Euroopan arvopaperimarkkinaviranomaisen (ESMA) ohjeet ulkoistamisesta pilvipalvelujen tarjoajille tulivat sovellettavaksi 31.7.2021 alkaen kaikkiin pilvipalvelujen ulkoistamisjärjestelyihin, jotka on tehty tai joita on jatkettu tai muutettu kyseisestä päivämäärästä alkaen.
ESMAlta uudet ohjeet pilvipalveluiden ulkoistamisesta finanssialalle – tarkista yrityksesi ohjeet tämän vuoden aikana
Miika Junttila & Lauri Laatunen
Palvelut
Uudet ohjeet auttavat yrityksiä yksilöimään, käsittelemään ja seuraamaan yhä yleistyvistä pilvipalvelujen ulkoistamisjärjestelyistä aiheutuvia riskejä ja haasteita.
Ohjeita sovelletaan toimivaltaisten viranomaisten lisäksi finanssialan toimijoihin, joihin lukeutuvat muun muassa yhteissijoituspalveluyritykset, keskusvastapuolet, sijoituspalveluyritykset ja luottolaitokset sijoituspalveluiden ja -toimien suorittamisen yhteydessä sekä luottoluokituslaitokset.
Ohjeet täydentävät aiempia Euroopan pankkiviranomaisen (EPV) sekä Euroopan vakuutus- ja lisäeläkeviranomaisen (EIPOA) ulkoistamisia koskevia ohjeistuksia. ESMA on todennut, että uudet suuntaviivat ovat yhdenmukaisia näiden ohjeistusten kanssa. Vaikka ohjeistusten yhdenmukaisuus on hyödyllistä soveltamisalan piiriin kuuluville yrityksille, kaikkia pilvipalvelujen ulkoistamiseen liittyviä ohjeita on kuitenkin tarkasteltava erikseen ja huomioitava kunkin oma soveltamisala.
Mitä yritysten on uusien ohjeiden mukaan huomioitava?
Ohjeissa on asetettu näille toimijoille yhdeksän suuntaviivaa, jotka niiden tulee ottaa huomioon pilvipalvelujen ulkoistuksessa.
1. Yrityksellä on oltava määritelty ja ajantasainen pilven ulkoistamisstrategia, joka on yhdenmukainen yrityksen strategioiden, sisäisten toimintatapojen ja menettelyiden kanssa.
Vastuu pilvipalvelujen ulkoistamisjärjestelyjen dokumentoinnista, hallinnasta ja valvonnasta on määriteltävä selkeästi omassa organisaatiossa. Sisäinen valvonta on järjestettävä ottaen huomioon liiketoiminnan luonne ja laajuus. Vähimmäisvaatimuksena on hallinnoinnin ja valvonnan selkeä tehtävän- ja vastuunjaon varmistaminen.
Muiden kuin pienten yritysten on perustettava valvontatoimi tai nimettävä johtoasemassa olevat työntekijät, jotka ovat vastuussa riskien hallinnoinnista ja valvonnasta. Valvonnan on oltava riskiperusteista ja siinä on painotettava ensisijaisesti ulkoistettuja kriittisiä tai tärkeitä toimintoja.
Kaikista ulkoistamisjärjestelyjä koskevista tiedoista on ylläpidettävä ajantasaista rekisteriä. Säännöllisin väliajoin on arvioitava koskevatko pilvipalvelujen ulkoistamisjärjestelyt kriittistä tai tärkeää toimintoa ja rekisterissä on eroteltava kriittisten tai tärkeiden toimintojen ulkoistaminen muista ulkoistamisjärjestelyistä.
2. Ennen pilvipalveluja koskevan ulkoistamisjärjestelyn tekemistä yrityksen on suoritettava analyysi ja asianmukainen huolellisuusvelvollisuuden tarkastus oikeassa suhteessa kyseisen sopimuksen luonteeseen.
Yrityksen on arvioitava, koskeeko pilvipalvelujen ulkoistamisjärjestely kriittistä tai tärkeää toimintoa, tunnistettava ja arvioitava oleelliset riskit ja mahdolliset eturistiriidat. Analyysiin on sisällyttävä arviointi pilvipalvelujen ulkoistamisjärjestelyn mahdollisista vaikutuksista yrityksen operatiivisiin ja oikeudellisiin riskeihin sekä vaatimustenmukaisuuteen ja maineeseen liittyviin riskeihin.
Erona EPV:n ulkoistamista koskeviin ohjeisiin tulee ESMAn ohjeiden mukaan pilvipalveluiden tarjoajaa koskevassa huolellisuusvelvollisuuden tarkastuksessa huomioida esimerkiksi palvelun tuki, mukaan luettuina tukisuunnitelmat ja yhteyspisteet, sekä häiriötilanteiden hallintamenettelyt.
3. Vähimmäisvaatimuksena on kirjallisessa sopimuksessa selkeästi määritellyt osapuolten oikeudet ja velvollisuudet.
Kirjallisessa sopimuksessa on oltava muun muassa ulkoistettavan toiminnon selkeä kuvaus, sopimuksen voimassaolo ja irtisanominen, sekä maininta yrityksen mahdollisuudesta päättää sopimus, osapuolten taloudelliset velvoitteet, tietoturvaa ja henkilötietojen suojausta koskevat säännöt, käyttö- ja tarkastusoikeudet sekä pilvipalvelun tarjoajalle asetetut vähimmäisvelvoitteet.
