Site Search

Loading Results

Chmura obliczeniowa w bankach oczami KNF

Komisja Nadzoru Finansowego (KNF) w dniu 24 stycznia 2020 roku opublikowała Komunikat dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej (“Komunikat Chmurowy”), który w całości zastąpił Komunikat z 2017 r.

Podmioty rynku finansowego otrzymały czas na dostosowanie się do nowego Komunikatu do dnia 1 listopada 2020 r.

 

pwc chmura

.

O komunikacie

Komunikat Chmurowy powinien być stosowany przez podmioty nadzorowane (m.in. banki, instytucje płatnicze, zakłady ubezpieczeń, firmy inwestycyjne), podczas działań związanych z przygotowaniem, realizacją i zakończeniem przetwarzania informacji w chmurze obliczeniowej, jeżeli przetwarzane informacje należą do informacji prawnie chronionych, lub przetwarzanie informacji ma charakter outsourcingu szczególnego chmury obliczeniowej. 

Wydając Komunikat, KNF wskazała model referencyjny, który stanowić powinien podstawowy punkt odniesienia dla każdego podmiotu nadzorowanego w ramach projektu dotyczącego usługi chmury obliczeniowej. 

Model referencyjny stosowania usług chmury obliczeniowej składa się z:

  • wytycznych stosowania;
  • wytycznych do klasyfikacji i oceny informacji;
  • wytycznych do szacowania ryzyka;
  • minimalnych wymagań dla przetwarzania informacji w chmurze obliczeniowej;
  • zasad informowania KNF.
pwc chmura

W świetle przedstawionego modelu referencyjnego, Komunikat wydany przez KNF jest jedynie uzupełnieniem i uszczegółowieniem wybranych zaleceń w zakresie outsourcingu, opisanych w rekomendacjach i wytycznych. 

W związku z tym, podmiot nadzorowany, który podejmie się implementacji chmury obliczeniowej powinien traktować model referencyjny jako doprecyzowanie istniejących wymagań prawnych. Konstrukcja mapy drogowej wdrożeń usługi chmury obliczeniowej powinna zaczynać się więc od modelu referencyjnego KNF i zostać wzbogacona o wymogi wskazane w innych znajdujących zastosowanie regulacjach.

W praktyce oznacza to, że wdrożenie usługi chmury obliczeniowej w instytucji nadzorowanej wymaga analizy zgodności z obowiązującymi przepisami prawa, znajdującymi zastosowanie innymi stanowiskami KNF oraz wreszcie zgodności z Komunikatem Chmurowym. 

W kontekście powyższego szczególne wątpliwości może budzić zakres zastosowania tzw. wytycznych EBA w zakresie outsourcingu. Wskazana w treści Komunikatu Chmurowego reguła interpretacyjna nie pozwala na jednoznaczne stwierdzenie stosowania tych wytycznych. Niemniej całościowy kontekst regulacji dotyczących outsourcingu wydaje nie pozostawiać podmiotom nadzorowanym wyboru w tym zakresie i zobowiązywać ich do stosowania wytycznych EBA dotyczących outsourcingu także do współpracy w ramach usług chmury obliczeniowej.

pwc chmura

Wydaje się, że każdy podmiot nadzorowany powinien dodatkowo opracować zestawienie wymogów dotyczących usługi chmury obliczeniowej adekwatnych dla tego działalności tego podmiotu nadzorowanego. Należy przy tym zaznaczyć, że zakres tych wymogów może być diametralnie różny dla poszczególnych podmiotów nadzorowanych (np.ustawa prawo bankowe będzie wskazywała wymogi właściwe dla banków, przy czym ustawa ta nie będzie dotyczyć np. pośredników ubezpieczeniowych). Z tego względu każda grupa podmiotów nadzorowanych może mierzyć się z innymi problemami praktycznymi w procesie wdrożenia. 

I tak modelowa mapa drogowa wdrożeń usług chmury obliczeniowej (pomimo stosowania tego samego Komunikatu Chmurowego) powinna wyglądać inaczej dla każdej grupy podmiotów nadzorowanych.

Należy zwrócić uwagę, że w dniu 24 września 2020 r. Komisja Europejska opublikowała nowy projekt rozporządzenia dotyczącego tzw. odporności podmiotów rynku finansowego na ryzyka IT. Regulacja ta będzie w dużej mierze dotyczyć także usług chmurowych. Podmioty nadzorowane powinny więc z uwagą obserwować rozwój prac w ramach tej inicjatywy regulacyjnej. Już dziś można jednak stwierdzić, że wdrożenie Komunikatu KNF jest jedynie pierwszym krokiem w realizacji obowiązków regulacyjnych w ramach projektów dotyczących usług chmury obliczeniowej.

