NIS 2 a outsourcing usług IT – gdzie kończy się odpowiedzialność dostawcy, a zaczyna odpowiedzialność organizacji

Wraz z koniecznością implementacji wymogów wynikających z Dyrektywy NIS 2 coraz więcej organizacji rozważa wykorzystanie outsourcingu usług IT jako sposobu na spełnienie obowiązków regulacyjnych. W praktyce pojawia się jednak zasadnicze pytanie, czy powierzenie obszaru cyberbezpieczeństwa podmiotowi zewnętrznemu oznacza również przeniesienie odpowiedzialności na ten podmiot. Odpowiedź jest jednoznacznie negatywna.

Dyrektywa NIS 2 opiera się na założeniu, że odpowiedzialność za bezpieczeństwo systemów i usług spoczywa na podmiocie objętym regulacją, niezależnie od tego, czy korzysta on z zasobów własnych, czy zewnętrznych.

Granice dopuszczalnego outsourcingu

Z perspektywy prawnej outsourcing jest dopuszczalny i często uzasadniony ekonomicznie. Może obejmować m.in.:

• monitorowanie infrastruktury (SOC as a Service),
• analizę zdarzeń i incydentów,
• zarządzanie podatnościami,
• wsparcie w zakresie reagowania na incydenty.

Nie zmienia to jednak faktu, że obowiązki wynikające z NIS 2, a w szczególności w zakresie zarządzania ryzykiem, raportowania incydentów oraz zapewnienia adekwatnych środków bezpieczeństwa, pozostają po stronie organizacji.

Odpowiedzialność regulacyjna a relacja kontraktowa

Warto odróżnić odpowiedzialność regulacyjną od kontraktowej. Umowa z dostawcą może przewidywać kary, SLA czy obowiązki informacyjne, ale nie zmienia to faktu, że w relacji z organem to organizacja pozostaje podmiotem odpowiedzialnym. Ewentualne roszczenia wobec dostawcy mają znaczenie wewnętrzne, nie eliminują natomiast ryzyka sankcji.

W praktyce oznacza to, że nawet w przypadku naruszenia obowiązków przez dostawcę, organ nadzorczy będzie oceniał działania podmiotu objętego NIS 2. Ewentualne roszczenia wobec dostawcy mają charakter wtórny i nie eliminują ryzyka sankcji administracyjnych.

Incydent jako test modelu outsourcingowego

Największe ryzyka ujawniają się w sytuacji wystąpienia incydentu bezpieczeństwa. W szczególności problematyczne są takie kwestie jak:

• brak jednoznacznej procedury eskalacji,
• nieokreślony podział kompetencji decyzyjnych,
• opóźnienia w przekazywaniu informacji przez dostawcę,
• brak gotowości organizacji do podjęcia decyzji o zgłoszeniu incydentu.

Należy podkreślić, że obowiązek raportowania, w tym dochowania odpowiednich terminów,  spoczywa na organizacji. Dostawca może wspierać ten proces, ale nie przejmuje odpowiedzialności za jego realizację.

Ryzyko pozornego compliance

W praktyce rynkowej często spotykanym zjawiskiem jest tzw. pozorne spełnienie wymogów regulacyjnych poprzez zawarcie umowy z wyspecjalizowanym podmiotem. Sam fakt korzystania z usług dostawcy nie oznacza jednak, że organizacja spełnia wymogi NIS 2.

Szczególne ryzyka obejmują:

• zbyt ogólne zapisy umowne,
• brak mierzalnych parametrów świadczenia usług,
• brak mechanizmów nadzoru nad dostawcą,
• brak integracji usług z wewnętrznymi procedurami organizacji.

Wnioski

Z perspektywy NIS 2 outsourcing powinien być traktowany jako narzędzie wspierające, a nie substytut obowiązków regulacyjnych. Dla zapewnienia zgodności kluczowe jest:

• zachowanie realnego nadzoru nad dostawcą,
• precyzyjne uregulowanie zasad współpracy w umowie,
• zapewnienie zdolności decyzyjnej po stronie organizacji,
• integracja usług zewnętrznych z wewnętrznym systemem zarządzania bezpieczeństwem.

W konsekwencji należy przyjąć, że obowiązki wynikające z Dyrektywy NIS 2 nie podlegają outsourcingowi w sensie przeniesienia odpowiedzialności. Organizacja może korzystać z zasobów zewnętrznych, jednak obowiązek zapewnienia zgodności z przepisami pozostaje przy przedsiębiorcy.