DORA dává na jedno místo pravidla outsourcingu cloudů od většiny evropských regulátorů pro finanční sektor, EIOPA nevyjímaje. Cloud byl přitom už dříve pod palbou úpravy NIS3 , která se v českém právním řádu projevila především zákonem o kybernetické bezpečnosti a souvisejícími vyhláškami. Pojišťovny také musely respektovat úřední sdělení ČNB4 a vyhlášky ČNB5 , které upravovaly využívání cloudů dohlíženými subjekty, pojišťovny nevyjímaje.
V roce 2020 dále na základě tehdejšího evropského fintech akčního plánu6 přišla EIOPA se svými pokyny7 . V těchto velmi přehledně shrnula právní úpravu využívání cloudových služeb (na evropské úrovni) a sama nastavila pravidla jejich využívání v pojišťovnictví.
Důvod je jasný: cloud se v posledních letech těší velké (a nepřekvapivé) oblibě. Výhodou je krom jiného možnost přenesení některých legislativních požadavků na externí partnery, byť za cenu plnění povinností souvisejících s outsourcováním a přijetí odpovědnosti za činnost partnerů.
Legislativní požadavky pro externí cloudy v pojišťovnách
V prvé řadě musíme posoudit, jestli vůbec jde o regulovaný outsourcing. Musíme zhodnotit, zda funkci outsourcovanou skrze cloud budeme využívat pravidelně a jak moc pravidelně. Přihlédneme i k tomu, zda outsourcovaná funkce spadá mezi činnosti, které by pojišťovna měla v rámci svého běžného byznysu vykonávat. V tom případě zjevně půjde o regulované činnosti, které se řídí legislativními požadavky.
A co když půjde ještě navíc o nějakou „rozhodující nebo důležitou provozní funkci“? I tady máme poměrně nekonkrétní regulaci, která nám říká, že každý takový outsourcing podléhá důkladnému posouzení rizik, že by měl být v souladu se strategiemi pojišťovny (bez ohledu na to, jestli jde o strategii k IT, operačním rizikům, nebo informační bezpečnosti). Pojišťovna by měla upravit svůj rizikový profil v případě jeho využití. A především pojišťovna nesmí ztratit vliv na výkon outsourcované činnosti a nechat poskytovatele cloudů zajišťovat funkci zcela autonomně (což bude jednoduché u pouhého outsourcingu infrastruktury jako služby – IaaS –, naopak mnohem složitější u outsourcingu aplikací podílejících se na klíčových činnostech pojišťovny jako SaaS). Za vše uvedené pak zodpovídá „řídící nebo kontrolní orgán“ pojišťovny.
Nyní přichází na řadu smlouva, popř. smluvní podmínky s poskytovatelem outsourcingu. Ta musí být v souladu s legislativními požadavky a jasně popisovat, kdy nese svůj díl odpovědnosti pojišťovna a kdy poskytovatel cloudu. Smlouva musí samozřejmě obsahovat jasný popis externě zajištěné funkce, kdy se začne poskytovat a do kdy včetně možnosti odstoupení a jeho podmínek, zda je povoleno řetězení dodavatelů a za jakých podmínek, jakož i vzájemné finanční závazky. Musí být upravená pravidla a podmínky testování, auditů nebo service-level agreement (SLA). Sporným bodem bývá právo na audit poskytovatele: EIOPA nicméně přímo stanovila, že poskytovatel cloudu nesmí pojišťovně omezovat „účinné uplatňování práv na přístup a na audit“. Naopak pojišťovna má mít neomezená práva tyto kontroly a audity provádět.
Samostatným prvkem jsou data a jejich bezpečnost. Už před využitím poskytovatele cloudového řešení musí samozřejmě pojišťovna zjistit a posoudit, kde má poskytovatel datová centra a zda bude docházet k předávání mimo EU do USA nebo jiných třetích zemí. Zde se vedle regulace outsourcingu, který stanovuje zejména povinnost dostat se okamžitě k datům v případě krize poskytovatele, dostává ke slovu i GDPR, které bude doplňovat do smluv jak obvyklou zpracovatelskou doložku, tak podrobnější systémy řízení a řešení incidentů. V případě předávání dat do třetích zemí se bude řešit také vhodný nástroj pro toto předávání. Pokud půjde o předávání do USA, bude nutno doplnit také tzv. transfer impact assessment a často i zavést dodatečná opatření k ochraně dat – ale to je na samostatný článek.
