Täcker standardavtal cyberhoten?

En modern reglerventil i en industriell miljö, med synliga rör och utrustning i bakgrunden.

Avtalskollen: Täcker era standardavtal de nya cyberhoten?

Många av våra kunder lutar sig tryggt mot industrins etablerade standardavtal vid inköp och entreprenad. Det är en bra grund. Men i en tid av NIS2 och uppkopplad teknik behöver vi ställa oss frågan: Är avtal som skrevs för mekanik anpassade för digitala risker?

Standardavtal som NL 17, NLM 19, ABT 06/AB 04 och NU 15, NLS 19 är ryggraden i svensk industri. De reglerar leveranser, förseningar och mekaniska fel på ett utmärkt sätt. Men när en ventil inte längre bara är stål, utan även mjukvara och trådlös kommunikation, uppstår gråzoner. I en tid då NIS2-kraven till stor del bygger på principerna i ISO/IEC 27001, behöver även våra avtal spegla denna nya verklighet.

Här lyfter vi några punkter som ni som beställare, inköpare eller projektledare bör vara extra uppmärksamma på.

1. Vid inköp av maskiner och komponenter (NL 17 / NLM 19)

Dessa villkor används flitigt vid köp av utrustning. Men hur hanterar de den inbyggda intelligensen i en modern reglerventil?

  • Mjukvara och Nyttjanderätt: Enligt standardvillkoren (t.ex. NL 17 p. 43) får köparen oftast en icke-exklusiv rätt att använda mjukvaran. Men vad händer om en säkerhetslucka upptäcks om tre år?
    • Vår tanke: Standardavtalet reglerar sällan rätten till säkerhetsuppdateringar. Vi rekommenderar att ni kravställer att leverantören ska leverera patchar för kända sårbarheter under produktens livslängd.
  • Vad är ett ”Fel”? Leverantören ansvarar för fel i konstruktion. Men är en öppen port eller en svag kryptering ett ”fel” i avtalets mening, om ventilen faktiskt fungerar mekaniskt?
    • Vår tanke: Förtydliga i er beställning att brister i cybersäkerhet ska betraktas som fel som leverantören är skyldig att avhjälpa.

2. Vid bygg och anläggning (AB 04 / ABT 06 / ABM 07)

När ni bygger nytt eller bygger om gäller ofta dessa regler. Här är risken för följdskador central.

  • Skadestånd och Data: Om en osäker komponent släpper in ett virus som slår ut er produktionsdata, klassas det ofta som en ”indirekt skada” (t.ex. produktionsbortfall eller förlust av data). Enligt många standardavtal (t.ex. ABT 06 kap 5) är rätten till ersättning för indirekta skador begränsad.
    • Vår tanke: Se över era ansvarsgränser. Behöver ni en särskild bilaga som reglerar ansvar för cyberincidenter?

3. Vid service och underhåll (NU 15 / NLS 19)

När servicetekniker kommer in på anläggningen för att underhålla utrustningen är tilliten stor.

  • Datorer och Diagnostik: Servicetekniker kopplar ofta upp sin egen laptop mot era system för att felsöka.
    • Vår tanke: Vet ni om teknikerns dator är säker? Har den uppdaterat virusskydd? Enligt NIS2 måste ni ha koll på leverantörskedjan. Vi på Cynerg Group arbetar aktivt med att säkra vår egen utrustning för att inte utgöra en risk för er.
  • Sekretess och Molnet: Många moderna system laddar upp diagnostikdata till molnet för analys. Standardavtalens sekretessklausuler är ofta generella.
    • Vår tanke: Säkerställ att ni vet var datan hamnar. Är det en server i EU? Vem äger datan om flödena i ert rörsystem?

Vi hjälper er med kravställningen

Vi på Cynerg Group är ingen advokatbyrå, och vi skriver inte era juridiska avtal. Däremot är vi duktiga på tekniken ni köper.

Vi kan hjälpa er att översätta era säkerhetsbehov till konkreta tekniska krav som ni kan bilägga era avtal. Det gör att ni slipper svävande formuleringar och får svart på vitt vad som gäller för:

  • Inaktivering av trådlösa gränssnitt (Bluetooth/WiFi).
  • Hantering av lösenord och åtkomst.
  • Livscykelhantering av mjukvara.

Låt oss göra det svåra lite enklare. Att ha koll på NL 17 och ABT 06 är en bra början. Att förstå vad som står mellan raderna är nästa steg.