Uchylenie Komunikatu Chmurowego KNF: Co to oznacza?

24/02/2022

★★★★★Rating: 4.38 (3858 votes)

Sektor finansowy w Polsce przechodzi istotne zmiany regulacyjne, związane z uchyleniem przez Komisję Nadzoru Finansowego (KNF) komunikatu chmurowego oraz Rekomendacji D. Te dwie regulacje, przez lata kształtujące podejście do bezpieczeństwa i technologii w instytucjach finansowych, ustępują miejsca nowym standardom, w szczególności rozporządzeniu DORA. Co to oznacza dla banków, ubezpieczycieli i innych podmiotów nadzorowanych? Czy czeka nas rewolucja, czy raczej ewolucja w podejściu do IT i chmury obliczeniowej?

Spis treści

Dotychczasowe oczekiwania nadzoru – Rekomendacja D i Komunikat Chmurowy
Zapowiedzi KNF – rewolucja czy ewolucja w regulacjach chmurowych?
D jak… DORA, czyli zarządzanie obszarem IT po nowemu
Podsumowanie – Ewolucja, nie rewolucja
Jakie podmioty kontroluje KNF?

Dotychczasowe oczekiwania nadzoru – Rekomendacja D i Komunikat Chmurowy

Rekomendacja D, przyjęta jeszcze w 2013 roku, stanowiła fundament bezpieczeństwa w polskim sektorze bankowym. Banki miały czas do końca 2014 roku na dostosowanie się do jej wymogów. KNF rozszerzyła jej zakres na inne sektory, takie jak zakłady ubezpieczeń, PTE, TFI i firmy inwestycyjne. Rekomendacja D, choć z czasem uzupełniana przez kolejne regulacje jak PSD2, RODO czy ustawa o krajowym systemie cyberbezpieczeństwa, stała się z perspektywy rozwoju technologicznego swoistym „legacy” regulacyjnym.

Co po uchyleniu komunikatu chmurowego KNF? — Najważniejszą konsekwencją uchylenia komunikatu chmurowego jest prawie całkowite ujednolicenie standardu wdrożenia chmury obliczeniowego do rozwiązań przyjętych w innych państwach UE.

Komunikat chmurowy, którego pierwsza wersja pojawiła się w 2017 roku, a zaktualizowana w 2020, miał odmienną historię. Jego status prawny był niejasny, nie będąc formalnie „rekomendacją”. Podejście KNF było konserwatywne, ale komunikat dał pewność części rynku do wdrożeń chmury obliczeniowej. Niemniej, komunikat chmurowy różnił się od wytycznych EBA i ESMA dotyczących outsourcingu chmurowego, co KNF tłumaczyła „podejściem krajowym”.

Zapowiedzi KNF – rewolucja czy ewolucja w regulacjach chmurowych?

Uchylenie komunikatu chmurowego ma kluczową konsekwencję: zbliżenie standardów wdrożenia chmury do norm UE. To ułatwienie dla międzynarodowych grup kapitałowych, które unikną podwójnych regulacji – unijnych wytycznych i krajowego komunikatu. Jednak odrębności krajowe nie znikną całkowicie. Wciąż istotne będą polskie przepisy o tajemnicy zawodowej i outsourcingu regulowanym. Warto zaznaczyć, że nowelizacja prawa bankowego z września 2023 roku dopuszcza kolejne poziomy outsourcingu i umowne ograniczenia odpowiedzialności dostawcy wobec banku za szkody klientów (ale nie wyłączenie odpowiedzialności).

Mimo uchylenia komunikatu, wdrożenia chmury nadal podlegają nadzorowi KNF, teraz głównie w ramach rozporządzenia DORA. Komunikat chmurowy, mimo uchylenia, pozostaje wartościowym materiałem edukacyjnym. Wysoki standard w nim zawarty może być nadal stosowany przy wdrażaniu obowiązków z DORA czy RODO, np. w ocenie ryzyka, due diligence dostawcy, ochronie danych i audytach. DORA, choć różni się w szczegółach od komunikatu chmurowego (np. w wymogach kontraktowych), nie eliminuje potrzeby solidnych umów. Analiza kontroli z komunikatu chmurowego, nawet przy umowach DORA-compliant, nadal stanowi dobrą praktykę rynkową. Wiele umów technologicznych już jest aneksowanych w związku z DORA, ale uchylenie komunikatu nie wymaga automatycznego usuwania klauzul umownych.

Czy uchylenie komunikatu oznacza automatyczne stosowanie wytycznych EBA ds. outsourcingu? Nie jest to pewne. KNF dotychczas nie planowała stosowania części wytycznych EBA dotyczącej chmury obliczeniowej w Polsce. Zmiana wymagałaby zgłoszenia tego do EBA. Ponadto, unijne organy nadzoru mogą dokonać przeglądu i zmian w swoich wytycznych, w tym nawet ich uchylenia.

