Cyberbezpieczeństwo coraz ważniejsze w kontraktach IT

Znaczenie cyberbezpieczeństwa, ale też koszty incydentów bezpieczeństwa informatycznego, stale rosną.

Według dorocznego raportu publikowanego przez IBM („Cost of a Data Breach Report”, edycja 2022) średni koszt naruszenia bezpieczeństwa wśród ankietowanych przedsiębiorców wzrósł w ostatnim roku o 2,6% (z 4,24 miliona USD do 4,35 miliona USD), przy czym w stosunku do 2020 roku wzrost ten wynosi aż 12,7%. Raport IBM wskazuje również, że jedynie dla 17% przebadanych organizacji zidentyfikowane naruszenia stanowiły jeden taki przypadek. Zdecydowana większość musiała mierzyć się z wielokrotnymi przypadkami naruszeń, w tym z atakami hackerskimi. To w efekcie przekłada się m.in. na wzrost cen towarów i usług oferowanych przez zaatakowanych przedsiębiorców (potwierdziło to aż 60% ankietowanych przedsiębiorców).

Weź udział w konferencji “Umowy IT - aspekty prawne i praktyczne”, 31 maja 2023, Warszawa >>

Sprawia to, że w projektach informatycznych, zwłaszcza wdrożeniowych czy zakładających migrację do chmury oraz w samych kontraktach im towarzyszących, coraz większą wagę przywiązuje się do wymogów dotyczących cyberbezpieczeństwa. Dotyczy to zarówno podmiotów z sektora publicznego, jak również prywatnego, w szczególności tych, których dotyczą coraz powszechniejsze cyber-regulacje. Wśród nich wskazać zaś można na przykłady prawa „twardego” (np. ustawę o krajowym systemie cyberbezpieczeństwa czy nową dyrektywę NIS 2) oraz „miękkiego” (np. Narodowe Standardy Cyberbezpieczeństwa czy tzw. wytyczne chmurowe Komisji Nadzoru Finansowego). Wszystkie one wymagać mogą odpowiedniego „przełożenia” na warunki kontraktowe.

dr Damian Karwala, radca prawny, counsel w praktyce Własności Intelektualnej i Nowych Technologii, CMS
dr Damian Karwala, radca prawny, counsel w praktyce Własności Intelektualnej i Nowych Technologii, CMS

W grupie regulacji „twardych” na szczególną uwagę zasługuje przyjęte w połowie grudnia 2022 r. unijne rozporządzenie w sprawie operacyjnej odporności cyfrowej sektora finansowego, czyli tzw. DORA (Digital Operational Resilience Act). Rozporządzenie to określa m.in. zasady prawidłowego zarządzania ryzykiem ze strony zewnętrznych dostawców rozwiązań i usług IT, w tym wymogi dotyczące postanowień umownych (kontraktów IT). Zbiór tych zasad stanowi swoiste podsumowanie dotychczasowych doświadczeń w zakresie regulacji tej problematyki na poziomie unijnym, które w dodatku wydaje się być szczególnie cenne dla praktyki. Pomimo zatem tego, że adresatem DORA są podmioty z sektora finansowego, korzystanie z zebranych tam zasad rekomendować należy również podmiotom z innych sektorów, którym zależy na podnoszeniu poziomu bezpieczeństwa IT.

Wszystko co chcesz wiedzieć o dyrektywie DORA. Poznaj program warsztatów online >>

Zgodnie z DORA cały proces zarządzania ryzykiem związanym z korzystaniem z usług zewnętrznych dostawców IT powinien uwzględniać – jako jeden z kluczowych jego elementów – ryzyka wynikające z zawartych umów („ustaleń umownych”, by posłużyć się terminologią DORA), a zatem ryzyka kontraktowe. Dotyczyć one mogą m.in. ryzyka koncentracji, zbytniego uzależnienia się od określonego dostawcy czy też trudności ze zmianą dostawcy (tzw. vendor lock-in). Dlatego też sporo miejsca poświęcono w przepisach DORA strategii wyjścia, np. w sytuacji, gdy dostawca nie realizuje swych obowiązków związanych z zapewnieniem dostępności, integralności czy poufności danych. Obowiązki te zaś stanowią jedne z kluczowych, na które należy zwracać uwagę w relacjach z zewnętrznymi dostawcami rozwiązań IT. Zresztą DORA wyraźnie przesądza, że podmioty finansowe mogą zawierać umowy wyłącznie z takimi dostawcami, którzy „przestrzegają odpowiednich standardów w zakresie bezpieczeństwa informacji”. W sytuacji zaś korzystania z zewnętrznych dostawców dla wsparcia funkcji szczególnie istotnych (krytycznych), poprzeczka została podniesiona jeszcze wyżej: dostawcy powinni stosować wówczas „najwyższe standardy bezpieczeństwa informacji”. Przy czym wydaje się, że odnosić należy się w tym zakresie do standardów światowych, a nie tylko krajowych.

Sam kontrakt IT – zgodnie z DORA – powinien uwzględniać szereg okoliczności wpływających na poziom cyber-bezpieczeństwa. Wśród nich szczególnie istotne są:

a)postanowienia umowne dotyczące zapewnienia autentyczności, integralności i poufności przetwarzanych danych, w tym (lecz nie tylko) danych osobowych w rozumieniu RODO;

b)obowiązek zapewnienia przez dostawcę IT pomocy swemu klientowi w przypadku wystąpienia incydentu bezpieczeństwa;

c)sprecyzowanie miejsca (regionów i krajów), w których (z których) mają być świadczone usługi objęte umową, w tym z uwzględnieniem ewentualnych podwykonawców;

d)zasady wdrażania i testowania planów awaryjnych;

e)warunki uczestnictwa przez zewnętrznych dostawców z „programach zwiększania świadomości” w zakresie bezpieczeństwa IT i operacyjnej odporności cyfrowej, prowadzonych przez klientów (podmioty finansowe).

