Wszystkie teksty umieszczane na Linkedin lub naszych stronach internetowych są naszą opinią. Prosimy nie traktować ich jako porady prawnej w konkretnej sprawie, ponieważ konkretna sprawa zawsze wymaga indywidualnej analizy.
Urząd Komisji Nadzoru Finansowego opublikował długo oczekiwany projekt nowego komunikatu chmurowego.
Termin przekazywania uwag jest bardzo krótki. Należy je zgłaszać w trybie edycji zmian w terminie do dnia 15 listopada 2019 r. do godz. 12:00.Komunikat dotyczy chmury publicznej i hybrydowej. W tym względzie brak zmian w stosunku do zasad z 2017 r.
UWAGA: komunikat nie dotyczy sytuacji, gdy szczególny przepis prawa wyklucza możliwość wykorzystania chmury obliczeniowej lub gdy ustanawia szczególne wymogi techniczne lub organizacyjne, które stoją w sprzeczności z komunikatem. Dlatego przed wdrożeniem chmury konieczne będzie zbadanie odpowiednich przepisów, które mogą mieć zastosowanie do konkretnej działalności.
Komunikat proponuje odrębne od ustawowych definicje outsourcingu i outsourcingu szczególnego.
Wprowadzenie tych definicji, chociaż potrzebne dla celów komunikatu, w praktyce może oznaczać współistnienie dwóch reżimów dla outsourcingu chmurowego:
Zakres outsourcingu określonego w komunikacie i powierzenia określonego w ustawach sektorowych nie zawsze musi się pokrywać. Natomiast należy zauważyć, że definicja outsourcingu zawarta w komunikacie nie powoduje zmiany interpretacji odpowiednich przepisów zawartych w ustawach.
Komunikat nie mam mocy zmieniającej przepisy ustaw sektorowych. Dlatego nadal aktualny pozostaje postulat ujednolicenia przepisów dla całego sektora (np. w kwestii odpowiedzialności dostawcy chmurowego, czy też podoutsourcingu).
Outsourcingiem, zgodnie z komunikatem jest:
Interpretacja tego ostatniego punktu może budzić niepewność, ale rozważając tę kwestię zapewne należałoby zastanowić się po pierwsze, czy podmiot nadzorowany realizowałby konkretne zadania innymi środkami, nawet jeśli nie korzystałby z chmury.
KNF wprowadza kolejny „szczebelek” w outsourcingu, czyli tzw. outsourcing szczególny. Nieco wzorem niedawnych wytycznych EBA dotyczących outsourcingu i projektowanych wytycznych EIOPA dotyczących outsourcingu chmurowego (które mówią o outsourcingu kwalifikowanym).
Co ciekawe, w przypadku wymienionych dokumentów organy nadzoru wprost odnoszą się do definicji zawartej w rozporządzeniu delegowanym Komisji (UE) 2017/565 do dyrektywy MiFID II, dodatkowo to pojęcie rozwijając i wprowadzając doprecyzowanie kryteriów istotności outsourcingu, natomiast KNF tworzy niejako swoją własną definicję, dość luźno opierając się na wspomnianych dokumentach.
Stanowi ona zestawienie pojęć pojawiających się w różnych aktach prawnych, odnoszących się do różnych podmiotów rynku finansowego. Ponadto, wśród kryteriów doprecyzowujących uwzględniono tylko niektóre czynniki wskazywane przez EBA i EIOPA.
KNF proponuje, aby za outsourcing szczególny uznać, takie powierzenie wykonywania czynności, które dotyczy:
Przy czym nadzorca nie wskazuje, jaka jest różnica pomiędzy tymi kategoriami. Być może w ten sposób KNF chciał zaadresować kwestię różnic w nomenklaturze, pojawiających się w regulacjach dla konkretnych obszarów sektora finansowego. Niemniej wydaje się, że w rzeczywistości zaproponowane kategorie zasadniczo będą się pokrywać.
Nadzór proponuje również test, na podstawie którego można stwierdzić, czy dochodzi do outsourcingu szczególnego:
a) awaria świadczonej usługi i/lub naruszenie zasad bezpieczeństwa mogą mieć potencjalny wpływ na podmiot nadzorowany, jego:
b) obejmują informacje o kliencie i – w przypadku nieuprawnionego dostępu lub ujawnienia, lub utraty, lub kradzieży informacji o kliencie – mogą generować znaczące ryzyka dla klientów podmiotu nadzorowanego.
