NIS2 i DORA: Co firmy technologiczne powinny wiedzieć

Dyrektywa o sieciach i systemach informacyjnych (NIS2) oraz ustawa o cyfrowej odporności operacyjnej (DORA) — dwie regulacje, które muszą zostać wdrożone przez określone przedsiębiorstwa w UE w tym roku, z pewnością zmienią krajobraz cyberbezpieczeństwa na całym kontynencie. 
 

Chociaż przepisy NIS2 i DORA niekoniecznie muszą dotyczyć bezpośrednio wszystkich firm z branży IT i oprogramowania, to ich klienci mogą zdecydować się na przeprowadzenie oceny cyberbezpieczeństwa i odporności operacyjnej swoich zewnętrznych krytycznych dostawców pod kątem zgodności ich działalności z przepisami. W związku z tym, niezwykle ważne jest, aby firmy technologiczne były świadome nowych wymagań i możliwych zagrożeń, co pozwoli im wdrożyć odpowiednie strategie mitygacji ryzyka.
 

W niniejszym artykule zasugerowano kilka sposobów, w jakie firmy z branży IT i oprogramowania mogą zminimalizować swoją ekspozycję na ryzyko oraz potencjalną odpowiedzialność, biorąc pod uwagę nowe przepisy. 

Przejrzystość i komunikacja jako podstawa

Procedury ujawniania luk w oprogramowaniu (VDP): Rozwijaj kulturę odpowiedzialnego zgłaszania luk w zabezpieczeniach poprzez ustanowienie dobrze zdefiniowanych procedur VDP. Należy zachęcać klientów do zgłaszania luk w zabezpieczeniach swojemu dostawcy IT lub oprogramowania. Procedury VDP powinny jasno określać sposób zgłaszania luk w zabezpieczeniach i proces uzgadniania poprawek oraz zapewniać zgłaszającym anonimowość i ochronę przed działaniami odwetowymi.
 

Zarządzanie poprawkami: Ustanów system szybkiego łatania podatności zidentyfikowanych w wyniku testów wewnętrznych lub raportów klientów. W przypadku wykrycia podatności, firmy IT powinny jasno poinformować klientów o charakterze problemu, jego potencjalnych skutkach oraz dostępności poprawki lub aktualizacji. 
 

Używanie jasnego języka: Podczas informowania klientów o kwestiach bezpieczeństwa lub aktualizacjach unikaj żargonu lub zbyt technicznego języka. Używanie klarownych i precyzyjnych sformułowań sprawi, że przekaz będzie łatwy do zrozumienia dla klientów. 
 

Dokumentowanie wszystkich działań: Firmy IT powinny tworzyć właściwie zdefiniowane procesy, tak aby dokumentować wszystkie interakcje z klientami, w tym udzielane porady czy wszelkie zawarte umowy. W przypadku nieporozumienia z klientem lub ryzykiem powstania odpowiedzialności, posiadanie szczegółowej dokumentacji może pomóc w uzasadnieniu przyjętego stanowiska.    
 

Zaufanie klienta: Zdobycie certyfikatów lub raportów z audytu SOC2 daje pewnośćklientom, że środowisko kontroli bezpieczeństwa ich dostawcy IT jest bezpieczne i spełnia wysokie standardy. Należy być przygotowanym na udostępnianie klientom i organom regulacyjnym dowodów testów kontrolnych w określonych okolicznościach. 
 

Testy penetracyjne pod kątem zagrożeń: Jeśli klienci tego wymagają, firmy IT powinny planować udział w testach penetracyjnych pod kątem zagrożeń, w tym we wspólnych testach.

Wykorzystanie potencjału umów

Jasno sformułowane zastrzeżenia: W celu jasnego określenia oczekiwań, dostawcy oprogramowania powinni umieszczać w umowach licencyjnych na oprogramowanie zastrzeżenia wskazujące ograniczenia funkcjonalności w zakresie bezpieczeństwa. Należy wyraźnie określić, do czego oprogramowanie zostało zaprojektowane i jakie środki bezpieczeństwa zostały wdrożone w ramach jego funkcjonalności.
 

Zakres usług: Dobrze zdefiniowana umowa dotycząca poziomu usług (SLA) określa konkretne usługi świadczone przez firmę technologiczną oraz jej obowiązki. Pomoże to dokładnie ustalić, za co firma ponosi odpowiedzialność. Aby uniknąć wątpliwości, przydatne jest również określenie, czego dostawca IT nie będzie robić. 
 

