Valvottavatiedote 22.6.2020 – 39/2020

Finanssivalvonta noudattaa EIOPAn ohjeita ulkoistamisesta pilvipalvelujen tarjoajille valvontatyössään

  

Euroopan vakuutus- ja lisäeläkeviranomainen (EIOPA) on julkaissut ohjeet ulkoistamisesta pilvipalvelujen tarjoajille. Ohjeissa kerrotaan, miten vakuutus- ja jälleenvakuutusyritysten on sovellettava sääntelyssä annettuja ulkoistamisvaatimuksia pilvipalvelujen tarjoajien kanssa tehtyihin ulkoistamisjärjestelyihin.

EIOPAn ohjeet koostuvat seuraavista kohdista (1-16):

  1. Pilvipalvelut ja ulkoistaminen1
  2. Ulkoistettujen pilvipalvelujen hallintaa koskevat yleiset periaatteet
  3. Ulkoistamista koskevien kirjallisten toimintaperiaatteiden päivittäminen
  4. Kirjallinen ilmoitus valvontaviranomaiselle
  5. Dokumentointivaatimukset
  6. Ulkoistamista edeltävä analyysi
  7. Oleellisten tai tärkeiden operatiivisten tehtävien tai toimien arviointi
  8. Pilveen ulkoistamisen riskinarviointi
  9. Pilvipalvelujen tarjoajan due diligence -tarkastus
  10. Sopimusvaatimukset
  11. Pääsy- ja tarkastusoikeudet
  12. Tietoturva ja järjestelmien turvallisuus
  13. Oleellisten tai tärkeiden operatiivisten tehtävien tai toimien ulkoistaminen edelleen
  14. Pilvipalvelujen tarjoajien kanssa tehtyjen ulkoistamisjärjestelyjen seuranta ja valvonta
  15. Sopimuksen irtisanomisoikeus ja irtautumisstrategiat
  16.  Valvontaviranomaiset ja pilveen ulkoistamista koskevien järjestelyjen valvonta

Finanssivalvonta tulee noudattamaan EIOPAn antamia ohjeita valvontatyössään. Ohjeet tullaan saattamaan osaksi Finanssivalvonnan Määräys- ja ohjekokoelmaa 6/2015.

EIOPAn asettama aikataulu ohjeiden noudattamiselle on seuraava:

  • EIOPAn antamia ohjeita sovelletaan 1.1.2021 lähtien kaikkiin pilvipalvelujen ulkoistamisjärjestelyihin, jotka on tehty tai joita on muutettu kyseisenä päivänä tai sen jälkeen.
  •  Valvottavien on arvioitava ja tarvittaessa muutettava voimassa olevia pilvipalvelujen ulkoistamisjärjestelyjään ja varmistettava, että järjestelyt, jotka koskevat oleellisia tai tärkeitä operatiivisia tehtäviä tai toimia, täyttävät EIOPAn ohjeissa esitetyt vaatimukset 31.12.2022 mennessä.
  • Yrityksen toimintaperiaatteet ja sisäiset prosessit on päivitettävä tarvittaessa 1.1.2021 mennessä. Dokumentointivaatimukset pilvipalvelujen ulkoistamisjärjestelyistä, jotka koskevat oleellisia tai tärkeitä operatiivisia tehtäviä ja toimia, on täytettävä 31.12.2022 mennessä.

Lisätietoja antavat

  • Hanna Heiskanen, johtava digitalisaatioasiantuntija, hanna.heiskanen(at)finanssivalvonta.fi
  • Heli Mäkitalo, riskiasiantuntija, heli.makitalo(at)finanssivalvonta.fi

Liite

EIOPAn ohjeet ulkoistamisesta pilvipalvelujen tarjoajille

 

1Valvottavan on määritettävä, kuuluuko pilvipalvelujen tarjoajan kanssa tehty järjestely Solvenssi II -direktiivissä tarkoitetun ulkoistamisen piiriin.

20.7.2020 korjaus: Tiedotteessa luki virheellisesti, että yrityksen toimintaperiaatteet ja sisäiset prosessit on päivitettävä tarvittaessa 1.2.2021 mennessä. Oikea päivämäärä on 1.1.2021.