Cyberterror kan forårsage omfattende og alvorlige skader. Cyberterror er svært at forudse og vanskeligt og omkostningsfuldt at beskytte sig imod. Virksomheder har sjældent mulighed for at gardere sig mod cyberterror, fordi karakteren af terroren konstant ændrer sig. Cyberterror opfylder altså en del af betingelserne for force majeure, og derfor bør I tage forbehold for cyberterror som force majeure i jeres kontrakter og standardvilkår.
Stigning i antallet af cyberangreb
2017 har været året, hvor virksomheder på globalt plan har oplevet nogle af historiens største hackerangreb. Først i form af malwaren "WannaCry" og efterfølgende af virussen "Petya", som blandt andet lagde dele af Mærsks IT ned, ligesom det ramte betalingsinfrastrukturen i Ukraine.
Når først en virus som Petya får kontrol over et IT-system, kan den vanskeliggøre eller fuldstændig stoppe en virksomheds fortsatte drift. Flere virksomheder oplevede, at de ikke var i stand til at overholde aftaler med deres kunder, modtage nye ordrer eller gennemføre almindelige forretningsprocesser.
Hvad er force majeure?
Begrebet force majeure bruges om begivenheder uden for en virksomheds kontrol, som forårsager at virksomheden ikke er i stand til at overholde sine leverancer, typisk nævnes krig, naturkatastrofer, blokader og importforbud. Som følge af disse begivenheder fritages virksomheden for sit ansvar i den periode force majeure-begivenheden står på. Det er dog et krav, at den manglende leverance er forårsaget af, at det har vist sig umuligt eller meget vanskeligt eller byrdefuldt for virksomheden at opfylde aftalen, og at virksomheden ikke har kunnet forudse eller imødekomme hindringen på tidspunktet for aftalens indgåelse.
EU-Domstolen har tidligere (i C-11/70 Internationale Handelsgesellschaft) defineret force majeure som:
"Force majeure er ikke begrænset til absolut umulighed, men skal forstås som helt usædvanlige, uden for virksomhedens vilje beliggende omstændigheder, hvis følger trods enhver udvist agtpågivenhed kun ville have kunnet undgås ved helt uforholdsmæssige opofrelser."
Det er ikke udtømmende oplistet, hvilke forhold der kvalificerer sig til force majeure. Hvorvidt et forhold medfører ansvarsfritagelse afhænger derfor af en konkret vurdering.
Cyberterror som force majeure
Det er ikke i retspraksis afklaret, om forsinkelser af en virksomheds leverancer på grund ag cyberterror medfører ansvarsfritagelse, men på baggrund af ovenstående må det antages, at cybererror kan være omfattet af force majeure, forudsat at virksomheden har taget de forholdsregler, der kan forventes i relation til IT-sikkerhed.
Hvorvidt cyberterror konkret vil være force majeure, vil som nævnt afhænge af en vurdering af angrebets omfang og virksomhedens IT-sikkerhed. Netop på grund af usikkerheden vedrørende omfanget af force majeure har mange virksomheder i deres standardvilkår og/eller standardkontrakter valgt at tage forbehold for bestemte typer af forhold, som skal henføres til force majeure.
Tag forbehold for cyberterror som force majeure
For at være sikker på, at cyberterror er omfattet af force majeure, anbefaler vi at tage forbehold for cyberterror som force majeure i jeres kontrakter og standardvilkår. Det er dog ikke nogen let øvelse, og I skal særligt være opmærksomme på følgende:
- Det skal tydeligt fremgå, hvad der skal forstås ved cyberterror, og hvilke omstændigheder der skal betegnes som cyberterror. Jo mere konkret vilkåret formuleres, jo mere sikker er anvendelsen.
- Cyberterror er under konstant fornyelse. Det er derfor vigtigt, at vilkåret rummer fleksibilitet til at omfatte nye typer angreb.
Der skal således skrives med skarp pen, så force majeure-bestemmelsen på den ene side dækker bredt, men samtidig er et tilstrækkelig konkret til, at der ikke er rimelig tvivl om, hvorvidt en bestemt type angreb er omfattet.
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice
her →