Projekt komunikatu KNF w sprawie cloud computingu

Komisja Nadzoru Finansowego („KNF”) przedstawiła projekt komunikatu dotyczący przetwarzania informacji prawnie chronionych w chmurze obliczeniowej („Projekt”). Projekt odnosi się do szerokiego kręgu podmiotów nadzorowanych (m.in. do banków, zakładów ubezpieczeń, towarzystw funduszy inwestycyjnych, powszechnych towarzystw emerytalnych, instytucji płatniczych). Pośrednio dotyczy również dostawców oferujących usługi chmurowe ww. podmiotom nadzorowanym.

Charakter prawny Projektu

Charakter prawny komunikatów KNF nie jest do końca jasny. Co do zasady komunikaty te mają na celu przedstawienie oczekiwań nadzorczych oraz stanowiska KNF w zakresie interpretacji obowiązujących przepisów prawa. Nie stanowią one jednak aktów prawa powszechnie obowiązującego ani rekomendacji sektorowych (choć jak wynika z Projektu – nowy komunikat ma uzupełnić niektóre rekomendacje/wytyczne KNF dot. outsourcingu). W praktyce jednak podmioty nadzorowane stosują się do zawartych w nich „wskazówek interpretacyjnych”.

Podejście krajowe

Projekt stanowi wyraz tzw. „podejścia krajowego” w zakresie korzystania przez podmioty sektora finansowego z chmury obliczeniowej. Tym samym nie znajdą zastosowania wobec krajowych podmiotów nadzorowanych wytyczne lub inne dokumenty EBA, ESMA i EIOPA, które odnoszą się lub mogłyby się odnosić do cloud computingu (KNF może odstąpić od ich stosowania, ale musi uzasadnić, dlaczego ich nie będzie przestrzegać).

Najważniejsze założenia

Najważniejsze założenia wynikające z Projektu obejmują:

• Uporządkowanie podstawowych pojęć, takie jak „informacje prawnie chronione” czy „outsourcing chmury obliczeniowej”. W Projekcie wprowadzono również nową kategorię „outsourcingu szczególnego chmury obliczeniowej”, który odnosi się do czynności i/lub funkcji o szczególnie istotnym charakterze. Wprowadzenie tych definicji powinno ułatwić ustalenie, w których sytuacjach postanowienia Projektu znajdą zastosowanie, a w których nie będzie to konieczne.

• Wymóg przeprowadzenia przez podmiot nadzorowany klasyfikacji i oceny informacji oraz szacowania ryzyka, tj. identyfikacji, analizy oraz oceny zagrożeń, możliwości ich wystąpienia i wpływu tego wystąpienia na podmiot nadzorowany i prowadzoną działalność w związku z wykorzystaniem chmury obliczeniowej.
• Wymogi odnoszące się do umowy zawieranej z dostawcą usług chmurowych. Według KNF prawo podmiotu nadzorowanego do przeprowadzania inspekcji w lokalizacjach dostawcy powinno zostać zagwarantowane umownie jedynie, jeśli potrzeba taka wynikać będzie z szacowania ryzyka. Z drugiej strony, KNF prezentuje dość rygorystyczne podejście w kwestii wyboru prawa właściwego - umowa z dostawcą będzie mogła zostać poddana prawu innemu niż polskie wyłącznie w sytuacji, gdy prawo to pozwalać będzie na skuteczne wykonanie nie tylko samej umowy, ale również wszystkich wymogów polskiego prawa ciążących na podmiocie nadzorowanym.

• Obowiązek informowania KNF o każdej umowie outsourcingu zawartej z dostawcą usług chmurowych, do której zastosowanie znajdzie komunikat.
• Ograniczenia w zakresie korzystania z lokalizacji centrów danych w państwach spoza Europejskiego Obszaru Gospodarczego, a nawet spoza Polski.
• Rozbudowane wymogi techniczne, w tym dotyczące szyfrowania informacji. Doprecyzowano również oczekiwania w stosunku do dostawców usług chmurowych, odnosząc się do określonych norm (np. PN-EN ISO/IEC 27001, PN-EN ISO 22301 oraz ISO/IEC 27018).
• Konieczność dokumentowania podejmowanych przez podmiot nadzorowany działań (np. dokumentacja dotycząca kwestii technicznych, takich jak architektura sieci, systemów i aplikacji oraz kwestii prawnych, w tym w zakresie zarządzania zgodnością z prawem).
• Stosowanie postanowień Projektu z uwzględnieniem zasady proporcjonalności (czyli z uwzględnieniem skali, charakteru i złożoności ryzyka danego podmiotu nadzorowanego). Zasada ta nie powinna być interpretowana jako przyzwolenie na zastosowanie przez mniejsze podmioty nadzorowane mniej efektywnych zabezpieczeń od tych opisanych w Projekcie.

Termin na dostosowanie

Zgodnie z Projektem, podmioty nadzorowane powinny poinformować KNF o przetwarzaniu informacji w chmurze obliczeniowej, w tym w szczególności o spełnieniu wymagań zawartych w komunikacie w terminie 90 dni od jego wejścia w życie. Natomiast te z nich, które dopiero planują korzystanie z chmury obliczeniowej, informacji takich powinny udzielić co do zasady w terminie 14 dni przed rozpoczęciem przetwarzania informacji w chmurze. Biorąc pod uwagę szczegółowość wymagań przedstawionych w projekcie, zakreślone przez KNF terminy wydają się być bardzo krótkie.

Choć prace nad Projektem wciąż trwają (15 listopada 2019 roku minął oficjalny termin na zgłaszanie uwag, a jego ostateczna treść może ulec zmianom), z uwagi na powyższe terminy oraz zakres wymogów, już teraz warto rozpocząć prace dostosowawcze.