 

Nowy komunikat, stare problemy

Wbrew oczekiwaniom rynku, Komunikat Chmurowy nie rozwiązuje kluczowych problemów prawnych związanych z potencjalnymi wdrożeniami usług chmurowych. Kwestia ta jest szczególnie widoczna w kontekście polskiej branży bankowej. 

Należy wskazać w szczególności na przepisy wyłączające możliwość ograniczenia odpowiedzialności dostawcy usług wobec instytucji rynku finansowego, za szkody wyrządzone klientom wskutek niewykonanie lub nienależytego wykonania umowy. Przykładem takiej regulacji jest art. 6b ustawy z dnia 29 sierpnia 1997 r., prawo bankowe (tekst jednolity: Dz. U. z 2017 r. poz. 1876 z późn. zm., dalej: „Ustawa Prawo Bankowe”), zgodnie z którym odpowiedzialność przedsiębiorcy lub przedsiębiorcy zagranicznego, któremu bank powierzył wykonywanie czynności w ramach outsourcingu, wobec banku, za szkody wyrządzone klientom wskutek niewykonania lub nienależytego wykonania umowy outsourcingowej, nie można wyłączyć ani ograniczyć.

Szersza analiza ustawodawstwa rynku finansowego pozwala więc stwierdzić, że zakaz ograniczania odpowiedzialności w przypadku outsourcingu nie jest absolutnym standardem rynkowym w sektorze finansowym.

Bez względu na treść Komunikatu Chmurowego, powyższa zasada w dalszym ciągu znajduje zastosowanie do podmiotów nadzorowanych będących bankami. Jej zaadresowanie wymaga więc wspólnego kompromisowego podejścia ze strony banków i dostawców technologii. 

Ponadto, należy wskazać na wynikającą z art. 6a ust. 7 Ustawy Prawo Bankowe barierę regulacyjną dotyczącą potencjalnej współpracy banków z dostawcami usług chmury obliczeniowej. Zgodnie z tym przepisem, bank może korzystać z outsourcingu oraz podoutsourcingu. Nie wskazuje on przy tym, na możliwość korzystania przez bank z modelu, w którym podinsourcer może te czynności dalej powierzać, czyli stosować tzw. outsourcing łańcuchowy. Ze znanej autorom niniejszego opracowania praktyki rynku wynika, że jest to działanie często stosowane na rynku usług informatycznych. Utrzymanie wyżej wymienionego ograniczenia może w dalszym stopniu ograniczać możliwości współpracy banków i dostawców usług chmury obliczeniowej (szczególnie tych, w których modelu biznesowym dochodzi do dalszego powierzania czynności w ramach realizowanych usług). Próba rozwiązania tych wątpliwości została podjęta w Komunikacie Chmurowym. Należy jednak zaznaczyć, że w tym zakresie Komunikat Chmurowy wskazuje, że tzw. podoutsourcing łańcuchowy jest możliwy wszędzie tam, gdzie nie zabraniają tego przepisy prawa. Stanowisko wprowadza więc potencjalne ułatwienie dla podmiotów nadzorowanych w stosunku do których kwestie te nie podlegają regulacji (np. ubezpieczycieli). W praktyce, nie stanowi jednak istotnej zmiany dla branży bankowej, która także w tym zakresie musi liczyć na odpowiednie podejście ze strony dostawców technologii.

Wskazane powyżej przykładowe “stare problemy” podmiotów nadzorowanych dotyczące wdrożeń usług chmury obliczeniowej, wskazują jedynie na część kwestii prawnych wymagających zaadresowania w przypadku realizacji wdrożenia. Lista tego rodzaju kwestii zależeć będzie od rodzaju wdrażanej usługi i rodzaju podmiotu nadzorowanego, przez co powinna być rozważana odrębnie w każdej organizacji. 
 

Jak przeprowadzać wdrożenie?

KNF nadal reprezentuje ostrożnościowe podejście w zakresie stosowania chmury obliczeniowej przez podmioty nadzorowane. Mimo to Komunikat Chmurowy można interpretować jako “zielone światło”, umożliwiające skuteczną implementację usług chmury obliczeniowej w podmiocie nadzorowanym.

