Urząd Komisji Nadzoru Finansowego opublikował dziś (16.01.2025 r.) informację, że z dniem 17 stycznia 2025 r. odwołaniu ulega komunikat z 23 stycznia 2020 roku dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej (tzw. Komunikat chmurowy). Dokument ten systematyzował dotychczas wymogi i oczekiwania stawiane podmiotom nadzorowanym przy wdrażaniu usług chmurowych w sektorze finansowym.
Ponadto, UKNF poinformował o podjęciu uchwał, w wyniku których uchylono:
- Rekomendację D dotyczącą zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach;
- Rekomendację D-SKOK dotyczącą zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w spółdzielczych kasach oszczędnościowo-kredytowych;
- Wytyczne dotyczące zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w podmiotach infrastruktury rynku kapitałowego;
- Wytyczne dotyczące zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w firmach inwestycyjnych;
- Wytyczne dotyczące zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w towarzystwach funduszy inwestycyjnych;
- Wytycznych dotyczące zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w zakładach ubezpieczeń i zakładach reasekuracji.
KNF informuje, że uchylenie ww. regulacji oraz odwołanie Komunikatu chmurowego podyktowane jest zbieżnym zakresem Rozporządzenia DORA i wydanych w związku z tym rozporządzeniem aktów wykonawczych z odwołanymi wytycznymi i Komunikatem chmurowym. W opinii KNF pozostawienie w mocy ww. aktów powodowałoby ryzyko powstania wątpliwości interpretacyjnych, które mogłyby się pojawić wobec uregulowania tych samych aspektów przez te akty, jak i przez przepisy rozporządzenia DORA.
Warto natomiast zwrócić uwagę, że w odniesieniu do Komunikatu chmurowego – jego zakres przedmiotowy faktycznie pokrywa się z zakresem rozporządzenia DORA, jednak jego zakres podmiotowy nie był w pełny zbieżny z tym przewidzianym w DORA.
Zakresy podmiotowe rozporządzenia DORA i odwołanego już Komunikatu chmurowego krzyżują się. co oznacza, że wraz z uchyleniem Komunikatu chmurowego, te podmioty, które były zobowiązane do jego stosowania, a jednocześnie nie są objęte zakresem stosowania rozporządzenia DORA – zostają zwolnione z wymogu spełnienia standardów określonych Komunikatem. W ich wypadku dojdzie zatem do zmniejszenia koniecznych do spełnienia wymogów regulacyjnych w zakresie dotyczącym outsourcingu chmurowego.
Z pełną treścią informacji opublikowanej przez KNF można zapoznać się pod linkiem: https://www.knf.gov.pl/?articleId=92241&p_id=18