Nye retningslinjer fra EIOPA for utkontraktering til skyleverandører

Retningslinjene og anbefalingene har til formål å sikre en harmonisert praktisering av regelverk på europeisk nivå.

Den 6. februar 2020 offentliggjorde den europeiske forsikringstilsynsmyndigheten (EIOPA) "Guidelines on outsourcing to cloud service providers" (EIOPA-BoS-20-002).

Retningslinjene gir veiledning til forsikrings- og gjenforsikringsselskaper om hvordan utkontrakteringsbestemmelsene fastsatt i direktiv 2009/138/EC ("Solvency II Directive "), kommisjonens delegerte forordning (EU) nr. 2015/353 ("Delegated Regulation") og EIOPAs retningslinjer for styringssystem EIOPA-BoS-14/253 ("Guidelines on system of governance") må anvendes ved utkontraktering til skytjenesteleverandører.

Retningslinjene dekker følgende områder:

• Kriterier for å bestemme om en skytjeneste skal vurderes som utkontraktering
• Prinsipper og elementer for styring og kontroll med skytjenester, dokumentasjonskrav og oversikt over hvilken informasjon som skal sendes som del av varselet til tilsynsmyndighetene
• Forventning til foranalyse ved utkontraktering, og hvilke kriterier som gjelder for å konkludere om en utkontraktering til skyleverandør er knyttet til en kritisk eller viktig oppgave
• Prinsipper for hvordan risikovurdering av utkontraktering av oppgaver til skyleverandører og selskapsgjennomgang (due diligence) av skytjenesteleverandørene skal utføres
• Hva utkontrakteringskontrakten bør inneholde
• Forventning til styring av tilgangs- og revisjonsrettigheter for foretaket og regulatoriske myndigheter, sikkerhet knyttet til data og systemer, videreutkontraktering til underleverandører (sub-utkontraktering), overvåking og tilsyn med leveranser fra skytjenesteleverandører, og krav knyttet til exit-strategier
• Prinsipper for hvordan de nasjonale tilsynsmyndigheter skal føre tilsyn med skytjenesteleveranser, inkludert hvordan konsernforhold påvirker dette.

Finanstilsynet har bekreftet at retningslinjene vil bli fulgt i Norge.

Retningslinjene vil gjelde for alle avtaler om utkontraktering til skytjenesteleverandører som inngås eller endres fra og med 1. januar 2021. Eksisterende utkontrakteringsavtaler av kritiske/viktige oppgaver må tilpasses de nye retningslinjene innen 31. desember 2022. Finanstilsynet skal varsles dersom foretaket ikke får tilpasset eksisterende avtaler til de nye retningslinjene innen 31. desember 2022. Varselet må inneholde en fremdriftsplan for hvilke tiltak som er planlagt for å få utkontrakteringsforholdet i tråd med de nye retningslinjer, eller avviklingsstrategi for å avslutte utkontrakteringsavtalen.

Finanstilsynet vil arrangere et webinar med gjennomgang av hvilke konsekvenser de nye retningslinjene vil ha for forsikringsbransjen i Norge. Nærmere informasjon vil bli sendt ut.

Les mer på EIOPA sine nettsider:

• Guidelines on outsourcing to cloud service providers now available for national supervisory authorities

Generelt om tilsyn med IKT:

• Tilsyn med IT og betalingstjenester