Zarządzanie urządzeniami informatycznymi – charakterystyka działalności
Kod PKD 62.03.Z obejmuje działalność związaną z zarządzaniem urządzeniami informatycznymi – zarządzanie i eksploatację systemów, sieci i infrastruktury IT klientów na miejscu lub zdalnie (outsourcing IT, usługi zarządzane/managed services, administracja systemami). Usługodawca przejmuje odpowiedzialność za bieżące utrzymanie, dostępność, aktualizacje i bezpieczeństwo infrastruktury IT klienta. Odbiorcami są firmy i instytucje powierzające zarządzanie swoim IT.
Profil ryzyka wyróżnia to, że usługodawca odpowiada za ciągłość i bezpieczeństwo cudzych systemów, na których opiera się działalność klienta. Wyznaczają go: odpowiedzialność za ciągłość i dostępność systemów klienta (awaria, przestój czy błąd w zarządzaniu na „dyżurze" usługodawcy może zatrzymać działalność klienta i wywołać jego straty finansowe – zwykle powiązane z umowami SLA); dostęp do danych i systemów klienta (uprzywilejowany dostęp administracyjny – naruszenie, wyciek czy incydent bezpieczeństwa na zarządzanych systemach rodzi poważną odpowiedzialność); oraz odpowiedzialność za utrzymanie, aktualizacje i zabezpieczenia. To odpowiedzialność za ciągłość i bezpieczeństwo systemów klienta stanowi rdzeń ryzyka.
Wyzwania i zagrożenia w tej działalności
Najpoważniejsze ryzyko to przestój systemów klienta na dyżurze usługodawcy. Awaria, błąd konfiguracji, zaniedbanie aktualizacji czy błąd w zarządzaniu mogą zatrzymać systemy klienta i jego działalność, powodując straty finansowe – często dochodzone na podstawie umów SLA.
Druga grupa to bezpieczeństwo i dane. Usługodawca ma uprzywilejowany dostęp do systemów i danych klienta; incydent bezpieczeństwa (włamanie, ransomware, wyciek) na zarządzanych systemach – zwłaszcza gdy wynika z zaniedbania zabezpieczeń – rodzi poważną odpowiedzialność i roszczenia.
Trzecia grupa to zakres odpowiedzialności i SLA. Umowy o zarządzanie definiują poziomy usług i odpowiedzialność; niedotrzymanie parametrów, sporny zakres obowiązków czy zaniedbania mogą prowadzić do roszczeń.
Ubezpieczenia wymagane przez prawo
Zarządzanie urządzeniami informatycznymi nie jest objęte klasycznym obowiązkowym ubezpieczeniem OC. Istotne pozostają zasady odpowiedzialności kontraktowej (w tym SLA), przepisy o ochronie danych osobowych (RODO – często w roli podmiotu przetwarzającego) oraz o bezpieczeństwie systemów i usług. Korzystanie z pojazdów wiąże się z obowiązkowym OC komunikacyjnym, a zatrudnianie pracowników – z obowiązkami z zakresu prawa pracy.
Realnym zabezpieczeniem finansowym pozostają ubezpieczenia dobrowolne o charakterze właściwym dla usług zarządzanych: OC zawodowe/za usługę IT (E&O) obejmujące skutki błędów w zarządzaniu i przestojów, ubezpieczenie cyber (incydenty na zarządzanych systemach, dane klienta), a także ubezpieczenie mienia i ochrona prawna.
Najważniejsze ryzyka i rola ubezpieczenia OC
Ochrona łączy OC zawodowe/E&O z ubezpieczeniem cyber. Przykłady: błąd w zarządzaniu lub zaniedbanie powoduje przestój systemów klienta i jego straty (SLA) – reaguje OC zawodowe/E&O; incydent bezpieczeństwa (ransomware, wyciek) na zarządzanych systemach, wynikający z zaniedbania zabezpieczeń – reaguje ubezpieczenie cyber (odpowiedzialność wobec klienta); spór o zakres usług i odpowiedzialność – istotna jest ochrona prawna; awaria sprzętu – reaguje ubezpieczenie mienia. Bez odpowiedniej ochrony koszty ponosiłby wyłącznie usługodawca.
Ponieważ usługodawca odpowiada za cudze, krytyczne systemy, powiązanie OC zawodowego z ubezpieczeniem cyber jest tu absolutnie kluczowe – zwłaszcza wobec incydentów bezpieczeństwa i przestojów.
Jak dobrać zakres i sumę ubezpieczenia
Najważniejsze jest OC zawodowe/E&O obejmujące skutki błędów w zarządzaniu i przestojów, w powiązaniu z ubezpieczeniem cyber (incydenty na zarządzanych systemach, dane klienta), o sumach dopasowanych do krytyczności systemów klientów i zobowiązań SLA. Warto zadbać o objęcie kosztów obrony prawnej, zgodność z RODO (rola przetwarzającego) oraz o jasne uregulowanie zakresu odpowiedzialności i SLA w umowach.
Zakres warto weryfikować przy obsłudze klientów o krytycznych systemach i rygorystycznych SLA.
Na co uważać w warunkach polisy
Pierwszą pułapką jest brak powiązania OC zawodowego z ubezpieczeniem cyber wobec incydentów na zarządzanych systemach. Drugą jest pominięcie skutków przestojów i zobowiązań SLA. Trzecią sprawą są zakres odpowiedzialności umownej, koszty obrony prawnej, limity i franszyzy. Przed zawarciem umowy warto omówić scenariusze przestoju systemów klienta i incydentu bezpieczeństwa.
Najczęstsze błędy przedsiębiorców w tej branży
Pierwszy błąd to brak powiązania OC zawodowego z ubezpieczeniem cyber wobec zarządzanych systemów.
Drugi błąd to pominięcie skutków przestojów systemów klienta i zobowiązań SLA.
Trzeci błąd to nieuregulowanie zakresu odpowiedzialności i SLA w umowach.
Czwarty błąd to lekceważenie roli przetwarzającego dane (RODO) i zabezpieczeń.
Podsumowanie
Działalność związana z zarządzaniem urządzeniami informatycznymi (PKD 62.03.Z) to przejęcie odpowiedzialności za ciągłość i bezpieczeństwo cudzych, krytycznych systemów IT, gdzie rdzeniem ryzyka są przestoje na dyżurze usługodawcy oraz incydenty bezpieczeństwa na zarządzanych systemach. Fundamentem bezpieczeństwa jest OC zawodowe/E&O w powiązaniu z ubezpieczeniem cyber, wraz z kosztami obrony prawnej. Dopasowanie zakresu do krytyczności systemów klientów pozwala prowadzić usługi zarządzane z realnym zabezpieczeniem. Więcej o ubezpieczeniach dla firm znajdziesz na insureo.pl.
Ubezpiecz swoją działalność online
Sprawdź składkę ubezpieczenia OC i majątku dla działalności:Działalność związana z zarządzaniem urządzeniami informatycznymi. Wypełnienie krótkiego formularza zajmuje kilka minut, bez wizyty w oddziale.