Cybersecurity Services Agreement Poland
zawarta na podstawie art. 353[1] i art. 750 Kodeksu cywilnego oraz przepisów ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa
Zawarta w miejscowości [Miejsce Data] pomiędzy:
Strony
[Zamawiajacy Nazwa], [Zamawiajacy Dane], zwanym dalej „Zamawiającym”,
a
[Dostawca Nazwa], [Dostawca Dane], zwanym dalej „Dostawcą”.
Przedmiot umowy
§ 1. Przedmiot umowy i zakres usług
1. Dostawca zobowiązuje się świadczyć na rzecz Zamawiającego usługi cyberbezpieczeństwa obejmujące: [Zakres Uslug].
2. Umowa jest umową o świadczenie usług (art. 353[1] i art. 750 w zw. z art. 734 Kodeksu cywilnego), w ramach której Dostawca działa z najwyższą starannością wymaganą od profesjonalisty (art. 355 § 2 Kodeksu cywilnego).
3. Dostawca jest zobowiązany do przestrzegania przepisów ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. 2018 poz. 1560 ze zm.) i rozporządzenia (UE) 2022/2554 (DORA) w zakresie mającym zastosowanie.
SLA i incydenty
§ 2. Poziomy usług (SLA) i reagowanie na incydenty
4. Dostawca zapewnia czasy reakcji i parametry usług: [Parametry S L A].
5. Za naruszenie czasów reakcji Dostawca ponosi kary umowne zastrzeżone za zobowiązanie niepieniężne (art. 483 Kodeksu cywilnego) w wysokości określonej w Załączniku nr 1 — SLA.
6. Dostawca prowadzi rejestr incydentów bezpieczeństwa z klasyfikacją według kategorii (krytyczne, wysokie, średnie, niskie) i udostępnia raporty miesięczne Zamawiającemu.
Obowiązki zgłoszeniowe
§ 3. Obowiązki zgłoszeniowe i regulacyjne
7. Procedury zgłaszania incydentów i powiadamiania organów regulacyjnych: [Obowiazki Zgloszen].
8. Dostawca asystuje Zamawiającemu w wypełnieniu obowiązków zgłoszeniowych wynikających z art. 33 rozporządzenia (UE) 2016/679 (RODO) wobec Prezesa Urzędu Ochrony Danych Osobowych (PUODO) i z ustawy o krajowym systemie cyberbezpieczeństwa wobec CSIRT NASK.
9. Dostawca niezwłocznie, nie później jednak niż w ciągu 4 godzin od wykrycia naruszenia ochrony danych, powiadamia Zamawiającego o incydentach mogących stanowić naruszenie ochrony danych osobowych w rozumieniu art. 4 pkt 12 RODO.
Wynagrodzenie
§ 4. Wynagrodzenie
10. Z tytułu świadczonych usług Dostawcy przysługuje wynagrodzenie: [Wynagrodzenie].
11. Do wynagrodzenia netto dolicza się podatek od towarów i usług według stawki 23% zgodnie z ustawą z dnia 11 marca 2004 r. o podatku od towarów i usług.
12. W razie opóźnienia w zapłacie Dostawcy przysługują odsetki ustawowe za opóźnienie (art. 481 Kodeksu cywilnego) oraz rekompensata z ustawy z dnia 8 marca 2013 r. o przeciwdziałaniu nadmiernym opóźnieniom w transakcjach handlowych.
Poufność i bezpieczeństwo
§ 5. Poufność, bezpieczeństwo i ochrona danych
13. Zasady poufności i dostępu do systemów: [Poufnosc]. Ochrona tajemnicy przedsiębiorstwa na podstawie art. 11 ustawy z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji.
14. Dostawca przetwarza dane osobowe Zamawiającego wyłącznie jako podmiot przetwarzający na podstawie odrębnej umowy powierzenia zgodnej z art. 28 RODO. Wdrożenie środków technicznych i organizacyjnych zgodnie z art. 32 RODO.
15. Dostawca dokumentuje uprawnienia do dostępu do systemów Zamawiającego i stosuje zasadę minimalnych uprawnień (least privilege). Po zakończeniu umowy Dostawca usuwa wszelkie dane i dostępy w terminie 14 dni.
Odpowiedzialność
§ 6. Odpowiedzialność
16. Dostawca odpowiada za niewykonanie lub nienależyte wykonanie zobowiązania na zasadach art. 471 Kodeksu cywilnego, z zastrzeżeniem ograniczeń wynikających z umowy.
