Przyszedł mailem. Kilka stron, dużo prawniczego języka, na końcu prośba o podpisanie w ciągu dwóch tygodni. Albo krótszy termin. Albo bez terminu, ale z wyraźnym sygnałem, że bez podpisu kontrakt stoi pod znakiem zapytania.
To nie przypadek i nie kaprys działu prawnego Twojego klienta. Ustawa KSC nakłada na podmioty kluczowe i ważne obowiązek zarządzania ryzykiem w łańcuchu dostaw — a to oznacza, że Twój klient musi teraz udowodnić swoim audytorom, że jego dostawcy spełniają określone standardy bezpieczeństwa. Najprostszy sposób na to jest właśnie klauzula w umowie. Ty jesteś częścią jego łańcucha dostaw, więc aneks ląduje u Ciebie.
Problem polega na tym, że te klauzule są pisane z perspektywy podmiotu regulowanego — czyli Twojego klienta, nie Twojej firmy. I często wymagają od Ciebie rzeczy, które albo już robisz, albo nie dotyczą Twojego zakresu współpracy, albo nakładają odpowiedzialność, której nie powinieneś brać na siebie.
Czego najczęściej wymagają takie aneksy
Klauzule umowne w łańcuchu dostaw KSC najczęściej wymagają uwierzytelniania wieloskładnikowego, szyfrowania danych, obowiązku raportowania incydentów do klienta, prawa do audytu oraz wdrożenia ISO 27001 lub równoważnego systemu zarządzania bezpieczeństwem informacji.
Każdy z tych punktów może być zasadny albo zupełnie nieadekwatny — w zależności od tego, co faktycznie dostarczasz temu klientowi. Firma, która sprzedaje mu oprogramowanie integrujące się z jego systemami produkcyjnymi, jest w zupełnie innej sytuacji niż firma, która dostarcza mu jednorazowo maszynę lub materiały eksploatacyjne.
Podpisanie aneksu bez przeanalizowania jego treści oznacza wzięcie na siebie zobowiązań, których zakres często przekracza to, co wynika z charakteru współpracy.
Trzy rzeczy, które musisz zweryfikować, zanim złożysz podpis
- Adekwatność wymagań do realiów. Czy zakres klauzuli odpowiada temu, co rzeczywiście robisz dla klienta? Nawet jeśli nie masz dostępu do systemów IT klienta, on i tak może wymagać wdrożenia MFA u Ciebie w firmie — żeby haker nie ukradł u Ciebie np. jego planów technologicznych. To może być uzasadnione. Nieuzasadnione jest natomiast rozciąganie tego wymogu na absolutnie wszystkich pracowników Twojej organizacji — łącznie z tymi, którzy nie mają żadnego kontaktu z danym projektem. Masz pełne prawo żądać ograniczenia takich wymogów wyłącznie do personelu zaangażowanego w obsługę kontraktu.
- Pułapka słowa „niezwłocznie". Aneksy NIS2 wymagają informowania klienta o incydentach. Nie negocjuj długości zegarka — Twój klient ma ustawowy obowiązek zgłoszenia wczesnego ostrzeżenia do CSIRT w ciągu 24 godzin, więc i tak wymusi na Tobie krótki termin. Negocjuj definicję. Domagaj się precyzyjnego określenia trzech rzeczy: od kiedy czas płynie (od momentu potwierdzenia incydentu, nie od wykrycia anomalii), czego dotyczy obowiązek (tylko incydentów mających bezpośredni wpływ na systemy lub dane klienta, nie na całą Twoją firmę) i co liczy się jako „potwierdzony incydent".
- Granice prawa do audytu. Prawidłowo sformułowana klauzula dyscyplinuje obie strony. Nieograniczone prawo klienta do wejścia w Twoje struktury IT bez określenia kosztów, procedur i wcześniejszego uprzedzenia to ogromne ryzyko operacyjne. Zakres, częstotliwość i zasady finansowania audytu muszą być określone w treści aneksu — nie w domyśle.
Moja wskazówka
Zanim odpiszesz klientowi, wróć do podstawowej umowy i sprawdź, co dokładnie jest przedmiotem Waszej współpracy. Masz pełne prawo oczekiwać, że aneks będzie rozszerzał obowiązki tylko w zakresie logicznie powiązanym z tym, co rzeczywiście robisz dla klienta. Jeśli zakres klauzul wykracza poza charakter Waszej współpracy — masz merytoryczną podstawę do negocjacji, nie tylko do prośby o taryfę ulgową.