Obowiązki klienta: Umowa powinna jasno określać obowiązki klienta w zakresie bezpieczeństwa, z których najważniejszym jest powiadamianie o incydentach. Obowiązki mogą również obejmować terminowe aktualizacje oprogramowania, odpowiednią kontrolę dostępu użytkowników i przestrzeganie najlepszych praktyk w zakresie bezpieczeństwa. W przypadku współpracy z dużymi organizacjami, które posiadają własne działy IT, należy jeszcze bardziej zwrócić uwagę na to, aby jasno określić obowiązki każdej ze stron. 
 

Ograniczenie odpowiedzialności: Rozważ włączenie do umów między dostawcą IT, a klientem zapisów dotyczących ograniczenia odpowiedzialności, które wyłączają odpowiedzialność za straty pośrednie lub następcze, wynikające z cyberataków oraz zadbaj o to, by odpowiedzialność była zawsze zlimitowana do rozsądnej kwoty. Zapisy te mogą pomóc w zarządzaniu potencjalną ekspozycją na ryzyko powstania odpowiedzialności.
 

Klauzule odszkodowawcze: W niektórych przypadkach, firmy z branży IT i oprogramowania mogą rozważyć włączenie do umów klauzul odszkodowawczych. Mogą także zdecydować się na włączenie do umowy klauzul dotyczących siły wyższej, np. definiujących cyberatak jako siłę wyższą. Takie klauzule mogą przenosić część odpowiedzialności na klienta, ale są one złożone i mogą nie być skuteczne we wszystkich jurysdykcjach. Należy koniecznie skonsultować się z działem prawnym. 

Zwiększanie wiedzy i kompetencji klientów

Dokumentacja dot. bezpieczeństwa: Kompleksowa dokumentacja dotycząca bezpieczeństwa IT umożliwia klientom bezpieczne korzystanie z oprogramowania. Dokumentacja ta powinna przedstawiać najlepsze praktyki w zakresie bezpiecznej konfiguracji i wdrażania oprogramowania oraz pomagać w optymalnym wykorzystaniu jego funkcjonalności z zakresu bezpieczeństwa. Jak wspomniano wyżej, język tej dokumentacji powinien być precyzyjny i zrozumiały. 
 

Informowanie klientów: Firmy z branży IT powinny starać się informować klientów, jeżeli ich aktualny poziom bezpieczeństwa IT jest niewystarczający. Dotyczy to sytuacji, gdy np. nie korzystają z uwierzytelniania wieloskładnikowego lub mają słabą zaporę sieciową. Za każdym razem, gdy klienci są informowani o tego rodzaju lukach w zabezpieczeniach, należy to wyraźnie udokumentować.  
 

Szkolenie z zakresu podnoszenia świadomości bezpieczeństwa: Firmy technologiczne powinny rozważyć oferowanie swoim klientom szkoleń z zakresu cyberbezpieczeństwa. Dzięki temu szkoleniu będą mogli nauczyć się, jak bezpiecznie korzystać z systemów IT oraz identyfikować potencjalne zagrożenia. Równie ważne jest, aby firmy IT przeprowadzały podobne szkolenia wewnętrznie. 

 Podsumowanie

Są to wyłącznie zalecenia ogólne, a konkretne wdrożone procesy będą zależeć od charakteru działalności i produktów firmy technologicznej, jej rynku docelowego oraz otoczenia prawnego, w którym działa. Konieczne jest skonsultowanie się z działem prawnym i ubezpieczycielem, aby upewnić się, że stosowane podejście jest zgodne z odpowiednimi przepisami i najlepszymi praktykami. Jednakże przedstawione tutaj ogólne zasady mogą pomóc firmom z branży IT w zbudowaniu skuteczniejszych i bardziej odpornych struktur ograniczających ryzyko i możliwość powstania odpowiedzialności.  
 

Od ubezpieczeń odpowiedzialności cywilnej prowadzonej działalności, przez cyber, ubezpieczenie majątkowe, aż po OC zawodową, dział Technology Industry Practice firmy Chubb zapewnia rozwiązania ubezpieczeniowe dla firm technologicznych o różnej skali i różnym profilu.