Minął już termin dla podmiotów rynku finansowego na złożenie do Urzędu Komisji Nadzoru Finansowego informacji o przetwarzaniu określonej kategorii informacji lub procesów w chmurze obliczeniowej wykorzystującej infrastrukturę publiczną, czyli taką, która jest nie tylko dostarczana przez dostawcę usług chmurowych, ale też jest przez niego posiadana lub zarządzana. Co to oznacza w praktyce? To, że podmioty nadzorowane, które korzystały z rozwiązań zbudowanych na cloud computingu z elementem publicznym, przeważnie dostarczanych przez światowych graczy na rynku chmury, musiały zapewnić regulacyjną, finansową, kompetencyjną i technologiczną zgodność z tzw. Komunikatem Chmurowym UKNF wydanym w styczniu bieżącego roku.
Zmiany w otoczeniu chmurowym
Przez lata sektor finansowy, a zwłaszcza bankowy, był w zasadzie nieosiągalny dla dostawców usług chmurowych. Za taki stan rzeczy odpowiadało przede wszystkim otoczenie regulacyjne, na czele z poprzednim, wydanym przez KNF w 2017 roku, Komunikatem chmurowym. Jednak coraz większe potrzeby szybko cyfrującego się świata oraz rosnące koszty i trudności w utrzymaniu własnej infrastruktury informatycznej dla firm z branży finansowej sprawiły, że nadzór finansowy oraz Skarb Państwa musiały podjąć działania zmierzające w kierunku zmiany takiego stanu rzeczy.
Pierwszym krokiem było powołanie do życia (przez PKO BP oraz PFR) Operatora Chmury Krajowej - będącego z jednej strony dostawcą usług chmurowych a z drugiej strony brokerem usług innych dostawców cloud computingu. Kolejnym krokiem było wydanie wspominanego Komunikatu chmurowego w całości zastępującego ten z 2017 roku. Te dwa kamienie milowe zbiegły się z kolejnymi wydarzeniami takimi jak ogłoszenie inwestycji chmurowych Google i Microsoft w Polsce oraz wydanie przez Związek Banków Polskich standardu PolishCloud (standardu wdrożenia publicznej usługi chmurowej w banku). W efekcie wdrożenia chmury publicznej w instytucjach finansowych wyraźnie i znacząco przyśpieszyły.
Z własnego doświadczenia możemy powiedzieć, że na obecnym etapie wdrożenia dotyczą przede wszystkim usług wspomagających działanie instytucji, a nie będących częścią ich kluczowych procesów. Z czasem jednak i te drugie będą musiały w końcu oprzeć się o rozwiązania chmur wirtualnych zapewniających ogromne - i w zasadzie nieograniczone - moce obliczeniowe.
Co zrobić, żeby było lepiej
Wiele problemów prawnych pozostaje jednak wciąż nierozwiązanych. Komunikat chmurowy ze stycznia 2020 roku jest zdecydowanie lepszy od tego z 2017 roku, bo jasno formułuje wymagania regulatora co do nadzorowanych podmiotów i jasno precyzuje swój zakres podmiotowy i przedmiotowy (outsourcing procesów krytycznych oraz tajemnice sektorowe prawnie chronione). Jego wprowadzeniu nie towarzyszyły jednak równoczesne zmiany w ustawach sektorowych, a to właśnie w nich kryje się największe zagrożenie. Dla przykładu: Prawo bankowe w art. 6a-6d bardzo restrykcyjnie podchodzi do kwestii łańcuchów outsourcingowych czy odpowiedzialności na linii bank - dostawca. Nieco łagodniej sformułowane są inne ustawy branżowe, jednak i tam daleko do doskonałości. Jednocześnie od wielu lat branża sygnalizuje konieczność zmian, proponując nawet gotowe rozwiązania oparte o standardy z sukcesem przyjęte w innych krajach należących do UE czy EOG. Jednak mimo tych zabiegów ustawodawca pozostaje wciąż niewzruszony.
Czy w związku z przemianami na rynku chmury, które rękami rządu i Skarbu Państwa niejako sam spowodował, ustawodawca dojrzeje w końcu do koniecznej liberalizacji ustaw sektorowych? Trudno to dziś przewidzieć. Nie da się jednak nie zauważyć kreatywności i determinacji sektora finansowego, który podejmuje działania takie jak choćby ogromne - neutralne technologicznie - przedsięwzięcie szkoleniowe pod auspicjami Związku Banków Polskich o nazwie PolishCloud Academy. Branża bankowa nie da zapomnieć o swoich potrzebach w zakresie „uchmurowienia”. Pozostaje mieć nadzieję, że prawo dopasuje się do wymogów świata finansów w Polsce w zakresie swobodniejszego dostępu do tej przecież bezpiecznej i popularnej na świecie technologii.
Daniel Kozłowski jest adwokatem, szefem Projektów Cloud Computing w Kochański & Partners