17. Dostawca nie ponosi odpowiedzialności za incydenty wynikające z działania lub zaniechania Zamawiającego, niezastosowania się do rekomendacji Dostawcy udokumentowanych pisemnie lub działania siły wyższej.
18. Maksymalna odpowiedzialność Dostawcy w ciągu roku obowiązywania umowy jest ograniczona do wysokości rocznego wynagrodzenia netto, z wyłączeniem szkód wyrządzonych umyślnie (art. 473 § 2 Kodeksu cywilnego).
Postanowienia końcowe
§ 7. Postanowienia końcowe
19. Umowa obowiązuje przez 2 lata od daty zawarcia z możliwością przedłużenia na kolejne lata w drodze aneksu. Okres wypowiedzenia — 3 miesiące na koniec okresu umownego.
20. W sprawach nieuregulowanych stosuje się przepisy Kodeksu cywilnego i ustawy o krajowym systemie cyberbezpieczeństwa.
21. Wszelkie zmiany wymagają formy pisemnej pod rygorem nieważności.
22. Spory rozstrzyga sąd właściwy dla siedziby Zamawiającego. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach.
Podpisy
_______________________________ _______________________________
Zamawiający Dostawca
Zamawiający
________________
Signature
Dostawca
________________
Signature
What Is a Cybersecurity Services Agreement Poland?
Umowa o cyberbezpieczeństwo w Polsce to umowa, na podstawie której wyspecjalizowany dostawca usług bezpieczeństwa informatycznego (MSSP — Managed Security Services Provider) zobowiązuje się świadczyć na rzecz zamawiającego kompleksowe usługi ochrony systemów informatycznych przed cyberatakami, a zamawiający zobowiązuje się do zapłaty wynagrodzenia. Usługi cyberbezpieczeństwa obejmują monitoring zagrożeń, reagowanie na incydenty, testy penetracyjne, zarządzanie podatnościami, audyty bezpieczeństwa oraz szkolenia pracowników.
Podstawę prawną umowy o cyberbezpieczeństwo stanowią: zasada swobody umów z art. 353[1] Kodeksu cywilnego (ustawa z dnia 23 kwietnia 1964 r., Dz.U. 1964 nr 16 poz. 93 ze zm.), przepisy o zleceniu (art. 734 i następne w zw. z art. 750) jako umowy starannego działania, a dla podmiotów objętych regulacjami — ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (ustawa o KSC, Dz.U. 2018 poz. 1560 ze zm.), która implementuje dyrektywę UE NIS (2016/1148) i określa obowiązki operatorów usług kluczowych i dostawców usług cyfrowych w zakresie bezpieczeństwa.
Ustawa o krajowym systemie cyberbezpieczeństwa (KSC) nakłada na operatorów usług kluczowych z sektorów energetyki, transportu, bankowości, ochrony zdrowia, zaopatrzenia w wodę i infrastruktury cyfrowej obowiązki w zakresie wdrożenia środków bezpieczeństwa, zarządzania incydentami i współpracy z CSIRT NASK (Computer Security Incident Response Team działającym przy Naukowej i Akademickiej Sieci Komputerowej — Państwowym Instytucie Badawczym). Operatorzy są zobowiązani do zgłaszania poważnych incydentów do CSIRT NASK w ciągu 24 godzin od wykrycia.
Ochrona danych osobowych jest integralną częścią cyberbezpieczeństwa. Naruszenie ochrony danych osobowych (data breach) musi być zgłoszone Prezesowi Urzędu Ochrony Danych Osobowych (PUODO) w ciągu 72 godzin od wykrycia, zgodnie z art. 33 rozporządzenia (UE) 2016/679 (RODO). Gdy dostawca usług cyberbezpieczeństwa w ramach monitoringu uzyskuje dostęp do danych osobowych zamawiającego, konieczna jest umowa powierzenia przetwarzania zgodna z art. 28 RODO z zachowaniem środków bezpieczeństwa z art. 32 RODO.
Umowa o cyberbezpieczeństwo zawiera zazwyczaj parametry SLA dotyczące czasów reakcji na incydenty sklasyfikowane według poziomu zagrożenia: krytyczne (np. ransomware, breach), wysokie, średnie i niskie. Naruszenie czasów reakcji jest zobowiązaniem niepieniężnym, które można zabezpieczyć karą umowną (art. 483 Kodeksu cywilnego). Szczególnie wrażliwe informacje ujawnione w raportach z testów penetracyjnych i audytów — listy podatności, architektura sieci, konfiguracje urządzeń — wymagają ochrony jako tajemnica przedsiębiorstwa na podstawie art. 11 ustawy z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji.