Posledním, co v souvislosti se smlouvou zmíníme, je již naznačená exitová strategie. S problémem vendor lock-inu, který s nepřipravenou exitovou strategií úzce souvisí, se dodnes setkáváme u některých významných institucí nebo ústředních orgánů státní správy. Exit má dva aspekty: jedním z nich je právě vhodné smluvní nastavení, aby měla pojišťovna možnost od poskytovaného cloudu odstoupit, a to i za spolupráce původního poskytovatele při přenosu dat k poskytovateli novému, aniž by ji to nějak poškodilo. Druhým a taktéž povinným aspektem je strategie exitu, která musí pojišťovně připravit seznam kroků a odpovědných osob pro exit, aniž by to mělo škodlivý vliv na její služby. Právě nedostatečně nebo nevhodně upravený exit je semeništěm mnoha sporů a vícenákladů: nezapomínejte tedy upravovat vzájemnou povinnost součinnosti včetně přípravy dokumentace a předávání dat. Ne vždy je možné přemigrovat celou funkci způsobem, který umožní plynulý přechod mezi řešeními: počítejte zde s obdobími, kdy budete platit poskytovatele dva. I tak se vám to oproti nemožnosti odstoupit nebo problémům vzniklým při migraci mnohonásobně vyplatí. Dobře nastavený exit poznáte tak, že pracovníci vašeho IT oddělení nebo konkurenčního poskytovatele dokážou s tím, co vám má poskytovatel cloudu v rámci exitu poskytnout, převzít provoz cloudového řešení. Pokud ne, zpřesněte exitové povinnosti poskytovatele, a to vždy podle konkrétní povahy outsourcovaného řešení.
Co přináší DORA a co se nejspíš změní
Dosud byly regulovány pouze finanční instituce, které měly povinnost zajistit správné využívání poskytovatelů cloudů. DORA ale nově přichází s definicí „poskytovatele služeb informační a komunikační techniky z řad třetích stran“, která poskytovatele cloudových služeb zahrnuje přímo pod svou působnost. Na ty pak chystá rizikově založený přístup, kdy si pojišťovny musí zařadit outsourcing mezi svá řízená rizika dle zásady proporcionality s tím, že za jejich využívání jsou plně odpovědny.
I DORA nachystala hlavní smluvní ustanovení, která popisují základní povinné body smlouvy. Oproti současnému stavu bude kladen větší důraz na správně nastavené právo sledovat výsledky poskytovatele při poskytování služby, pro kterou má stanovené kvantitativní i kvalitativní výkonové cíle, které v sobě explicitně nese právo sjednat alternativní úroveň záruky nebo povinnosti hlášení vývoje poskytované služby s ohledem na možný významný dopad na outsourcing. Zkrátka určitě nepřijde ani povinnost poskytnout v případě incidentu pomoc, kterou lze vykládat způsobem, že v případě, že si ve smlouvě strany za tuto pomoc neurčí předem stanovenou cenu, bude muset být pomoc poskytována bezplatně.
Nejzásadnější a nejpraktičtější změnou ale má být přijetí standardních smluvních doložek pro jednotlivé služby. Ty známe již z GDPR jako efektivní nástroj pro compliance dokument, obsahující na jednom místě vše potřebné. V případě, že se tak skutečně stane, bude mít pojišťovna na jednom místě klíčové vzory ustanovení, které je potřeba ve svých smlouvách s cloudovými poskytovateli zohlednit.
Jak i s ohledem na novou regulaci nastavit vztah s poskytovatelem cloudu
První kroky budou vždy zcela neprávní: zmapujte si požadavky vašeho byznysu, co za funkci chcete zajišťovat a co tedy má outsourcovaný cloud plnit. Zásadní bude také analýza finančních úspor – jinak by outsourcing ztrácel smysl. Návazně musíte posoudit, jak vám jednotlivé komerčně poskytované služby zapadají do vašich strategií a stávající IT architektury, jakož i připravit analýzu rizik. S tou se zaměřte zejména na vaše bezpečnostní zásady: jak bezpečnost monitorujete a jak řídíte bezpečnostní incidenty. Mějte přitom na paměti zajišťovanou funkci a typ cloudové služby, které budou mít na analýzu rizik velký vliv. Analýzu rizik doporučujeme připravovat už s přihlédnutím k DORA: revizím se pravděpodobně po přijetí nevyhnete, ale jejich rozsah se může značně zmenšit.
