Prawo IT #19 – IT Problematyka cyberbezpieczeństwa w umowach wdrożeniowych

Data: 11.10.2022 / Marcin Szołajski / IT

Dzisiejszy Podcast zostanie poświęcony tematyce związanej z cyberbezpieczeństwem w umowach wdrożeniowych systemów IT.

Zachęcam serdecznie do wysłuchania poprzednich podcastów dotyczących branży IT oraz odwiedzenia naszej strony www.szolajski.com, tam w zakładce blog umieszczone są inne artykuły. Zwracam się również z prośbą o pozostawienie komentarza oraz ocenienia go na Apple Podcasts oraz w Spotify. Pozwoli to nam dotrzeć do szerszego grona zainteresowanych tematyką IT.

Umowa wdrożeniowa jest to umowa, na podstawie której wykonawca dokonuje wdrożenia określonego systemu w środowisku informatycznym zamawiającego. Umowa wdrożeniowa stanowi fundament współpracy obu stron, które biorą udział w projekcie.
Celem takiego kontraktu jest sporządzenie właściwych umów regulujących zasady współpracy i porozumienia. Z reguły są to obszernie rozbudowane regulacje, a ich poszczególne postanowienia odznaczają się skomplikowaną formą.

Zarządzanie i realizacja umów związanych z wykonaniem i dostarczaniem oprogramowania na zamówienie oraz wdrażaniem systemów informatycznych związane jest zarówno z ryzykiem prawnym jak i ryzykiem biznesowym.

Zatem prawidłowo skonstruowana umowa stanowi podstawę sukcesu projektu i pozwala uniknąć szeregu konfliktów w czasie jego realizacji.

Wielokrotnie powtarzam, że do sukcesu związanego z finalizowaniem projektu należy się odpowiednio przygotować już na etapie sporządzania takiej umowy. Wdrożenia systemów informatycznych odznaczają się złożonym procesem trwającym nawet latami.
W zależności od rodzaju wdrożenia oprócz dostarczenia systemu obejmuje ono również świadczenie dodatkowych usług po dokonanym wdrożeniu tj. utrzymanie i rozwój oprogramowania.

Z reguły umowy wdrożeniowe wyczerpująco opisują funkcjonalności i cechy, które powinien mieć system informatyczny oraz szczegółowo określają wymagania techniczne, które powinien spełniać. Natomiast często pomijane jest odpowiednie zabezpieczenie, które ma stanowić barierę przed wyciekiem danych oraz zapobiegać dostępowi nieuprawnionych osób trzecich.

Przede wszystkim warto podkreślić, że zjawisko cyberbezpieczeństwa na gruncie umów wdrożeniowych jest niezwykle istotne, gdyż obejmuje wiele aspektów, także natury prawnej. Warto o tym pamiętać podczas przygotowania umowy wdrożeniowej, że incydenty dotyczące zagrożeń cyberbezpieczeństwa mogą się ujawnić dopiero po wdrożeniu systemu. Stąd umowa wdrożeniowa powinna odpowiednio zabezpieczać system informatyczny w ramach gwarancji na system. Dlatego ważnym jest podkreślenie, ze pominięcie problematyki cyberbezpieczeństwa w umowie może utrudnić lub uniemożliwić pociągnięcie do odpowiedzialności wykonawcy.

Art. 355 par. 2 k.c. Miernik należytej staranności

Miernik należytej staranności ocenia się poprzez zawodowy charakter działalności oraz normy i standardy przyjęte w danej branży.

W praktyce wyprowadzenie z konstrukcji należytej staranności zobowiązania wykonawcy do zapewnienia w systemie informatycznym konkretnych funkcjonalności czy rozwiązań w zakresie cyberbezpieczeństwa jest nie lada wyzwaniem. Strony powinny jednak za pomocą odpowiednich postanowień umowy skonkretyzować kryterium należytej staranności poprzez dokładne określenie środków i celów do realizacji umowy.

Zamawiający powinien opisać swoje wymagania w zakresie cyberezpieczeństwa odwołując się do konkretnych norm i standardów z zakresu cyberbezpieczeństwa (normy ISO, standardy NIST).  Może zobowiązać wykonawcę do przedstawienia odpowiednich certyfikatów z zakresu cyberbezpieczeństwa (np. CISSP). Tym samym pozwoli to na ustalenie zakresu obowiązków wykonawcy oraz jego odpowiedzialności za zapewnienie bezpieczeństwa dostarczanego systemu.

Zatem naruszenie obowiązków w zakresie odpowiedniego zabezpieczenia wdrażanego systemu może świadczyć o nienależytym wykonaniu umowy przez wykonawcę. Niezwykle ważnym aspektem jest dla zamawiającego to, żeby na gruncie umowy wykonawca ponosił odpowiedzialność nie tylko za konkretne szkody (włamanie się do systemu, wyciek informacji), lecz także za brak zapewnienia odpowiedniego zabezpieczenia systemu, co może skutkować wystąpieniem incydentów bezpieczeństwa.

