Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


15.07.2022

Nowa wersja BDRSuite

Vembu Technologies, dostawca oprogramowania do ochrony danych w środowiskach fizycznych,...
15.07.2022

Zarządzanie końcówkami

baramundi software opublikowało nową wersję narzędzia do ujednoliconego zarządzania...
15.07.2022

Cyberzwiadowca

FortiRecon to kompleksowe narzędzie do ochrony przed cyfrowym ryzykiem (Digital Risk...
15.07.2022

Kontrola audiowizualna

Optoma wprowadziła oprogramowanie zintegrowane z chmurową platformą Microsoft Azure do...
15.07.2022

Chmura bezpieczeństwa

Cisco przedstawiło plan stworzenia Security Cloud – globalnej, zintegrowanej, opartej na...
15.07.2022

Nowy laptop do pracy zdalnej

Wielozadaniowość pracy hybrydowej to idea, która była inspiracją dla inżynierów Della...
15.07.2022

Monitoring bez zakłóceń

Firma Axis Communications proponuje nową serię kamer wyposażonych w najnowsze technologie...
15.07.2022

Na poziomie petabajtów

Dostępny jest nowy model HD6500 firmy Synology, pierwszy z serii HD zaprojektowany z...
15.07.2022

Procesory na rynku...

irma AMD ogłosiła, że procesory Threadripper PRO 5000 WX w lipcu br. będą oferowane przez...

Umowy na rozwiązania IT w modelu chmury obliczeniowej

Data publikacji: 04-01-2022 Autor: Adrianna Żyrek

Rozwiązania informatyczne dostarczane w modelu chmury obliczeniowej są produktem IT, po który z wielu względów klienci sięgają obecnie coraz częściej. Nierzadko dochodzi w nich na szeroką skalę do przetwarzania informacji (w tym danych osobowych) – w wielu przypadkach stanowiących kluczową wartość przedsiębiorstwa klienta, a także przedmiot szczególnej ochrony prawnej.

 

W kontekście zwiększonego zainteresowania modelem chmury obliczeniowej pojawiają się konkretne pytania – jak w umowie z dostawcą danego rozwiązania zapewnić bezpieczeństwo informacji w aspekcie cyberbezpieczeństwa oraz ochrony danych osobowych? Czy na dostawcach rozwiązań chmurowych ciążą w tym zakresie jakieś szczególne obowiązki? Wraz z rozwojem rynku IT zwiększyła się liczba i skala incydentów bezpieczeństwa zagrażających prawidłowemu funkcjonowaniu rozwiązań informatycznych, w tym bezpieczeństwu przetwarzanych w nich informacji. W związku z tym pojawiła się potrzeba, aby zabezpieczyć – w sposób możliwie skuteczny oraz szeroki – bezpieczeństwo sieci i systemów informatycznych przed nieuprawnionym dostępem do nich i treści w nich zawartych. Jednym z mechanizmów mających na celu minimalizowanie ryzyk i ewentualnych szkód są oczywiście „dedykowane” regulacje prawne.


> REGULACJE Z ZAKRESU CYBERBEZPIECZEŃSTWA I OCHRONY DANYCH OSOBOWYCH – TŁO PRAWNE


Na poziomie Unii Europejskiej instrumentem prawnym, który ma zapewnić realizację ww. celu w aspekcie cyberbezpieczeństwa, jest Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (dalej jako: „Dyrektywa NIS”), która określa szereg wymogów, jakie należy spełnić, aby zapewnić bezpieczeństwo sieci i systemów informatycznych. Przepisy Dyrektywy NIS zostały implementowane do polskiego porządku prawnego w ramach ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (dalej jako „UKSC”).


Podmiotami, które na podstawie przepisów ww. aktów prawnych zobowiązane są do podjęcia dodatkowych działań nakierowanych na zabezpieczenie rozwiązań informatycznych, są w szczególności dostawcy usług cyfrowych. Zgodnie z definicją zawartą w art. 17 ust. 1 UKSC dostawcami usług cyfrowych są osoby prawne albo jednostki organizacyjne nieposiadające osobowości prawnej mające siedzibę lub zarząd na terytorium Rzeczypospolitej Polskiej albo przedstawiciela mającego jednostkę organizacyjną na terytorium Rzeczypospolitej Polskiej, świadczące usługę cyfrową, z wyjątkiem mikro- i małych przedsiębiorców.

 

Usługą cyfrową jest m.in. usługa przetwarzania w chmurze, czyli „usługa umożliwiająca dostęp do skalowalnego i elastycznego zbioru zasobów obliczeniowych do wspólnego wykorzystywania przez wielu użytkowników” (załącznik nr 2 do UKSC). A zatem, jak wynika z powyższego, do wdrożenia dodatkowych środków związanych z zapewnieniem cyberbezpieczeństwa zobowiązany jest dostawca rozwiązania dostarczanego w modelu chmury obliczeniowej, niezależnie od tego, czy ma on status podmiotu publicznego, czy prywatnego, i niezależnie od rodzaju świadczonej usługi chmurowej (np. SaaS/IaaS/PaaS/inne).


