Anvendelse af cloud-tjenester som led i IT-outsourcing

Denne beskrivelse har til formål at gøre de finansielle virksomheder og fælles datacentraler m. fl. (herefter finansielle virksomheder) bekendt med væsentlige forhold og særligt lovgivningsmæssige krav i forbindelse med en eventuel IT-outsourcing til en cloud-leverandør.

ORDFORKLARING

Cloud-computering: Finanstilsynet henviser til NIST 2011-definitionen på cloud-computering samt de tilhørende modeller for implementering.

ORDFORKLARING

IT-outsourcing: Finanstilsynet definerer outsourcing som en virksomheds henlæggelse af væsentlige aktivitetsområder, der er underlagt Finanstilsynets tilsynsvirksomhed, til en ekstern leverandør. Finanstilsynet anlægger en generel betragtning ift. mere traditionel IT-outsourcing såvel som IT-outsourcing til en cloud-leverandør. Hvis der er tale om væsentlig outsourcing, f.eks. til en cloud-leverandør, er ydelsen underlagt kravene i outsourcingbekendtgørelsen.

ORDFORKLARING

Videreoutsourcing: Ved videreoutsourcing forstås en leverandørs outsourcing af opgaver, som denne varetager efter aftale med outsourcingvirksomheden, til en underleverandør og underleverandørens eventuelle videreoutsourcing af opgaverne til næste led i kæden af underleverandører. Reglerne gælder således også ved videreoutsourcing i tredje eller flere led.

 

Der kan ved outsourcing til cloud-leverandører være en række udfordringer forbundet med at efterleve dele af bekendtgørelsen om outsourcing af væsentlige forretningsaktiviteter (outsourcingbekendtgørelsen).

Denne beskrivelse har til formål at gøre de finansielle virksomheder og fælles datacentraler m. fl. (herefter finansielle virksomheder) bekendt med væsentlige forhold og særligt lovgivningsmæssige krav i forbindelse med en eventuel IT-outsourcing til en cloud-leverandør.

Formålet er også at præcisere, hvordan de finansielle virksomheder kan sikre tilstrækkelig kontrol med den outsourcede aktivitet og opfølgning over for leverandøren, efter kontrakten er indgået.

Finanstilsynet vil til sidst gøre opmærksom på nogle forhold relateret til udformningen af kontrakten, som erfaringsmæssigt kan skabe udfordringer i forhold til at kunne efterleve dele af outsourcingbekendtgørelsen. Det gælder primært ved anvendelse af standardkontrakter, hvor virksomhedens mulighed for at påvirke kontraktens udformning bliver begrænset af leverandøren.

De lovgivningsmæssige rammer

Et hovedformål med den finansielle lovgivning er at sikre den finansielle stabilitet og tilliden til de finansielle virksomheder og markeder. Lovgivningen indeholder en række krav til finansielle virksomheder, som skal understøtte dette. Kravene skal sikre, at virksomhederne bliver drevet på en måde, så kunderne kan have tiltro til, at deres midler bliver behandlet forsvarligt, og til at virksomhederne ikke lider tab som følge af misbrug og kriminalitet. Den finansielle lovgivnings krav til IT-sikkerhed skal ses på denne baggrund.

 

IT-sikkerhed tilgodeser altså flere forskellige hensyn. Med udgangspunkt i den konkrete virksomhed har den bl.a. til formål at sikre:

  • fortrolighed. Data skal opbevares betryggende, må ikke kunne tilgås af uvedkommende og skal være sikret mod interne og eksterne trusler mv.

  • integritet. Ægtheden af data skal sikres, og data må ikke kunne manipuleres eller ændres uden tilladelse.

  • tilgængelighed. Tjenester og systemer skal være tilgængelige og driftsstabile mv.

Forventninger til ledelsesstyring ved IT-outsourcing

Virksomheder kan vælge at outsource udførelsen af IT-opgaver, men risici og ansvar for de outsourcede opgaver vil altid hvile på outsourcingvirksomhederne selv. En outsourcingvirksomhed skal løbende føre kontrol med, at leverandøren efterlever forpligtelserne i henhold til kontrakten. Når outsourcing vedrører IT-funktioner, skal outsourcingvirksomheden have procedurer, retningslinjer og kontrolforanstaltninger, som sikrer, at leverandøren af de outsourcede aktiviteter overholder de relevante dele af outsourcingvirksomhedens IT-sikkerhedspolitik og sikkerhedsregler.

