Kan force majeure påberopes ved cyberangrep?

Et cyberangrep kan få store konsekvenser for virksomheten som rammes. Ikke bare kan den rammede bli presset til å betale løsepenger for å få tilbake data eller lignende. Angrepet kan også medføre nedetid og tilhørende problemer med å oppfylle kontraktuelle forpliktelser overfor kunder eller andre. I denne artikkelen vil vi se nærmere på hvorvidt den som er rammet av et cyberangrep kan påberope seg at dette er en force majeure-situasjon som suspenderer de kontraktuelle pliktene under den rammedes avtaler.

De aller fleste avtaler mellom næringsdrivende inneholder en klausul som sier at dersom en såkalt force majeure-hendelse hindrer (eller vesentlig vanskeliggjør) en parts oppfyllelse av sine plikter under avtalen suspenderes disse pliktene så lenge situasjonen varer. Det er ordlyden i den konkrete avtalen som vil være utgangspunktet for vurderingen av om et cyberangrep oppfyller kravene til force majeure. Statens standardavtale om løpende tjenestekjøp over internett (SSA-L) inneholder følgende vilkår for å kunne påberope seg force majeure: «Skulle det inntreffe en ekstraordinær situasjon, som gjør det umulig å oppfylle plikter etter denne avtalen, og som etter norsk rett må regnes som force majeure, skal motparten varsles om dette så raskt som mulig.» Her er det flere ting å merke seg som er relevant for cyberangrep. Det må foreligge en ekstraordinær situasjon som umuliggjør oppfyllelse. Vanlige hendelser kvalifiserer ikke som force majeure. Det er videre oppstilt et strengt krav om innvirkning på muligheten for å oppfylle. Det innebærer et krav om årsakssammenheng mellom situasjonen (cyberangrepet) og oppfyllelsen. Etter bakgrunnsretten som SSA-L også viser til, vil det være nok dersom oppfyllelse vil være praktisk umulig. Det er derfor usikkert om SSA-L skal forstås slik at det kreves absolutt umulighet. Etter bakgrunnsretten inneholder force majeure-begrepet i tillegg til vilkårene om at det må være en ekstraordinær situasjon som gjør det (praktisk) umulig å oppfylle, også et krav om at situasjonen må ligge utenfor hva parten kunne tatt i betraktning på avtaletiden. Manglende forbehold utelukker også vanligvis at hindringen tillegges betydning, dersom slikt forbehold burde vært tatt. Vilkårene henger sammen, og vurderingene vil til en viss grad være overlappende.

Force majeure har historisk sett vært forbeholdt krig, streik, naturkatastrofer og andre lignende ekstraordinære hendelser. I lys av den teknologiske utviklingen er det imidlertid naturlig at også cyberangrep og -krigføring kan anses som slike ekstraordinære hendelser. Vilkåret om at en situasjon må være «ekstraordinær» for å kvalifisere som force majeure tilsier imidlertid at det må stilles krav til cyberangrepets art. Angrep av den typen virksomheter blir utsatt for på jevnlig basis kan ikke sies å være ekstraordinære. For at et cyberangrep skal anses som force majeure må det være av en art, form, størrelse og/eller lignede som ikke forventes. Denne vurderingen vil være overlappende med vurderingen av hvorvidt situasjonen lå utenfor hva partene burde tatt betraktning på avtaletidspunktet.

I en del force majeure-klausuler angis visse eksempler på slike ekstraordinære hendelser. I IT-kontrakter nevnes gjerne cyberangrep som ett av disse, og da er det ordlyden i avtalen som avgjør hvilke typer angrep som omfattes.

Videre stilles det som nevnt krav om at den manglende oppfyllelsen skyldes force majeure-situasjonen (årsakssammenheng). For en IT-leverandør gjelder dette for eksempel dersom angrepet lammer systemet som leveres, slik at kunden ikke kan benytte det som forutsatt i avtalen. Angrepet kan forekomme både hos leverandøren selv og hos kunden. Et eksempel på sistnevnte er det omfattende cyberangrepet i mars 2019 mot Hydro, som er en stor innkjøper av IT-tjenester. I slike tilfeller kan det tenkes at både kunde og leverandør påberoper force majeure overfor sine respektive kunder dersom manglende oppfyllelse skyldes angrepet.

De vanlige vilkårene for å anerkjenne et cyberangrep som force majeure krever videre at adekvate forbehold/tiltak er satt i verk for å unngå angrepet eller overvinne følgene av angrepet. Det oppstilles dermed et krav om tilstrekkelig IT-sikkerhet. Slike krav er ofte uttrykkelig nedfelt i avtalen. I de tilfellene detaljerte krav foreligger i avtalen kan det virke logisk å se på dette som førende for hva som forventes, uten at de nødvendigvis må betraktes som uttømmende. Et naturlig spørsmål i forlengelsen av dette er om de kravene som stilles til IT-sikkerhet i forbindelse med behandling av personopplysninger under personvernforordningen (GDPR) oppfyller disse kravene. Dette er spesielt aktuelt for IT-kontrakter ettersom leveransen under disse avtalene ikke sjeldent innebærer behandling av personopplysninger.

Ettersom force majeure er ment å være et snevert unntak fra hovedregelen om at avtaler skal holdes, taler gode grunner for at virksomheter må ha informasjonssikkerhet som er blant den beste i bransjen, og som sikrer virksomheten mot forventede og påregnelige cyberangrep. Force majeure skal vurderes konkret for den enkelte avtalesituasjon, og det er lett å se for seg at domstolene vil stille særlig strenge krav til for eksempel en IT-leverandørs egen IT-sikkerhet eller til IT-sikkerhet for IT-systemer som er kritiske for en virksomhets drift og produksjon.

Så vidt vi vet har ikke domstolene enda behandlet hvilke krav som stilles til virksomheters IT-sikkerhet i forbindelse med force majeure. Det blir spennende å se hvilken terskel man vil legge seg på dersom en slik sak kommer opp.