When Do You Need a Cybersecurity Services Agreement Poland?
Umowa o cyberbezpieczeństwo w Polsce jest potrzebna wówczas, gdy przedsiębiorstwo zleca zewnętrznemu dostawcy ochronę swoich systemów informatycznych przed zagrożeniami cyfrowymi.
Operatorzy usług kluczowych. Podmioty z sektorów energetyki, transportu, bankowości i ochrony zdrowia objęte ustawą o krajowym systemie cyberbezpieczeństwa (KSC) są zobowiązane wdrożyć środki bezpieczeństwa i zarządzać incydentami. Outsourcing usług SOC do wyspecjalizowanego MSSP wymaga umowy o cyberbezpieczeństwo precyzującej zakres monitorowania, czasy reakcji i obowiązki zgłoszeniowe wobec CSIRT NASK.
Sektor finansowy — DORA. Instytucje finansowe, banki, zakłady ubezpieczeń i inne podmioty rynku finansowego objęte rozporządzeniem (UE) 2022/2554 (DORA — Digital Operational Resilience Act) są zobowiązane do zarządzania ryzykiem operacyjnym ICT, co obejmuje umowy z dostawcami usług cyberbezpieczeństwa spełniające wymogi DORA dotyczące klauzul umownych, audytu i exit strategy.
Zamówienia publiczne i administracja. Jednostki sektora finansów publicznych zamawiające monitoring bezpieczeństwa i testy penetracyjne zawierają umowę o cyberbezpieczeństwo regulującą dostęp do systemów rządowych, poufność wyników testów i zgodność z przepisami o ochronie informacji niejawnych.
MSP po incydencie lub dla prewencji. Małe i średnie przedsiębiorstwa, które doświadczyły ataku ransomware lub phishingu, zawierają umowę o cyberbezpieczeństwo jako element planu odbudowy i wzmocnienia bezpieczeństwa, obejmującą monitoring, szkolenia i procedury reagowania na incydenty.
Testy penetracyjne i audyty bezpieczeństwa. Firmy zamawiające jednorazowe testy penetracyjne (penetration testing) lub audyt bezpieczeństwa IT zawierają umowę regulującą zakres testów, dostęp do systemów, poufność wyników i zasady odpowiedzialności za ewentualne szkody w trakcie testów.
Zarządzanie podatnościami. Organizacje zarządzające złożoną infrastrukturą IT zawierają umowę o ciągłe zarządzanie podatnościami (vulnerability management), obejmujące skanowanie, priorytetyzację i śledzenie usuwania podatności przez zamawiającego.
What to Include in Your Cybersecurity Services Agreement Poland
Umowa o cyberbezpieczeństwo w Polsce powinna zawierać następujące kluczowe elementy.
Oznaczenie stron. Pełne dane zamawiającego i dostawcy (firma, adres, NIP, KRS lub CEIDG), dane osób odpowiedzialnych za realizację umowy (CISO lub IT Security Manager zamawiającego, account manager dostawcy).
Szczegółowy zakres usług. Precyzyjny opis usług: monitoring SOC 24/7, testy penetracyjne (zakres, częstotliwość, metodologia — OWASP, PTES, NIST), audyty bezpieczeństwa, zarządzanie podatnościami, incident response (IR), zarządzanie dostępem uprzywilejowanym (PAM), szkolenia. forms-legal.com zaleca określenie, które usługi są objęte abonamentem, a które rozliczane oddzielnie.
Parametry SLA i klasyfikacja incydentów. Definicja kategorii incydentów (krytyczne, wysokie, średnie, niskie) z czasami reakcji i eskalacji. Kary umowne za naruszenie SLA (art. 483 Kodeksu cywilnego za zobowiązanie niepieniężne).
Obowiązki zgłoszeniowe. Procedura powiadamiania zamawiającego o incydentach bezpieczeństwa (w tym data breach w 4 h wewnętrznie, PUODO/UODO w 72 h na podstawie art. 33 RODO, CSIRT NASK w 24 h na podstawie ustawy o KSC). Dostawca asystuje przy sporządzaniu zgłoszeń.