Uważna analiza Komunikatu Chmurowego powinna prowadzić do wniosku, że KNF odnosi się do przygotowania podmiotu nadzorowanego do wdrożenia usługi chmury obliczeniowej z punktu widzenia zarówno organizacji (np. konieczność posiadania odpowiednich procedur) jak i konkretnego projektu (np. ocena ryzyka konkretnego projektu). Jest to perspektywa, która w obliczu dużych wdrożeń wydaje się nie być dostrzegana przez wiele podmiotów. Kusząca wydaje się perspektywa oparcia dostosowania organizacji do Komunikatu Chmurowego, w oparciu o konkretny strategiczny projekt. Takie podejście obarczone jest jednak ryzykiem wielu błędów, i musi być narażone na zarzut braku dalszej przydatności.

Wdrożenie Komunikatu Chmurowego w podmiocie nadzorowanym powinno mieć charakter uniwersalny technologicznie. Z tego względu, zasadnym wydaje się podzielić dostosowanie podmiotu nadzorowanego na 3 fazy:

  1. Faza 1 - Dostosowania organizacji do projektów dotyczących chmury obliczeniowej - rozwiązania obejmującego dostosowanie wewnętrznych procedur (w tym bezpieczeństwa IT, outsourcingu), wypracowanie odpowiednich wzorów umów i metodyk (np. metodyki oceny ryzyka, metodyki klasyfikacji informacji);
  2. Faza 2 - Dostosowania konkretnego projektu - polegające na przeprowadzeniu danego konkretnego projektu usługi chmury obliczeniowej przez istniejący (określony przez podmiot) proces dostosowania do Komunikatu Chmurowego (w tym ocena ryzyka, klasyfikacja informacji, dostosowanie umowy oraz ewentualne uzyskanie zezwolenia KNF);
  3. Faza  3 -  Zgłoszenie do KNF.
pwc chmura

Osiągnięcie powyższego modelu powinno być jednym z celów projektowych w ramach dostosowania organizacji do Komunikatu Chmurowego. Przyjmując, że element technologii chmury obliczeniowej jest coraz częściej spotykany w ramach współpracy prowadzonej przez podmioty nadzorowane w ramach outsourcingu trzeba zakładać, że ilość projektów wymagających dostosowania do Komunikatu Chmurowego będzie rosła. Tym bardziej organizacja decydująca się na pozytywne podejście do wykorzystania tej technologii powinna w pierwszej kolejności zadbać o przygotowanie jednolitego i uniwersalnego podejścia. 

Obecna sytuacja sprzyja podejmowaniu działań wdrożeniowych, a nastroje rynkowe oraz stanowisko regulatora sugeruje, że nie należy spodziewać się luzowania obostrzeń i łatwiejszej ścieżki implementacyjnej. 

Wykorzystanie powyższej procedury powinno zapewnić jednolite podejście przez  podmiot nadzorowany do wdrożenia chmury obliczeniowej. Dodatkowo skutkując, możliwością powtarzalnego wdrożenia chmury obliczeniowej jako rozwiązanie trwałe oraz jednorazowe - każdorazowo do konkretnego projektu. 
 

Rozwiązania chmurowe w innych jurysdykcjach

Wskazane wcześniej problematyczne kwestie dotyczące wdrożeń usług chmury obliczeniowej są zazwyczaj obce w innych jurysdykcjach. Standardem europejskim nie wydaje się także być lokalne określenie dodatkowych wymogów regulacyjnych. 

Na wyjątkowość polskiego podejścia do kwestii wskazuje przeprowadzone przez nas badanie działań innych regulatorów europejskich

pwc chmura

Lokalna regulacje zasad przetwarzania w chmurze obliczeniowej przez instytucje nadzorowane nie jest standardem w UE. Polskie lokalne podejście wydaje się więc stawiać polskie instytucje  przed trudniejszym zadaniem. 

W świetle powyższego szczególnego znaczenia wydaje się nabierać odpowiednie przygotowanie danego podmiotu nadzorowanego do zaadresowania kwestii regulacyjnych wynikających z Komunikatu Chmurowego.
 

Powiązane zagadnienia

Skontaktuj się z nami

Przemysław Paprotny

Przemysław Paprotny

Partner, PwC Polska

Tel.: +48 502 184 766

Linkedin Follow Email
Marek Młyniec

Marek Młyniec

Partner, PwC Polska

Tel.: +48 227 467 002

Email
Aleksandra Bańkowska

Aleksandra Bańkowska

Partner, Adwokat, PwC Polska

Linkedin Follow Email
Łukasz Łyczko

Łukasz Łyczko

Legal Counsel, PwC Polska

Tel.: +48 519 507 952

Linkedin Follow Email
Obserwuj nas