Af Jan Ussing, advokat, partner hos Bird & Bird og ordstyrer på konferencen Outsourcing & Cloud i den finansielle sektor

Det er nu over et halvt år siden, at Finanstilsynet vedtog den længe ventede outsourcingbekendtgørelse, men tiden har ikke stået stille siden. En vejledning er i høring, og nye retningslinjer er trådt i kraft. Vi giver her en opdatering på Finanstilsynet og de europæiske tilsynsmyndigheders seneste regelsæt og retningslinjer i relation til bank- og forsikringsvirksomheders outsourcing.

Status

Som det nok er de fleste bekendt, udgav Den Europæiske Banktilsynsmyndighed (EBA) i februar 2019 opdaterede guidelines for outsourcing, som inkorporerede og erstattede de tidligere cloud guidelines udgivet i 2017. EBA’s guidelines trådte i kraft 30. september 2019, og Finanstilsynet udarbejdede i 2020 en ny outsourcingbekendtgørelse for kreditinstitutter mv. på baggrund af blandt andet EBA’s opdaterede guidelines. Den trådte i kraft 1. juli 2020.

Slut november sendte Finanstilsynet et udkast til vejledning til bekendtgørelsen i høring. Høringsfristen udløb 15. januar og vejledningen forventes at træde i kraft 1. juli 2021.

Den Europæiske Værdipapir- og Markedstilsynsmyndighed (ESMA) udgav i december 2020 deres endelige Cloud Outsourcing Guidelines (COG). COG skulle oprindeligt træde i kraft 1. januar 2021, men ikrafttrædelsesdatoen blev skubbet til 31. juli 2021. COG gælder for alle outsourcing aftaler, som forpligtede virksomheder indgår, fornyer eller ændrer fra den 31. juli 2021 og frem. Den følger også i store træk EBA guidelines.

Den Europæiske Tilsynsmyndighed for Forsikrings- og Arbejdsmarkedspensionsordninger (EIOPA) udgav i januar 2020 deres retningslinjer for cloud outsourcing, som finder anvendelse på gruppe 1-forsikringsselskaber. Finanstilsynet har meddelt, at ”de danske regler om outsourcing vil blive håndhævet i overensstemmelse med EIOPA’s retningslinjer vedrørende outsourcing til cloudleverandører, fra de træder i kraft 1. januar 2021.”

EU’s foreslåede Digital Operational Resilience Act (DORA), der blev fremlagt udkast til i september 2020, kan medføre harmonisering af visse bestemmelser på tværs af de forskellige guidelines, og kan kræve tilpasning af de respektive guidelines. Det vil tiden dog vise.

Udfordringer under de nye regelsæt

Det er vigtigt, at alle forpligtede virksomheder tænker regelsættene og retningslinjerne ind både før, under og efter aftaleprocessen, når de outsourcer aktiviteter. I den forbindelse er nogle af de typiske udfordringer, som de finansielle virksomheder oplever:

  1. Etablering af passende governance-strukturer,
  2. Vedtagelse af evt. nye outsourcing-politikker
  3. Udpegning af en outsourcing ansvarlig
  4. Etablering af outsourcing registre og indsamling af information omkring eksisterende outsourcingaftaler (ikke kun kritisk og vigtige)
  5. Gennemførelse af risikovurderinger af outsourcingforholdet og fastlæggelse af hensigtsmæssige exit strategier,

Og så er der selvfølgelig Schrems II-dommen og EDPB’s retningslinier omkring overførsel til tredielande. De blev sendt i høring medio november, fik omkring 200 høringssvar og forventes – i hvert fald for nu – vedtaget medio marts. Det giver i sig selv en række udfordringer for brugen af cloud (og anden outsourcing med off-shore elementer).

Der er således nok at tage fat i. Hør mere om dette, få inspiration fra andres erfaringer, få konkrete råd til hvordan nogle af udfordringerne løses og meget på konferencen Outsourcing & Cloud i den finansielle sektor den 28. april. Læs mere her og tilmeld dig her.