Zgodnie z nieoficjalnymi informacjami Komunikat Chmurowy UKNF z 2020 r. (Komunikat)[1] oraz Rekomendacja D KNF[2] oraz pokrewne wytyczne IT dla innych sektorów niż bankowy mają zostać wycofane. Zastąpi je DORA[3] oraz towarzyszące DORA akty wykonawcze Regulatory Technical Standard (RTS) i Implmementation Technical Standards (ITS). RTS i ITS mają precyzować sposób wykonania obowiązków wynikających z poszczególnych art. DORA.
- Wpływ na umowy i przesłanki stosowania regulacji ICT.
- Wpływ na dokumentację dot. szyfrowania.
- Wpływ na zdefiniowanie chmury prywatnej.
- Notyfikacja UKNF vs Przekazanie informacji z Rejestru Umów zgodnego DORA.
- Czego nie ma w: Komunikacie, DORA, Wytycznych EBA/ESMA/EIOPA?
- Branżowe interpretacje Komunikatu Chmurowego – dalej warto z nich korzystać.
- Rola UKNF: interpretacja vs stosowanie DORA.
- Wycofanie Komunikatu Chmurowego UKNF: słuszne czy niesłuszne + pełne czy niepełne.
Komunikat był wyczekiwanym przez sektor finansowym dokumentem, który miał usystematyzować oczekiwania nadzoru finansowego wobec wdrożeń usług chmurowych w sektorze finansowym. Pomimo zastrzeżeń i wątpliwości dotyczących zakresu jego stosowania można uznać, że spełnił swoje zadanie.
Komunikat jest/był dedykowany całemu sektorowi finansowemu w przeciwieństwie do wytycznych europejskich organów nadzoru, które regulowały usługi chmurowe oddzielnie dla sektorów bankowego (EBA), ubezpieczeniowego (EIOPA) oraz kapitałowego (ESMA). UKNF argumentował swoje podejście przez podkreślenie międzysektorowego charakteru obowiązków związanych z wdrożeniem usług chmurowych – to założenie UKNF okazało się spójne z założeniami DORA.
Poniżej opisuję obszary, które Komunikat ujmuje inaczej niż DORA oraz jeden, którego DORA i Komunikat nie reguluje.
Wpływ na umowy i przesłanki stosowania regulacji ICT
Przesłankami stosowania Komunikatu jest/było przetwarzanie tajemnicy sektorowej lub outsourcing szczególny, którego definicja przypomina definicję krytyczność lub istotności w DORA i Wytycznych EBA/ESMA/EIOPA.
DORA nie odwołuje się do przetwarzania tajemnicy sektorowej i outsourcingu regulowanego. DORA odwołuje się do krytyczności lub istotności funkcji wspieranej przez usługę ICT.
Czyli w umowach dot. przetwarzania tajemnicy sektorowej i niewspierających funkcji krytycznej lub istotnej, nie ma obowiązku np. uwzględnienia testów TLPT lub audytów, lub innych obowiązków wyszczególnionych w art. 30 ust. 3 DORA. Warto podkreślić, że brak obowiązku uwzględnienia obowiązków opisanych w art. 30 ust. 3 DORA lub w RTS dot. podoutsorcingu funkcji krytycznej lub istotnej nie powinien oznaczać automatyzmu i nieuwzględnienia przynajmniej niektórych z postanowień art. 30 ust. 3 DORA, o ile strony umowy uznają to za stosowne.
Wymagania dot. umów ICT wynikają z DORA oraz ustaw sektorowych – np. w zakresie dot. łańcucha outsourcingowego/warunków uczestniczenia i liczbie podwykonawców, zakresu odpowiedzialności dostawcy usługi ICT.
Wpływ na dokumentację dot. szyfrowania
W art. 6 RTS do DORA dot. polityki usług teleinformatycznych świadczonych przez zewnętrznych dostawców usług teleinformatycznych wskazano, że instytucja finansowa powinna opracować politykę dotyczącą szyfrowania (at rest, in transit, in use).
RTS nie sugeruje, w odróżnieniu od Komunikatu, jaki podmiot powinien generować i zarządzać kluczami szyfrującymi.
Wpływ na zdefiniowanie chmury prywatnej
W Komunikacie jest/była inna definicja chmury prywatnej niż w Wytycznych EBA/ESMA/EIOPA. Wytyczne EU odwołują się do wyłączności korzystania z chmury, a Komunikat do zarządzania lub posiadania infrastrukturą chmurową.
Komunikat nie dotyczył chmury prywatnej, tylko publicznej lub hybrydowej.
W DORA nie ma odniesień do chmury i DORA powinna mieć też zastosowanie do chmury prywatnej.
Notyfikacja UKNF vs Przekazanie informacji z Rejestru Umów zgodnego DORA.
Zgodnie z informacjami udostępnionymi na stronach europejskich organów nadzoru[4], Komisja Nadzoru Finansowego (KNF) ma przekazać unijnym organom nadzoru do 30 kwietnia 2025 r. informacje z rejestrów umów. KNF powinna otrzymać od podmiotów finansowych te informacje przed 30 kwietnia 2025 r.
Zatem warto skoncentrować się na realizacji wymagań DORA i ITS dot. rejestru ustaleń umownych. Przemawia za tym zakres informacji wymaganych w ITS dot. rejestru ustaleń umownych oraz czasochłonności jego prawidłowego uzupełnienia. Nawet jeżeli ITS dot. rejestru ustaleń umownych jest obecnie zakwestionowany przez Komisję. Zastrzeżenia Komisji dotyczą referencji identyfikatora dostawców ICT. W ITS był wskazany LEI, natomiast Komisja wskazuje na europejski identyfikator podmiotów jako właściwy.
Czego nie ma w: Komunikacie, DORA, Wytycznych EBA/ESMA/EIOPA?
