Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



26.10.2020

Nowa wersja nVision

Można już pobierać nową wersję nVision
26.10.2020

Monitorowanie infrastruktury

Vertiv Environet Alert
23.10.2020

Telefonia w chmurze

NFON Cloudya
23.10.2020

Nowości w EDR

Bitdefender GravityZone
23.10.2020

Wykrywanie anomalii

Flowmon ADS11
23.10.2020

Mobilny monitor

AOC 16T2
22.10.2020

HP Pavilion

HP zaprezentowało nowe laptopy z linii Pavilion.
22.10.2020

Inteligentny monitoring

WD Purple SC QD101
22.10.2020

Przełącznik 2,5GbE

QNAP QSW-1105-5T

Umowa na świadczenie zewnętrznych usług z zakresu cyberbezpieczeństwa

Data publikacji: 26-03-2020 Autor: Agnieszka Wachowska Joanna Jastrząb

Gdy w danym przedsiębiorstwie zostaną wygospodarowane środki przeznaczone na cyberbezpieczeństwo, możemy mówić o częściowym sukcesie. Konkretne usługi z tego zakresu trzeba bowiem wybrać, a następnie zamówić, zawierając odpowiednią umowę, pozwalającą zabezpieczyć interesy obu stron. Będzie to szczególnie ważne dla podmiotów ustawowo zobowiązanych do zapewnienia cyberbezpieczeństwa swoich systemów i infrastruktury.

 

Obowiązująca od połowy 2018 roku ustawa o krajowym systemie cyberbezpieczeństwa nakłada nowe obowiązki organizacyjne i techniczne na następujące podmioty:

 

  • operatorów usług kluczowych – podmioty, świadczące usługi, mające kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej, wobec których została wydana decyzja administracyjna o przyznaniu takiego statusu,
  • dostawców usług cyfrowych – podmioty, świadczące usługi drogą elektroniczną, w zakresie e-platformy handlowej, wyszukiwarki WWW albo usługi przetwarzania w chmurze,
  • podmioty publiczne, realizujące zadania zależne od systemu informacyjnego.


Z regulacji ustawy w zakresie wymogów dotyczących bezpieczeństwa i zgłaszania incydentów zostali natomiast wyłączeni przedsiębiorcy telekomunikacyjni – gdyż kwestie te zostały w ich przypadku uregulowane odrębnie. Wśród obowiązków nałożonych ustawą należy przede wszystkim przywołać:

 

  • wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych oraz organizacyjnych,
  • stosowanie środków zapobiegających, ograniczających wpływ incydentów na bezpieczeństwo systemów IT,
  • zarządzanie incydentami – zgłaszanie ich odpowiednim podmiotom.


Realizacja wskazanych obowiązków jest wymagana pod rygorem nałożenia kary administracyjnej, nawet do jednego miliona złotych. Szczególnie przy uporczywym, długotrwałym naruszaniu przepisów.


> Outsourcing zadań z zakresu cyberbezpieczeństwa


Ustawa o krajowym systemie cyberbezpieczeństwa uwzględnia tendencję występującą na rynku, związaną z powierzeniem wykonania zadań w obszarze cybersecurity zewnętrznym wyspecjalizowanym podmiotom. Wskazuje bowiem wprost, że realizacja obowiązków przez operatorów usług kluczowych może odbywać się także ze wsparciem podmiotu wyspecjalizowanego. Ustawa nie przesądza tego wprost w przypadku dostawców usług cyfrowych. Robi to jednak uzasadnienie ustawy: „Dostawcy usług cyfrowych mogą zlecić realizację zadań obejmujących zastosowanie zabezpieczeń systemów informacyjnych, zgłaszanie i obsługę incydentów podmiotom świadczącym usługi z zakresu cyberbezpieczeństwa, jednak ze względu na ograniczenie możliwości regulacyjnych, projektodawca odstąpił od ujęcia tego w ustawie, pozostawiając pełną swobodę doboru środków dostawcy usług cyfrowych”.


