Wyzwaniem, z którym stale muszą mierzyć się zarówno dostawcy chmury, jak i ich partnerzy oraz sami odbiorcy usług, jest stosowanie się do istniejących regulacji prawnych. Obowiązek zapewnienia zgodności z wymogami prawa wdrażanych rozwiązań oraz sposobów ich wykorzystania spoczywa nie tylko na użytkownikach, ale także dostawcach środowisk chmurowych.

Wśród wielu użytkowników wciąż panuje błędne przekonanie, że cała odpowiedzialność za bezpieczeństwo przetwarzanych w chmurze danych spoczywa wyłącznie na dostawcy usług. W rzeczywistości jednak odpowiednie środki zabezpieczające musi podjąć zarówno usługodawca, jak i usługobiorca. Odpowiedzialność jest dzielona pomiędzy wszystkie strony kontraktu. Jej zakres i poziom zależą od modelu wykorzystywanej chmury, rodzaju świadczonych usług, ale również od charakteru przetwarzanych danych, czy nawet branży reprezentowanej przez odbiorcę.

Dzielenie się odpowiedzialnością za bezpieczeństwo wykorzystywanego środowiska chmurowego znajduje odzwierciedlenie również w obowiązujących regulacjach prawnych. Problemem w ich praktycznym stosowaniu jest jednak to, że na gruncie polskim nie ma jednego uniwersalnego aktu prawnego, który by kompleksowo regulował związane z nimi kwestie.

Wymogi bezpieczeństwa

Dostawcy i użytkownicy usług chmurowych muszą uwzględnić w swoich działaniach szereg wymogów prawnych, rozproszonych po różnych przepisach – począwszy od ustaw, przez rozporządzenia, aż po rządowe uchwały oraz unijne dyrektywy. Przedsiębiorcy muszą odwoływać się do wielu aktów prawnych, które w sposób bezpośredni lub tylko pośrednio określają wymagania pod adresem usług w chmurze. Są wśród nich zarówno ustawy o charakterze ogólnym, jak też regulacje branżowe.

Z racji tego, że usługa chmurowa ma charakter cyfrowy, należy stosować się do regulacji wynikających z ustawy o świadczeniu usług drogą elektroniczną. Zgodnie z jej art. 7 usługodawca musi zapewnić taki poziom bezpieczeństwa, który uniemożliwi osobom nieuprawnionym dostęp do treści przekazu składającego się na usługę. W szczególności sposobem jego osiągnięcia jest zastosowanie technik kryptograficznych. Niedopełnienie tego wymogu może być podstawą do pociągnięcia dostawcy usługi do odpowiedzialności prawnej.

W zakresie wymogów dotyczących bezpieczeństwa trzeba brać pod uwagę również ustawę o krajowym systemie cyberbezpieczeństwa. Obejmuje ona między innymi dostawców usług elektronicznych, do których zaliczeni zostali również dostawcy usług w chmurze. Ich obowiązki zostały określone w rozdziale 4 ustawy, szczególnie w art. 17 i 18. Przede wszystkim muszą oni podejmować właściwe i proporcjonalne środki techniczne i organizacyjne w celu właściwego zarządzania ryzykiem, na jakie narażone są wykorzystywane do świadczenia usługi systemy informatyczne.

We wspólnej przestrzeni Komisja Europejska przedstawiła projekt rozporządzenia w sprawie europejskiej przestrzeni danych dotyczących zdrowia (European Health Data Space). Zawiera on propozycje wprowadzenia wspólnego, europejskiego formatu dla: skróconych kart zdrowia, obrazów medycznych i ich opisów, wyników badań laboratoryjnych, e-recept oraz wypisów ze szpitala. Wskazuje również na obowiązek zapewnienia interoperacyjności systemów elektronicznej dokumentacji medycznej na poziomie europejskim. Zdaniem ekspertów proponowane rozwiązania mogą przełożyć się na wzrost popularności rozwiązań chmurowych w branży ochrony zdrowia za sprawą digitalizacji zasobów medycznych wzmocnionej wprowadzonymi wymogami.

Artykuł Regulacje rozproszone, ale obowiązujące pochodzi z serwisu CRN.