Prawne aspekty migracji do chmury publicznej ze szczególnym uwzględnieniem przepisów i wytycznych z zakresu cyberbezpieczeństwa

Migracja środowiska informatycznego do chmury obliczeniowej, tj. odchodzenie od tradycyjnych rozwiązań on-premises i przechodzenie na te oparte na publicznej chmurze obliczeniowej, czyli IaaS, PaaS i SaaS, stanowi silny trend i można założyć, że w najbliższych latach będzie się on nasilał. Przejście na rozwiązania chmurowe niewątpliwie ma zalety:

  1. Zwiększa dostępność i ciągłość biznesu (pozwala na zdalny dostęp do tej infrastruktury i umożliwia efektywną pracę zdalną, co w czasach zagrożeń epidemicznych jest kluczowe).
  2. Poprawia elastyczność i zwiększa skalowalność zasobów, co daje szybszą i prostszą możliwość reagowania na bieżące zmiany zachodzące zarówno w samych organizacjach, jak i w otoczeniu, w jakim one pracują.
  3. Pozwala na przesunięcie części wydatków na IT z modelu CAPEX na OPEX, co dla niektórych organizacji również może być zaletą.

Należy jednocześnie pamiętać o tym, że przejście na rozwiązania chmurowe wiąże się z pewnymi ryzykami, w tym ryzykami prawnymi, występującymi także w aspekcie bezpieczeństwa. Przed migracją do chmury warto je przeanalizować i się na nie odpowiednio przygotować w celu ich zminimalizowania.

Co warto uwzględnić przed decyzją o migracji?

Wśród kwestii prawnych, jakie należy uwzględnić w procesie migrowania do publicznej chmury obliczeniowej, pojawiają się m.in.:

  1. Aspekty własności intelektualnej, tj. warunki licencyjne na korzystanie z oprogramowania, które ma być instalowane w chmurze i migrowane z infrastruktury on-premises na środowisko IaaS czy PaaS, oraz to, czy warunki te wprost lub pośrednio (np. poprzez wskazanie konkretnej lokalizacji, w jakiej może być zainstalowana dana aplikacja) nie wyłączają możliwości zainstalowania aplikacji w rozproszonym środowisku chmurowym.
  2. Aspekty związane z przetwarzaniem danych osobowych na gruncie RODO, w szczególności poprzez odpowiednie zweryfikowanie i wybór dostawcy chmurowego, przeprowadzenie szacowania ryzyka i oceny tego, jakie dane osobowe mogą być migrowane do chmury, a także zawarcie odpowiednich umów powierzenia przetwarzania danych osobowych z dostawcą chmury, w tym regulujących odpowiedzialność takiego dostawcy za naruszenie zasad przetwarzania.
  3. Aspekty związane z ochroną tajemnicy własnego przedsiębiorstwa, jak również tajemnicy przedsiębiorstwa kontrahentów czy klientów, tj. odpowiednie zabezpieczenie informacji stanowiących „własną” tajemnicę przedsiębiorstwa danego podmiotu (np. poprzez zawarcie NDA z dostawcą chmury) oraz zabezpieczenie informacji dotyczących podmiotów trzecich (ich tajemnic), co do których podmiot migrujący dane do chmury zobowiązał się do zachowania poufności.
  4. Aspekty związane z ochroną innych informacji w szczególny sposób prawnie chronionych, np. objętych tajemnicą zawodową (tajemnica lekarska, adwokacka, dziennikarska itp.) czy też tajemnicą telekomunikacyjną, wręcz informacji niejawnych – chronionych na podstawie Ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (t.j. Dz. U. z 2019 r., poz. 742).
  5. Wymogi prawne dotyczące bezpieczeństwa systemów informatycznych wynikające z Ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (t.j. Dz. U. z 2020 r., poz. 1369), w szczególnościuwzględnienie tego, czy po migracji do chmury dany podmiot będzie w stanie wypełnić szczególne obowiązki w zakresie cyberbezpieczeństwa nałożone na niego na gruncie ustawy o krajowym systemie cyberbezpieczeństwa, jeśli migrujący do chmury spełnia wymagania ustawowe kwalifikujące go jako dostawcę usług cyfrowych, operatora usług kluczowych lub podmiot publiczny w rozumieniuustawy o krajowym systemie cyberbezpieczeństwa.
  6. Aspekty związane z zapewnieniem ciągłości realizowanych zadań i przetwarzanych danych zmigrowanych do chmury z punktu widzenia obowiązków ustawowych nałożonych na dany podmiot (np. w zakresie świadczenia określonych usług kluczowych, wypełniania obowiązków wynikających z prawa pracy, księgowych, podatkowych czy sprawozdawczych), a także wynikających z jego obowiązków kontraktowych względem np. klientów poprzez odpowiednie uregulowanie SLA (w tym czasów reakcji, naprawy czy przestojów lub przerw konserwacyjnych) w umowach z dostawcą usług chmurowych oraz poprzez zapewnienie w krytycznych sytuacjach awaryjnego planu (ścieżki) działania.
  7. Potrzeba minimalizowania ryzyka wystąpienia sytuacji uzależnienia od dostawcy chmurowego, czyli tzw. vendor lock-in, które długoterminowo może negatywnie wpływać na ciągłość i jakość usług świadczonych przez dostawcę chmurowego.
  8. Aspekty prawnopodatkowe związane z migracją do chmury oraz wykorzystanie rozwiązań chmury obliczeniowej, w tym w szczególności przeanalizowanie kwestii związanych z podatkiem u źródła czy z kwalifikacją wydatków poniesionych na migrację oraz późniejsze korzystanie z rozwiązań chmurowych jako CAPEX/OPEX itd.