Biorąc pod uwagę, że jedynie część z ww. wymogów stanowi standard w aktualnie stosowanych kontraktach na usługi i produkty IT, dla podmiotów z sektora finansowego (lecz nie tylko) oznaczać może to sporo pracy. W sytuacji jednak, gdy w grę wchodzi cyber-bezpieczeństwo, nie powinna ona być odkładana w czasie.

Autor: dr Damian Karwala, radca prawny, counsel w praktyce Własności Intelektualnej i Nowych Technologii, CMS

Newsletter konferencje.pb.pl
Informacje o konferencjach, warsztatach, webinarach oraz promocjach. 10% rabatu na każde wydarzenie. Dostęp do wiedzy klasy biznes.
ZAPISZ MNIE
×
Newsletter konferencje.pb.pl
autor: Mateusz Stempak
Ostatnia środa miesiąca
Informacje o konferencjach, warsztatach, webinarach oraz promocjach. 10% rabatu na każde wydarzenie. Dostęp do wiedzy klasy biznes.
ZAPISZ MNIE
Administratorem Pani/a danych osobowych będzie Bonnier Business (Polska) Sp. z o. o. (dalej: my). Adres: ul. Kijowska 1, 03-738 Warszawa. Administratorem Pani/a danych osobowych będzie Bonnier Business (Polska) Sp. z o. o. (dalej: my). Adres: ul. Kijowska 1, 03-738 Warszawa. Nasz telefon kontaktowy to: +48 22 333 99 99. Nasz adres e-mail to: [email protected]. W naszej spółce mamy powołanego Inspektora Ochrony Danych, adres korespondencyjny: ul. Ludwika Narbutta 22 lok. 23, 02-541 Warszawa, e-mail: [email protected]. Będziemy przetwarzać Pani/a dane osobowe by wysyłać do Pani/a nasze newslettery. Podstawą prawną przetwarzania będzie wyrażona przez Panią/Pana zgoda oraz nasz „prawnie uzasadniony interes”, który mamy w tym by przedstawiać Pani/u, jako naszemu klientowi, inne nasze oferty. Jeśli to będzie konieczne byśmy mogli wykonywać nasze usługi, Pani/a dane osobowe będą mogły być przekazywane następującym grupom osób: 1) naszym pracownikom lub współpracownikom na podstawie odrębnego upoważnienia, 2) podmiotom, którym zlecimy wykonywanie czynności przetwarzania danych, 3) innym odbiorcom np. kurierom, spółkom z naszej grupy kapitałowej, urzędom skarbowym. Pani/a dane osobowe będą przetwarzane do czasu wycofania wyrażonej zgody. Ma Pani/Pan prawo do: 1) żądania dostępu do treści danych osobowych, 2) ich sprostowania, 3) usunięcia, 4) ograniczenia przetwarzania, 5) przenoszenia danych, 6) wniesienia sprzeciwu wobec przetwarzania oraz 7) cofnięcia zgody (w przypadku jej wcześniejszego wyrażenia) w dowolnym momencie, a także 8) wniesienia skargi do organu nadzorczego (Prezesa Urzędu Ochrony Danych Osobowych). Podanie danych osobowych warunkuje zapisanie się na newsletter. Jest dobrowolne, ale ich niepodanie wykluczy możliwość świadczenia usługi. Pani/Pana dane osobowe mogą być przetwarzane w sposób zautomatyzowany, w tym również w formie profilowania. Zautomatyzowane podejmowanie decyzji będzie się odbywało przy wykorzystaniu adekwatnych, statystycznych procedur. Celem takiego przetwarzania będzie wyłącznie optymalizacja kierowanej do Pani/Pana oferty naszych produktów lub usług.

Przeczytaj w strefie wiedzy

Dlaczego warto wziąć udział w naszych konferencjach?

14

ORGANIZUJEMY SZKOLENIA I EVENTY JUŻ OD 14 LAT

Lata doświadczenia

Dział konferencji „Pulsu Biznesu” istnieje od 2004 r. Kilkanaście lat doświadczeń i silna marka „Pulsu Biznesu”, pod którą odbywają się wydarzenia, sprawiły, że jesteśmy dziś czołowym organizatorem konferencji biznesowych skierowanych do wyższej kadry zarządzającej.

800

OD 2004 ROKU ZORGANIZOWALIŚMY PONAD 800 KONFERENCJI I WARSZTATÓW

Profesjonalizm w każdym calu

W ciągu roku kalendarzowego organizujemy ponad 50 konferencji, kongresów, warsztatów i debat, podczas których do dyskusji zapraszamy najlepszych mówców, wybitnych ekspertów i praktyków z poszczególnych branż.

20000

MOŻEMY SIĘ POCHWALIĆ TYLOMA KLIENTAMI Z PONAD 1000 FIRM

Tysiące zadowolonych klientów

Naszą ambicją jest kreowanie przedsięwzięć związanych z istotnymi, bieżącymi wydarzeniami w gospodarce, przewidywanie trendów oraz umożliwianie wymiany doświadczeń i dzielenia się wiedzą. Od 2004 roku zaufało nam już blisko 20 tys. uczestników.