Czy dojdzie do uchylenia komunikatu chmurowego i wytycznych IT przez KNF?

Dotychczasowe oczekiwania nadzoru

Rekomendacja D została przyjęta przez KNF jeszcze w styczniu 2013 roku i do niedawna stanowiła fundament obszaru bezpieczeństwa w sektorze bankowym. Banki miały czas na dostosowanie się do przełomowej regulacji do końca 2014 roku. Jednocześnie przed upływem tego terminu KNF przyjęła bliźniacze regulacje dla kolejnych sektorów (zakładów ubezpieczeń i reasekuracji, PTE, TFI, podmiotów infrastruktury rynku kapitałowego i firm inwestycyjnych). I choć z czasem w obszarze bezpieczeństwa zaczęły się pojawiać kolejne regulacje (m.in. dyrektywa PSD2 i szczegółowe wymogi dotyczące silnego uwierzytelniania, rekomendacje unijnych organów nadzoru, RODO czy ustawa o krajowym systemie cyberbezpieczeństwa), dopiero rozporządzenie DORA postawiło znak zapytania nad regulacją, którą – z perspektywy rozwoju technologii – stanowi swoiste regulacyjne „legacy” w instytucjach finansowych.

Nieco inną historię posiada komunikat chmurowy. Jego pierwsza odsłona ujrzała światło dzienne w 2017 roku, lecz już w 2020 roku Urząd KNF zdecydował się na publikację zmienionej wersji. Status prawny komunikatu budził kontrowersje (w szczególności nie miał on charakteru „rekomendacji” w rozumieniu przepisów prawa bankowego), a samo podejście nadzorcy było dalekie od liberalnego. Mimo to jednoznaczne określenie przez nadzór swoich oczekiwań ośmieliło pewną część rynku finansowego do uruchomienia wdrożeń chmury obliczeniowej. Komunikat pozostawał jednak niespójny z rekomendacjami EBA i ESMA w zakresie outsourcingu chmurowego – przedstawiciele urzędu KNF często podkreślali zresztą publicznie, że stanowi on „podejście krajowe” i nie jest planowane jego pełne ujednolicenie z regulacjami europejskimi.
 

Zapowiedzi urzędu KNF – rewolucja czy ewolucja?

Najważniejszą konsekwencją uchylenia komunikatu chmurowego jest prawie całkowite ujednolicenie standardu wdrożenia chmury obliczeniowego do rozwiązań przyjętych w innych państwach UE. Ułatwi to wdrożenia w międzynarodowych grupach kapitałowych, które nie będą musiały równolegle dostosowywać się do dwóch regulacji – wytycznych EBA i komunikatu chmurowego.

Nadal jednak podkreślić, że odrębności krajowe pozostaną. Konieczne będzie uwzględnienie między innymi krajowych przepisów o tajemnicach zawodowych i outsourcingu regulowanym. Choć i w tym zakresie ostatnich kilka lat przyniosło duże zmiany. Od września 2023 roku obowiązują bowiem znowelizowane przepisy prawa bankowego, które dopuszczają kolejne stopnie w łańcuchu outsourcingowym, a także pozwalają na wprowadzanie umownych ograniczeń odpowiedzialności dostawcy wobec banku za szkody wyrządzone klientom (choć nadal nie jest dozwolone wyłączanie tej odpowiedzialności).

Nie oznacza to jednak, że wdrożenia chmury obliczeniowej pozostają poza nadzorem KNF. Przede wszystkim komunikat chmurowy – nawet jeśli zostanie „uchylony” przez Urząd KNF – nadal pozostanie świetnym materiałem instrukcyjnym i edukacyjnym. Określony w nim standard wdrożenia jest bardzo wysoki i wciąż będzie mógł zostać wykorzystać przy realizacji obowiązków wynikających np. z rozporządzenia DORA czy RODO (np. w zakresie oceny ryzyka, due diligence dostawcy, zasad ochrony powierzonych danych czy zasad dotyczących audytu).

Innym przykładem mogą pozostawać wymogi kontraktowe, których katalog zawarty w rozporządzeniu DORA (wraz z aktami drugiego stopnia) znacząco odbiega od komunikatu chmurowego. Nie można zapomnieć jednak, że umowa – w swojej najczystszej postaci – nie jest wyłącznie niewygodnym formalizmem, ale stanowi podstawowe zabezpieczenie prawne każdego projektu technologicznego. Nawet jeśli zawarta umowa będzie odbiegać od standardu wynikającego z komunikatu chmurowego, samo przejrzenie na etapie negocjacji kilkudziesięciu kontrolek zawartych w tym komunikacie i świadoma decyzja co do ich uwzględnienia lub pominięcia w kontrakcie może jeszcze przez wiele lat stanowić przykład dobrej praktyki rynkowej. I choć wejście w życie DORA już uruchomiło falę aneksowania umów technologicznych, samo uchylenie komunikatu chmurowego nie oznacza konieczności „wymazania” poszczególnych klauzul umownych.

