Tillsynsmeddelande 22.6.2020 – 39/2020

Finansinspektionen ska följa Eiopas riktlinjer om uppdragsavtal med molntjänstleverantörer i sitt tillsynsarbete

Europeiska försäkrings- och tjänstepensionsmyndigheten (EIOPA) har publicerat riktlinjer om uppdragsavtal med molntjänstleverantörer. Riktlinjerna ger försäkrings- och återförsäkringsföretagen vägledning om hur bestämmelserna om uppdragsavtal ska tillämpas på uppdragsavtal med molntjänstleverantörer.

Eiopas riktlinjer innehåller följande punkter (1–16):

  1. Molntjänster och uppdragsavtal1
  2. Allmänna principer för styrning av uppdragsavtal om molntjänster
  3. Uppdatering av den skriftliga policyn om uppdragsavtal
  4. Skriftligt meddelande till tillsynsmyndigheten
  5. Dokumentationskrav
  6. Analys innan uppdragsavtal ingås
  7. Bedömning av kritiska eller viktiga operativa funktioner och verksamheter
  8. Riskbedömning av uppdragsavtal om molntjänster
  9. Företagsbesiktning av molntjänstleverantören
  10.  Avtalsenliga krav
  11. Åtkomst- och revisionsrättigheter
  12. Uppgifts- och systemsäkerhet
  13. Underentreprenad för kritiska eller viktiga operativa funktioner eller verksamheter
  14. Övervakning och översyn av överenskommelser om uppdragsavtal om molntjänster
  15. Rätt till uppsägning och utträdesstrategier
  16. Tillsyn av överenskommelser om uppdragsavtal om molntjänster av tillsynsmyndigheter

Finansinspektionen ska följa Eiopas riktlinjer i sitt tillsynsarbete. Riktlinjerna kommer att införlivas som en del av Finansinspektionens Föreskrifter och anvisningar 6/2015.

Eiopas tidtabell för iakttagande av riktlinjerna är följande:

  • Eiopas riktlinjer tillämpas från och med den 1 januari 2021 på alla överenskommelser om uppdragsavtal om molntjänster, vilka har gjorts eller ändrats nämnda dag eller senare.
  • Företagen under tillsyn ska se över och vid behov ändra befintliga överenskommelser för uppdragsavtal om molntjänster och försäkra sig om att överenskommelser som avser kritiska eller viktiga operativa funktioner eller verksamheter fyller de krav som framställs i Eiopas riktlinjer senast den 31 december 2022.
  • Företagets verksamhetsprinciper och interna processer ska vid behov uppdateras senast den 1 januari 2021. Dokumentations­kraven för överenskommelser om uppdragsavtal om molntjänster som avser kritiska eller viktiga operativa funktioner eller verksam­heter bör vara uppfyllda senast den 31 december 2022.

Närmare upplysningar lämnas av

  • Hanna Heiskanen, ledande digitaliseringsexpert, hanna.heiskanen(at)fiva.fi
  • Heli Mäkitalo, riskexpert, heli.makitalo(at)fiva.fi

Bilaga

Eiopas riktlinjer om uppdragsavtal med molntjänstleverantörer


1Företaget under tillsyn ska fastställa om en överenskommelse med en molntjänstleverantör omfattas av definitionen på uppdragsavtal i enlighet med Solvens II.

20 juli 2020 rättelse: I meddelandet stod felaktigt att företagets verksamhetsprinciper och interna processer ska vid behov uppdateras senast den 1 februari 2021. Rätt datum är den 1 januari 2021.