D jak… DORA, czyli zarządzanie obszarem IT po nowemu

Podobne wnioski dotyczą Rekomendacji D. Historycznie, poprawiła ona organizację obszaru IT w instytucjach finansowych. Dla firm doradczych, poziom organizacyjny firm po wdrożeniu Rekomendacji D jest dobrym punktem wyjścia dla wdrożeń DORA i rozporządzenia AI Act. Na przykład, zasady zarządzania danymi z Rekomendacji D mogą ułatwić wdrożenie data governance z AI Act, choć same w sobie nie są wystarczające.

Czy audyt energetyczny jest obowiązkowy? — Nie, nie jest obowiązkowe. Dotacje do przedsięwzięć „bez kompleksowej termomodernizacji” można otrzymać bez wykonania audytu energetycznego.

Jednak Rekomendacja D w pewnych aspektach różniła się od DORA, co komplikuje wdrożenia. Na przykład, Rekomendacja D wymagała klasyfikacji systemów IT, często z wyróżnieniem systemów krytycznych. Definicja systemów krytycznych w Rekomendacji D różni się od funkcji krytycznych i istotnych w DORA, które bazują na regulacjach resolution i outsourcingu. Często mylona jest krytyczność funkcji i systemu, choć to różne pojęcia. Uchylenie Rekomendacji D może uprościć compliance, redukując np. obowiązki dokumentacyjne.

Podsumowanie – Ewolucja, nie rewolucja

Uchylenie komunikatu chmurowego i Rekomendacji D to ewolucja, a nie rewolucja w regulacjach finansowych. Nie jest to zmiana bez znaczenia, ale raczej przesunięcie akcentu. Z jednej strony, KNF przestaje „prowadzić rynek za rękę” i narzucać gotowe rozwiązania. DORA oferuje elastyczniejsze podejście, wymagając dojrzałości w identyfikacji ryzyka i podejmowaniu decyzji. To szansa dla rynku, by działać bardziej autonomicznie i strategicznie w obszarze IT i bezpieczeństwa.

Z drugiej strony, brak jednoznacznych wymogów regulacyjnych może być wyzwaniem, szczególnie dla mniejszych instytucji. Konkretne wytyczne ułatwiały negocjacje umów, łatwiej było powołać się na przepis niż na analizę ryzyka. Mniejsze firmy mogą mieć trudniej w uzyskaniu od dostawców gwarancji bezpieczeństwa wykraczających poza minimum DORA. Zmiany regulacyjne zawsze budzą pytania, ale uchylenie komunikatu i Rekomendacji D to szansa na ujednolicenie standardów krajowych i europejskich dla chmury obliczeniowej. To ułatwi międzynarodowym grupom kapitałowym stosowanie jednolitych zasad zarządzania ryzykiem i postanowień umownych w obszarze chmury.

Jakie podmioty kontroluje KNF?

Komisja Nadzoru Finansowego (KNF) sprawuje nadzór nad szerokim spektrum podmiotów rynku finansowego w Polsce. Jej kompetencje określa ustawa o nadzorze nad rynkiem finansowym oraz ustawy sektorowe. Do głównych sektorów nadzorowanych przez KNF należą:

Banki
Spółdzielcze kasy oszczędnościowo-kredytowe (SKOK-i)
Zakłady ubezpieczeń i zakłady reasekuracji
Otwarte fundusze emerytalne (OFE)
Fundusze inwestycyjne i towarzystwa funduszy inwestycyjnych (TFI)
Firmy inwestycyjne
Krajowe instytucje płatnicze
Instytucje pożyczkowe
Podmioty infrastruktury rynku kapitałowego

Celem nadzoru KNF jest zapewnienie prawidłowego, stabilnego, bezpiecznego i przejrzystego funkcjonowania rynku finansowego, zaufania do niego oraz ochrona interesów jego uczestników. KNF realizuje te cele poprzez funkcje licencyjną, regulacyjną, kontrolną i dyscyplinującą. Wydaje zezwolenia na działalność, stosuje środki nadzorcze, analizuje raporty instytucji finansowych i prowadzi kontrole. Warto podkreślić, że działania KNF podejmowane są z urzędu, a nie na wniosek klientów. Zgłoszenia o nieprawidłowościach są analizowane i mogą inicjować działania nadzorcze, stanowiąc ważne źródło informacji o rynku finansowym.

Jeśli chcesz poznać inne artykuły podobne do Uchylenie Komunikatu Chmurowego KNF: Co to oznacza?, możesz odwiedzić kategorię Rachunkowość.