ESMA ja pilvipalveluiden ulkoistamisen ohjeistus

2020 kesällä ESMA ilmoitti tulevasta guideline -ohjeistuksesta liittyen IT-palveluiden ulkoistamiseen. Ohjeistukset ovat draft -tilassa ja ne virallistetaan 2021 alkuvuodesta. Tässä blogissa käymme läpi lyhyesti mitä ohjeistus vaatii yritykseltä, keitä se koskettaa ja mikä on aikataulu.

Voit lukea koko ohjeistuksen luonnoksen täältä: ESMA Guidelines on outsourcing to cloud service providers (https://www.esma.europa.eu/press-news/esma-news/esma-consults-cloud-outsourcing-guidelines)

Ohjeistuksen tavoitteet

Ohjeiden tarkoituksena on luoda johdonmukainen, tehokas ja vaikuttava valvonta Euroopan finanssivalvontajärjestelmän kanssa ja varmistaa yhteinen, yhtenäinen ja johdonmukainen käytäntö.

Erityisesti niiden tavoitteena on auttaa yrityksiä ja osaavia viranomaisia tunnistamaan, osoittamaan ja seuraamaan pilvipalvelujen aiheuttamia riskejä ja haasteita ulkoistamisjärjestelyistä, päätöksenteosta ulkoistamiseen, palveluntarjoajan valitsemisessa, ulkoistettujen toimintojen seuraamisesta poistumisstrategioiden tarjoamiseen.

Ketä tämä koskettaa?

Pankki- ja vakuutustoiminnalle on jo olemassa vastaavat ohjeistukset (EBA ja EIOPA). Nyt samantyyliset ohjeistukset tulevat myös alla mainituille toimialoille.

- - - Sijoituspalveluyritykset ja luottolaitokset
    - Vaihtoehtoisten sijoitusrahastojen hoitajat ja säilytysyhteisöt
    - Kaupankäyntiarkistot
    - Tietojen raportointipalvelujen tarjoajat
    - Kauppapaikkojen ylläpitäjät
    - Arvopaperikeskukset
    - Luottotietojen luottoluokituslaitokset
    - Arvopaperistamisrekisterit
    - Vertailuarvojen ylläpitäjät
    - Siirtokelpoisten arvopapereiden yhteissijoitusyritykset ja yhteissijoitusyritysten hallintoyritykset ja säilytysyhteisöt
    - Keskusvastapuolet, mukaan lukien toisen tason kolmannen maan keskusvastapuolet, jotka täyttävät asiaankuuluvat EMIR-vaatimukset

Ehdotetuissa suuntaviivoissa esitetään

Yrityksellä tulisi olla määritelty ja ajan tasalla oleva pilvipalvelujen ulkoistamisstrategia. Yrityksen tulee myös huolehtia tiedotuksen ja viestinnän, teknologiastrategian, tietoturvastrategian, operatiivisten riskien hallinnan sekä asianmukaisen sisäisen politiikan ja prosessien jalkauttamisesta.

ESMA Guideline vaatii

- - - Hallinto-, dokumentointi-, valvonta- ja seurantamekanismit, jotka yrityksillä tulisi olla käytössä
    - Arviointi ja huolellisuus, joka tulisi suorittaa ennen ulkoistamista
    - Vähimmäisosat, jotka ulkoistamiseen ja ulkoistamista koskeviin sopimuksiin tulisi sisällyttää
    - Poistumisstrategiat sekä pääsy- ja tarkastusoikeudet, joista on huolehdittava
    - Ilmoitus toimivaltaisille viranomaisille
    - Toimivaltaisten viranomaisten suorittama valvonta

Kun kriittisiä tai tärkeitä toimintoja ulkoistetaan, olisi yrityksen tehtävä huolellinen arvio pilvipalveluntarjoajan (ja sen palveluiden) soveltuvuudesta. Yrityksen ja pilvipalveluntarjoajan tulisi jakaa vastuut ja velvollisuudet selkeästi ja ne olisi esitettävä kirjallisessa sopimuksessa, joka olisi oltava irtisanottavissa. Jokaisesta palvelusta tulee erikseen olla suunnitelma ongelmatilanteita ja palvelusta poistumista varten. Yrityksellä tulee olla riittävät oikeudet ja mahdollisuudet valvoa ja tarkastella palvelun toimintaa (esim. lokitietoja)

Yrityksen ulkoistaessa kriittisiä ja tärkeitä toimintoja olisi hyvä soveltaa riskiperusteista lähestymistapaa ja ottaa huomioon seuraavat asiat:

- - - Tietoturvaroolit ja -vastuut yrityksen ja pilvipalveluntarjoajan välillä
    - Pääsynhallinta
    - Salaus ja salausavainten hallinta
    - Toimintojen ja verkon turvallisuus
    - Sovellusohjelmointirajapinnat
    - Liiketoiminnan jatkuvuus ja toipuminen häiriöistä
    - Tietojen sijainti
    - Compliance ja seuranta

Aikataulu ohjeistukselle

Kun viralliset kieliversiot valmistuvat, päättää Finanssivalvonnan johtoryhmä siitä, jalkautetaanko ESMA:n ohjeistukset sellaisenaan vai muutoksin.

- - - Lopullinen Guideline kieliversioineen julkaistaan Q1 2021
    - Guideline astuu voimaan 30.6.2021
    - 31.12.2021 mennessä tulee viranomaisille ilmoittaa, mikäli ohjeistuksen mukaista tarkastelua ja selvitystä ei ole tehty

Suosittelemme laittamaan kalenterimerkinnän keväälle, kun ohjeistuksen lopullinen versio valmistuu. Compliance -työ tulee olemaan melko vaativa, joten omaa ja konsultin aikaa tulee varata helposti useita päiviä.

Lue lisää Finanssivalvonnan määräyksistä IT-asioissa.