeføjelser, herunder fx bod eller ophævelse. Ved fastsættelse af bodens størrelse vurderes, hvilke afledte konsekvenser leverandørens manglende efterlevelse kan påføre myndigheden. Vurderingen bør blandt andet rumme elementer såsom direkte økonomiske omkostninger, eventuelle bødeomkostninger, som skyldes manglende overholdelse af gældende ret og skade på omdømme. Endvidere bør vurderingen omfatte en stillingtagen til, i hvilket omfang boden vurderes at være prisdrivende i den konkrete kontrakt.

Rapportering 

Bestemmelsen fastslår, at afrapportering sker med tre måneders interval. Der kan i den enkelte situation være behov for at modtage afrapportering med større eller mindre intervaller.

Ubekendte

Bestemmelsen indeholder en række ubekendte, markeret med skarpe parenteser [X]. I tilfælde hvor disse parenteser er udfyldt, udgør indholdet alene forslag, og det er derfor nødvendigt, at der i hver enkelt situation foretages en konkret vurdering og eventuelt en forhandling med leverandøren om, hvilket indhold bestemmelsen skal have.