Pokud budete mít přijaté všechny interní dokumenty, máte půl práce hotovo. Následně nastává čas na hloubkovou kontrolu poskytovatele cloudu a přípravu smlouvy. Obojí se může protáhnout do několika měsíců, počítejte s takovými lhůtami předem. Nezapomínejte, že i když se poskytovatel cloudu bude v jejich případě bránit, některé smluvní požadavky jsou pro pojišťovny dané platnou legislativou a v rámci smlouvy musí být řádně ošetřeny. V opačném případě se samozřejmě vystavujete riziku sankcí, včetně možného zákazu plnění smlouvy.
Snažte se smlouvu upravit způsobem, abyste měli pokryté všechny problematické body, které se během trvání smlouvy budou objevovat: z naší zkušenosti jde zejména o rozsah a četnost práva na kontrolu a audit, jakož i přímý dohled ČNB nad poskytovatelem, SLA s ohledem na podílové rozdělení sankcí při nedostupnosti nebo výpadku a informační povinnost poskytovatele, skrze kterou vás bude poskytovatel na základě jasně definovaného rozsahu držet pravidelně v obraze. A hlavně nezapomeňte na správně nastavenou možnost exitu.
1.Rada EU. Digital finance: Provisional agreement reached on DORA [online]. 2022 [cit. 2022-05-30]. Dostupné z: https://www.consilium.europa.eu/cs/press/pressreleases/2022/05/11/digital-finance-provisional-agreement-reached-on-dora/.
2.Návrh nařízení Evropského parlamentu a Rady o digitální provozní odolnosti finančního sektoru a o změně nařízení (ES) č. 1060/2009, (EU) č. 648/2012, (EU) č. 600/2014 a (EU) č. 909/2014. COM(2020) 595 final. In: EUR-Lex [cit. 2022-05-30]. Dostupné z: https:// eur-lex.europa.eu/legal-content/CS/TXT/PDF/?uri=CELEX:52020PC0595&from=EN.
3.Směrnice Evropského parlamentu a Rady (EU) 2016/1148 ze dne 6. července 2016, o opatřeních na zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii. In: EUR-Lex [cit. 2022-05-30]. Dostupné z: https://eur-lex.europa.eu/ legal-content/CS/TXT/PDF/?uri=CELEX:32016L1148&from=cs.
4.Jde zejména o sdělení č. 18/2010 ke kvalitativním požadavkům souvisejícím s výkonem činnosti – základní informace –, č. 5/2011 k operačnímu riziku v oblasti informačního systému a č. 8/2016 ke cloud computingu.
5.Vyhláška České národní banky č. 163/2014 Sb., o výkonu u činnosti bank, spořitelních a úvěrních družstev a obchodníků s cennými papíry [cit. 2022-05-30]. Dostupné z: https://www.cnb.cz/export/sites/cnb/cs/legislativa/.galleries/vyhlasky/ vyhlaska_163_2014.pdf.
6.Evropská komise. Sdělení Komise Evropskému parlamentu, Radě, Evropské centrální bance, Evropskému hospodářskému a sociálnímu výboru a Výboru regionů. Akční plán pro finanční technologie: Za konkurenceschopnější a inovativnější evropský finanční sektor. COM(2018) 109 final. In: EUR-Lex [cit. 2022-05-30]. Dostupné z: https://eur-lex. europa.eu/resource.html?uri=cellar:6793c578-22e6-11e8-ac73-01aa75ed71a1.0009.02/ DOC_1&format=PDF.
7.Evropský orgán pro pojišťovnictví a zaměstnanecké penzijní pojištění. Obecné pokyny k outsourcingu u poskytovatelů cloudových služeb. EIOPA-BoS-20-002 [cit. 2022- 05-30]. Dostupné z: https://www.eiopa.europa.eu/sites/default/files/publications/ eiopa_guidelines/guidelines_on_outsourcing_to_cloud_service_providers_cz_0.pdf.
