4 min. czytania 28 wrz 2020
Komunikat Chmurowy KNF – nowe obowiązki dla sektora finansowego przy migracji do chmury

Komunikat Chmurowy KNF – nowe obowiązki dla sektora finansowego przy migracji do chmury

Autor

Joanna Gałajda

Senior w Zespole Digital w Dziale EY Law

Joanna posiada wieloletnie doświadczenie w doradztwie z dziedziny prawa nowych technologii i własności intelektualnej. Jej specjalnością jest branża technologiczna, bankowa, ubezpieczeniowa, handlowa.

4 min. czytania 28 wrz 2020

Potrzeba uelastycznienia biznesu udowodniła, że kluczową technologią dla przedsiębiorstw w czasach pandemii jest technologia chmurowa.

Ten artykuł wchodzi w skład 3/2020 wydania  Biuletynu Ryzyka

Konieczność wykorzystania technologii umożliwiającej zachowanie ciągłości działania organizacji zauważyły przede wszystkim sektory najbardziej krytyczne dla gospodarki, jak np. sektor finansowy. Banki i ubezpieczyciele od dawna wyrażały żywe zainteresowanie rozwiązaniami chmurowymi, jednak niepewne stanowisko KNF skutecznie hamowało rozwój tej technologii w polskim sektorze finansowym. Nadzieję na zmianę dał nowy Komunikaty Chmurowy KNF opublikowany w styczniu 2020 r. Komunikat daje zielone światło dla chmury w sektorze finansowym, ale jednocześnie podkreśla, że dla skutecznego wdrożenia technologii chmurowej (i wydaje się, że nie tylko w sektorze finansowym) konieczne jest przyjęcie przez organizacje holistycznego podejścia – zaadresowanie kwestii regulacyjnych i prawnych, przejście przez zagadnienia związane z bezpieczeństwem, skończywszy na wdrożeniu technologicznym.

Czy potrzebowaliśmy nowego Komunikatu Chmurowego?

Nowy Komunikat Chmurowy zastępuje poprzednie wytyczne KNF z października 2017 r. Można by zadać pytanie, czy konieczne było tworzenie nowych wytycznych zaledwie po 3 latach od wydania pierwszej wersji. Odpowiedź jest jednoznaczna – tak, polski sektor finansowy potrzebował nie tyle nowych, co bardziej praktycznych i pro-biznesowych wytycznych regulatora. Wytyczne z 2017 r., choć ważne z punktu widzenia odpowiedzenia przez nadzorcę na potrzeby podmiotów regulowanych, nie odpowiadały na praktyczne problemy rynku. Taką rewolucję zapowiadało opublikowanie przez KNF drugiego Komunikatu Chmurowego w styczniu 2020 r. Nowy Komunikat Chmurowy miał dać odpowiedzi na praktyczne wyzwania związane z wdrożeniem usług chmurowych w sektorze finansowym. Co istotne, aby w pełni zaadresować wszystkie potrzeby podmiotów nadzorowanych, KNF zaprosił do tworzenia nowego Komunikatu Chmurowego zarówno uczestników rynku finansowego, jak i dostawców usług chmurowych. Takie podejście zaowocowało stworzeniem kompleksowej regulacji, która jest dobrą i rozsądną mapą dla sektora regulowanego przy migracji do chmury.

Nowe obowiązki informacyjne i zakres stosowania

Styczniowy Komunikat Chmurowy przewidywał obowiązek informowania KNF o każdym przypadku wdrożenia usług chmurowych z 14-dniowym wyprzedzeniem, chyba że inny termin przewidywały przepisy sektorowe. Dodatkowo, zgodnie z pierwotnym brzmieniem Komunikatu Chmurowego, w wypadku, gdy podmiot nadzorowany korzystał z usług chmurowych już w chwili wejścia w życie Komunikatu Chmurowego, czyli przed 23 stycznia 2020 r., powinien poinformować o tym UKNF nie później niż do 1 sierpnia 2020 r. Sytuacja związana z pandemią COVID-19 wymusiła jednak na nadzorcy zmianę w zakresie obowiązku informacyjnego i KNF - uwzględniając postulaty rynku - zmienił terminy wskazane w pierwotnym Komunikacie Chmurowym, w następujący sposób:

  • Dla podmiotów nadzorowanych, które korzystają z usług chmury obliczeniowej, termin dostosowania się do wymagań Komunikatu Chmurowego ulega zmianie z 1 sierpnia 2020 r.  na 1 listopada 2020 r.
  • Dla podmiotów nadzorowanych, które zamierzają korzystać z usług chmury obliczeniowej, obowiązek informowania UKNF o zamiarze korzystania z usługi z wyprzedzeniem 14-dniowym zostaje zastąpiony obowiązkiem informowania UKNF o fakcie korzystania z usługi nie później niż 30 dni po rozpoczęciu korzystania z usługi.

Do zawiadomienia KNF wykorzystuje się obecnie formularz stanowiący załącznik do Komunikatu Chmurowego. Pamiętajmy jednak, że pozornie prosty do wypełnienia formularz musi zostać poprzedzony szczegółową analizą zgodności danego rozwiązania z Komunikatem Chmurowym. Zgodność ta powinna być potwierdzona przez podmiot nadzorowany w samym zawiadomieniu.