Podkreślić zatem należy, że w pierwszej kolejności – przed podjęciem decyzji o zmigrowaniu części lub całości systemów informatycznych z infrastruktury on-premises do chmury, a w szczególności przed dokładnym zaplanowaniem, jak ten proces ma wyglądać – konieczne jest zidentyfikowanie, a następnie uwzględnienie całego otoczenia prawnego, w tym sztywnych regulacji prawnych na poziomie krajowym i unijnym, a także różnego rodzaju wytycznych i rekomendacji o charakterze soft law, które coraz częściej wydawane są przez odpowiednie organy nadzorcze i zwykle kierowane są do określonego sektora.

Warto w tym miejscu zaznaczyć, że samo zidentyfikowanie odpowiednich regulacji prawnych, które będą miały zastosowanie do procesu migracji i korzystania z chmury obliczeniowej (przetwarzania danych w chmurze obliczeniowej), może nastręczać pewnych problemów ze względu na to, że obecnie zarówno na poziomie unijnym, jak i na poziomie krajowym w zasadzie brak jest kompleksowych i jednolitych regulacji prawnych, które wprost odnosiłyby się do zagadnienia chmury obliczeniowej.

Opracowany w lutym 2020 r. dokument Narodowe Standardy Cyberbezpieczeństwa. Standardy Cyberbezpieczeństwa Chmur Obliczeniowych w załączniku 1 do tego dokumentu – „Wykaz przepisów i norm związanych bezpieczeństwem przetwarzaniem informacji w modelach chmur obliczeniowych” – wśród jedynie samych przepisów regulujących pośrednio lub bezpośrednio kwestie bezpieczeństwa przetwarzanych informacji w modelach chmur obliczeniowych wymienia aż 19 aktów prawnych o randze ustawy, rozporządzeń, uchwał Rady Ministrów, a także aktów prawa unijnego[1].

Warto jednocześnie zaznaczyć, że w ostatnim czasie zaobserwować można znaczący wzrost wydawanych różnego rodzaju wytycznych i rekomendacji dotyczących cyberbezpieczeństwa, w tym cyberbezpieczeństwa rozwiązań chmurowych o charakterze sektorowym, czyli kierowanym do podmiotów działających i przetwarzających dane w poszczególnych sektorach gospodarki, co ma również wpływ na rodzaj danych (ich wrażliwość i stopień poufności) przetwarzanych przez te podmioty oraz rodzaj usług przez nie świadczonych, w tym ich newralgiczność.

Należy jednak zauważyć, że większość rekomendacji, bez względu na to, jakiego sektora dotyczą, zawiera pewien zakres uniwersalnych wytycznych, zgodnie z którymi podmiot decydujący się na migrację do chmury powinien rozważyć i przeanalizować poniżej wskazane kwestie.

