Aktualności
Czy outsourcing IT zwalnia z obowiązków KSC NIS2

Czy outsourcing IT zwalnia z obowiązków KSC NIS2?

Coraz więcej organizacji korzysta z usług zewnętrznych dostawców IT. Administracja publiczna, spółki komunalne, firmy produkcyjne, podmioty z sektora ochrony zdrowia czy przedsiębiorstwa prywatne powierzają partnerom zarządzanie infrastrukturą, utrzymanie systemów, cyberbezpieczeństwo, usługi chmurowe oraz wsparcie użytkowników. To naturalny kierunek rozwoju – outsourcing pozwala ograniczyć koszty, zwiększyć dostęp do specjalistycznej wiedzy i szybciej reagować na zmieniające się potrzeby biznesowe.

Wraz z wejściem w życie dyrektywy NIS2 oraz nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC) pojawia się jednak pytanie, które zadaje sobie wiele organizacji:

Czy przekazanie obsługi IT zewnętrznej firmie oznacza również przekazanie odpowiedzialności za cyberbezpieczeństwo?

Odpowiedź jest jednoznaczna – nie. Outsourcing usług IT nie zwalnia organizacji z obowiązków wynikających z NIS2 ani z odpowiedzialności za bezpieczeństwo świadczonych usług.

Kto odpowiada za zgodność z NIS2?

Jednym z fundamentów dyrektywy NIS2 jest założenie, że za zarządzanie cyberbezpieczeństwem odpowiada podmiot kluczowy lub podmiot ważny, niezależnie od tego, kto faktycznie realizuje poszczególne usługi IT.

Oznacza to, że nawet jeśli:

  • administrację systemami prowadzi firma zewnętrzna,
  • bezpieczeństwem zajmuje się dostawca usług SOC,
  • kopie zapasowe wykonuje partner technologiczny,
  • środowisko działa w chmurze,

to odpowiedzialność za spełnienie wymagań NIS2 nadal spoczywa na organizacji objętej przepisami.

Nie można przenieść odpowiedzialności ustawowej na dostawcę poprzez podpisanie umowy outsourcingowej.

NIS2 zwraca szczególną uwagę na łańcuch dostaw

Jedną z największych zmian wprowadzonych przez dyrektywę NIS2 jest większy nacisk na bezpieczeństwo całego łańcucha dostaw.

Coraz więcej cyberataków nie jest wymierzonych bezpośrednio w organizację docelową. Cyberprzestępcy coraz częściej wykorzystują słabiej zabezpieczonych partnerów biznesowych, dostawców usług IT czy firmy utrzymujące infrastrukturę.

Dlatego organizacje objęte NIS2 powinny nie tylko zabezpieczać własne systemy, ale również oceniać poziom bezpieczeństwa swoich dostawców.

W praktyce oznacza to konieczność zarządzania ryzykiem związanym z podmiotami zewnętrznymi.

Jakie obowiązki dotyczą współpracy z dostawcami?

Dyrektywa NIS2 wymaga, aby organizacje uwzględniały bezpieczeństwo dostawców w procesie zarządzania ryzykiem.

W praktyce warto zweryfikować między innymi:

  • poziom zabezpieczeń stosowanych przez partnera,
  • sposób zarządzania incydentami,
  • procedury tworzenia kopii zapasowych,
  • politykę zarządzania dostępami,
  • stosowane mechanizmy uwierzytelniania,
  • zgodność z wymaganiami KSC i NIS2,
  • możliwość przeprowadzenia audytu lub uzyskania odpowiedniej dokumentacji bezpieczeństwa.

Im większy zakres usług przekazano partnerowi, tym większe znaczenie ma jego dojrzałość w obszarze cyberbezpieczeństwa.

Czy dostawca usług IT powinien uczestniczyć we wdrożeniu NIS2?

Zdecydowanie tak.

Dobry partner technologiczny nie ogranicza się wyłącznie do utrzymania infrastruktury IT. Powinien aktywnie wspierać organizację w realizacji obowiązków wynikających z nowych przepisów.

Może to obejmować między innymi:

  • analizę obecnego poziomu bezpieczeństwa,
  • identyfikację luk,
  • wdrażanie wymaganych zabezpieczeń,
  • monitorowanie środowiska,
  • wsparcie podczas obsługi incydentów,
  • przygotowanie do audytów.

Należy jednak pamiętać, że partner wspiera organizację, ale nie przejmuje jej odpowiedzialności wynikającej z przepisów prawa.

Co z odpowiedzialnością zarządu?

Dyrektywa NIS2 wprowadza również nowe obowiązki dla kierownictwa organizacji.

Zgodnie z jej przepisami zarząd odpowiada za zatwierdzanie środków zarządzania ryzykiem cyberbezpieczeństwa oraz nadzorowanie ich wdrażania.

Oznacza to, że nawet jeśli całość infrastruktury IT została powierzona zewnętrznemu partnerowi, członkowie kierownictwa nadal odpowiadają za:

  • właściwy nadzór nad bezpieczeństwem,
  • podejmowanie decyzji dotyczących cyberbezpieczeństwa,
  • zapewnienie odpowiednich środków organizacyjnych i technicznych,
  • nadzór nad dostawcami usług.

