Cyberbezpieczeństwo: obowiązują nie tylko przepisy
Nawet dobrze skonstruowana umowa może nie wystarczyć, aby uchronić dostawcę usług IT od odpowiedzialności. Liczy się również to, czy zapewnił klientowi należyty poziom bezpieczeństwa określony przez dostępne normy, standardy i rekomendacje.
Póki co nie ma i w najbliższej przyszłości nie planuje się wprowadzenia – ani w Polsce, ani w Unii Europejskiej – jednego aktu prawnego, który regulowałby wszystkie kwestie dotyczące cyberbezpieczeństwa. Dostawcy rozwiązań informatycznych muszą więc uwzględniać wiele różnych przepisów, które odnoszą się do poszczególnych aspektów i obszarów odpowiedzialności za bezpieczeństwo teleinformatyczne w przedsiębiorstwach.
Ważne jest zatem by pamiętali, że część regulacji ma charakter ogólny i jest wspólna dla sektora publicznego oraz dla biznesu, a inne mają zastosowanie sektorowe bądź nawet branżowe. Z przepisów o charakterze ogólnym można wymienić ustawę o ochronie danych osobowych oraz wchodzące w życie w przyszłym roku unijne rozporządzenie o ochronie danych osobowych, tzw. RODO. Wszystkich natomiast obowiązują postanowienia kodeksów cywilnego i karnego.
Przykładem aktu prawnego, który dotyczy tylko sektora publicznego, jest rozporządzenie w sprawie krajowych ram interoperacyjności. Z kolei w biznesie mają zastosowanie m.in. prawo bankowe i ustawa o świadczeniu usług płatniczych. Są to jednocześnie regulacje branżowe. Taki charakter mają także przepisy dotyczące zachowania tajemnicy lekarskiej. Muszą być brane pod uwagę m.in. w przypadku świadczenia usług w chmurze. Przy czym korzystanie z technologii chmurowych jako takie, nie jest określone jedną, przeznaczoną do tego obszaru zastosowań IT regulacją prawną.
Inaczej system, inaczej informacje
To nie koniec problemów związanych z rozproszeniem przepisów dotyczących cyberbezpieczeństwa.
– Inne są regulacje dotyczące obowiązku dochowania bezpieczeństwa systemów informatycznych, a inne zapewnienia bezpieczeństwa zasobów przechowywanych i przetwarzanych w tych systemach, czyli bezpieczeństwa informacji – mówi Xawery Konarski, adwokat i starszy partner w kancelarii prawnej Traple, Konarski, Podrecki i Wspólnicy.
To oznacza, że można odpowiadać prawnie, nawet jeśli nie dojdzie do kradzieży informacji, czyli za samo dopuszczenie do naruszenia zabezpieczeń systemu IT. Producenci i integratorzy powinni pamiętać, że mogą zostać pociągnięci do odpowiedzialności już za samo niezapewnienie odpowiedniego poziomu bezpieczeństwa systemu informatycznego, np. za brak mechanizmów kryptograficznych tam, gdzie są one wymagane przez prawo.
Art. 7 ustawy o świadczeniu usług drogą elektroniczną mówi, że usługodawca musi zapewnić nieodpłatnie taki poziom bezpieczeństwa, by uniemożliwić osobom nieuprawnionym dostęp do treści przekazu składającego się na usługę. Sposobem na osiągnięcie takiego poziomu zabezpieczeń jest przede wszystkim zastosowanie właściwych technik kryptograficznych.
– Niedopełnienie tego wymogu może być podstawą do pociągnięcia dostawcy usług do odpowiedzialności prawnej – zwraca uwagę Agnieszka Wachowska, radca prawny i partner w kancelarii Traple, Konarski, Podrecki i Wspólnicy.
Po pierwsze: należyta staranność
Kolejne wyzwania dla sprzedawców i integratorów wynikają z faktu, że zakres odpowiedzialności za zapewnienie odpowiedniego poziomu bezpieczeństwa regulują nie tylko przepisy prawa. Trzeba brać pod uwagę również normy (np. ISO) oraz standardy, rekomendacje i dobre praktyki. Dostawca jest zobowiązany do stosowania się do wymagań wynikających również z tych pozaprawnych regulacji. Musi dochować należytej staranności, nawet jeśli nie ma konkretnego przepisu odnoszącego się wprost do danej sytuacji.
– Zazwyczaj w przepisach nie jest określone, jaki poziom bezpieczeństwa dla jakich systemów ma być zapewniony. Tylko niektóre regulacje branżowe mówią o tym wprost – zwraca uwagę mecenas Xawery Konarski.
Co określa standardy działania dostawcy IT
• przepisy karne,
• przepisy dotyczące ochrony danych osobowych,
• przepisy dotyczące świadczenia usług drogą elektroniczną,
• przepisy dotyczące tajemnic prawnie chronionych (np. tajemnicy lekarskiej, bankowej, ubezpieczeniowej),
• regulacje umowne między dostawcą a odbiorcą,
• normy i standardy branżowe określające poziom należytej staranności.
Szczególnie w przepisach ogólnych nie ma jasnych wytycznych co do wymaganych zakresów zabezpieczeń. Jak zatem dostawcy IT mogą chronić swoje interesy i ograniczyć odpowiedzialność w sytuacjach niedookreślonych lub nieprecyzyjnie uregulowanych? Z pewnością korzystne dla nich będzie zawieranie rozbudowanych, szczegółowych umów, w których w miarę precyzyjnie i przejrzyście zostaną określone wzajemne zobowiązania stron i ich odpowiedzialność. Umowa ma kluczowe znaczenie dla odpowiedzialności cywilnej. Ważne jest, kto do czego się zobowiązał.
