Analizy
Cloud computing – komunikat UKNF i zmiana terminów
Alert prawny 8/2020
26 marca 2020 roku na stronie UKNF ukazała się informacja, dotycząca zmiany terminów w zakresie stosowania Komunikatu UKNF z 23 stycznia 2020 r. dotyczącego przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej. Zmiana ta wynika ze stanu epidemii, związanego z COVID-19.
Komunikat UKNF dotyczący przetwarzania informacji w chmurze – zmiana terminów
Dla podmiotów nadzorowanych, które korzystają z usług chmury obliczeniowej (cloud computing), termin dostosowania się do wymagań komunikatu ulega zmianie: z 1 sierpnia 2020 r. - na 1 listopada 2020 r.
Dla podmiotów nadzorowanych, które zamierzają korzystać z usług chmury obliczeniowej, obowiązek informowania UKNF o zamiarze korzystania z usługi z wyprzedzeniem 14-dniowym zostaje zastąpiony obowiązkiem informowania UKNF o fakcie korzystania z usługi nie później niż 30 dni po rozpoczęciu korzystania z usługi.
COVID-19 - Nawigator prawny
Nadzwyczajne uwarunkowania wymagają niezwłocznego podejmowania decyzji. W obliczu zagrożenia tylko dobrze przygotowane firmy będą w stanie zapewnić odpowiednią ochronę prawną i ciągłość swojego biznesu.
Dowiedz się więcejPrzesunięcie terminu poinformowania UKNF-u o korzystaniu z chmury (nie jak wcześniej 14 dni przed rozpoczęciem, a 30 dni po rozpoczęciu) może być bardzo cennym ułatwieniem, szczególnie w czasie, gdy wymaga się od pracodawców umożliwienia pracy zdalnej, a firmy muszą w największym stopniu, w jakim to możliwe - umożliwić klientom zdalne załatwienie swoich spraw. Wiele podmiotów regulowanych jeszcze przed czasami COVID-19 przygotowywało się do wdrożenia rozwiązań opartych o cloud computing, a teraz są one zmuszane do przyśpieszenia tych projektów i wykonania wdrożeń. Zmiana postanowień komunikatu chmurowego pozwala na szybszą realizację tych działań i dokonania zgłoszenia już po produkcyjnym wdrożeniu systemów.
Przypomnijmy, iż zgodnie z Pakietem Impulsów Nadzorczych na rzecz Bezpieczeństwa i Rozwoju (pisaliśmy o tym w naszym poprzednim Alercie prawnym) - wydłużony o pół roku (tj. do 31 grudnia 2020 r.) zostaje również czas dostosowania się do wytycznych EBA dot. outsourcingu.
O Komunikacie UKNF pisaliśmy z kolei w tej publikacji.
Polish Cloud
Polish Cloud to nowy standard dotyczący wdrożenia chmury obliczeniowej, stworzony przez ZBP. Stanowi on zbiór praktyk i rozwiązań, mających na celu umożliwić bankom łatwe przejście przez proces adaptacji do chmury, zarówno całej organizacji, jak i w zakresie jedynie wybranych rozwiązań oferowanych przez dostawców usług chmurowych. Standard prezentuje, jakie zadania, procedury, procesy i analizy bank powinien przeprowadzić i udokumentować pod kątem przygotowania organizacji do działania w sferze usług chmurowych w odniesieniu do poszczególnych zapisów wybranych regulacji.
W regulacjach w zakresie technologii zawsze kluczowa jest kwestia balansu pomiędzy zapewnieniem kontroli i bezpieczeństwa danych z jednej strony, a nie stawianiem nadmiernych barier przed innowacjami z drugiej. W czasach COVID-19, kiedy firmy są de facto zmuszone przechodzić bardzo szybką transformację cyfrową, rozwiązania chmurowe są naturalnym wyborem. Modyfikując komunikat w zakresie cloud computing nadzorca wydaje się skłaniać lekko w kierunku zapewnienia, że będą mogły skupić się na zapewnieniu ciągłości działania oraz dostosowania sposobu funkcjonowania do nowej rzeczywistości.
Jak wskazano w zapisach Standardu, Standard analizuje wymogi Komunikatu UKNF z dnia 23 stycznia 2020 r., a co za tym idzie, przedstawia wymogi Urzędu Komisji Nadzoru Finansowego w przypadku przetwarzania w podmiotach objętych nadzorem bankowym informacji w chmurze obliczeniowej publicznej lub chmurze obliczeniowej hybrydowej; standard podsumowuje również wymagania Prawa bankowego.
Standard może mieć znaczący wymiar praktyczny, nie tylko dla banków. Większość ze wskazanych w Standardzie Polish Cloud kroków, mających na celu wdrożenie chmury, może znaleźć zastosowanie także do podmiotów z innych sektorów.
Standard ten zwraca w szczególności uwagę na kroki, jakie powinien podjąć bank w celu wdrożenia chmury. Należą do nich:
a) zidentyfikowanie potrzeby biznesowej;
b) wstępna ocena pod kątem możliwości realizacji potrzeby w usłudze chmurowej;
c) decyzja o dopuszczalności wdrożenia rozwiązania chmurowego;
d) opracowanie wymagań (na tym etapie tworzony jest zestaw wymagań biznesowych, formalnych, cyberbezpieczeństwa i innych - wymagania są określane na podstawie wymagań wewnętrznych przepisów banku oraz Komunikatu Chmurowego UKNF);
e) opracowanie i dystrybucja zapytania ofertowego;
f) ocena ryzyka związanego z usługą chmurową;
g) ocena ofert i akceptacja oferty;
h) podpisanie umowy z dostawcą usług chmurowych;
i) wdrożenie przedprodukcyjne (konfiguracja usługi);
j) zgłoszenie do KNF;
k) migracja danych produkcyjnych do usługi chmurowej;
l) uruchomienie produkcyjne.
Z perspektywy banków, prawidłowe spełnienie wymogów wskazanych w Standardzie na pewno ułatwi dostosowanie działalności do postanowień Komunikatu UKNF z dnia 23 stycznia 2020 r. Tym, co będzie miało jednak w tym przypadku kluczowe znaczenie, jest sposób wdrożenia wymogów, a także jakość przygotowanej w tym celu dokumentacji. Wdrożenie wymogów chmurowych w organizacji jest procesem złożonym, wymagającym kompetencji z różnych dziedzin, prawnej, compliance, cyberbezpieczeństwa, technologii, a także – odpowiednich zasobów ludzkich.
Autorzy:
Agata Jankowska-Galinska, Radca prawny
Paweł Kłosek, Starszy Menadżer, Cloud Engineering
Subskrybuj "Alerty prawne"
Otrzymuj powiadomienia na e-mail o nowych Alertach prawnych Deloitte Legal
Cykl webcastów: Tarcza antykryzysowa
Tarcza antykryzysowa - Rządowe drogowskazy dla przedsiębiorców w obliczu pandemii
Tarcza antykryzysowa - Wpływ COVID-19 na inwestorów działających w ramach Polskiej Strefy Inwestycji i SSE
Tarcza antykryzysowa - Nowe możliwości finansowego wsparcia dla pracodawców w walce z COVID-19
Więcej informacji: Combating COVID-19 with resilience