  1. Przed decyzją o zmigrowaniu do chmury poszczególnych danych i procesów należy:
    • dokonać inwentaryzacji, klasyfikacji oraz podziału danych i procesów realizowanych w organizacji, a następnie przeprowadzić odpowiednie szacowanie ryzyka – odnośnie do tego, jakie dane i procesy mogą być do chmury przeniesione;
    • opracować wewnętrzny plan postępowania i scenariusz na wypadek wyjścia z chmury lub nagłego zaprzestania świadczenia usług przez dostawcę chmurowego.
  2. Na etapie wyboru dostawcy chmurowego należy przeprowadzić:
    • odpowiednią weryfikację dostawcy chmurowego pod kątem tego, czy ma on odpowiednie kwalifikacje, zasoby i doświadczenie, aby w sposób ciągły i bezpieczny świadczyć usługi chmurowe;
    • analizę kosztów wejścia do chmury obliczeniowej oraz korzystania z niej i porównać ją do kosztów utrzymania infrastruktury we własnym zakresie;
    • analizę kosztów i ryzyka związanych z zakończeniem współpracy z dostawcą, z uwzględnieniem kwestii zwrotu powierzonych danych, przekazania ich innemu dostawcy oraz uzyskania od dostawcy wiedzy o technologicznych aspektach mogących mieć wpływ na przeprowadzenie migracji.
  3. Na etapie zawierania umowy chmurowej należy zweryfikować jej treść pod kątem zabezpieczenia swoich interesów oraz wypełnienia wymaganych przez prawo dla danego podmiotu obowiązków, w tym w szczególności w zakresie:
    • odpowiednich postanowień umowy powierzenia przetwarzania danych osobowych (jeśli do chmury migrowane są dane osobowe);
    • redundancji usług oraz replikacji danych, np. przechowywania w dwóch centrach przetwarzania rozproszonych geograficznie;
    • określenia wymogów w zakresie bezpieczeństwa danych, w szczególności danych osobowych, i stosowanych standardów bezpieczeństwa;
    • ustalenia w umowie odpowiedniego SLA oraz sankcji za jego przekroczenie, a także określenia parametrów odtworzenia po katastrofie (disaster recovery plan);
    • zobowiązania dostawcy do zachowania poufności informacji przekazanych mu przez podmiot, a także zastrzeżenia prawa do danych migrowanych do chmury dla podmiotu migrującego dane;
    • zapewnienia możliwości weryfikacji sposobu świadczenia usługi przez dostawę chmurowego (uprawnienia audytowe);
    • zawarcia postanowień dotyczących ciągłości świadczenia usług po rozwiązaniu umowy oraz możliwości sprawnego przeniesienia danych i usług do innego dostawcy (exit plan).

Powyższe wskazówki stanowią jedynie pewną próbę syntezy. Natomiast każdorazowo przed dokonaniem migracji do chmury konieczne jest zidentyfikowanie, które dokładnie wytyczne i rekomendacje, w zależności od sektora, w jakim działa dany podmiot, będą miały do niego konkretnie zastosowanie. Poniżej wskazane zostały najważniejsze wytyczne i regulacje sektorowe obowiązujące w Polsce i dotyczące rozwiązań chmurowych. Warto jednocześnie pamiętać o tym, że duża część tych wytycznych to normy o charakterze miękkim, tj. są to najlepsze praktyki, mogące wpływać na ocenę kwestii dochowania należytej staranności przez podmiot, do którego są skierowane, ale jednocześnie brak stosowania się do nich nie stanowi wprost naruszenia obowiązujących przepisów prawa.

Wytyczne i rekomendacje, które mogą mieć znaczenie dla migracji do środowiska chmury publicznej

Wśród wytycznych dotyczących rozwiązań chmurowych lub wytycznych w zakresie bezpieczeństwa, które dotykają również kwestii stosowania rozwiązań chmurowych i migracji do publicznej chmury obliczeniowej, wyróżnić można:

