Podstawą dobra umowa

W związku z tak dużym rozproszeniem regulacji prawnych dotyczących chmury obliczeniowej, szczególnego znaczenie nabiera umowa cywilno-prawna między usługodawcą i usługobiorcą. Obecnie stanowi ona podstawowy sposób określania relacji pomiędzy poszczególnymi stronami usługi chmurowej. Odpowiednio spisana, wskazująca konkretne, wzajemne zobowiązania i uprawnienia, staje się kluczem do dobrej współpracy biznesowej dostawcy środowiska chmurowego bądź jego partnera z klientami.

Wskazane jest, by znalazły się w niej nie tylko zasady i warunki podjęcia oraz realizacji współpracy, lecz również okoliczności rezygnacji z usług w chmurze. Chodzi o zabezpieczenie się dostawcy na wypadek poniesienia szkody w sytuacji rozwiązania przez użytkownika umowy bez ważnego powodu. Użytkownik jest wtedy zobowiązany do jej naprawienia, ale trzeba pamiętać, że ta reguła działa również w drugą stronę – także on, w sytuacji konfliktowej, może dochodzić swoich praw.

W umowie mogą zostać zawarte również wyłączenia lub ograniczenia odpowiedzialności dostawcy usług chmurowych. Nie zawsze jednak będą one dopuszczalne i możliwe. W relacjach biznesowych dostawcy usług chmurowych mogą próbować chronić swoje interesy przez ograniczenie odpowiedzialności w sytuacjach niedookreślonych lub nieprecyzyjnie uregulowanych. Ze względu na znaczącą rolę umów w kontraktach chmurowych, wśród przepisów o charakterze ogólnym istotne znaczenie będzie miał więc jeszcze Kodeks cywilny – warto pamiętać również o nim.

Długa lista Opublikowane w 2020 r. przez Ministerstwo Cyfryzacji „Narodowe Standardy Cyberbezpieczeństwa. Standardy Cyberbezpieczeństwa Chmur Obliczeniowych (SCCO)” zawierają wykaz przepisów i norm związanych z bezpieczeństwem przetwarzanych informacji w modelach chmur obliczeniowych. Znajduje się w nim 19 aktów prawnych, w tym 14 o charakterze krajowych ustaw, rozporządzeń i uchwał Rady Ministrów, a pięć w randze unijnych dyrektyw i rozporządzeń. W dokumencie wskazano również osiem norm ISO dotyczących zarówno stosowanych technik bezpieczeństwa, zarządzania nim, jak i zasad ochrony informacji. Listę uzupełniają wskazane na zasadzie referencyjnej wytyczne amerykańskiej agencji NIST (National Institute of Standards and Technology).

Branża z obawami Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) prowadzi prace nad europejskim schematem certyfikacji cyberbezpieczeństwa usług chmurowych (EUCS). Ma on zdefiniować wymagania dla technologii chmurowych i ich dostawców. Niektóre zapisy proponowanych regulacji budzą wątpliwości przedstawicieli branży cyfrowej. Chodzi o wymagania dotyczące certyfikatu wysokiego poziomu, który ma być najwyższym z trzech projektowanych poziomów certyfikacji bezpieczeństwa usług chmurowych. Siedziba główna dostawcy usług, który chciałby uzyskać ten najwyższy certyfikat, musiałaby znajdować się w Europie, a sam dostawca nie mógłby podlegać podmiotom spoza Unii Europejskiej. CEE Digital Coalition, w skład której wchodzą organizacje branżowe z 11 krajów Europy Środkowo-Wschodniej, proponuje zastąpienie powyższego przepisu wymogiem legalnej działalności oddziału dostawcy chmury na terenie Unii Europejskiej.