Podmiot dostarczający usługi informatyczne może odpowiadać za spowodowanie przerwy w działaniu przedsiębiorstwa, wyciek lub utratę danych. Jeśli nie jest w stanie zapewnić firmie ciągłości działania, może zostać wezwany do zapłacenia odszkodowania. W przypadku wycieku danych istotne jest ustalenie, czy może odpowiadać za ataki cyberprzestępców. W żadnych przepisach nie ma definicji ataku hakerskiego, więc decydujące znaczenie ma ustalenie, czy postępowanie operatora systemu IT związane z zapewnieniem właściwego poziomu bezpieczeństwa na wypadek ataku było zgodne z obowiązującymi standardami.
Dostawca usług lub rozwiązań informatycznych musi w razie potrzeby wykazać, że dochował należytej staranności w zapewnieniu wymaganego poziomu bezpieczeństwa zależnej od niego części środowiska informatycznego.
– W ocenie stopnia odpowiedzialności będzie brane pod uwagę to, co się działo przed incydentem, w trakcie i po nim. Długofalowe skutki incydentu, w razie niepodjęcia żadnych działań, mogą być bowiem o wiele gorsze niż samo naruszenie bezpieczeństwa systemu. A zatem za brak podjęcia odpowiednich działań po incydencie i szkodę z tego wynikłą również można odpowiadać prawnie – podkreśla Agnieszka Wachowska.
Xawery Konarski
adwokat i starszy partner w kancelarii prawnej Traple, Konarski, Podrecki i Wspólnicy
Dla firm IT byłoby najlepiej, gdyby powstały dobre, precyzyjne standardy bezpieczeństwa systemów informatycznych. Przyszłością będą certyfikacje bazujące na poszczególnych standardach, np. ISO-wskich. Przy zawieraniu umowy wykonawca będzie musiał legitymować się certyfikatem potwierdzającym spełnianie wymogów konkretnego standardu. Wtedy sytuacja i odbiorców, i dostawców stanie się jasna, będą wiedzieli, czego się mają trzymać. Na razie jednak każdy wykonawca musi sam dokładać wszelkich starań, by zapewnić jak najlepszy poziom bezpieczeństwa wdrażanych systemów.
Umowa i standardy
W takiej sytuacji liczy się jednak nie tylko treść umowy, lecz również obowiązujące w danej branży standardy. Można uznać odpowiedzialność dostawcy, gdyby okazało się, że dostarczane rozwiązania mają spełniać wysokie standardy, bo istnieją przepisy lub normy uzupełniające w tym zakresie treść umowy, a produkt lub usługa dostawcy tych standardów nie spełniają. Nawet jeśli odbiorca przyjął system od wykonawcy bez zastrzeżeń, po wystąpieniu incydentu i tak będzie miał prawo pociągnąć go do odpowiedzialności za złe funkcjonowanie dostarczonego rozwiązania lub świadczonej usługi.
– Dostawca systemów IT zawsze jest postrzegany jak specjalista, ekspert od oferowanych rozwiązań. Dlatego powinien zwrócić szczególną uwagę na ich bezpieczeństwo. Jeśli więc wdraża system u klienta, rozwiązanie musi być zgodne z wszelkimi prawnymi, umownymi i normatywno-standardowymi wymogami bezpieczeństwa – podkreśla Xawery Konarski.
Jedynie gdy w umowie napisano wprost, że system ma spełniać tylko konkretnie wymienione standardy, bo są dla odbiorcy wystarczające, nie może on pociągnąć producenta do odpowiedzialności za niedostosowanie systemu do innych standardów. Ale takie zapisy spotyka się niezwykle rzadko. Zazwyczaj odbiorca żąda od dostawcy po prostu należytego zabezpieczenia systemu.
Sprzedawca i integrator może jednak w umowie wyłączyć swoją odpowiedzialność w określonych sytuacjach (m.in. wskazać wydarzenia, których nie obejmuje SLA) lub ograniczyć ją do podanej kwoty. Może też ubezpieczyć się od odpowiedzialności cywilnej. Te działania mogą mu w każdej chwili przynieść konkretną, wymierną korzyść.
Rodzaje odpowiedzialności dostawcy IT
• karna – wynikająca z przepisów karnych,
• cywilna – wynikająca z kodeksu cywilnego i regulacji umownych,
• administracyjna – wynikająca z naruszenia określonych przepisów, np. ustawy o ochronie danych osobowych,
• służbowa – dotycząca pracowników, wynikająca z kodeksu pracy i umów o pracę.
Podobne artykuły
Ochrona na szóstkę z ESET PROTECT Elite
Dla dużej firmy dysponującej ogromną ilością wrażliwych danych, zmiana systemu chroniącego przed cyberzagrożeniami to poważne wyzwanie.
Vertiv Liebert GXT5: liczy się TCO
Nowa konstrukcja autorstwa specjalistów Vertiv to wydajny i wyposażony w inteligentne funkcje UPS do ochrony krytycznych aplikacji.
Co i dla kogo zmienia akt o usługach cyfrowych?
AUC dotyka praktycznie każdej osoby czy podmiotu, które są aktywne w internecie. Z tym, że nie każdego w taki sam sposób.