Analiza zgodności instytucji z wymogami NIS2, DORA, RODO, KNF oraz ryzykami wynikającymi z Cloud Act
Zaproszenie
Szanowni Państwo,
Zapraszamy do udziału w projekcie badawczym dotyczącym zgodności organizacji z kluczowymi regulacjami prawnymi w kontekście transformacji cyfrowej oraz rosnącego wykorzystania usług chmurowych i zewnętrznych dostawców ICT. Projekt jest skierowany do podmiotów kluczowych i krytycznych, w tym organizacji z sektorów finansowego, energetycznego, zdrowia, telekomunikacji, administracji publicznej oraz dostawców usług cyfrowych.
Celem projektu jest analiza potencjalnych konfliktów regulacyjnych pomiędzy europejskimi i krajowymi
wymogami w zakresie odporności operacyjnej, zarządzania ryzykiem ICT i ochrony danych osobowych (w szczególności RODO),
a przepisami prawa państw trzecich, takimi jak CLOUD Act i FISA 702.
Regulacje te mogą umożliwiać organom publicznym USA dostęp do danych przetwarzanych przez amerykańskich dostawców technologii, nawet jeśli dane te są formalnie przechowywane na terenie UE/EOG,
co rodzi istotne ryzyka prawne i operacyjne.
Projekt ma na celu identyfikację tych ryzyk oraz wypracowanie praktycznych wniosków wspierających organizacje w podejmowaniu świadomych decyzji technologicznych i regulacyjnych w środowisku transgranicznym.
Szacunkowy czas wypełnienia ankiety to 10 min.
Termin zakończenia zbierania danych: 2026-01-15.
Wypełnij ankietę
Chcę rozpocząć wypełnianie nowej ankiety.
Mam rozpoczętą ankietę i chcę dokończyć.
O projekcie
Dynamiczny rozwój usług chmurowych oraz rosnąca zależność organizacji od globalnych dostawców ICT sprawiają,
że kwestie związane z lokalizacją przetwarzania danych, kontrolą nad łańcuchem poddostawców oraz zgodnością regulacyjną
nabierają kluczowego znaczenia.
Wprowadzenie i ewolucja europejskich oraz krajowych regulacji w obszarze odporności operacyjnej,
cyberbezpieczeństwa, outsourcingu IT i ochrony danych, w tym zaostrzonych wymogów nadzorczych
oraz wciąż aktualnych wyzwań wynikających z RODO i orzecznictwa Trybunału Sprawiedliwości UE
(w szczególności wyroku Schrems II), powodują, że organizacje, w tym podmioty kluczowe i krytyczne,
muszą na nowo ocenić swoje modele operacyjne, struktury outsourcingowe oraz adekwatność stosowanych
środków technicznych i organizacyjnych.
Jednocześnie globalny rynek chmury publicznej jest zdominowany przez trzech dostawców, Google, Microsoft oraz Amazon, którzy jako przedsiębiorstwa amerykańskie są objęci przepisami Cloud Act. Tworzy to potencjalną kolizję pomiędzy deklarowaną lokalizacją danych w EOG a realnym ryzykiem dostępu organów państw trzecich, co bezpośrednio wpływa na zgodność z RODO oraz wytycznymi dotyczącymi bezpieczeństwa i nadzoru nad przetwarzaniem danych.
Celem niniejszego projektu badawczego jest przeprowadzenie kompleksowej, obiektywnej i poprawnej analizy, która pozwoli ocenić w jakim stopniu instytucje finansowe w Polsce i w Unii Europejskiej:
prawidłowo identyfikują i dokumentują ryzyka związane z poddostawcami chmurowymi,
spełniają wymogi DORA dotyczące zarządzania ryzykiem ICT, w tym obowiązek analizy całego łańcucha dostaw,
zapewniają zgodność z art. 30 oraz art. 44–49 RODO w kontekście transferów do państw trzecich,
realizują wymagania KNF dotyczące lokalizacji danych o znaczeniu krytycznym,
posiadają adekwatne plany ciągłości działania i exit plany dla usług wspierających funkcje krytyczne i ważne,
oraz w jakim stopniu te działania realnie minimalizują ryzyka wynikające z Cloud Act/FISA702.