Nie jest jednak jasne, czy do outsourcingu szczególnego dochodzi wyłącznie w przypadku spełnienia jednej z powyższych przesłanek (wystarczy spełnienie jednej), czy też podmioty nadzorowane powinny dalej badać, czy w ich przekonaniu czynność jest istotna/ważna lub też funkcja operacyjna podstawowa/istotna.
Jedną z przesłanek zastosowania reżimu outsourcingu szczególnego jest już potencjalny wpływ np. działalność gospodarczą. Przy okazji można zadać sobie pytanie, czy chodzi o każdy stopień wpływu (w ten sposób możemy dojść do konkluzji, że zasadniczo każdy outsourcing ma wpływ na działalność podmiotu nadzorowanego), czy też o negatywny wpływ o charakterze istotnym (nawiązując do wytycznych EBA i EIOPA – przy czym komunikat wprost wyłącza ich stosowanie).
OCZEKIWANE DOPRECYZOWANIE DEFINICJI
Komunikat definiuje pojęcie informacji prawnie chronionych, wskazując, że są to informacje związane z tajemnicami zawodowymi określone w ustawach sektorowych (np. w prawie bankowym, ustawie u usługach płatniczych, ustawie o działalności ubezpieczeniowej i reasekuracyjnej). To doprecyzowanie w porównaniu do poprzedniej wersji komunikatu należy ocenić pozytywnie. Usuwa bowiem wątpliwości, czy np. jakiekolwiek dane osobowe, czy też wszelkie dane stanowiące tajemnice przedsiębiorstwa – czyli kategorie danych chronionych innymi ustawami, powinny być istotne z punktu widzenia outsourcingu.
Co ważne, według KNF szyfrowanie informacji nie zmniejsza ważności informacji, nie zmienia też jej klasyfikacji i oceny. Ten wątek wymaga zastanowienia
Ponieważ dla tych rodzajów outsourcingu, tj. szczególnego i związanego z przetwarzaniem informacji prawnie chronionych:
Jest to o tyle ważne, że obowiązek stosowania modelu referencyjnego wiąże się z koniecznością dokumentowania czynności związanych z implementacją chmury (np. udokumentowanie architektury, zabezpieczeń, sposobu szacowania ryzyka, klasyfikacji danych, zasad przeglądu parametrów jakościowych usługi, umowy i oświadczeń dostawców, zasad działania służ ds. cyberbezpieczeństwa).
Jedną z osi modelu referencyjnego opisanego w komunikacie jest zapewnienie bezpieczeństwa danych przetwarzanych w chmurze.
W pierwszej kolejności należy dokonać klasyfikacji i oceny informacji, które mają znaleźć się w chmurze pod kątem dopuszczalności takiej operacji oraz ich wartości oraz wrażliwości (stopnia ochrony). Ocena powinna być dokonywana również w przypadku, gdy do wykorzystywanej chmury miałyby trafiać nowe kategorie danych, w szczególności prawnie chronionych i o dużej wartości. Niezależnie od tego klasyfikacja powinna być przeglądana co najmniej raz w roku.
Klasyfikacja informacji stanowi punkt wyjścia dla wyboru konkretnej chmury obliczeniowej oraz określenia odpowiedniego poziomu zabezpieczeń. Prawidłowy podział jest zatem bardzo istotny dla wszelkich kolejnych kroków na drodze do wyboru rozwiązania chmurowego.
Podmiot nadzorowany musi też wykazać się rozumieniem konsekwencji stosowania określonej architektury środowiska chmury obliczeniowej, a także zasad podziału odpowiedzialności za bezpieczeństwo informacji.
Wśród obowiązków znajdują się również sporządzenie planu przetwarzania informacji w chmurze obliczeniowej, przeprowadzenie testów przed uruchomieniem chmury, a także przygotowanie planu ciągłości działania uwzględniającego potencjalną możliwość utraty kontroli nad przetwarzanymi informacjami.
Podmioty nadzorowane powinny też monitorować środowisko przetwarzania informacji w usługach chmury obliczeniowej, w tym posiadać udokumentowane zasady zbierania logów związanych z przetwarzaniem informacji w chmurze. Uprawniony teamel powinien takie logi przeglądać.
Należy zapewnienie odpowiednie kompetencje wewnętrzne i/lub zewnętrzne w zakresie przetwarzania i bezpieczeństwa informacji w chmurze.
UWAGA: Kompetencje pracowników i/lub współpracowników podmiotu nadzorowanego odpowiedzialnych za bezpieczeństwo oraz planowanie, konfigurację i zarządzanie oraz monitoring środowiska chmurowego powinny być potwierdzone odpowiednią dokumentacją szkoleniową i/lub imiennymi zaświadczeniami w zakresie odpowiednim do używanych usług chmury obliczeniowej. Wydaje się, że w odniesieniu do niektórych przypadków to wymaganie może być zbyt rygorystyczne.