Cyberbezpieczeństwo staje się więc elementem zarządzania organizacją, a nie wyłącznie zadaniem działu IT.

Jak wybrać dostawcę usług IT zgodnego z NIS2?

W nowych realiach cena nie powinna być jedynym kryterium wyboru partnera.

Znacznie ważniejsze stają się jego kompetencje oraz dojrzałość organizacyjna.

Przed podpisaniem umowy warto zweryfikować, czy dostawca:

  • posiada doświadczenie w cyberbezpieczeństwie,
  • świadczy usługi monitorowania bezpieczeństwa,
  • dysponuje procedurami reagowania na incydenty,
  • wykonuje regularne testy kopii zapasowych,
  • prowadzi dokumentację zgodną z wymaganiami,
  • rozumie obowiązki wynikające z KSC/NIS2.

Dzięki temu organizacja zmniejsza ryzyko współpracy z partnerem, który sam może stać się najsłabszym ogniwem całego systemu bezpieczeństwa.

Jakie zapisy powinny znaleźć się w umowie outsourcingowej?

Coraz większego znaczenia nabierają również odpowiednie zapisy umowne.

Warto zadbać o to, aby umowa regulowała między innymi:

  • zakres odpowiedzialności obu stron,
  • sposób zgłaszania incydentów,
  • maksymalny czas reakcji,
  • obowiązki związane z tworzeniem kopii zapasowych,
  • zasady przeprowadzania audytów,
  • wymagania dotyczące poufności i ochrony danych,
  • procedury zakończenia współpracy i przekazania środowiska.

Dobrze przygotowana umowa stanowi jeden z elementów skutecznego zarządzania ryzykiem.

Outsourcing może zwiększyć poziom bezpieczeństwa

Choć outsourcing nie zwalnia z odpowiedzialności, odpowiednio dobrany partner może znacząco zwiększyć poziom cyberbezpieczeństwa organizacji.

Dzieje się tak dlatego, że wyspecjalizowane firmy IT dysponują:

  • zespołami ekspertów,
  • nowoczesnymi narzędziami monitorowania,
  • doświadczeniem zdobytym podczas realizacji wielu projektów,
  • dostępem do najnowszej wiedzy o zagrożeniach.

Dla wielu organizacji samodzielne budowanie takich kompetencji byłoby znacznie droższe i bardziej czasochłonne niż współpraca z doświadczonym partnerem.

Najczęstsze błędy organizacji

Podczas przygotowań do wdrożenia KSC/NIS2 często spotykamy się z błędnym przekonaniem, że skoro za infrastrukturę odpowiada firma zewnętrzna, to wszystkie obowiązki regulacyjne również przechodzą na nią.

To jeden z najczęściej popełnianych błędów.

Do innych należą:

  • brak oceny ryzyka dostawców,
  • brak zapisów dotyczących bezpieczeństwa w umowach,
  • brak kontroli nad świadczonymi usługami,
  • brak procedur współpracy podczas incydentów,
  • nieweryfikowanie poziomu bezpieczeństwa partnerów.

Podsumowanie

Outsourcing usług IT może znacząco zwiększyć poziom bezpieczeństwa organizacji, ale nie zwalnia jej z odpowiedzialności wynikającej z dyrektywy NIS2 oraz ustawy o Krajowym Systemie Cyberbezpieczeństwa. To organizacja – jako podmiot kluczowy lub ważny – odpowiada za zarządzanie ryzykiem, nadzór nad dostawcami oraz spełnienie obowiązków regulacyjnych.

Dlatego wybór partnera IT powinien być traktowany nie tylko jako decyzja technologiczna, ale również jako element strategii cyberbezpieczeństwa. Współpraca z doświadczonym dostawcą, który rozumie wymagania KSC/NIS2, pozwala skuteczniej zarządzać ryzykiem, przygotować organizację do audytów oraz budować odporność na współczesne cyberzagrożenia. W erze nowych regulacji outsourcing nie oznacza przekazania odpowiedzialności – oznacza zyskanie partnera, który pomaga ją właściwie realizować.

Zaufaj ekspertom IT

Mamy bogate doświadczenie w realizacji kompleksowych rozwiązań do ochrony danych i zapobiegania wyciekom informacji dla firm różnej wielkości. Nasze rozwiązania są dostosowane do indywidualnych potrzeb klientów, tak, abyś mógł skupić się na kluczowych aspektach prowadzenia biznesu.

Chcesz dowiedzieć się więcej?

Skontaktuj się z nami, a przygotujemy dla Ciebie szczegółową ofertę przygotowaną indywidualnie do Twojej firmy: KONTAKT

Odwiedź nas także na: Facebook

Polecamy: Acronis Cyber Protect – kompleksowa ochrona danych i zabezpieczenie przed cyberzagrożeniami. Dlaczego warto wdrożyć go z Direct IT?

direct-przekladka-do-artykulow