Nye regler for finansielle virksomheders outsourcing til cloud sendt i høring

Finanstilsynet har sendt et forslag til en ændret outsourcingbekendtgørelse i høring. Forslaget indeholder nye regler, der særligt gælder for cloud-outsourcing og cloud-leverandørens brug af underleverandører. Dermed bliver en af de væsentligste regulatoriske hindringer i finansielle virksomheders brug af cloud nu et forhandlingsparameter. Et parameter, der baseres på virksomhedernes exitstrategi og leverandørens ønske om fleksibilitet.

Ændringsforslagets indhold

Ændringsforslaget indeholder to centrale bestemmelser. Den ene er en defintion af "cloudservice", den anden regulerer brugen af underleverandører, når der er tale om "cloudservice". 

Definitionen af "cloudservice" tager udgangspunkt i "Service leveret ved hjælp af cloudcomputing [..]", hvorefter en række karakteristika ved cloudcomputing gengives. Definitionen giver dermed anvendelsesområdet en vis fleksibilitet og bredde.

Når der er tale om at outsource "cloudservices", gælder der ikke længere et krav om forudgående aktiv godkendelse fra den finansielle virksomhed. Fremadrettet er det tilstrækkeligt, at leverandøren underretter den finansielle virksomhed om en planlagt brug af en underleverandør og giver den finansielle virksomhed mulighed for at udtræde af aftalen. Længden af notifikationsperioden er op til parterne at aftale. Der stilles dog en række krav i den forbindelse, herunder:

  • at den finansielle virksomhed har foretaget en risikovurdering af de ydelser, der kan videreoutsources
  • at den finansielle virksomhed har udarbejdet tilstrækkelige exitplaner.

Derudover skal kontrakten indeholde et tiltstrækkeligt varsel til at iværksætte exitplanerne og sikre, at kravene i outsourcingbekendtgørelsen kan videreføres til underleverandøren.

Ændringsforslaget udspringer af European Banking Associations (EBA) anbefalinger til bankers outsourcing til cloud, som vi beskrev i nyheden: Nye retningslinjer for bankers IT-sikkerhed og brug af cloud. I disse anbefalinger pegede EBA netop på behovet for en smidigere process for cloudleverandørens brug af underleverandører. 

Læs mere om høringen.

Der er stadig regulatoriske udfordringer ved at bruge cloud

Selvom Finanstilsynets ændringsforslag er et væsentligt og velkomment skridt mod at harmonisere lovgivningen med den teknologiske udvikling, så rummer det gældende regelsæt fortsat en række bestemmelser, der virker hæmmende på brugen af cloud, eksempelvis:

  • Finanstilsynets ubetingede inspektionsret for alle lokationer hos leverandøren der er relevante for at levere ydelserne (typisk både datacentre, supportafdelinger og hovedkontor)
  • Kravet om ubetinget pligt til at fortsætte levering indtil ydelserne er hjemtaget eller overdraget til en anden leverandør. 

 

EBA vil modernisere regelsættet for sektorens outsourcing

EBA sendte for nylig et nyt sæt retningslinjer for hele banksektoren i høring. Det er tanken, at disse retningslinjer skal erstatte de tidligere CEBS Guidelines, der er grundlaget for outsourcingbekendtgørelsen og samtidig inkludere de anbefalinger fra EBA, som vi beskrev den nyhed, der linkes til ovenfor.

I næste uge vender Kromann Reumert tilbage med en opdatering om de nye EBA guidelines.