  1. Uniwersalne wytyczne zapobiegające uzależnieniu od dostawcy chmury (vendor lock-in) i umożliwiające ewentualną migrację do innego dostawcy chmury w przyszłości, skierowane zarówno do podmiotów, które chcą dokonać migracji do publicznej chmury obliczeniowej, jak i do dostawców chmurowych, wydane przez SWIPO (ang. Switching Cloud Providers and Porting Data):
    • SWIPO Code of Conduct for Data Portability and Cloud Service Switching for Infrastructure as a Service (IaaS) Cloud services[2];
    • SWIPO Code of Conduct for Data Portability and Cloud Service Switching for Software as a Service (SaaS)[3].
  2. Wytyczne sektorowe dotyczące korzystania z chmury obliczeniowej, np.:
    • dla sektora finansowego:
      1. Komunikat Urzędu Komisji Nadzoru Finansowego z dnia 23 stycznia 2020 r. dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej[4] wraz z wydawanymi do tego Komunikatu pytaniami i odpowiedziami (Q&A) w zakresie stosowania Komunikatu UKNF z dnia 23 stycznia 2020 r.[5] oraz powstałe na jego podstawie, stworzone przez organizacje branżowe obszerne opracowania:
        • PolishCloud – Standard wdrożeń przetwarzania informacji w chmurze obliczeniowej[6],
        • Polska Izba Ubezpieczeń – Standard wdrożeń przetwarzania informacji w chmurze obliczeniowej. Opracowanie na potrzeby sektora ubezpieczeniowego;[7]
    • Stanowisko UKNF z 16 września 2019 r. dotyczące wybranych zagadnień związanych z wejściem w życie Wytycznych EBA w sprawie outsourcingu i ich uwzględnianiem w działalności banków[8];
    • oraz następujące wytyczne europejskie, przy czym zgodnie z pkt II.6 ppkt 3) wskazanego powyżej Komunikatu UKNF z dnia 23 stycznia 2020 r. wytyczne europejskie nie znajdują zastosowania do polskich podmiotów finansowych nadzorowanych przez KNF:
      • Wytyczne EBA w sprawie outsourcingu z dnia 25 lutego 2019 r. (EBA/GL/2019/02)[9];
      • Wytyczne EIOPA dotyczące outsourcingu do dostawców usług chmury obliczeniowej (EIOPA-BoS-20-002)[10];
      • wytyczne FSB (Financial Stability Board) – Third-party dependencies in cloud services[11];
      • wytyczne ESMA – Guidelines on outsourcing to cloud service providers (ESMA50-157-2403)[12];
    • dla sektora publicznego:
      • Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2012 r., poz. 526, t.j. Dz. U. z 2017 r., poz. 2247);
      • Uchwała nr 97 Rady Ministrów z dnia 11 września 2019 r. w sprawie Inicjatywy „Wspólna Infrastruktura Informatyczna Państwa” (Monitor Polski z dnia 24 września 2019 r., poz. 862)[13];
      • Uchwała nr 125 Rady Ministrów z dnia 22 października 2019 r. w sprawie Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2019–2024 (Monitor Polski z dnia 30 października 2019 r., poz. 1037);
      • Rozporządzenie Ministra Cyfryzacji z dnia 5 października 2016 r. w sprawie szczegółowych warunków organizacyjnych i technicznych, które powinien spełniać system teleinformatyczny służący do uwierzytelniania użytkowników (Dz. U. z 2016 r., poz. 1627);
      • Narodowe Standardy Cyberbezpieczeństwa. Standardy Cyberbezpieczeństwa Chmur Obliczeniowych (SCCO)[14];
    • dla sektora medycznego:
      • Rekomendacje Centrum Systemów Informacyjnych Ochrony Zdrowia w zakresie bezpieczeństwa oraz rozwiązań technologicznych stosowanych podczas przetwarzania dokumentacji medycznej w postaci elektronicznej[15];
      • Rekomendacje cyberbezpieczeństwa dla podmiotów sektora ochrony zdrowia[16];
      • Cloud Security for Healthcare Services[17] – wydane przez ENISA;
    • dla sektora energetycznego:
      • Rekomendacje dotyczące działań mających na celu wzmocnienie cyberbezpieczeństwa w sektorze energii oraz wytyczne sektorowe dotyczące zgłaszania incydentów[18] ze szczególnym uwzględnieniem pkt 5 Rekomendacji, w którym zostały opisane wytyczne dot. cyberbezpieczeństwa przy korzystaniu z usługi osób trzecich, a w pkt 5.3 – konkretne wytyczne dotyczące korzystania z usług chmurowych;
    • dla sektora transportowego:
      • Transport cybersecurity toolkit[19] – opracowane przez Komisję Europejską;
      • Railway Cybersecurity – Good Practices in Cyber Risk Management[20] – wydane przez ENISA;
    • dla sektora wodno-kanalizacyjnego:
      • Rekomendacje cyberbezpieczeństwa dla sektora wodno-kanalizacyjnego – R-CYBER-01/2021[21];
    • dla pełnomocników zawodowych:
      • CCBE Guidelines on the use of cloud computing services by lawyers[22];
      • wytyczne Komisji LegalTech OIRP Warszawa – Standard przetwarzania informacji w chmurze obliczeniowej przez radców prawnych[23].

