Outsourcing IT i dostawcy usług: jak IOD powinien weryfikować umowy pod kątem NIS2 i art. 28 RODO

Zdjęcie: Outsourcing IT i dostawcy usług: jak IOD powinien weryfikować umowy pod kątem NIS2 i art. 28 RODO

Outsourcing IT i dostawcy usług: jak IOD powinien weryfikować umowy pod kątem NIS2 i art. 28 RODO Przez wiele lat outsourcing usług IT był postrzegany przede wszystkim jako sposób na ograniczenie kosztów i uzyskanie dostępu do specjalistycznej wiedzy technicznej. Przedsiębiorstwa przekazywały obsługę infrastruktury informatycznej, bezpieczeństwa sieci, hostingu czy rozwiązań chmurowych wyspecjalizowanym podmiotom, zakładając, iż wraz z usługą przejmują one również znaczną część odpowiedzialności za bezpieczeństwo systemów. Współczesne regulacje dotyczące cyberbezpieczeństwa pokazują jednak, iż takie założenie jest błędne. Dyrektywa NIS2 oraz przepisy o ochronie danych osobowych opierają się na zupełnie innej filozofii. Można delegować wykonywanie określonych czynności. Nie można jednak skutecznie delegować odpowiedzialności za zarządzanie ryzykiem. To właśnie dlatego łańcuch dostaw staje się dziś jednym z najważniejszych obszarów zainteresowania regulatorów, audytorów oraz zarządów przedsiębiorstw. Jeszcze kilka lat temu cyberatak kojarzył się przede wszystkim z próbą bezpośredniego włamania do systemów organizacji. Dziś coraz częściej punktem wejścia okazuje się dostawca usług informatycznych, firma utrzymująca infrastrukturę, podmiot świadczący usługi chmurowe albo producent wykorzystywanego oprogramowania. Atakujący doskonale wiedzą, iż zabezpieczenia dużych organizacji są zwykle znacznie silniejsze niż zabezpieczenia ich partnerów biznesowych. Właśnie dlatego jednym z kluczowych elementów NIS2 jest zarządzanie ryzykiem związanym z dostawcami. Dla wielu przedsiębiorstw będzie to jedna z największych zmian praktycznych wynikających z nowych regulacji. Dotychczas przy wyborze dostawcy IT często dominowały kryteria cenowe, zakres funkcjonalności oraz czas wdrożenia. W najbliższych latach coraz większego znaczenia nabierać będzie zdolność wykazania odpowiedniego poziomu cyberbezpieczeństwa. Z perspektywy ochrony danych osobowych podobny kierunek wynika od dawna z art. 28 RODO. Administrator danych powinien korzystać wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych. W praktyce jednak bardzo wiele organizacji sprowadzało ten obowiązek do podpisania standardowej umowy powierzenia przetwarzania danych. Tymczasem zarówno NIS2, jak i doświadczenia związane z licznymi incydentami cybernetycznymi pokazują, iż sama dokumentacja nie zapewnia bezpieczeństwa. Coraz większego znaczenia nabiera rzeczywista weryfikacja dostawców. Czy dostawca posiada procedury zarządzania incydentami? Czy prowadzi testy bezpieczeństwa? Czy posiada plan ciągłości działania? Czy korzysta z podwykonawców? Czy przewidziano obowiązki informacyjne na wypadek incydentu? Czy umowa pozwala na przeprowadzenie audytu? Czy organizacja wie, gdzie faktycznie znajdują się dane oraz systemy wykorzystywane do świadczenia usług? Są to pytania, które jeszcze niedawno zadawali głównie specjaliści techniczni. Dziś coraz częściej powinny interesować również osoby odpowiedzialne za zgodność regulacyjną, ochronę danych osobowych oraz zarządzanie ryzykiem. Ma to szczególne znaczenie w sektorach infrastruktury krytycznej, energetyki, przemysłu, transportu oraz obronności. W tych obszarach skutki incydentu cybernetycznego nie ograniczają się do problemów informatycznych. Mogą prowadzić do zatrzymania produkcji, zakłócenia procesów logistycznych, utraty zdolności operacyjnych lub niewykonania strategicznych kontraktów. Dlatego coraz częściej mówi się nie o bezpieczeństwie pojedynczej organizacji, ale o bezpieczeństwie całego ekosystemu dostawców. Przedsiębiorstwo może posiadać rozbudowane procedury cyberbezpieczeństwa, wysoki poziom zabezpieczeń technicznych oraz wyspecjalizowany zespół odpowiedzialny za bezpieczeństwo informacji. Wystarczy jednak jeden słabo zabezpieczony dostawca posiadający dostęp do infrastruktury lub danych, aby znacząco zwiększyć poziom ryzyka. Z perspektywy NIS2 jest to problem fundamentalny. Nowoczesne zarządzanie cyberbezpieczeństwem nie polega już wyłącznie na ochronie własnych systemów. Obejmuje również identyfikację, ocenę i monitorowanie ryzyka występującego po stronie partnerów biznesowych. To właśnie dlatego organizacje przygotowujące się do nowych wymagań powinny traktować przegląd umów outsourcingowych nie jako formalność prawną, ale jako element budowania odporności organizacyjnej. Największym zagrożeniem nie jest dziś bowiem brak odpowiednich zapisów umownych. Jest nim błędne przekonanie, iż skoro usługa została przekazana na zewnątrz, odpowiedzialność za związane z nią ryzyko również została skutecznie przeniesiona. NIS2 bardzo wyraźnie pokazuje, iż w rzeczywistości jest dokładnie odwrotnie. Autor: Jarosław Chałas Partner Zarządzający Radca Prawny Kancelaria Prawna Chałas i Wspólnicy Dowiedz się więcej: Prawo cyberbezpieczeństwai bezpieczeństwa informacji