Wskazane regulacje nie ograniczają np. transferu danych poza EOG. Podkreślają konieczność zachowania kontroli nad nimi. A zastosowane środki kontroli mają wynikać z:
- identyfikacji, szacowania i oceny ryzyka związanego z daną usługą ICT, oraz
- innych regulacji, jak np. prawa bankowego lub RODO. To z przepisów powszechnie obowiązujących wynika, czy np. ocenia dana lub informacji stanowi daną osobową, daną osobową szczególnego rodzaju lub tajemnicę sektorową np. bankową, ubezpieczeniową lub agencyjną. Ewentualne ograniczenia w przetwarzaniu tak zdefiniowanych danych/informacji wynikają ze wskazanych przykładowo aktów prawa powszechnie obowiązujących, a nie DORA lub regulacji soft law.
Branżowe interpretacje Komunikatu Chmurowego – dalej warto z nich korzystać
Komunikat Chmurowy od momentu wydania stał się praktycznym przewodnikiem nie tylko dla sektora finansowego, ale dla podmiotów z innych branż, które szukały wzorca wdrożeń usług chmurowych. Komunikat doczekał się licznych opracowań branżowych jak Standard Polish Cloud 2.0 Związku Banków Polskich[5] i Standard Wdrożeń Przetwarzania Informacji w Chmurze Obliczeniowej Polskiej Izby Ubezpieczeniowej[6].
Wskazane przykładowe praktyczne przewodniki stały się podstawą implementacji usług chmurowych w wielu organizacjach i tam, gdzie nie są sprzeczne z DORA i RTS/ITS nadal powinny mieć zastosowanie w instytucjach finansowych. Ponadto wskazane opracowania mogą być wykorzystywane w innych sektorach.
Rola UKNF: interpretacja vs stosowanie DORA
Krajowe regulacje ICT, zwłaszcza Komunikat doczekał się licznych dodatkowych wyjaśnień UKNF. Oczekiwał tego rynek i nawet jeżeli kierunek wyjaśnień stanowił zaskoczenie dla pytających, to należy uznać, że UKNF był uprawnionych do wydawania dodatkowych wyjaśnień.
Jednak w przypadku stosowania DORA rola krajowego nadzoru, w tym KNF powinna być inna. Zwłaszcza w zakresie interpretacji kluczowych pojęć związanych ze stosowaniem DORA jak np. definicja usługi ICT. Aby zapewnić pełną harmonizację stosowania przepisów Rozporządzenia, to kluczowe pojęcia powinny być interpretowane przez organy nadzory UE w celu uniknięcia efektu gold plating tj. nakładania dodatkowych krajowych wymagań na szczeblu krajowym lub arbitrażu regulacyjnego – niepożądanej krajowej liberalizacji. Takie działania wypaczyłby sens DORA i mogłyby mieć wpływ na konkurencję na rynku UE oraz funkcjonowanie np. międzynarodowych grup kapitałowych (rożne wymogi stosowane do spółki matki i spółki córki).
Konieczności utrzymania spójnego definiowania kluczowych pojęć w prawie UE wyraził Trybunał Sprawiedliwości UE z 28 listopada 2017 r. w sprawie C‑514/16. Sprawa dotyczyła odmiennego definiowania podstawowych pojęć na szczeblu krajowym, co uznano za nieprawidłowe.
Wycofanie Komunikatu Chmurowego UKNF: słuszne czy niesłuszne + pełne czy niepełne
Decyzja – o ile nieoficjalne informacje potwierdzą się – o wycofaniu Komunikatu, Rekomendacji D KNF, oraz Wytycznych IT UKNF dla sektorów ubezpieczeniowego, kapitałowego nie powinna być zaskoczeniem i jest trafna. Sprzyja ona rozwojowi technologicznemu i odporności cyfrowej sektora finansowego.
Decyzja o zniesieniu wskazanych regulacji powinna być pełna. Zniesienie powinno obejmować dodatkowe wyjaśnienia skierowane do całego rynku np. w postaci Q&A do Komunikatu Chmurowego oraz wyjaśnienia skierowane do indywidualnych podmiotów lub zrzeszeń branżowych.
Jeżeli Komunikat nie stoi w sprzeczności z DORA i RTS/ITS, to nie powinno być przeciwskazań do dalszego stosowania np. dokumentacji zgodnej np. z Rekomendacją D lub Komunikatem.
Natomiast, jeżeli Komunikat Rekomendacja D lub Wytyczne IT nakładają dalej idące obowiązki, wówczas powinno to być uznane za nieobowiązujące. Oczywiście każdy podmiot finansowy może autonomicznie uznać, że chce stosować dalej idące wymagania wynikające z krajowych regulacji. Jednak takie indywidulane podejście nie powinno stać się standardem rynkowym.
Marek Dzięciołowski
Autor jest adwokatem. Pracował przy opracowaniu Q&A do Komunikatu Chmurowego UKNF, Standardzie Polish Cloud 2.0 Związku Banków Polskich, Raporcie i Standardzie DORA Związku Banków Polskich. Prowadzi wdrożenia ICT oraz audyty zgodności. Specjalizuje się w obszarach TMT, cyberbezpieczeństwa, privacy.
[1] Komunikat Urzędu Komisji Nadzoru Finansowego dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej z 23 stycznia 2020 r.[2] Rekomendacja D dotycząca zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach
[3] ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011
[4] https://www.eiopa.europa.eu/esas-announce-timeline-collect-information-designation-critical-ict-third-party-service-providers-2024-11-15_en
[5] https://zbp.pl/Dla-Bankow/Bankowosc-elektroniczna/PolishCloud
[6] https://piu.org.pl/standard-chmury-obliczeniowej-dla-branzy/