Czy to oznacza automatycznie stosowanie wytycznych EBA w sprawie outsourcingu? Na to pytanie, póki co nie da się jednoznacznie odpowiedzieć. Po pierwsze, dotychczas KNF wyraźnie zadeklarowała brak zamiaru stosowania części dotyczącej usług chmury obliczeniowej w odniesieniu do podmiotów nadzorowanych w Polsce i ewentualna zmiana tego podejścia wymagałaby również przekazania odpowiedniej informacji przez KNF do EBA. Po drugie, spodziewane jest analogiczny przegląd dotychczas wydanego soft law przez unijne urzędyu nadzorcze – możliwe, że również te wytyczne zostaną istotnie zmienione lub całkowicie uchylone.

D jak… DORA, czyli zarządzenia obszarem IT po nowemu

Właściwie analogiczne wnioski można postawić w zakresie rekomendacji D. Zbiór oczekiwań organu nadzoru historycznie pozwolił znacznie poprawić poziom organizacji obszaru technologicznego w bankach i innych instytucjach finansowych. Z perspektywy doradcy prawnego (a jako całej grupy Deloitte – również technologicznego i biznesowego), poziom organizacyjny podmiotów, które dostosowały się do rekomendacji D i bliźniaczych jej wytycznych dla innych sektorów jest dobrym punktem wyjścia dla wdrożeń m.in. rozporządzenia DORA czy rozporządzenia ws. systemów AI (AI Act). Przykładowo, sformalizowane zasady zarządzania danymi mogą stanowić dobry punkt wyjścia dla wdrożenia zasad data governance określonych w AI Act (choć oczywiście same w sobie nie wystarczają do spełnienia standardów wynikających z tego rozporządzenia).

W pewnych aspektach rekomendacja D wyraźnie przewidywała podejście odmienne, co prowadzi do trudności w ramach aktualnych procesów wdrożenia rozporządzenia DORA. Przykładowo, rekomendacja D wymagała wdrożenia zasad klasyfikacji systemów IT, w ramach których często banki decydowały się na wyróżnienie systemów krytycznych. Rozumienie systemów krytycznych na gruncie rekomendacji D różni się jednak w stosunku do pojęcia funkcji krytycznych i istotnych wynikającego z rozporządzenia DORA – to ostatnie bardziej oparte jest na dotychczasowych regulacjach w zakresie resolution i outsourcingu. W efekcie często dochodzi do pomieszania krytyczności funkcji oraz systemu (a warto pamiętać, że pojęcia te nie są równoznaczne) – w tym zakresie uchylenie wytycznych dotyczących zarządzania obszarem IT może uprościć compliance po stronie instytucji nadzorowanych, ograniczając np. obowiązki dokumentacyjne.

Podsumowanie

Choć spodziewane uchylenie komunikatu chmurowego i rekomendacji D nie będzie rewolucją, a raczej ewolucją w rozwoju regulacji finansowych, na pewno nie pozostanie bez wpływu na działalność instytucji nadzorowanych. Z jednej strony jest to pewna szansa, ponieważ odchodzimy od sytuacji, w której nadzorca bardzo szczegółowo prowadzi rynek za rękę i daje gotowe rozwiązania (np. zastosuj szyfrowanie “at rest”, zapewnij wdrożenie określonych norm lub standardów). DORA przewiduje nieco bardziej elastyczne podejście, wymagające dojrzałości pozwalającej na świadome identyfikowanie obszarów ryzyka i podejmowanie decyzji w tym obszarze – i to z pewnością jest szansa dla rynku.

Nie zawsze będzie to jednak sytuacja komfortowa. Jednoznaczne wymogi wynikające z regulacji ułatwiają negocjacje umowne, gdyż łatwiej wskazać konkretny wymóg w wytycznych niż opierać argumentację na przeprowadzonej analizie ryzyka. Dotyczy to szczególnie mniejszych instytucji finansowych, którym znacznie trudniej będzie obecnie uzyskać dalej idące gwarancje bezpieczeństwa niż obligatoryjne minimum na podstawie rozporządzenia DORA.

Na koniec warto też podkreślić, że każda zmiana może budzić początkowo wątpliwości i wzbudzać emocje, jednak w tym przypadku stajemy przed dużą szansą na ujednolicenie standardów krajowych i europejskich dla wdrożeń chmury obliczeniowej. Taka zbieżność znacznie ułatwi międzynarodowym grupom kapitałowym zastosowanie zunifikowanych zasad w zakresie postanowień umownych czy zarządzania ryzykiem płynącymi z wykorzystania chmury obliczeniowej.