Final Report on public consultation No. 19/270 on Guidelines on outsourcing to cloud service providers

Die EIOPA stellt den finalen Entwurf ihrer Leitlinien zum Outsourcing in die Cloud vor.

Hintergrund:

Im Juli 2019 hat die EIOPA den ersten Entwurf der Leitlinien zur Konsultation gestellt. Das Anpassungsbedürfnis der Vorgaben für Cloud-Auslagerung hat sich aufgrund der Analyse ergeben, die durch den FinTech-Aktionsplan der Kommission ins Leben gerufen wurde. Cloud-Dienstleistungen sind eine Kombination von Geschäfts- und Liefermodellen, die einen on-demand Zugang zu einem Pool gemeinsamer Ressourcen erlauben. Typischerweise handelt es sich dabei um Dienstleistungen im Bereich Software as a Service (Saas), Platform as a Service (PaaS) und Infrastructure as a Service (IaaS). Im Gegensatz zu klassischen Auslagerungen sind Cloud-Auslagerungen in der Regel standardisierter und bergen daher neben vielen Vorteilen auch erhebliche Risiken. Beim Entwurf der Leitlinien hat sich die EIOPA insbesondere an den EBA-Leitlinien zur Auslagerung (EBA/GL/2019/02) orientiert.

Inhalt:

Die EIOPA verfolgt mit ihren Leitlinien das Ziel, Transparenz und Klarheit für Marktteilnehmer zu schaffen, um potentielle regulatorische Arbitrage zu vermeiden und die aufsichtliche Konvergenz hinsichtlich der auf Cloud-Auslagerungen anwendbaren Erwartungen und Prozesse zu fördern.

Der Final Report stellt die finale Version der geplanten Leitlinien unter Berücksichtigung der Rückmeldungen zur Konsultation vor. Die Leitlinien betreffen alle Verhältnisse zu einem Dienstleister, die nach der Solvency II Definition eine Auslagerung darstellen und adressieren die folgenden Punkte:

1. Cloud-Services und Outsourcing
2. Allgemeine Governance-Grundsätze für Cloud-Outsourcing
3. Aktualisierung der schriftlichen Outsourcing-Policy und anderer interner Vorgaben
4. Schriftliche Mitteilung an die Aufsichtsbehörde
5. Anforderungen an die Dokumentation
6. Pre-Outsourcing-Analyse
7. Beurteilung der Kritikalität / Wichtigkeit der operationellen Funktionen und Aktivitäten
8. Risikobewertung der Cloud-Auslagerungen
9. Due Diligence der Cloud-Dienstleister
10. Vertragliche Anforderungen
11. Zugriffs- und Prüfungsrechte
12. Sicherheit von Daten und Systemen
13. Weiterverlagerungen kritischer / wichtiger operationeller Funktionen und Aktivitäten
14. Überwachung und Aufsicht von Cloud-Auslagerungen
15. Kündigungsrechte und Exit-Strategien
16. Aufsicht über Cloud-Auslagerungen durch die Aufsichtsbehörden

Weiterführende Informationen:

Die folgenden Fristen sollen für die Anwendung der Guidelines gelten:

• Die Leitlinien sollen für alle ab dem 1. Januar 2021 neu eingegangenen oder angepassten Cloud-Auslagerungsverhältnisse gelten;
• Entsprechend sollen interne Vorgaben und Prozesse ebenfalls bis 1. Januar 2021 angepasst werden;
• Bestehende Verhältnisse bzgl. kritischer / wesentlicher Funktionen sollen bis zum 31. Dezember 2022 an die neuen Vorgaben angepasst werden;
• Die Dokumentationspflichten für kritische / wesentliche Auslagerungen sollen bis 31. Dezember 2022 angepasst sein.

© EIOPA - European Insurance and Occupational Pensions Authority - eiopa.europa.eu

Am 6. Februar 2020 veröffentlichte die EIOPA die Leitlinien zum Oursourcing an Cloud-Anbieter ohne Anhänge [DE/EN].

Änderungshistorie:

Die von der EIOPA vorgenommenen Änderungen im Vergleich zur Konsultation sind farblich markiert. Die Vergleichsversion finden Sie hier.