Dlatego kluczowe jest ustalenie w ramach gwarancji na system, że wykonawca ma obowiązek usuwania wad i błędów systemu, które stanowią luki i podatności, niezależnie czy zaistniał skutek (wyciek danych czy dostęp osób nieuprawnionych). Z uwagi na ryzyko związane z wykorzystaniem luk w zabezpieczeniach przez osoby trzecie, zamawiający może dążyć do jak najwcześniejszego ich wykrycia.

W tym celu może przeprowadzić odpowiednie testy systemu, aby sprawdzić zabezpieczenia systemu IT na środowisku produkcyjnym. Służą temu testy penetracyjne systemu IT.

Warto zaznaczyć, że przed zleceniem testów penetracyjnych zamawiający powinien sprawdzić, czy postanowienia licencyjne nie pozwalają na to oraz czy umowa uprawnia go do udostępnienia audytorowi systemu, w zakresie niezbędnym do przeprowadzenia takich testów.
Wskazane jest bowiem, żeby zostały one przeprowadzone przez osoby trzecie, niezależny podmiot od stron umowy i zawodowo zajmujący się działalnością w zakresie cyberbezpieczeństwa. Dlatego też warto pamiętać o zawarciu z audytorem odpowiedniej umowy.

Na skutek przeprowadzonego audytu może dojść do wykrycia luk bezpieczeństwa lub podatności we wdrożonym systemie IT. Oznacza to, że dalsze korzystanie z systemu obarczone jest sporym ryzykiem.

Luki i podatności grożą wyciekiem danych, osobowych i informacji stanowiących tajemnicę przedsiębiorstwa. W przypadku odmowy przez wykonawcę usunięcia luk i podatności, zamawiający może zlecić usunięcie wykrytych luk i podatności bezpieczeństwa podmiotowi trzeciemu w formie wykonania zastępczego.

Możliwość taką przewiduje kodeks cywilny w art. 480 par. 3, jednak wyłącznie w wypadkach nagłych. W celu zapewnienia sobie skutecznego instrumentu tj. wykonania zastępczego w razie wystąpienia incydentów bezpieczeństwa w systemie, zamawiający powinien szczegółowo uregulować takie uprawnienie na gruncie umowy wdrożeniowej. Warto przy tym zaznaczyć, że wykonanie zastępcze nie będzie możliwe, jeżeli zamawiający nie dysponuje kodem źródłowym systemu lub w umowie brak jest postanowień licencyjnych uprawniających zamawiającego do ingerencji w kod źródłowy.

Podsumowanie

Problematyka cyberbezpieczeństwa przy przygotowaniu umowy wdrożeniowej ma istotne znaczenie. Daje możliwość kompleksowego i bezpiecznego wykorzystania wdrożonego systemu z gwarancją odpowiedniego zabezpieczenia przed nieuprawnionym dostępem osób trzecich lub atakami cyberprzestępców.

Brak odpowiedniego zabezpieczenia przy korzystaniu z systemu może doprowadzić do wycieku danych, skutkujących szkodami majątkowymi i wizerunkowym dla zamawiającego. Dlatego warto wprowadzić do umowy wdrożeniowej postanowienia wyznaczające zakres odpowiedzialności wykonawcy za bezpieczeństwo systemu. Kancelaria Szołajski Legal Group aktywnie działa w branży IT na styku prawa i informatyki, wspierając przedsiębiorców na etapie indywidualnego przygotowania danej umowy.

Jeżeli jesteś zainteresowany i poszukujesz doświadczonego doradcy, który profesjonalnie zadba o Twoje interesy, serdecznie zapraszamy do współpracy. Zachęcam serdecznie do wysłuchania poprzednich podcastów dotyczących branży IT oraz odwiedzenia naszej strony www.szolajski.com, tam w zakładce blog umieszczone są inne artykuły.

Autor artykułu

Marcin Szołajski

Radca prawny

Specjalista z zakresu Prawa zamówień publicznych, Prawa własności intelektualnej oraz z zakresu Sukcesji w firmach Rodzinnych. Doradza Wykonawcom składającym oferty w postępowaniu o udzielenie zamówienia publicznego oraz reprezentuje Wykonawców w postępowaniach przed Krajową Izbą Odwoławczą. Reprezentuje konsumentów w sporach sądowych z instytucjami finansowymi (Bankami) w zakresie udzielonych kredytów „frankowych” oraz sprzedaży obligacji GetBack. Wspiera Twórców i Nabywców praw autorskich w procesie prawidłowego przenoszenia praw do utworów i udzielania stosownych licencji. Przeprowadza skuteczne procedury Sukcesji w firmach Rodzinnych. Czytaj więcej

Prawo IT #23 – Umowa chmurowa

Prawo IT #22 – Harmonogram umowy wdrożeniowej

Prawo IT #21 – Przedmiot umowy wdrożeniowej