European Banking Authority (EBA) har udsendt to nye sæt retningslinjer. Det ene stiller krav til bankernes IT-sikkerhed og lægger op til øget kontrol fra tilsynsmyndighederne. Det andet skaber klarhed over reglerne, når banker anvender cloud som led i deres IT-outsourcing.
Øget fokus på bankernes IT-sikkerhed
Det første sæt guidelines vedrører kravene til bankernes IT-sikkerhed, herunder deres sikkerhedsforanstaltninger og interne politikker. EBA har på baggrund af IT-systemers stigende kompleksitet, det generelle behov for og vigtighed af IT hos bankerne, samt den øgede risiko for cyber-angreb valgt at udstedt et nyt sæt retningslinjer på området.
Retningslinjerne giver tilsynsmyndighederne øget mulighed for at granske bankernes eksisterende sikkerhedsforanstaltninger med henblik på at vurdere de risici, der knytter sig til bankernes IT. Faktorer som IT-systemets sikkerhed (herunder dets alder og kompleksitet), datasikkerhed og business continuity-planer vil være relevante for myndighedernes bedømmelse af bankernes IT-risici. Bankerne kan også forvente, at tilsynsmyndighederne fremadrettet vil kigge på deres overordnede IT-strategier, sikkerhedspolitikker og processerne i forbindelse med nedbrud eller sikkerhedsbrister.
Retningslinjerne træder i kraft den 1. januar 2018.
Læs EBA's retningslinjer om bankernes IT-sikkerhed
her.
Større klarhed om bankernes brug af cloud-løsninger
EBA's andet sæt retningslinjer vedrører specifikt bankernes brug af cloud-løsninger ved IT-outsourcing. Håbet med retningslinjerne er, at de vil lette adgangen til at anvende cloud-teknologi i banksektoren, der længe har haltet efter øvrige sektorer, når det kommer til brugen af cloud – blandt andet på grund af en streng fortolkning af de gældende regulatoriske krav.
Retningslinjerne er sendt i høring fra den 18. maj til 18. august 2017.
Læs EBA's udkast til retningslinjer om bankernes brug af cloud-løsninger
her.
Syv områder har særlig fokus
Retningslinjerne har fokus på syv områder, der særligt har voldt bankerne (og deres cloud-leverandører) problemer, når de har skullet indgå cloud-kontrakter. Retningslinjerne forsøger derfor at fastlægge kravene til bankerne på netop disse områder. De syv punkter er:
- Placering af data
- System- og datasikkerhed
- Brug af underleverandører
- Vurderingen af væsentlighed
- Contingency-planer
- Exit-strategi
- Audit.
Smidigere proces for brug af underleverandør
De nye retningslinjer vil, hvis de bliver vedtaget i deres nuværende form, gøre arbejdet med administrationen og godkendelsen af cloud-leverandørens underleverandører mindre byrdefuld for bankerne.
Særligt to nye tiltag fremgår af retningslinjerne:
- Bankerne skal ikke foretage en grundig undersøgelse af hver enkelt af cloud-leverandørens underleverandører.
- Der stilles ikke længere krav om en aktiv forhåndsgodkendelse af underleverandører – bankerne skal alene have mulighed for at opsige aftalen, såfremt cloud-leverandøren udskifter en underleverandør, der medfører væsentlige ændringer, der kan påvirke leverancen som helhed.
De nuværende regler, og den gængse forståelse heraf, lægger op til, at det kan være nødvendigt at gennemføre en grundig due diligence af cloud-udbyderen og af de enkelte underleverandørforhold, inden de godkendes, for at bankerne kan siges at have været compliant. Dette kan være til at overskue i traditionelle IT-outsourcinger, hvor antallet af underleverandører ofte er relativt begrænset, mens der er tale om en stor byrde ved cloud-løsninger, hvor leverandørerne ofte har adskillige underleverandører.
EBA's retningslinjer lægger op til, at der alene fokuseres på væsentlige ændringer i leveranceforholdet ved brugen af underleverandører. Her skal leverandøren underrette banken, hvis der foreslås væsentlige ændringer i underleverandørforholdene, som kan påvirke udbyderens mulighed for at opfylde outsourcing-aftalen eller dele af den. I stedet for at skulle forhåndsgodkende hver enkelt underleverandør, skal banken gives et varsel, inden en sådan ændring træder i kraft. I denne periode kan banken have mulighed for at undersøge, hvilken betydning ændringen har for leverancen i sin helhed, herunder om der er øgede risici for manglende opfyldelse af outsourcing-aftalen som følge af ændringen. Banken skal have adgang til at opsige aftalen, hvis banken mener, at ændringen kan medføre sådanne forøgede risici.
Klarhed om kravene til audit – og nye muligheder
Retningslinjerne slår fast, at tilsynsmyndighedernes ret til at gennemføre audits består uden ændringer. Det danske Finanstilsyn vil derfor fortsat have ret til at foretage fysisk inspektion af leverandørens (og underleverandørernes) lokaler, hvilket fortsat vil være en væsentlig udfordring ved forhandlinger med cloud-leverandørerne.
Bankerne behøver derimod ikke at have en selvstændig ret til at inspicere udbyderens forretningslokaler, hvilket også en videreførelse af, hvad der hidtil har været gældende. EBA lægger derimod op til, at bankerne i stigende omfang gør brug af såkaldte "pooled audits", hvor flere kunder går sammen om en audit af leverandøren. Herved reduceres omkostningerne og ressourcetrækket for den enkelte bank, og leverandøren kan undgå at skulle åbne for sine lokaler ofte, hvilket kan være både byrdefuldt og udgøre en sikkerhedsrisiko.
Vil Finanstilsynet ændre tilgang?
Det danske Finanstilsyn har dog for nyligt udsendt en vejledning om finansielle virksomheders brug af cloud-løsninger. Hvis EBA's guidelines vedtages i deres nuværende form, må det forventes, at Finanstilsynet vil foretage en række præciseringer i cloud-vejledningen, herunder særligt om underleverandørforholdene.
Læs om Finanstilsynets cloud-vejledning i vores artikel af 7. april 2017:
Finanstilsynet uddyber krav til finansielle virksomheders cloud-løsninger
