Ich restrykcyjność zależy od branży. Największe dotyczą podmiotów nadzorowanych przez KNF. Jednak niemal równie duże - np. adwokatów lub radców prawnych. W ich przypadku regulacje z zakresu odpowiedzialności dyscyplinarnej traktują outsourcing do chmury w sposób zbliżony do regulacji KNF. Realne bariery istnieją także np. w sferze służby zdrowia. Nawet typowy polski small business musi liczyć się ze stosowaniem regulacji z zakresu ochrony danych osobowych, jeśli chce korzystać z chmury obliczeniowej.
Może nie być łatwo ustalić, czy dany projekt IT obejmuje korzystanie z chmury. Zgodnie z definicją przyjętą za NIST przetwarzanie danych w chmurze obliczeniowej to ”model przetwarzania umożliwiający wygodny dostęp na żądanie do konfigurowalnej i współdzielonej puli zasobów obliczeniowych (np. : sieci, serwerów, pamięci masowej, aplikacji i usług), które mogą być szybko dostarczane i wymagają minimalnego wysiłku w kwestii zarządzania i interakcji z usługodawcą”.
Kiedy pula zasobów jest „współdzielona”? Kiedy wysiłek w kwestii zarządzania i interakcji z usługodawcą jest „minimalny”? Czy mamy już do czynienia z chmurą obliczeniową, czy jedynie zwykłym outsourcingiem IT?
Te pytania są istotne, ponieważ o ile normy pochodzące od KNF (np. Rekomendacja D, Wytyczne… z 16.12.2014) stawiają na równi ASP z chmurą obliczeniową i stawiają im takie same wymogi, o tyle już Komunikat Urzędu KNF z 23.10.2017 r. dotyczy wyłącznie chmury obliczeniowej. Te pytania są równie istotne dla prawników. Odpowiadając na nie trzeba sięgnąć z jednej strony do źródeł definicji NIST, a drugiej – do celu regulacji pochodzących od KNF lub organów samorządu zawodowego.
Chmura obliczeniowa będzie stosowana przez podmioty nadzorowane przez KNF mimo bariery regulacyjnej. Raz, że często będą to chmury dedykowane dla międzynarodowej korporacji uzgodnione przez spółki matki. Zmniejsza to wymogi dla polskiego podmiotu względem polskiego KNF. Dwa, że w przypadku mniejszych projektów okaże się, że dany outsourcing właściwie nie jest chmurą obliczeniową, jako, że np. zasób nie jest „współdzielony”. Trzy, że te duże podmioty będą mogły wynegocjować sobie warunki odpowiadające wymogom KNF, które nie są sztywne, tylko stanowią zestawy dobrych praktyk, zalecane na zasadzie „apply or explain”.