Przywołana tendencja opisana została przez KPMG w raporcie „Barometr Cyberbezpieczeństwa”, opublikowanym w kwietniu 2019 r.: „70% badanych firm zleca kwestie bezpieczeństwa danych zewnętrznym dostawcom, z czego połowa powierza na zewnątrz więcej niż jedną funkcję lub proces bezpieczeństwa. Najczęściej firmy zewnętrzne zajmują się wsparciem w odparciu cyberataków, a także analizą złośliwego oprogramowania. Ze wsparcia w reakcji na cyberataki zdecydowanie częściej korzystają małe firmy (71%) zatrudniające poniżej 50 pracowników, niż firmy średnie (33%) i duże (32%)”. Raport zwraca uwagę zwłaszcza na dwie kwestie.


Po pierwsze, zakres outsourcingu jest niejednorodny, co przekłada się także na różny zakres zadań i odpowiedzialności dostawcy, które mogą zostać uregulowane w umowie. Z jednej strony, przedsiębiorcy mogą być zainteresowani wyłącznie wsparciem przy opracowaniu procedur wewnętrznych, a z drugiej – oczekiwać szerokich usług, obejmujących monitoring systemów, analizę ich funkcjonowania oraz zarządzanie incydentami.


Po drugie, częściej z usług zewnętrznych dostawców korzystają mniejsi przedsiębiorcy, którym trudniej jest zbudować wewnętrzne struktury i zasoby, pozwalające na zapewnienie cyberbezpieczeństwa i dla których proces outsourcingu jest bardziej opłacalny. Można spodziewać się też, że w toku negocjacji chętniej korzystają oni z wzoru umowy udostępnionego przez kontrahenta, który zwykle będzie regulował jego obowiązki w korzystniejszy sposób.


Mając na  uwadze opisane wyżej kwestie, warto zastanowić się nad kluczowymi aspektami, które należy uregulować w umowie z podmiotem świadczącym usługi z zakresu cyberbezpieczeństwa, a które powinny zostać w niej ujęte. Niezależnie od oczekiwanego zakresu usług, skali działalności zamawiającego, jak i tego, czy jest zobowiązany do stosowania ustawy o KSC.


> Kluczowe elementy umowy w zakresie cybersecurity


Niezależnie, czy umowę przygotowuje outsourcer, czy podmiot mający korzystać z jego usług, należy w niej szczegółowo uregulować następujące kwestie: przedmiot umowy (zakres jej usług), prawo do kontroli i audytu, wymogi wobec dostawcy, zasady poufności i ochrony danych, zaangażowanie podwykonawców oraz personelu, a także zasady odpowiedzialności.

Przedmiot umowy


Umowa powinna precyzyjnie określać zobowiązania dostawcy – zakres usług, których się podejmuje. Obszar tych działań z kolei ściśle zależy od możliwości i potrzeb zamawiającego. Można sobie wyobrazić, że posiada on wewnętrzny zespół odpowiedzialny za cyberbezpieczeństwo, a jego oczekiwaniem będzie tylko weryfikacja aktywności przez niezależny podmiot. W takim przypadku umowa może dotyczyć jedynie przeprowadzenia testów penetracyjnych aplikacji czy testów podatności infrastruktury.


W innym ujęciu tematu zamawiający będzie zainteresowany szerszym wsparciem, obejmującym np. stały support w zakresie reakcji na cyberataki, w tym monitoring systemu, raportowanie incydentów oraz ich obsługa. Jak również podejmowanie działań, mających na celu minimalizowanie ich skutków lub zapobieganie podobnym ingerencjom. Czyli takie dostosowanie systemów IT, aby wykorzystywane w nich zabezpieczenia były proporcjonalne do oszacowanego ryzyka.

 

[...]

 

Autorki są radcami prawnymi w Kancelarii Traple Konarski Podrecki i Wspólnicy.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"