Poufność wyników testów i raportów. Raporty z testów penetracyjnych i audytów zawierają krytyczne informacje o podatnościach systemu zamawiającego. Ochrona jako tajemnica przedsiębiorstwa (art. 11 ustawy o zwalczaniu nieuczciwej konkurencji) przez określony czas (np. 10 lat). Bezpieczne przechowywanie i niszczenie raportów po zakończeniu umowy.
Powierzenie przetwarzania danych (RODO art. 28). Jeżeli dostawca monitoruje ruch sieciowy zawierający dane osobowe, konieczna jest umowa powierzenia z wymogami art. 28 RODO: środki bezpieczeństwa (art. 32), podpowierzenie, pomoc administratorowi, usunięcie danych po zakończeniu.
Odpowiedzialność. Zakres odpowiedzialności dostawcy za niewykonanie zobowiązania (art. 471 KC), limit odpowiedzialności (np. roczne wynagrodzenie), wyłączenia odpowiedzialności (incydenty z winy zamawiającego, niezastosowanie rekomendacji), zakaz wyłączenia odpowiedzialności umyślnej (art. 473 § 2 KC).
Dostęp do systemów i zasada minimalnych uprawnień. Procedury udzielania i odbierania dostępu do systemów zamawiającego (zasada least privilege), rejestr dostępów, usunięcie dostępów po zakończeniu umowy, narzędzia hakerskie używane wyłącznie za pisemną zgodą.
How to Fill Out Your Cybersecurity Services Agreement Poland
Umowa o cyberbezpieczeństwo w Polsce wypełniana jest według poniższych kroków.
Krok 1 — oznacz strony. Wpisz pełne dane zamawiającego i dostawcy: firmę, adres, NIP, KRS lub CEIDG. Wskaż CISO lub osobę odpowiedzialną za bezpieczeństwo IT po stronie zamawiającego.
Krok 2 — opisz zakres usług. Wymień wszystkie usługi objęte umową: monitoring SOC, testy penetracyjne, audyty, incident response, szkolenia. Wyodrębnij usługi objęte abonamentem od usług jednorazowych (testy, szkolenia). Dołącz szczegółową specyfikację usług jako Załącznik nr 1.
Krok 3 — ustal parametry SLA. Wpisz definicje kategorii incydentów (krytyczne/wysokie/średnie/niskie) z czasami reakcji i eskalacji. Wskaż kary umowne za naruszenie SLA (art. 483 Kodeksu cywilnego).
Krok 4 — ureguluj obowiązki zgłoszeniowe. Wpisz procedurę zgłaszania incydentów: powiadomienie wewnętrzne w 4 h, zgłoszenie do PUODO w 72 h (art. 33 RODO), zgłoszenie do CSIRT NASK w 24 h (ustawa o KSC). Wskaż obowiązek asysty dostawcy przy sporządzaniu zgłoszeń.
Krok 5 — ustal wynagrodzenie. Wpisz abonament miesięczny netto plus VAT 23% i stawki za usługi jednorazowe. Wskaż termin płatności i odsetki za opóźnienie (art. 481 KC).
Krok 6 — ureguluj poufność. Wpisz zasady poufności raportów z testów penetracyjnych i podatności systemu (art. 11 ustawy o zwalczaniu nieuczciwej konkurencji), czas trwania zobowiązania i procedurę niszczenia raportów.
Krok 7 — ureguluj RODO. Wskaż, że dostawca jest podmiotem przetwarzającym i zawrzyj umowę powierzenia jako Załącznik nr 2 zgodnie z art. 28 RODO.
Krok 8 — ureguluj dostęp do systemów. Wskaż zasadę minimalnych uprawnień, rejestr dostępów i obowiązek ich usunięcia po zakończeniu umowy.
Krok 9 — podpisz umowę. Wpisz miejscowość i datę. Podpisz w dwóch egzemplarzach lub z kwalifikowanym podpisem elektronicznym (art. 78[1] Kodeksu cywilnego).
Legal Requirements for Cybersecurity Services Agreement Poland
Umowa o cyberbezpieczeństwo w Polsce podlega przepisom Kodeksu cywilnego, ustawy o KSC, RODO i prawa podatkowego.
