Konieczność wykorzystania technologii umożliwiającej zachowanie ciągłości działania organizacji zauważyły przede wszystkim sektory najbardziej krytyczne dla gospodarki, jak np. sektor finansowy. Banki i ubezpieczyciele od dawna wyrażały żywe zainteresowanie rozwiązaniami chmurowymi, jednak niepewne stanowisko KNF skutecznie hamowało rozwój tej technologii w polskim sektorze finansowym. Nadzieję na zmianę dał nowy Komunikaty Chmurowy KNF opublikowany w styczniu 2020 r. Komunikat daje zielone światło dla chmury w sektorze finansowym, ale jednocześnie podkreśla, że dla skutecznego wdrożenia technologii chmurowej (i wydaje się, że nie tylko w sektorze finansowym) konieczne jest przyjęcie przez organizacje holistycznego podejścia – zaadresowanie kwestii regulacyjnych i prawnych, przejście przez zagadnienia związane z bezpieczeństwem, skończywszy na wdrożeniu technologicznym.
Czy potrzebowaliśmy nowego Komunikatu Chmurowego?
Nowy Komunikat Chmurowy zastępuje poprzednie wytyczne KNF z października 2017 r. Można by zadać pytanie, czy konieczne było tworzenie nowych wytycznych zaledwie po 3 latach od wydania pierwszej wersji. Odpowiedź jest jednoznaczna – tak, polski sektor finansowy potrzebował nie tyle nowych, co bardziej praktycznych i pro-biznesowych wytycznych regulatora. Wytyczne z 2017 r., choć ważne z punktu widzenia odpowiedzenia przez nadzorcę na potrzeby podmiotów regulowanych, nie odpowiadały na praktyczne problemy rynku. Taką rewolucję zapowiadało opublikowanie przez KNF drugiego Komunikatu Chmurowego w styczniu 2020 r. Nowy Komunikat Chmurowy miał dać odpowiedzi na praktyczne wyzwania związane z wdrożeniem usług chmurowych w sektorze finansowym. Co istotne, aby w pełni zaadresować wszystkie potrzeby podmiotów nadzorowanych, KNF zaprosił do tworzenia nowego Komunikatu Chmurowego zarówno uczestników rynku finansowego, jak i dostawców usług chmurowych. Takie podejście zaowocowało stworzeniem kompleksowej regulacji, która jest dobrą i rozsądną mapą dla sektora regulowanego przy migracji do chmury.
Nowe obowiązki informacyjne i zakres stosowania
Styczniowy Komunikat Chmurowy przewidywał obowiązek informowania KNF o każdym przypadku wdrożenia usług chmurowych z 14-dniowym wyprzedzeniem, chyba że inny termin przewidywały przepisy sektorowe. Dodatkowo, zgodnie z pierwotnym brzmieniem Komunikatu Chmurowego, w wypadku, gdy podmiot nadzorowany korzystał z usług chmurowych już w chwili wejścia w życie Komunikatu Chmurowego, czyli przed 23 stycznia 2020 r., powinien poinformować o tym UKNF nie później niż do 1 sierpnia 2020 r. Sytuacja związana z pandemią COVID-19 wymusiła jednak na nadzorcy zmianę w zakresie obowiązku informacyjnego i KNF - uwzględniając postulaty rynku - zmienił terminy wskazane w pierwotnym Komunikacie Chmurowym, w następujący sposób:
- Dla podmiotów nadzorowanych, które korzystają z usług chmury obliczeniowej, termin dostosowania się do wymagań Komunikatu Chmurowego ulega zmianie z 1 sierpnia 2020 r. na 1 listopada 2020 r.
- Dla podmiotów nadzorowanych, które zamierzają korzystać z usług chmury obliczeniowej, obowiązek informowania UKNF o zamiarze korzystania z usługi z wyprzedzeniem 14-dniowym zostaje zastąpiony obowiązkiem informowania UKNF o fakcie korzystania z usługi nie później niż 30 dni po rozpoczęciu korzystania z usługi.
Do zawiadomienia KNF wykorzystuje się obecnie formularz stanowiący załącznik do Komunikatu Chmurowego. Pamiętajmy jednak, że pozornie prosty do wypełnienia formularz musi zostać poprzedzony szczegółową analizą zgodności danego rozwiązania z Komunikatem Chmurowym. Zgodność ta powinna być potwierdzona przez podmiot nadzorowany w samym zawiadomieniu.
Warto zwrócić uwagę, że w Komunikacie Chmurowym nadzorca wyłączył stosowanie innych, europejskich wytycznych w zakresie outsourcingu chmurowego. Wszelkie wytyczne EBA, ESMA czy EIOPA (np. wytyczne EBA w sprawie outsourcingu czy ryzyk IT i bezpieczeństwa) w aspekcie chmury obliczeniowej nie będą miały zastosowania do polskich podmiotów nadzorowanych. W tym kontekście podmioty regulowane, które wdrażały chmurę w reżimie europejskich wytycznych powinny przeprowadzić weryfikację, czy dotychczas stosowane rozwiązania nie pozostają w sprzeczności z Komunikatem Chmurowym.
Kiedy stosujemy Komunikat?
Jednym z częściej powtarzających się problemów przy poprzednim komunikacie była duża niepewność, w jakich sytuacjach powinien być on stosowany. Nowy Komunikat Chmurowy porządkuje tę kwestię i jako przesłanki jego stosowania wskazuje następujące sytuacje:
- jeżeli w chmurze publicznej lub chmurze hybrydowej przetwarzane są informacje prawnie chronione, czyli informacje objęte jedną z tajemnic sektora finansowego, np. tajemnicą bankową czy ubezpieczeniową;
- jeżeli przetwarzanie informacji, w tym informacji prawnie chronionych, w chmurze publicznej lub hybrydowej ma charakter outsourcingu szczególnego, czyli np. dochodzi do outsourcingu takich czynności, których niewykonanie może w sposób istotny zakłócić ciągłość wykonywania działalności przez podmiot nadzorowany.
KNF wskazuje wprost, że Komunikatu Chmurowego nie stosujemy w przypadku chmury prywatnej. Wprowadzenie wytycznych i nowych definicji wprowadza większą klarowność co do konieczności stosowania Komunikatu, niemniej jednak w praktyce konieczne jest przeprowadzenie pogłębionej analizy, czy przenoszone procesy będą stanowiły outsourcing szczególny lub czy przy korzystaniu z usług chmurowych dojdzie do ujawnienia tajemnicy prawnie chronionej. Odpowiedź na te pytania nie zawsze jest oczywista dla organizacji, a pamiętajmy, że ten krok determinuje nam zakres wdrożenia chmury od strony regulacyjnej.