Warto zwrócić uwagę, że w Komunikacie Chmurowym nadzorca wyłączył stosowanie innych, europejskich wytycznych w zakresie outsourcingu chmurowego. Wszelkie wytyczne EBA, ESMA czy EIOPA (np. wytyczne EBA w sprawie outsourcingu czy ryzyk IT i bezpieczeństwa) w aspekcie chmury obliczeniowej nie będą miały zastosowania do polskich podmiotów nadzorowanych. W tym kontekście podmioty regulowane, które wdrażały chmurę w reżimie europejskich wytycznych powinny przeprowadzić weryfikację, czy dotychczas stosowane rozwiązania nie pozostają w sprzeczności z Komunikatem Chmurowym.

Kiedy stosujemy Komunikat?

Jednym z częściej powtarzających się problemów przy poprzednim komunikacie była duża niepewność, w jakich sytuacjach powinien być on stosowany. Nowy Komunikat Chmurowy porządkuje tę kwestię i jako przesłanki jego stosowania wskazuje następujące sytuacje:

  • jeżeli w chmurze publicznej lub chmurze hybrydowej przetwarzane są informacje prawnie chronione, czyli informacje objęte jedną z tajemnic sektora finansowego, np. tajemnicą bankową czy ubezpieczeniową;
  • jeżeli przetwarzanie informacji, w tym informacji prawnie chronionych, w chmurze publicznej lub hybrydowej ma charakter outsourcingu szczególnego, czyli np. dochodzi do outsourcingu takich czynności, których niewykonanie może w sposób istotny zakłócić ciągłość wykonywania działalności przez podmiot nadzorowany.

KNF wskazuje wprost, że Komunikatu Chmurowego nie stosujemy w przypadku chmury prywatnej. Wprowadzenie wytycznych i nowych definicji wprowadza większą klarowność co do konieczności stosowania Komunikatu, niemniej jednak w praktyce konieczne jest przeprowadzenie pogłębionej analizy, czy przenoszone procesy będą stanowiły outsourcing szczególny lub czy przy korzystaniu z usług chmurowych dojdzie do ujawnienia tajemnicy prawnie chronionej. Odpowiedź na te pytania nie zawsze jest oczywista dla organizacji, a pamiętajmy, że ten krok determinuje nam zakres wdrożenia chmury od strony regulacyjnej.

Minimalne wymagania dla przetwarzania informacji w chmurze obliczeniowej

W Komunikacie Chmurowym nadzorca określił minimalny zestaw wymagań organizacyjno-technicznych, które podmiot nadzorowany musi spełnić, uwzględniając przy tym wyniki dokonanego szacowania poziomu ryzyka. Do wymagań, które powinien spełnić podmiot nadzorowany należą:

  • wymagania kompetencyjne pracowników - zarówno IT, bezpieczeństwa, jak i ochrony danych osobowych – muszą być one w odpowiedni sposób udokumentowane;
  • wymagania w zakresie umowy z dostawcą rozwiązań chmurowych – umowa musi adresować wszystkie kwestie wskazane w Komunikacie Chmurowym, co wymaga dość dokładnej weryfikacji wzoru umowy dostarczonego przez dostawcę;
  • posiadanie planu przetwarzania informacji w chmurze obliczeniowej - obowiązek stworzenia i udokumentowania planu przetwarzania informacji w chmurze;
  • wymagania dla samych dostawców (m.in. spełnienie odpowiednich norm ISO) – tutaj podmiot nadzorowany powinien wziąć pod uwagę już na etapie wyboru dostawcy i konkretnej usługi chmurowej, możliwości spełnienia przez dostawcę wymogów KNF;
  • stosowanie metod kryptograficznych - wdrożenie mechanizmów szyfrowania wymaganych Komunikatem;
  • monitorowanie środowiska przetwarzania informacji w usługach chmury obliczeniowej - obowiązek zbierania i przetwarzania logów z usług chmurowych;
  • dokumentowanie działań – dostosowanie lub stworzenie dokumentacji dla procesów wskazanych w Komunikacie Chmurowym.

Bezpośrednio na maila

Bądź na bieżąco i subskrybuj newsletter EY 

Subskrybuj

Podsumowanie

Dla spełnienia powyższych wymagań konieczne jest współdziałanie wielu zespołów po stronie podmiotu nadzorowanego i dostawcy. Łatwo stwierdzić, że część wymagań dotyczy wprost kwestii prawnych i regulacyjnych i tutaj niezbędne będzie wsparcie prawników. Duża część wytycznych skupia się na kwestiach bezpieczeństwa i organizacji i tutaj konieczne jest zaangażowanie zespołów governance/compliane i zespołów odpowiedzialnych za bezpieczeństwo. Dodatkowo kluczowe dla skutecznego wdrożenia chmury jest dobre zrozumienie samej technologii, dlatego zespoły technologiczne będą musiały wspierać zarówno zespół prawny jak i zespół bezpieczeństwa przez cały proces wdrożenia.

Informacje

Autor

Joanna Gałajda

Senior w Zespole Digital w Dziale EY Law

Joanna posiada wieloletnie doświadczenie w doradztwie z dziedziny prawa nowych technologii i własności intelektualnej. Jej specjalnością jest branża technologiczna, bankowa, ubezpieczeniowa, handlowa.