Ustawa o krajowym systemie cyberbezpieczeństwa (KSC). Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz.U. 2018 poz. 1560 ze zm.) implementuje dyrektywę (UE) 2016/1148 (NIS). Nakłada na operatorów usług kluczowych z sektorów energetyki, transportu, bankowości, infrastruktury rynków finansowych, ochrony zdrowia, zaopatrzenia w wodę pitną i infrastruktury cyfrowej obowiązek wdrożenia środków zarządzania ryzykiem cyberbezpieczeństwa (art. 8 ustawy o KSC) i zgłaszania poważnych incydentów do CSIRT NASK w ciągu 24 godzin od wykrycia (art. 11). Dostawcy usług cyfrowych mają analogiczne obowiązki z art. 18 tej ustawy.
RODO i naruszenia ochrony danych. Art. 33 RODO nakłada na administratora obowiązek zgłoszenia naruszenia ochrony danych osobowych do organu nadzorczego (PUODO) bez zbędnej zwłoki, nie później niż 72 godziny od stwierdzenia naruszenia. Art. 28 RODO reguluje powierzenie przetwarzania danych dostawcy usług cyberbezpieczeństwa. Art. 32 RODO nakłada obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych bezpieczeństwa. Nadzór sprawuje Prezes Urzędu Ochrony Danych Osobowych (PUODO).
RODO — DORA. Podmioty finansowe objęte rozporządzeniem (UE) 2022/2554 (DORA) są zobowiązane do zarządzania ryzykiem operacyjnym ICT, stosowania umów z kluczowymi dostawcami usług IT (w tym cyberbezpieczeństwa) zawierających klauzule wymagane przez art. 30 DORA (zakres, poziomy usług, audyt, exit strategy) oraz do testowania odporności cyfrowej (TLPT — Threat-Led Penetration Testing).
Odpowiedzialność kontraktowa. Dostawca odpowiada za niewykonanie lub nienależyte wykonanie zobowiązania na zasadach art. 471 Kodeksu cywilnego. Strony mogą umownie ograniczyć odpowiedzialność, lecz nie mogą wyłączyć odpowiedzialności za szkodę wyrządzoną umyślnie (art. 473 § 2). Kary umowne za naruszenie SLA (zobowiązanie niepieniężne) zastrzega się na podstawie art. 483 Kodeksu cywilnego i podlegają miarkowaniu z art. 484 § 2.
Forma umowy. Umowa o cyberbezpieczeństwo nie wymaga formy szczególnej pod rygorem nieważności. Zaleca się formę pisemną lub elektroniczną z kwalifikowanym podpisem elektronicznym (art. 78[1] Kodeksu cywilnego) ze względów dowodowych i regulacyjnych.
Common Mistakes to Avoid in Your Cybersecurity Services Agreement Poland
Umowa o cyberbezpieczeństwo w Polsce bywa wadliwa z powodu typowych błędów.
Błąd 1 — brak precyzyjnych SLA dla kategorii incydentów. Umowy bez zdefiniowanych kategorii incydentów i mierzalnych czasów reakcji są nieskuteczne. Zalecenie: zdefiniuj kategorie (krytyczne/wysokie/średnie/niskie) z precyzyjnymi czasami reakcji i usuwania oraz karami umownymi (art. 483 KC).
Błąd 2 — brak regulacji obowiązków zgłoszeniowych. Pominięcie procedury powiadamiania PUODO (RODO art. 33) i CSIRT NASK (KSC) naraża zamawiającego na odpowiedzialność za spóźnione zgłoszenie. Zalecenie: wpisz terminy i procedury powiadamiania, zobowiązując dostawcę do asysty i natychmiastowego alertowania (4 h wewnętrznie).
Błąd 3 — brak umowy powierzenia RODO. Monitoring ruchu sieciowego zawierającego dane osobowe bez umowy powierzenia narusza RODO. Zalecenie: zawrzyj odrębną umowę powierzenia spełniającą wymogi art. 28 RODO ze środkami bezpieczeństwa art. 32.
Błąd 4 — brak ochrony raportów z testów penetracyjnych. Raporty zawierają listę krytycznych podatności systemu zamawiającego. Bez klauzuli poufności mogą trafić do nieuprawnionych podmiotów. Zalecenie: objęj raporty ochroną tajemnicy przedsiębiorstwa (art. 11 ustawy o zwalczaniu nieuczciwej konkurencji) przez co najmniej 5 lat i ustal procedurę bezpiecznego niszczenia.
Błąd 5 — brak klauzuli o dostępach do systemów. Brak regulacji dostępu do systemów zamawiającego i zasady minimalnych uprawnień naraża na nieuprawnione działania. Zalecenie: prowadź rejestr dostępów, stosuj zasadę least privilege i zobowiązuj do usunięcia dostępów w 24 h po zakończeniu zadania.