[1] https://chmura.gov.pl/zuch/static/media/SCCO_v_1.00.pdf (dostęp: 20.12.2021).

[2] https://swipo.eu/wp-content/uploads/2020/10/SWIPO-IaaS-Code-of-Conduct-version-2020-27-May-2020-v3.0.pdf (dostęp: 20.12.2021).

[3] https://swipo.eu/wp-content/uploads/2020/07/SWIPO-SaaS-Code-of-Conduct.pdf (dostęp: 20.12.2021).

[4] https://www.knf.gov.pl/knf/pl/komponenty/img/Komunikat_UKNF_Chmura_Obliczeniowa_68669.pdf (dostęp: 20.12.2021).

[5] https://www.knf.gov.pl/dla_rynku/fin_tech/chmura_obliczeniowa/Q&A (dostęp: 20.12.2021).

[6] https://zbp.pl/getmedia/3b776dc0-654d-4da4-a764-4b89ec366ad8/PolishCloud (dostęp: 20.12.2021).

[7] https://piu.org.pl/wp-content/uploads/2021/06/standard-chmura-obliczeniowa-1.pdf (dostęp: 20.12.2021).

[8] https://www.knf.gov.pl/knf/pl/komponenty/img/Stanowisko_UKNF_ws_outsourcingu_67075.pdf (dostęp: 20.12.2021).

[9] https://www.eba.europa.eu/sites/default/documents/files/documents/10180/2761380/7551b1c5-534d-44aa-b524-61eb8929154d/EBA%20revised%20Guidelines%20on%20outsourcing_PL.pdf?retry=1 (dostęp: 20.12.2021).

[10]https://www.eiopa.europa.eu/sites/default/files/publications/eiopa_guidelines/guidelines_on_outsourcing_to_cloud_service_providers_cor_pl_0.pdf (dostęp: 20.12.2021).

[11] https://www.fsb.org/wp-content/uploads/P091219-2.pdf (dostęp: 20.12.2021).

[12] https://www.esma.europa.eu/sites/default/files/library/esma50-157-2403_cloud_guidelines.pdf (dostęp: 20.12.2021).

[13] https://monitorpolski.gov.pl/M2019000086201.pdf (dostęp: 20.12.2021).

[14] https://chmura.gov.pl/zuch/static/media/SCCO_v_1.00.pdf (dostęp: 20.12.2021).

[15]https://cez.gov.pl/fileadmin/user_upload/rekomendacje_csioz_bezpieczenstwo_wrzesien2017_59cd1e951e9ba.pdf (dostęp: 20.12.2021).

[16] https://www.gov.pl/web/baza-wiedzy/poradnik—rekomendacje-cyberbezpieczenstwa-dla-podmiotow-sektora-ochrony-zdrowia-kwiecien-2020-r (dostęp: 20.12.2021).

[17] https://www.enisa.europa.eu/publications/cloud-security-for-healthcare-services/ (dostęp: 20.12.2021).

[18] https://www.gov.pl/web/klimat/rekomendacje-dotyczace-dzialan-majacych-na-celu-wzmocnienie-cyberbezpieczenstwa-w-sektorze-energii-oraz-wytyczne-sektorowe-dotyczace-zglaszania-incydentow (dostęp: 20.12.2021).

[19] https://uetr.eu/new-ec-cybersecurity-toolkit-for-transport/ (dostęp: 20.12.2021).

[20] https://www.enisa.europa.eu/publications/railway-cybersecurity-good-practices-in-cyber-risk-management (dostęp: 20.12.2021).

[21] https://www.gov.pl/web/baza-wiedzy/rekomendacje-cyberbezpieczenstwa-dla-sektora-wodno-kanalizacyjnego—r-cyber-12021- (dostęp: 20.12.2021).

[22] https://www.ccbe.eu/fileadmin/speciality_distribution/public/documents/IT_LAW/ITL_Position_papers/EN_ITL_20120907_CCBE_guidelines_on_the_use_of_cloud_computing_services_by_lawyers.pdf (dostęp: 20.12.2021).

[23] https://www.oirpwarszawa.pl/standard-przetwarzania-informacji-w-chmurze-obliczeniowej-przez-radcow-prawnych-publikacja-komisji-legaltech/ (dostęp: 20.12.2021).