Outsourcing powierzchni magazynowej i wieloletnia umowa najmu to dziś standard w logistyce, e-commerce i produkcji. W negocjacjach najemcy koncentrują się na stawkach, kosztach eksploatacyjnych, odpowiedzialności za infrastrukturę, mediach, zabezpieczeniach przeciwpożarowych czy ESG. Znacznie rzadziej analizowana jest jednak kwestia bezpieczeństwa cyfrowego magazynu. A ten obszar może również przesądzić o stabilności działalności prowadzonej przez najemcę.
Współczesny magazyn nie jest już wyłącznie obiektem fizycznym. Opiera się na WMS, integracjach z ERP i TMS, automatyce magazynowej, rozwiązaniach IoT czy zdalnym dostępie serwisowym. W takim środowisku cyberbezpieczeństwo staje się elementem zarządzania ryzykiem operacyjnym i kontraktowym, który powinien być analizowany równolegle z umową najmu.
Dlaczego bezpieczeństwo magazynu to dziś coś więcej niż ochrona fizyczna?
Jeszcze niedawno bezpieczeństwo magazynu oznaczało przede wszystkim ochronę fizyczną, kontrolę dostępu, monitoring i zabezpieczenia przeciwpożarowe. Dziś to podejście jest niewystarczające. Procesy przyjęcia, kompletacji i wydań są zarządzane przez zintegrowane systemy, wspierane automatyką i rozwiązaniami zdalnymi. Każda integracja to kolejne połączenie, a każde połączenie to potencjalny punkt podatności. Ryzyko nie ogranicza się już do fizycznego dostępu do obiektu. Obejmuje również dostęp do systemów i danych.
Jeżeli cyber incydent powoduje brak dostępu do powierzchni najmu czy awarię systemu kontroli temperatury najemca odczuwa to tak samo jak każdą inną awarię techniczną. Z jego perspektywy nie ma znaczenia, czy przyczyną była wada urządzenia, błąd serwisowy czy atak cyfrowy. Liczy się jedno: operacyjność magazynu jest zakłócona w określonym zakresie. W konsekwencji wynajmujący powinien uwzględniać kwestie cyberbezpieczeństwa w zakresie infrastruktury i systemów, które sam dostarcza i utrzymuje, o ile mogą one stanowić potencjalny wektor ataku.
Czy cyberatak może oznaczać nienależyte wykonanie umowy najmu?
Dobrze przygotowana umowa najmu reguluje standard techniczny budynku, dostęp do infrastruktury, podział obowiązków utrzymaniowych oraz sprawne funkcjonowanie systemów budynkowych. Długotrwała niedostępność infrastruktury z powodu incydentu cyberbezpieczeństwa może rodzić roszczenia po stronie najemcy. W praktyce sporne bywa to, czy incydent cyber należy traktować jako „siłę wyższą”, czy jako zdarzenie mieszczące się w ryzyku operacyjnym wynajmującego. Jeżeli magazyn nie był odpowiednio zabezpieczony, trudno mówić o zdarzeniu całkowicie nadzwyczajnym.
Umowa najmu nie obejmuje jednak relacji najemcy z dostawcami systemów operacyjnych. Nie reguluje współpracy z dostawcą WMS, zasad integracji z ERP czy TMS, odpowiedzialności integratora automatyki ani poziomu usług świadczonych przez dostawców IT. W efekcie można mieć bardzo dobrze wynegocjowaną umowę najmu, a jednocześnie pozostawić istotne ryzyko w kontraktach technologicznych.
Co powinno znaleźć się w umowach z dostawcami technologii?
Skoro magazyn jest dziś również infrastrukturą cyfrową, umowy z dostawcami technologii stają się elementem systemu zarządzania ryzykiem operacyjnym. Kluczowe obszary to przede wszystkim jasno określone standardy cyberbezpieczeństwa, najlepiej mierzalne i odwołujące się do konkretnych norm lub polityk, a nie ogólnego zobowiązania do „należytej staranności”. Równie istotny jest obowiązek niezwłocznej notyfikacji incydentów, obejmujący termin zgłoszenia, zakres przekazywanych informacji oraz współpracę przy usuwaniu skutków zdarzenia.