Błąd 6 — wyłączenie odpowiedzialności za błędy dostawcy wynikające z niezastosowania rekomendacji. Zbyt szerokie wyłączenie odpowiedzialności dostawcy za incydenty, których nie zapobiegł mimo wykrycia podatności, pozbawia zamawiającego ochrony. Zalecenie: wyłączaj odpowiedzialność tylko gdy zamawiający pisemnie odmówił wdrożenia rekomendacji dostawcy.
Błąd 7 — brak klauzuli exit strategy. Brak procedury zakończenia umowy i przekazania wiedzy nowemu dostawcy skutkuje lukami w bezpieczeństwie. Zalecenie: ustal obowiązek przekazania dokumentacji, raportów i procedur bezpieczeństwa nowemu dostawcy i minimalizacji ryzyka w okresie przejściowym.
Cite this page
Reference this free template in an article, syllabus, or research note:
Forms Legal. (2026). Cybersecurity Services Agreement Poland (Poland) [Legal document template]. Forms Legal. https://forms-legal.com/polska/business/services/cybersecurity-services-agreement-poland
"Cybersecurity Services Agreement Poland (Poland)." Forms Legal, 2026, https://forms-legal.com/polska/business/services/cybersecurity-services-agreement-poland.
@misc{formslegal-cybersecurity-services-agreement-poland,
author = {{Forms Legal}},
title = {Cybersecurity Services Agreement Poland (Poland)},
year = {2026},
howpublished = {\url{https://forms-legal.com/polska/business/services/cybersecurity-services-agreement-poland}},
note = {Free legal document template}
}Also available for these jurisdictions:
Frequently Asked Questions
Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (KSC) implementuje unijną dyrektywę NIS i nakłada szereg obowiązków na operatorów usług kluczowych z sektorów energetyki, transportu, bankowości, infrastruktury rynków finansowych, ochrony zdrowia, zaopatrzenia w wodę pitną i infrastruktury cyfrowej. Główne obowiązki wynikające z art. 8–11 ustawy o KSC obejmują: wdrożenie systemu zarządzania bezpieczeństwem informacji (SZBI) obejmującego analizę ryzyka, środki techniczne i organizacyjne oraz plany ciągłości działania; wyznaczenie osoby odpowiedzialnej za cyberbezpieczeństwo lub zawarcie umowy z zewnętrznym podmiotem świadczącym usługi w tym zakresie; zgłaszanie poważnych incydentów do właściwego CSIRT (CSIRT NASK, CSIRT GOV lub CSIRT MON) w ciągu 24 godzin od wykrycia; stosowanie rozwiązań służących do zbierania i analizy informacji o zdarzeniach i incydentach. Nowe przepisy związane z dyrektywą NIS2 (wdrażaną w Polsce) rozszerzają krąg podmiotów objętych obowiązkami i zaostrzają wymagania. Umowa o cyberbezpieczeństwo z zewnętrznym MSSP powinna precyzować, które z tych obowiązków dostawca realizuje i jak.
Zgodnie z art. 33 rozporządzenia (UE) 2016/679 (RODO) administrator danych osobowych zobowiązany jest zgłosić naruszenie ochrony danych osobowych do organu nadzorczego bez zbędnej zwłoki — w miarę możliwości nie później niż w ciągu 72 godzin od stwierdzenia naruszenia. W Polsce organem nadzorczym jest Prezes Urzędu Ochrony Danych Osobowych (PUODO, dawniej GIODO). Jeżeli zgłoszenie następuje po upływie 72 godzin, należy dołączyć wyjaśnienie przyczyn opóźnienia. Zgłoszenia dokonuje się za pośrednictwem formularza dostępnego na stronie PUODO lub elektronicznie poprzez ePUAP. Administrator jest zwolniony z obowiązku zgłoszenia tylko wtedy, gdy naruszenie jest mało prawdopodobne, żeby skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. W umowie o cyberbezpieczeństwo dostawca powinien być zobowiązany do niezwłocznego (np. w ciągu 4 godzin) powiadomienia zamawiającego o wykrytym naruszeniu, aby zamawiający mógł dotrzymać 72-godzinnego terminu wobec PUODO. Jeżeli naruszenie może spowodować wysokie ryzyko dla osób fizycznych, administrator musi też zawiadomić samych poszkodowanych (art. 34 RODO).