Szacowanie ryzyka jest kolejnym z filarów zaproponowanego przez KNF modelu referencyjnego. Ma być ono kompleksowe i tym samym zawierać identyfikację, analizę oraz ocenę zagrożeń, możliwość ich wystąpienia oraz wpływ tego wystąpienia na podmiot nadzorowany i prowadzoną działalność. Przy czym KNF wskazuje, że można do tego wykorzystać PN-ISO 27005 lub jej odpowiednik w europejskim systemie normalizacji, lub inne, usystematyzowane podejście (np. NIST, który jest dość często stosowanym standardem szczególnie w międzynarodowych grupach kapitałowych).
Szacowanie ryzyka powinno uwzględniać m.in. następujące czynniki:
Szacowanie ryzyka związanego z planowaniem czynności przetwarzania informacji w chmurze powinno uwzględniać zasadę proporcjonalności. Zasada nie odnosi się jednak do wielkości podmiotu, a raczej do ryzyka związanego z powierzeniem konkretnej czynności i zakresem powierzanych danych.
Informacje wykorzystywane do szacowania ryzyka powinny być pozyskiwane z szeregu źródeł, m.in. mogą pochodzić od wyspecjalizowanych podmiotów trzecich. KNF zaleca też zapoznanie się z audytami wewnętrznymi dostawcy chmury, analizę certyfikatów bezpieczeństwa posiadanych przez dostawcę oraz przetestowanie usługi chmurowej.
UWAGA: Wyniki szacowania ryzyka powinny zostać formalnie zatwierdzone przez uprawnionego przedstawiciela podmiotu nadzorowanego.
Szyfrowanie powinno być stosowane zawsze, gdy to technologicznie możliwe i racjonalnie zasadne, zarówno do data at rest, jak i do data in transit.
Podmiot nadzorowany powinien zapewnić, że informacje są szyfrowane kluczami generowanymi i/lub dostarczonymi oraz zarządzanymi przez podmiot nadzorowany (chyba że analiza ryzyka dopuszcza inne rozwiązanie).
KNF nie rozstrzyga wątpliwości w kwestii dopuszczalność outsourcingu łańcuchowego przy chmurze obliczeniowej. Niestety, ponieważ jest to często spotykany i naturalny model w przypadku chmury. W związku z tym warto byłoby tę kwestię rozstrzygnąć dopuszczając łańcuch outsourcingowy z ewentualnym wskazaniem minimalnych wymagań dla takiej struktury. W opublikowanej wersji komunikatu, podmioty nadzorowane same mają rozstrzygać tę kwestię w oparciu o odpowiednie przepisy.
Przy czym wydaje się, że KNF uważa za podoutsourcing wyłącznie czynności faktyczne związane z możliwością identyfikowanego dostępu do przetwarzanych przez podmiot nadzorowany informacji (niezależnie od tego, czy są to informacje prawnie chronione).
W przypadku podoutsourcingu szczególnego i zakładającego przetwarzanie danych szczególnie chronionych nie można ograniczać ani wyłączać odpowiedzialności dostawcy chmury za szkody wyrządzone klientom. To stanowisko może potencjalnie nie współgrać z przepisami niektórych ustaw (np. dla firm inwestycyjnych) w zakresie outsourcingu, które stanowią wyłącznie o zakazie wyłączenia odpowiedzialności, nie zaś o zakazie jej ograniczenia.
Zasadniczo prawem właściwym dla umowy powinno być prawo polskie lub inne, jeśli pozwala na egzekwowanie wymagań prawa polskiego oraz wytycznych KNF (nie tylko chmurowych).
W przypadku wyboru prawa obcego należy mieć udokumentowaną analizę prawną potwierdzającą, że zgodnie z wybranym prawem właściwym postanowienia komunikatu są wykonalne.
Komunikat przedstawia szereg kwestii, które powinny być zaadresowane w umowie chmurowej, m.in.:
W komunikacie wskazano szereg wymagań dla dostawców chmury obliczeniowej, które dotyczą bezpieczeństwa. KNF powołał się między innymi na normy ISO (bezpieczeństwo IT, ciągłość działania, bezpieczeństwo informacji w chmurze), dopuszczając stosowanie ich europejskich odpowiedników.
Centra przetwarzania danych powinny być zlokalizowane na terytorium EOG. Z zastrzeżeniem, że operatorzy usług kluczowych oraz operatorzy infrastruktury krytycznej w pierwszej kolejności powinni wybierać centra zlokalizowane w Polsce.