4. Tietoturvavaatimukset on sisällytettävä ulkoistussopimukseen.
Yrityksen on määritettävä tietoturvavaatimukset sisäisissä toimintatavoissaan ja menettelyissään sekä ulkoistussopimuksessa ja seurattava näiden vaatimusten noudattamista myös luottamuksellisten tietojen, henkilötietojen tai muutoin arkaluonteisten tietojen suojaamiseksi.
Kriittisten tai tärkeiden toimintojen ulkoistamisen yhteydessä yrityksen on muun muassa
Vaikka EPV:n ohjeet sisältävät samansuuntaisia ehtoja, ovat ESMAn ohjeistuksen ehdot vahvoista tunnistusmekanismeista ja riskiperusteisesta lähestymistavasta erilaisia tai kokonaan uusia verrattuna niihin.
5. Sopimuksessa on oltava irtautumisstrategioita, jotka eivät häiritse liiketoimintaa ja/tai palveluita.
Jos kyseessä on kriittisten tai tärkeiden toimintojen ulkoistaminen, yrityksen on varmistettava, että se voi irtautua pilvipalvelujen ulkoistamisjärjestelystä ilman, että sen liiketoiminnassa tai asiakkailleen toimittamissa palveluissa esiintyy kohtuuttomia häiriöitä, ja siten, että irtautuminen ei vaaranna yrityksen sovellettavan lainsäädännön mukaisten velvoitteiden noudattamista tai sen tietojen luottamuksellisuutta, eheyttä ja saatavuutta.
Yrityksen on laadittava irtautumisstrategia sekä tunnistettava vaihtoehtoisia strategioita. Yrityksen on myös määriteltävä siirtymän onnistumista koskevat kriteerit ja osoitettava tehtävät ja vastuut irtautumisstrategian hallinnointia varten.
6. Sopimus ei saa rajoittaa käyttö- ja tarkastusoikeuksia.
Yrityksen on varmistettava, että kirjallisella sopimuksella ei rajoiteta toimivaltaisen viranomaisen mahdollisuutta käyttää tehokkaasti pilvipalvelun tarjoajaa koskevia käyttö- ja tarkastusoikeuksia ja valvontavaihtoehtoja.
Yritykset voivat tehostaa tarkastusresurssien käyttöä ja pienentää pilvipalvelujen tarjoajan ja asiakkaiden organisatorista taakkaa vaatimalla saataville kolmannen osapuolen sertifioinnit ja ulkoiset tai sisäiset tarkastuskertomukset sekä yhteisillä tarkastuksilla ilman, että yritysten lopullista vastuuta pilvipalvelujen ulkoistamisjärjestelyistä rajoitetaan.
7. Mikäli sovitaan edelleen ulkoistamisen mahdollisuudesta, sopimuksessa on täsmennettävä selkeät velvoitteet ja vaatimukset.
Jos kriittisten tai tärkeiden toimintojen (tai olennaisten osien) ulkoistaminen edelleen on sallittua, yrityksen ja pilvipalvelujen tarjoajan tekemässä kirjallisessa sopimuksessa on sovittava tietyistä ehdoista ja varmistettava, että pilvipalvelun tarjoaja valvoo alihankkijaa asianmukaisesti.
8. Yrityksen on ilmoitettava toimivaltaiselle viranomaiselleen kirjallisesti ja ajoissa suunnitteilla olevista pilvipalvelujen ulkoistamisjärjestelyistä, jotka koskevat kriittistä tai tärkeää toimintoa.
Myös sellaisista pilvipalvelujen ulkoistamisjärjestelyistä, jotka koskevat aiemmin muuksi kuin kriittiseksi tai tärkeäksi luokiteltua toimintoa, josta on sittemmin tullut kriittinen tai tärkeä, on ilmoitettava toimivaltaisille viranomaisille.
9. Toimivaltaisten viranomaisten valvonta keskittyy kriittisiin ulkoistusjärjestelyihin.
Toimivaltaiset viranomaiset arvioivat pilvipalvelujen ulkoistamisjärjestelyistä aiheutuvat riskit osana valvontamenettelyään ja keskittyvät arvioinnissa erityisesti kriittisten tai tärkeiden toimintojen ulkoistamiseen sekä arvioivat tämän perusteella
Seurauksia ja tulevaisuuden näkymiä
Yritysten on arvioitava ja muutettava nykyiset pilvipalvelujen ulkoistamisjärjestelyt ohjeita vastaaviksi 31.12.2022 mennessä.
Painetta arvioinnille ja mahdollisille muutoksille lisää se, että mikäli kriittisiä tai tärkeitä toimintoja koskevia pilvipalvelujen ulkoistamisjärjestelyjä ei ole arvioitu vuoden 2022 loppuun mennessä, yritysten on ilmoitettava tästä toimivaltaiselle viranomaiselle ja sisällytettävä ilmoitukseen suunnitellut toimenpiteet, joilla arviointi saatetaan päätökseen, tai vaihtoehtoisesti ilmoitettava mahdollinen irtautumisstrategia.
Pia Ek
Miika Junttila
Lauri Laatunen
Ida Laakkonen