Zakres odpowiedzialności dostawcy usług cyberbezpieczeństwa za skutki cyberataku jest złożony i zależy od treści umowy oraz okoliczności. Co do zasady, dostawca odpowiada za niewykonanie lub nienależyte wykonanie zobowiązania na zasadach art. 471 Kodeksu cywilnego — jeżeli nie wykonał uzgodnionych usług z należytą starannością (art. 355 § 2). Dostawca jest zobowiązany udowodnić, że niewykonanie lub nienależyte wykonanie jest następstwem okoliczności, za które nie ponosi odpowiedzialności. W praktyce wyłączenia odpowiedzialności dostawcy obejmują: ataki oparte na podatnościach zero-day (nieznanych dostawcy), incydenty spowodowane działaniem lub zaniechaniem zamawiającego (np. niezastosowanie rekomendacji dostawcy), ataki państwowe o charakterze siły wyższej. Dostawca nie gwarantuje pełnej odporności na wszystkie ataki — usługi cyberbezpieczeństwa są usługami starannego działania, nie rezultatu. Ważne jest, aby umowa precyzowała: co dostawca jest zobowiązany robić (nie tylko „chronić”), jak dokumentuje wykonane czynności, jakie rekomendacje wydał zamawiającemu i w jakim zakresie ponosi odpowiedzialność za incydenty mieszczące się w objętym zakresem usług.
Rozporządzenie (UE) 2022/2554 (DORA — Digital Operational Resilience Act), mające zastosowanie do podmiotów rynku finansowego od 17 stycznia 2025 r., nakłada szczegółowe wymogi na umowy z dostawcami usług ICT, w tym cyberbezpieczeństwa. Zgodnie z art. 30 DORA umowy z kluczowymi zewnętrznymi dostawcami usług ICT muszą zawierać co najmniej: pełny opis usług ze wskaźnikami jakości, lokalizację przetwarzania i przechowywania danych, postanowienia o dostępności, autentyczności, integralności i poufności danych, prawa instytucji finansowej do audytu dostawcy, opis poziomów usług (SLA), postanowienia o rozwiązaniu umowy i exit strategy. Podmioty finansowe zobowiązane są do prowadzenia rejestru umów z dostawcami ICT i klasyfikacji dostawców według kryterium krytyczności. Kluczowi dostawcy usług ICT (CTPP — Critical Third-Party Providers) mogą zostać wyznaczeni przez Europejski Urząd Bankowy (EBA) lub inne europejskie organy nadzoru i podlegają bezpośredniemu nadzorowi. W Polsce nadzór nad stosowaniem DORA przez banki sprawuje Komisja Nadzoru Finansowego (KNF).
Raporty z testów penetracyjnych zawierają szczegółowe informacje o podatnościach systemu zamawiającego — listy otwartych portów, słabe hasła, luki w oprogramowaniu, błędy konfiguracji — które w rękach cyberprzestępcy stają się mapą do ataku. Ochrona tych raportów jest krytyczna. W umowie o cyberbezpieczeństwo należy uregulować kilka kwestii. Po pierwsze, klasyfikacja raportu: raport powinien być oznaczony klauzulą poufności i dostęp do niego powinien mieć ograniczony krąg osób. Po drugie, ochrona prawna: raport i zawarte w nim informacje stanowią tajemnicę przedsiębiorstwa zamawiającego w rozumieniu art. 11 ustawy z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji. Dostawca zobowiązany jest do zachowania poufności wyników przez wskazany czas (np. 10 lat). Po trzecie, bezpieczna transmisja: raport powinien być przekazany zamawiającemu w zaszyfrowanej formie. Po czwarte, przechowywanie: dostawca przechowuje kopię raportu wyłącznie w bezpiecznym środowisku i niszczy ją po upływie wskazanego terminu lub na żądanie zamawiającego. Po piąte, zakaz używania podatności: dostawca nie może w żaden sposób korzystać z informacji o podatnościach poza zakresem wynikającym z umowy — naruszenie stanowi zarówno bezprawne działanie, jak i czyn nieuczciwej konkurencji. W umowie warto też uwzględnić klauzulę o ochronie wyników testów penetracyjnych w razie sporu sądowego (privilege).