Umowa z dostawą technologii powinna przewidywać SLA, które powinno odpowiadać realiom operacyjnym logistyki, tj. nie tylko określać procentową dostępność systemu, lecz także czas reakcji na awarie oraz maksymalny czas przywrócenia funkcjonalności systemu. Umowa powinna ponadto regulować kwestie disaster recovery, tworzenia i testowania kopii zapasowych oraz procedur odtworzeniowych.
Szczególnej analizy wymagają limity odpowiedzialności dostawcy. W praktyce bywają one niewspółmierne do skali potencjalnego przestoju magazynu. Warto weryfikować zakres wyłączeń odpowiedzialności, obowiązek posiadania cyber ubezpieczenia oraz zasady odpowiedzialności za podwykonawców i usługi chmurowe.
NIS2 – wymiar regulacyjny
W wielu przypadkach kwestia cyberbezpieczeństwa nie jest już wyłącznie dobrą praktyką, lecz obowiązkiem regulacyjnym. Dyrektywa NIS2 oraz jej implementacja do krajowego systemu cyberbezpieczeństwa nakładają na określone podmioty obowiązek samoidentyfikacji jako podmiot podlegający nowym regulacjom a w konsekwencji zgłoszenia do wykazu podmiotów kluczowych i ważnych, wdrożenia systemu zarządzania bezpieczeństwem informacji zapewniającego m.in. systematyczne szacowanie ryzyka wystąpienia incydentu i zarządzania tym ryzykiem, a ponadto zapewnienie bezpieczeństwa i ciągłości łańcucha dostaw systemów, usług i procesów technologicznych. Regulacja obejmuje także m.in. obowiązek zgłaszania incydentów oraz odpowiedzialność kierownictwa za wdrożenie adekwatnych środków bezpieczeństwa. Oznacza to, że relacje z dostawcami systemów IT i integratorami nie mogą pozostawać poza systemem zgodności.
W praktyce przedsiębiorca powinien być w stanie wykazać, że przeprowadził analizę ryzyka, wprowadził odpowiednie postanowienia umowne i monitoruje bezpieczeństwo w łańcuchu dostaw. W przeciwnym razie ryzyko przestaje mieć charakter wyłącznie operacyjny, a staje się również ryzykiem regulacyjnym. Z perspektywy praktyki kontraktowej oznacza to konieczność rewizji dotychczasowych wzorców umownych. W wielu przypadkach standardowe umowy z dostawcami technologii nie odpowiadają poziomowi wymagań, jakie wynikają z nowych regulacji.
Kto w sektorze magazynowym może podlegać NIS2?
Nie każda organizacja automatycznie podlega przepisom wdrażającym dyrektywę NIS2. Objęcie regulacją zależy od spełnienia określonych kryteriów, przede wszystkim od prowadzenia działalności w sektorach wskazanych w regulacji oraz wielkości przedsiębiorstwa. W praktyce obowiązki obejmują przede wszystkim średnie i duże podmioty działające w określonych sektorach.
W realiach rynku magazynowego może to oznaczać, że:
- wynajmujący, co do zasady nie jest automatycznie objęty regulacją. Sytuacja zmienia się jednak wtedy, gdy świadczy on tzw. usługi zarządzane w zakresie infrastruktury IT lub systemów budynkowych, zapewnia najemcom rozwiązania cyfrowe lub infrastrukturę cyfrową,
- integrator systemów automatyki magazynowej może podlegać nowym obowiązkom, jeżeli świadczy usługi zarządzane w zakresie infrastruktury IT lub systemów technicznych,
- najemca prowadzący działalność w sektorze objętym regulacją będzie podlegał nowym obowiązkom (m.in. produkcja i przetwarzanie żywności, produkcja komputerów, wyrobów elektronicznych).