Natomiast w aspekcie ochrony danych osobowych kluczowe znaczenie mają przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej jako: „rodo”) – w szczególności w zakresie obowiązków dot. wdrożenia odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, a także obowiązków związanych ze zgłaszaniem przypadków naruszenia ochrony danych osobowych. Ponadto warto pamiętać, że wszelkie rozwiązania informatyczne, które umożliwiają przetwarzanie danych osobowych, powinny być tworzone z uwzględnieniem zasad privacy by design / privacy by default – o czym szerzej pisali r. pr. Bartosz Jussak oraz r. pr. Damian Łapka w artykule, który ukazał się w kwietniowym numerze „IT Professional” (4/2021).


> ZAKRES OBOWIĄZKÓW DOSTAWCÓW USŁUG CYFROWYCH


Zakres obowiązków dotyczących zapewnienia cyberbezpieczeństwa sieci i systemów informatycznych nałożonych na dostawców usług cyfrowych (w tym – jak wskazano powyżej – dostawców usługi przetwarzania w chmurze) wynika przede wszystkim z art. 17 ust. 2 i 3 oraz art. 18 UKSC. Zgodnie z tymi przepisami ww. podmioty są zobowiązane w szczególności do:

 

  • Podjęcia właściwych i proporcjonalnych środków technicznych i organizacyjnych w celu zarządzania ryzykiem, na jakie narażone są systemy informacyjne wykorzystywane do świadczenia usługi cyfrowej (zakres i rodzaj tych środków wynika z rozporządzenia wykonawczego Komisji (UE) 2018/151 – są to w szczególności odpowiednio wdrożone zestawy polityk bezpieczeństwa oraz procedur, a także środki zapewniające bezpieczeństwo techniczne i środowiskowe systemów); środki te powinny zapewniać cyberbezpieczeństwo odpowiednie do istniejącego ryzyka oraz uwzględniać:

                     – bezpieczeństwo systemów informacyjnych i obiektów,

                     – postępowanie w przypadku obsługi incydentu,

                     – zarządzanie ciągłością działania dostawcy w celu świadczenia usługi cyfrowej,

                     – monitorowanie, audyt i testowanie,

                     – najnowszy stan wiedzy, w tym zgodność z normami międzynarodowymi, o których mowa w rozporządzeniu
                        wykonawczym 2018/151.

  • Podjęcia środków zapobiegających i minimalizujących wpływ incydentów
  • bezpieczeństwa na usługę cyfrową w celu zapewnienia ciągłości świadczenia tej usługi.
  • Przeprowadzania czynności umożliwiających wykrywanie, rejestrowanie, analizowanie oraz klasyfikowanie incydentów bezpieczeństwa oraz wdrożenie procedur związanych ze zgłaszaniem oraz obsługą incydentów określonej kategorii zgodnie z przepisami ustawy (w tym we współpracy z właściwym Zespołem Reagowania na Incydenty Bezpieczeństwa Komputerowego – odpowiednio CSIRT MON, CSIRT NASK, CSIRT GOV).


Na gruncie przepisów dyrektywy NIS i UKSC, podobnie jak w przypadku rodo, przyjęto tzw. podejście oparte na ryzyku. Oznacza to, że dostawcy usług cyfrowych zobowiązani są do zapewnienia poziomu bezpieczeństwa współmiernego do poziomu ryzyka zagrażającego bezpieczeństwu świadczonych przez nich usług – wybór konkretnych środków i rozwiązań umożliwiających realizację tego celu zależy zatem ostatecznie od własnej oceny i decyzji podejmowanej przez dostawcę z uwzględnieniem rzeczywistego w danym przypadku (dla danej usługi) ryzyka. Ryzykiem jest przy tym kombinacja prawdopodobieństwa wystąpienia zdarzenia niepożądanego i jego konsekwencji (art. 2 pkt 12 UKSC).


Warto podkreślić, że chociaż ustawa nakłada ww. dodatkowe obowiązki bezpośrednio na dostawców usług cyfrowych, ich prawidłowa realizacja przekłada się także na działalność klientów (zamawiających) korzystających z usług takich dostawców, zapewniając im plan ciągłości działania danej usługi. Celowe jest zatem, aby decydując się na wybór konkretnego rozwiązania informatycznego dostarczanego w modelu chmury obliczeniowej, zweryfikować (lub uzgodnić) w umowie z dostawcą, w jaki sposób zamierza on realizować swoje obowiązki. O tym, na jakie elementy umowy dot. cyberbezpieczeństwa zwrócić szczególną uwagę, piszę w dalszej części artykułu.


W kontekście ochrony danych osobowych przetwarzanych w systemie informatycznym dostawca rozwiązania IT w szczególności musi mieć na uwadze, korespondujące z powyższymi wymogami z UKSC, przepisy art. 32 oraz 33 rodo, które nakładają na niego (co do zasady jako na podmiot przetwarzający) obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, a także obowiązki związane ze zgłaszaniem przypadków naruszenia ochrony danych osobowych. Szczegółowy zakres i sposób realizacji ww. obowiązków dostawcy będzie zazwyczaj uregulowany w umowie powierzenia przetwarzania danych osobowych zawieranej z klientem (zamawiającym) jako administratorem danych osobowych.

 

[...]

 

Aplikantka radcowska, prawnik w kancelarii Barta & Kaliński sp. j. Specjalizuje się w projektach związanych z problematyką nowych technologii, w szczególności prawa autorskiego, a także prawa ochrony danych osobowych.

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik \"IT Professional\"