SOC (Security Operations Center) to centrum operacyjne bezpieczeństwa, w którym specjaliści ds. cyberbezpieczeństwa monitorują w czasie rzeczywistym systemy informatyczne zamawiającego pod kątem zagrożeń, analizują alerty generowane przez systemy SIEM (Security Information and Event Management) i reagują na incydenty bezpieczeństwa. W modelu MSSP (Managed Security Services Provider) zamawiający nie buduje własnego SOC, lecz zleca jego funkcję wyspecjalizowanemu dostawcy. W umowie o cyberbezpieczeństwo SOC pełni kluczową rolę: umowa powinna precyzować, co dostawca monitoruje (logi systemów, ruch sieciowy, aktywność użytkowników uprzywilejowanych), jakich narzędzi używa (SIEM, EDR, NDR, SOAR), jakie alerty generuje (true positive vs. false positive), jak klasyfikuje i eskaluje incydenty, jakie raporty i z jaką częstotliwością dostarcza zamawiającemu. W kontekście ustawy o krajowym systemie cyberbezpieczeństwa monitoring SOC jest jednym ze sposobów spełnienia obowiązku operatora usług kluczowych w zakresie zbierania i analizy informacji o zdarzeniach i incydentach (art. 8 ustawy o KSC). Parametry SLA dla SOC powinny obejmować czasy wykrycia (MTTD — Mean Time To Detect) i reagowania (MTTR — Mean Time To Respond) na incydenty poszczególnych kategorii.
Zakończenie umowy o cyberbezpieczeństwo jest jednym z najtrudniejszych etapów, ponieważ zmiana dostawcy SOC lub MSSP wiąże się z ryzykiem chwilowego obniżenia poziomu ochrony. Bezpieczne zakończenie umowy wymaga starannej exit strategy regulowanej już w treści umowy. Kluczowe elementy exit strategy to: po pierwsze, wypowiedzenie z wyprzedzeniem (np. 3 miesiące), dające czas na wybór i wdrożenie nowego dostawcy bez przerwy w ochronie; po drugie, zachowanie ciągłości monitorowania przez okres przejściowy — dostawca powinien świadczyć pełne usługi do dnia przejęcia przez następcę; po trzecie, przekazanie dokumentacji — dostawca przekazuje: raporty z incydentów, listy skonfigurowanych alertów, polityki bezpieczeństwa, procedury IR, listy podatności i rekomendacji, konfiguracje narzędzi (SIEM, firewalle); po czwarte, usunięcie dostępów — wszystkie dostępy dostawcy do systemów zamawiającego muszą zostać odebrane w ciągu 24–48 godzin od zakończenia umowy, z potwierdzeniem pisemnym; po piąte, usunięcie danych — dostawca usuwa kopie danych zamawiającego ze swoich systemów (zgodnie z umową powierzenia RODO) i potwierdza usunięcie na piśmie. W przypadku podmiotów objętych ustawą o KSC zmiana dostawcy SOC powinna być zaplanowana tak, aby nie powodować przerwy w spełnianiu obowiązków ustawowych.
This template is provided for informational purposes only and does not constitute legal advice. Laws vary by jurisdiction and change over time. Consult a qualified attorney for advice specific to your situation.Full disclaimer
Found an error? Let us knowRelated Documents
You may also find these documents useful:
Umowa serwisowa IT (utrzymanie i wsparcie)
Wzór umowy serwisowej IT (utrzymanie i wsparcie systemów) w Polsce. Reguluje zakres serwisu, poziomy usług SLA, czasy reakcji i naprawy, wynagrodzenie z VAT 23%, kary umowne, prawa autorskie i RODO. Podstawa prawna: art. 353[1] i art. 750 Kodeksu cywilnego.
Umowa powierzenia przetwarzania danych osobowych
Wzór umowy powierzenia przetwarzania danych osobowych (DPA) zgodnej z art. 28 RODO dla firm w Polsce. Określa obowiązki procesora, środki bezpieczeństwa (art. 32 RODO), zasady podpowierzenia, naruszenia i audyty.
Umowa przetwarzania w chmurze
Wzór umowy przetwarzania w chmurze w Polsce. Reguluje model IaaS/PaaS/SaaS, lokalizację danych w EOG, SLA z parametrami RTO/RPO, powierzenie przetwarzania (RODO art. 28), subprocesory, rozliczenie pay-as-you-go z VAT 23%. Podstawa: art. 353[1] KC i RODO.
Polityka bezpieczeństwa informacji
Wzór polityki bezpieczeństwa informacji dla firm w Polsce, zgodnej z RODO art. 24, 25, 32 i ustawą z 10.05.2018 r. Określa środki techniczne, organizacyjne, procedurę incydentów i zasady privacy by design dla administratorów danych.