TRANSPORTJURISTERNE SKRIVER OM:
Cyberangreb og erstatningsansvar i transportsektorenTirsdag 12. november 2019 kl: 18:17 Af: advokat (L), ph.d., Lissi Andersen Roost, advokat Rasmus Hjalte Niess Bak og stud.jur. Sebastian Nissen, Andersen Partners AdvokatfirmaTransportsektoren spiller en stor rolle i det moderne samfund. På grund af transportsektorens afhængighed af teknologi, forventes det, at der i de kommende år kan ske en markant stigning i antallet af cyberrelaterede angreb. Der vil derfor kunne opstå situationer, hvor det skal afgøres, om en transportør er erstatningsansvarlig for sine kontraktsparters tab som følge af et cyberangreb mod transportøren Tirsdag 27. juni 2017 er allerede gået over i historien som den dag, hvor verden for alvor fik øjnene op for de vidtrækkende konsekvenser, som et cyberangreb kan have. Cyberangrebet ramte myndigheder og virksomheder verden over, og i transportsektoren blev især A. P. Møller - Mærsk A/S ramt, der sidenhen selv har anslået regningen for angrebet til 1,9 milliarder kroner. Cyberangrebet medførte, at de ramte virksomheder blev låst ude af egne IT-systemer, hvilket handlingslammede virksomhedernes digitale infrastruktur. For at genåbne adgangen til IT-systemet blev der krævet en betaling af løsesum. Ifølge IT-eksperter var cyberangrebet end ikke et særligt avanceret angreb. På trods af dette blev store dele af verden påvirket af angrebet. Andre selskaber i transportsektoren såsom FedEx og Deutsche Bahn blev i 2017 også udsat for cyberangreb. Ovenstående er muligvis et forvarsel om en tendens i transportsektoren og verden i det hele taget. Center for Cybersikkerhed (CFC) vurderer i sin trusselsvurdering fra december 2018 om cybertruslen mod land- og lufttransport Danmark, at truslen fra cyberkriminalitet mod den danske transportsektor er meget høj. Hvorfor er et cyberangreb vigtigt at beskytte sig imod? Et cyberangreb på en transportørs IT-systemer kan have vidtrækkende, negative konsekvenser. Et angreb kan eksempelvis sætte køleanlæg ud af kraft og dermed have ødelæggende effekt på gods, der kræver opbevaring ved bestemte temperaturer. Denne situation giver anledning til at overveje, om man som transportør er erstatningsansvarlig for skader, der opstår som følge af et cyberangreb. Det klare udgangspunkt i alle kontraktsforhold er, at der skal leveres en kontraktsmæssig ydelse - at der skal leveres i rette tid, på rette sted, i rette mængde og af rette kvalitet i henhold til den aftale, som parterne har indgået. Er transportøren ikke i stand til at opfylde sin del af aftalen, medfører dette som udgangspunkt erstatningsansvar. Kan man så undgå erstatningsansvar? Udgangspunktet er altså, at man ifalder erstatningsansvar, hvis man ikke leverer en kontraktmæssig ydelse. Dette gælder også, selv om der er tale om skader opstået som følge et cyberangreb. Det kan dog overvejes, hvorvidt et cyberangreb kan anses for at være en såkaldt force majeure-begivenhed, der fritager transportøren for ansvar for de skader og tab, der opstår som følge af angrebet. Force majeure er et begreb, der bruges om begivenheder uden for en virksomheds kontrol, der medfører, at virksomheden ikke er i stand til at overholde sine kontraktmæssige forpligtelser. Som force majeure-begivenheder betragtes sædvanligvis krig, naturkatastrofer, blokader og importforbud. Opstår en sådan begivenhed fritages virksomheden for ansvar i den periode, force majeure-begivenheden står på. Det er dog et grundlæggende krav, at virksomhedens manglende kontraktmæssige ydelse forårsages af, at det er umuligt eller meget vanskeligt eller byrdefuldt for virksomheden at opfylde aftalen, og at virksomheden ikke har kunnet forudse eller imødekomme hindringen på tidspunktet for aftalens indgåelse. Force majeure-betragtninger kan altså muligvis åbne en mulighed for at blive fritaget for et eventuelt erstatningsansvar som følge af et cyberangreb. Det afgøres dog altid ved en konkret vurdering, hvorvidt det i den enkelte situation er tilfældet. I denne vurdering vil det kunne indgå hvilken type cyberangreb, der er tale om, og om virksomheden har taget de fornødne forholdsregler i forhold til IT-sikkerhed i den forbindelse. Det vil således kunne indgå i vurderingen, om at der er tale om et cyberangreb, der udnytter en zero-day sårbarhed. Zero-day sårbarheder er kendetegnet ved, at der er tale om sårbarheder, som afsendere af cyberangreb har opdaget og udnytter, men som producenten af det af transportvirksomheden anvendte software ikke kender til. I denne situation kan det være svært, hvis ikke umuligt, for virksomheder at tage de fornødne forholdsregler. Det vil forholde sig anderledes, hvis der er tale om et cyberangreb, der udnytter allerede kendte sårbarheder, ikkeopdaterede systemer eller ringe sikkerhedssoftware. I denne situation kan en virksomhed formentlig næppe siges at have taget de fornødne forholdsregler for at undgå et angreb og følgerne af et angreb. Transportørens ansvar for bortkomst, beskadigelse og forsinkelse af det gods, han skal transportere Vigtigt er dog at være opmærksom på, at i de tilfælde, hvor transportørens ansvar for eksempel er reguleret af hel eller delvis ufravigelig lovgivning så som CMR-loven, søloven, luftfartsloven og jernbanelovgivningen, der blandt andet regulerer transportørens ansvar for bortkomst, beskadigelse og forsinkelse af godset, der vil det ikke være muligt at aftale, at transportøren skal være fri for ansvar for tab som følge af cyberangreb. I sådanne tilfælde vil det udelukkende blive vurderet på baggrund af de helt eller delvist ufravigelige lovregler, om transportøren bliver ansvarsfri i tilfælde af, at bortkomst, beskadigelse eller forsinkelse af godset skyldes et cyberangreb mod transportøren. Det vil dog formentlig være de samme elementer, som danner grundlag for denne vurdering (altså typen af cyberangrebet og om cyberangrebet kunne have været undgået eller dets følger afværget af transportøren). Vigtigt med forsikringsdækning Derfor anbefales det for alle tilfældes skyld, at transportøren har sin fragtføreransvarsforsikringsdækning i orden, og at transportøren tegner en cyberforsikring, der dækker omkostninger til genopretning af IT-systemer ved cyberangreb. Hvor bredt disse forsikringer skal dække og under hvilke forudsætninger, bør nøje overvejes, således man er sikker på at få den rette aftale, der er tilpasset ens behov og risikoprofil. © Copyright 2024 transportnyhederne.dk. Denne artikel er beskyttet af lov om ophavsret og må ikke kopieres eller på anden måde videreudnyttes uden særlig aftale. |