Co istotne, NIS2 wyraźnie akcentuje zarządzanie ryzykiem w łańcuchu dostaw. Oznacza to, że podmiot objęty regulacją musi zarządzać ryzykiem również u swoich dostawców systemów, usług IT, integratorów oraz podwykonawców mających dostęp do środowiska operacyjnego.
W praktyce oznacza to konieczność wprowadzenia odpowiednich postanowień do umów z dostawcami, weryfikacji standardów bezpieczeństwa partnerów, ustanowienia procedur raportowania incydentów, a także dokumentowania przeprowadzonej analizy ryzyka.
Odpowiedzialność zarządu – wymiar, którego nie można ignorować
Jedną z istotnych zmian wprowadzonych przez NIS2 jest wyraźne przesunięcie odpowiedzialności na poziom zarządczy. Regulacja nie traktuje cyberbezpieczeństwa jako zagadnienia czysto technicznego. Wprost wskazuje na obowiązek nadzoru i zatwierdzania środków zarządzania ryzykiem przez kierownictwo podmiotu. W praktyce oznacza to, że członkowie zarządu powinni:
- posiadać wiedzę na temat ryzyk cyberbezpieczeństwa i odbywać stosowne udokumentowane szkolenia w tym zakresie,
- zapewnić wdrożenie systemu zarządzania bezpieczeństwem informacji,
- planować środki finansowe na realizację obowiązków z zakresu cyberbezpieczeństwa,
- nadzorować system zgłaszania i obsługi incydentów,
- zapewnić, aby personel podmiotu którym zarządzają, był świadomy obowiązków z zakresu cyberbezpieczeństwa.
Brak wdrożenia adekwatnych rozwiązań może skutkować nie tylko sankcjami finansowymi wobec przedsiębiorstwa, lecz także odpowiedzialnością osób pełniących funkcje zarządcze, w tym administracyjnymi karami pieniężnymi oraz ryzykiem reputacyjnym.
Podsumowanie
Cyfrowa transformacja magazynów postępuje szybciej niż ewolucja standardów kontraktowych. W wielu organizacjach poziom zaawansowania technologicznego operacji logistycznych znacząco wyprzedza poziom regulacji umownych dotyczących bezpieczeństwa tych systemów.
Tymczasem odpowiedzialność operacyjna i kontraktowa pozostaje po stronie najemcy. To on realizuje zobowiązania wobec swoich klientów, to on ponosi konsekwencje przestojów i to jego reputacja jest bezpośrednio zagrożona w przypadku incydentu.
W praktyce oznacza to zadanie kilku prostych, ale kluczowych pytań:
- czy wiemy, kto i na jakich zasadach ma dostęp do naszych systemów operacyjnych,
- czy w umowach przewidziano obowiązek szybkiej notyfikacji incydentu,
- czy limity odpowiedzialności dostawców są adekwatne do potencjalnej skali przestoju,
- czy nasze rozwiązania kontraktowe odpowiadają aktualnym wymogom regulacyjnym, w tym wynikającym z NIS2.
Artykuł przygotowały:
Żaneta Ścigała – radczyni prawna specjalizująca się w doradztwie dla sektora nieruchomości magazynowych i logistyki. Partnerka w kancelarii Legal Hub Wojnarowska Ścigała Irlik, współzałożycielka E-Commerce Logistics Experts Association.
Monika Lasota – radczyni prawna z wieloletnim doświadczeniem w kompleksowej obsłudze prawnej przedsiębiorców, ze szczególnym uwzględnieniem sektora IT, e-commerce oraz spółek Skarbu Państwa. Ekspertka specjalizująca się w zakresie prawa umów IT, cyberbezpieczeństwa i prawa gospodarczego, szkoleniowiec oraz wykładowca akademicki.
Potrzebujesz indywidualnego dodatkowego wsparcia?
