Język informatyczny nasycony jest różnymi skrótami. Niektóre z nich opisują cyberzagrożenia (DDoS, APT), inne dotyczą używanych rozwiązań informatycznych (WLAN, LAN), inne z kolei są związane ze stosowanymi zabezpieczeniami (VPN, UPS). Część doczekała się statusu pojęć z zakresu języka prawniczego wykorzystywanego w umowach czy regulaminach. Spośród nich kluczowe znaczenie ma SLA.

Z godnie z definicją ITIL Service Level Agreement (pol. umowa o gwarantowanym poziomie świadczenia usług) jest to umowa zawierana pomiędzy dostawcą usług informatycznych a ich odbiorcą. Umowa SLA w szczególności opisuje usługę informatyczną, dokumentuje docelowy poziom świadczenia usługi, określa obowiązki dostawcy usług informatycznych i odbiorcy. Pojedyncza umowa SLA może dotyczyć wielu usług informatycznych lub wielu klientów. Z kolei według terminologii COBIT 4.1. SLA jest to umowa, najlepiej w formie dokumentu, zawierana pomiędzy dostawcą usług a klientem/użytkownikiem (klientami/użytkownikami), która określa minimalną docelową wydajność usługi oraz sposób jej pomiaru.

W praktyce obok rozwiązań z zakresu SLA spotkać można umowy OLA (ang. Operational Level Agreement). COBIT 4.1 definiuje ją jako umowę dotyczącą poziomu technicznego usług; wewnętrzna umowa o świadczeniu usług, która stanowi podstawę do świadczenia usług przez dział IT. Z kolei według ITIL OLA jest umową pomiędzy dostawcą usług informatycznych a inną częścią tej samej organizacji. Ma ona wspierać dostawcę usług informatycznych w świadczeniu usług klientom i definiuje dobra i usługi, które mają być dostarczone, oraz obowiązki obu stron, np.:

• umowa OLA może być zawarta pomiędzy dostawcą usług informatycznych a departamentem zakupów, aby dokonywać zakupów sprzętu w uzgodnionym czasie;
• umowa OLA może być zawarta pomiędzy serwisdeskiem a grupą wsparcia, aby rozwiązywać incydenty w uzgodnionym czasie.

Warunki umów SLA przekładają się na zapisy w umowach OLA dostawcy usług informatycznych, jak również w umowach z poddostawcami usług.

> SLA w świetle prawa

Umowa o gwarantowanym poziomie świadczenia usług nie została wprost uregulowana w przepisach prawa. Nie wspominają o niej żadne akty prawne dotyczące umów, jak choćby kodeks cywilny, ani akty prawne regulujące zagadnienia informatyczne (rodo, ustawa o krajowym systemie cyberbezpieczeństwa). Niemniej pewnych elementów SLA można doszukać się w art. 32 rodo w zakresie, w jakim wymaga on wdrożenia takich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, w tym m.in. w stosownym przypadku zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego oraz regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. Także art. 28 rodo zawiera pewne wskazówki dotyczące umów SLA. W szczególności dotyczy to nałożonego na podmiot przetwarzający obowiązku podejmowania wszelkich środków wymaganych na mocy art. 32 rodo, przestrzegania warunków korzystania z usług innego podmiotu przetwarzającego oraz pomagania administratorowi w wywiązywaniu się z obowiązków określonych w art. 32–36 rodo.

Z kolei ustawa z dnia 5 lipca 2018 roku o krajowym systemie cyberbezpieczeństwa zawiera pewne elementy umów o gwarantowanym poziomie świadczenia usług wśród obowiązków operatora usług kluczowych, w szczególności jako element wdrożonego systemu zarządzania bezpieczeństwem w systemie informacyjnym wykorzystywanym do świadczenia usługi kluczowej, zapewniającego:

1. wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych, uwzględniających najnowszy stan wiedzy, w tym:
   • utrzymanie i bezpieczną eksploatację systemu informacyjnego,
   • bezpieczeństwo fizyczne i środowiskowe, uwzględniające kontrolę dostępu,
   • bezpieczeństwo i ciągłość dostaw usług, od których zależy świadczenie usługi kluczowej,
   • wdrażanie, dokumentowanie i utrzymywanie planów działania umożliwiających ciągłe i niezakłócone świadczenie usługi kluczowej oraz zapewniających poufność, integralność, dostępność i autentyczność informacji,
   • objęcie systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej systemem monitorowania w trybie ciągłym;
2. stosowanie środków zapobiegających i ograniczających wpływ incydentów na bezpieczeństwo systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej, w tym:
   • stosowanie mechanizmów zapewniających poufność, integralność, dostępność i autentyczność danych przetwarzanych w systemie informacyjnym,
   • dbałość o aktualizację oprogramowania,
   • ochronę przed nieuprawnioną modyfikacją w systemie informacyjnym,
   • niezwłoczne podejmowanie działań po dostrzeżeniu podatności lub zagrożeń cyberbezpieczeństwa.

Na gruncie przepisów o cyberbezpieczeństwie SLA ma także znaczenie w przypadku korzystania z usług podmiotów świadczących usługi z zakresu cyberbezpieczeństwa. Znajdą wówczas zastosowanie wymagania zawarte w rozporządzeniu Ministra Cyfryzacji z dnia 4 grudnia 2019 r. w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo. Przepisy te wskazują obszary do objęcia przez SLA, w szczególności w zakresie wdrożonych zabezpieczeń adekwatnych do przetwarzanych informacji na podstawie przeprowadzonego szacowanego ryzyka, a także wykorzystywania dobrych praktyk w celu:

• monitorowania i wykrywania incydentów bezpieczeństwa informacji;
• reagowania na incydenty bezpieczeństwa;
• zapobiegania incydentom bezpieczeństwa informacji;
• zarządzania jakością zabezpieczeń systemów, informacji i powierzonych aktywów;
• aktualizowania ryzyk w przypadku zmiany struktury organizacyjnej, procesów i technologii, które mogą wpływać na reakcję na incydent;
• ustalenia zasad dostępu do systemu obsługującego usługi z zakresu cyberbezpieczeństwa;
• stosowania środków zapewniających bezpieczne przetwarzanie danych i komunikację;
• minimalizacji przechowywanych danych poza bezpiecznym środowiskiem.

[...]

Adwokat, inspektor ochrony danych, wykładowca, publicysta, audytor wewnętrzny normy PN-ISO/IEC 27001:2014-12. Ukończył kurs „Data Protection and Privacy Rights” organizowany przez Radę Europy Help Programme, kurs „Cybersecurity for Critical Urban Infrastructure” prowadzony przez Massachusetts Institute of Technology oraz kurs „Cybersecurity Risk Management” prowadzony przez Rochester Institute of Technology.