Projekt ma charakter diagnostyczny i prewencyjny, dąży do zmapowania obecnych praktyk rynkowych, zidentyfikowania luk, przedstawienia ryzyk oraz zaproponowania rekomendacji, które mogą pomóc instytucjom finansowym utrzymać pełną zgodność regulacyjną i operacyjną odporność w warunkach transformacji chmurowej.
Serdecznie zapraszam do wspólnego przeprowadzenia badania.
Udział Państwa Instytucji w tym projekcie badawczym ma kluczowe znaczenie dla całego sektora w Polsce. Wyniki badań będą miały charakter publiczny i zostaną wykorzystane do budowania wspólnej odporności na nowe ryzyka regulacyjne i geopolityczne.
Otrzymają Państwo priorytetowy dostęp do pełnej wersji raportu, który wskaże skuteczne metody minimalizacji ryzyka dostępu organów państw trzecich, wspierając Państwa w budowaniu jakości i prawnej odporności Instytucji.
Wyniki badania dostarczą obiektywnych danych i merytorycznej podstawy dla Zarządu, Audytu i Compliance, ułatwiając podejmowanie strategicznych decyzji inwestycyjnych.
Gwarancją obiektywności, naukowego rygoru i praktycznej przydatności badania jest interdyscyplinarny zespół realizujący projekt:
Naukowcy: Projekt jest realizowany przez pracowników naukowych Wydziału Prawa i Administracji (WPiA) Uniwersytetu Mikołaja Kopernika (UMK) oraz Katedry Inżynierii Klinicznej Akademii Śląskiej. Zapewnia to gruntowną analizę prawną i techniczną ryzyka ICT.
Wsparcie Merytoryczne: Badanie jest wspierane merytorycznie przez doświadczonych radców prawnych i ich kancelarie, co gwarantuje, że rekomendacje będą miały praktyczne zastosowanie i będą odzwierciedlały realia rynku finansowego.
Członkowie zespołu badawczego posiadają doświadczenie we wszystkich aspektach przygotowywanego projektu - od prawnych aspektów, kwalifikacji i tworzenie zaawansowanych systemów IT.
Dysponując doświadczeniem w zbieraniu i analizowaniu złożonych, interdyscyplinarnych danych (łącząc perspektywy prawne, techniczne i zarządcze),
nasz zespół naukowców (prawników i inżynierów) jest przygotowany do oceny ryzyk zgodności regulacyjnych.
Definicje
DORA
DORA ustanawia jednolite wymogi zarządzania ryzykiem ICT, testowania odporności cyfrowej, raportowania incydentów, zarządzania ryzykiem dostawców IT oraz nadzoru nad nimi, aby zapewnić ciągłość i bezpieczeństwo działania instytucji finansowych w całej UE.
Cloud Act
CLOUD Act (Clarifying Lawful Overseas Use of Data Act) zobowiązuje amerykańskich dostawców usług telekomunikacyjnych i chmurowych do udostępniania danych na żądanie sądów i organów USA, niezależnie od miejsca ich fizycznego przechowywania, oraz ustanawia ramy umów międzynarodowych (executive agreements) regulujących transgraniczny dostęp do danych.
FISA702
FISA Section 702 to przepis amerykańskiej ustawy FISA, który umożliwia pozyskiwanie danych komunikacyjnych cudzoziemców przebywających poza USA w celach wywiadowczych, bez indywidualnej zgody sądu na każdą osobę.
Schrems II
Wyrok Schrems II (sprawa C-311/18) Trybunału Sprawiedliwości UE z 16 lipca 2020 r. unieważnił decyzję Komisji Europejskiej o Tarczy Prywatności (Privacy Shield), uznając, że prawo USA (m.in. sekcja 702 FISA i EO 12333) nie zapewnia adekwatnego poziomu ochrony danych osobowych, naruszając prawa do prywatności i ochrony danych z Karty Praw Podstawowych UE. Potwierdził ważność standardowych klauzul umownych (SCC) jako podstawy transferów (art. 46 RODO), ale nałożył na administratorów obowiązek oceny, czy prawo państwa trzeciego pozwala na ich przestrzeganie, oraz wdrożenia dodatkowych środków uzupełniających (np. szyfrowanie), jeśli ochrona jest niewystarczająca.
