Kontakt z nami
+48 780 151 246
18 grudnia, 2025
Zgodnie z NIS 2, podmioty ważne i kluczowe muszą wdrożyć środki zarządzania ryzykiem obejmujące m.in. obsługę incydentów, ciągłość działania, bezpieczeństwo łańcucha dostaw oraz kontrolę dostępu do systemów. W praktyce oznacza to, że umowy serwisowe przestają pełnić wyłącznie funkcję techniczną, a stają się integralną częścią systemu compliance w przedsiębiorstwie.
Brak odpowiednich postanowień kontraktowych może zostać uznany za naruszenie obowiązków, nawet jeśli od strony technicznej stosowane są właściwe zabezpieczenia. Umowa musi potwierdzać, że przedsiębiorstwo ma realną możliwość egzekwowania standardów bezpieczeństwa od dostawcy usług.
Jednym z najczęstszych problemów w istniejących umowach SLA jest ograniczenie parametrów wyłącznie do czasu reakcji. NIS 2 wymaga podejścia znacznie bardziej kompleksowego. Umowa serwisowa powinna regulować co najmniej:
Z perspektywy regulacyjnej kluczowe znaczenie ma możliwość spełnienia obowiązków raportowych wobec właściwych organów. Umowa powinna więc przewidywać, że dostawca usług:
SLA powinno uwzględniać różne kategorie incydentów – od zdarzeń o niskim wpływie po incydenty poważne, które mogą skutkować obowiązkiem raportowania w ciągu 24 lub 72 godzin.
NIS 2 wymaga, aby organizacje posiadały procedury reagowania na incydenty cyberbezpieczeństwa. W praktyce jednak procedury te są często realizowane wspólnie z dostawcą usług IT. Umowa serwisowa powinna precyzyjnie określać zakres odpowiedzialności dostawcy w trakcie incydentu, dostępność zespołu serwisowego oraz obowiązek zachowania logów i innych danych.
Szczególnie istotne jest uregulowanie współpracy przy obsłudze incydentu z perspektywy prawnej, w tym wsparcia przy zgłoszeniach do CSIRT oraz organów nadzorczych. Brak takiego wsparcia może uniemożliwić terminowe wywiązanie się z obowiązków wynikających z NIS 2.
Dostęp serwisowy do systemów produkcyjnych, sieciowych i przemysłowych jest jednym z najbardziej wrażliwych obszarów bezpieczeństwa. NIS 2 kładzie duży nacisk na kontrolę dostępu, zarządzanie uprawnieniami i minimalizację ryzyka wynikającego z działalności podmiotów trzecich.
Umowa serwisowa powinna regulować m.in.:
Ważnym elementem jest również uregulowanie dostępu zdalnego, który w wielu przypadkach stanowi główne ryzyko cyberataku. Umowa powinna jasno wskazywać, kiedy i na jakich zasadach dostęp zdalny jest dopuszczalny, a także jakie zabezpieczenia muszą być stosowane.
NIS 2 wymaga, aby organizacje posiadały plany ciągłości działania i odtwarzania systemu po incydencie. Umowy utrzymaniowe powinny wspierać realizację tych obowiązków poprzez:
Brak takich postanowień może skutkować sytuacją, w której formalnie istnieje plan ciągłości działania przedsiębiorstwa, ale nie ma możliwości jego wykonania z uwagi na zależność od dostawcy usług.
W kontekście NIS 2 szczególnego znaczenia nabiera odpowiedzialność za naruszenia obowiązków bezpieczeństwa. Umowy serwisowe powinny przewidywać odpowiedzialność za brak reakcji lub opóźnienia, kary umowne za naruszenie postanowień umownych w szczególności w zakresie SLA. Kluczowe jest przy tym zachowanie odpowiednich proporcji, zarówno nadmierna, jak i iluzoryczna odpowiedzialność może prowadzić do problemów regulacyjnych i biznesowych.
NIS 2 wymaga, aby umowy serwisowe i utrzymaniowe były realnym narzędziem zarządzania cyberbezpieczeństwem. SLA, reakcja na incydenty i dostęp do systemów nie mogą być uregulowane ogólnikowo. Organizacje muszą mieć możliwość wykazania, że posiadają skuteczne mechanizmy kontroli nad dostawcami usług, a same umowy umożliwiają im wywiązanie się z obowiązków regulacyjnych. Dobrze przygotowany kontrakt, to dziś nie tylko kwestia bezpieczeństwa technicznego, lecz także ochrony prawnej i biznesowej organizacji.
