Risiko- og sårbarhedsvurdering

Formål

Bestemmelsen har til formål at forpligte leverandøren til at imødekomme relevante trusler mod, og sårbarheder i, myndighedens løsning og myndighedens mulighed for at kontrollere dette.

Kontrakttyper, hvor bestemmelserne kan anvendes

Bestemmelserne kan anvendes til inspiration i kontrakter, hvor myndigheden har behov for at kende til de risici, løsningen står overfor, samt hvilke sårbarheder løsningen ligger under for. Anvendelsen bør dog også tage udgangspunkt i en konkret vurdering. Der bør i denne vurdering tages højde for myndighedens behov for, at løsningens tilgængelighed, integritet og fortrolighed bevares, samt hvilke ressourcetræk bestemmelsen kan medføre. Endelig bør der tages højde for lovmæssige krav, herunder blandt andet persondata- og offentligretlige.

Klausulens anvendelse er ingen garanti for god sikkerhed, og det er derfor vigtigt, at den enkelte myndighed ser klausulen i sin kontekst og anvender den som inspiration.

Fordele og ulemper ved brug af bestemmelserne

Anvendelse af bestemmelserne kan bidrage til sikring af et tidssvarende sikkerhedsniveau. Myndigheden bør dog selv gennemføre såvel sårbarheds- som risikovurdering for derigennem at kunne udpege eventuelle uoverensstemmelser mellem leverandørens sikkerhedsniveau og myndighedens sikkerhedsbehov.

Opfølgning i driftsfasen

Bestemmelsen forpligter leverandøren til ved kontraktens indgåelse at forelægge myndigheden sine risiko- og sårbarhedsvurderinger. Leverandøren forpligtes også til at forelægge myndigheden den seneste version af risiko- og sårbarhedsvurderingerne i takt med, at de ajourføres, så de er aktuelle. Der vurderes således ikke at være et udtalt behov for, at myndigheden selvstændigt følger op i driftsfasen, medmindre risiko- og sårbarhedsvurderingerne tilsiger det modsatte.

Bod/bonus 

Det anbefales, at misligholdelse af de i nærværende bestemmelse indeholdte forpligtelser behæftes med særskilte misligholdelsesbeføjelser, herunder f.eks. bod eller ophævelse. Ved fastsættelse af bodens størrelse vurderes, hvilke afledte konsekvenser leverandørens manglende efterlevelse kan påføre myndigheden. Vurderingen bør blandt andet rumme elementer såsom direkte økonomiske omkostninger, eventuelle bødeomkostninger, som skyldes manglende overholdelse af gældende ret og skade på omdømme. Endvidere bør vurderingen omfatte en stillingtagen til, i hvilket omfang boden vurderes at være prisdrivende i den konkrete kontrakt.

Rapportering

Bestemmelserne fastslår, at rapportering sker løbende, men faste intervaller kan aftales alt efter behov.

Standarder og ubekendte

Bestemmelsen indeholder en række ubekendte, markeret med skarpe parenteser [X]. I tilfælde hvor disse parenteser er udfyldt, udgør indholdet alene forslag, og det er derfor nødvendigt, at der i hver enkelt situation foretages en konkret vurdering og eventuelt en forhandling med leverandøren om, hvilket indhold bestemmelsen skal have.