 

IT-risikostyring er en væsentlig forudsætning for effektiv styring af og kontrol med kvaliteten af de outsourcede ydelser. De valgte kontrol- og opfølgningstiltag skal være dokumenteret og synliggjort ud fra vurderinger af eventuelle IT-risici. Outsourcingvirksomheden skal sikre, at tiltagene løbende bliver tilpasset ændringer i risikobilledet. 

 

Outsourcingvirksomheden skal som minimum sikre sig, at:

  • der etableres et dokumenteret overblik over operationelle IT-risici ved den outsourcede ydelse, og hvilke kontrol- og sikringsforanstaltninger der imødegår disse risici

  • der etableres forretningsgange, som sikrer løbende rapportering fra leverandøren til outsourcingvirksomheden på udførelsen af kontrol- og sikringsforanstaltninger

  • udførelsen af kontrol- og sikringsforanstaltninger hos leverandøren indgår i outsourcingvirksomhedens løbende opfølgning og ledelsesrapportering af, hvordan IT-sikkerhedspolitikken, sikkerhedsregler, instrukser mv. bliver overholdt

  • afvigelser eller mangler i leverandørens udførelse af de aftalte kontrol- og sikringsforanstaltninger bliver rapporteret til outsourcingvirksomheden. Denne skal risikovurdere de rapporterede afvigelser og følge op på dem, hvis det vurderes nødvendigt

  • leverandøren hurtigst muligt rapporterer IT-hændelser og andre konstaterede svagheder til outsourcingvirksomheden. Denne skal herefter risikovurdere de rapporterede IT-hændelser eller konstaterede svagheder og følge op på dem, hvis det vurderes nødvendigt.


Vurdering af væsentlighed

Vejledningen til outsourcingbekendtgørelsen indeholder en tolkning af væsentlighed i relation til outsourcing og videreoutsourcing. Væsentlighedskravet følger af definitionen af outsourcing, der er angivet i de love, som bekendtgørelsen er udstedt i medfør af, jf. punkt 2.1 i vejledningen til bekendtgørelse om outsourcing af væsentlige aktivitetsområder.

 

Væsentlighed i forhold til IT-anvendelsen kan ses i lyset af de interne krav og forventninger til tilgængelighed, integritet og fortrolighed. Det må i sidste ende bero på en konkret vurdering af den enkelte aktivitet, virksomheden ønsker at outsource, med et generelt afsæt i en risikobaseret tilgang.

 

Outsourcingvirksomheden bør løbende revurdere væsentligheden af den outsourcede aktivitet. Det kan f.eks. være i forbindelse med ændringer i den gældende aftale eller ændringer til aktiviteten. Det kan også være i forbindelse med, at virksomheden bliver bekendt med nye forhold, der påvirker IT-risikovurderingen af den outsourcede aktivitet.

 

Følgende kan eksempelvis medtages i den samlede vurdering af væsentlighed:

  • Hvor vigtig er den forretningsaktivitet, virksomheden ønsker at outsource? Og hvor betydningsfuld er denne funktion for virksomhedens IT-anvendelse – og i sidste ende for forretningen?

  • Den direkte operationelle konsekvens ved manglende tilgængelighed, og de heraf afledte juridiske og omdømme relaterede risici.

  • Såfremt den outsourcede aktivitet understøtter eller kontrollerer en aktivitet, der er underlagt tilsynsmæssig regulering, må denne som udgangspunkt anses for værende af væsentlig karakter.

  • Er der forskelle i juridiske risici, hvis kunder, virksomheder eller medarbejdere, der er involveret i leverancen eller brugen af den outsourcede service, er hjemmehørende i forskellige geografiske eller juridiske områder? (F.eks. inden for EØS-lande eller uden for EØS-lande).

  • Er der generelle risici, der kan påvirke datas integritet, tilgængelighed eller fortrolighed på en måde, som udfordrer outsourcingvirksomhedens gældende krav og forventninger til sikkerheden

  • Hvad er konsekvensen ved en eventuel kompromittering af fortrolige data for f.eks. outsourcingvirksomhedens kunder, omdømme eller lignende? Fortrolige data kan eksempelvis være kundeoplysninger, forretningsstrategiske overvejelser, markedssensitive informationer, aktiver af høj forretningsmæssig eller finansiel værdi, fortrolige e-mails og informationer, der kan henføres til personer.  

På den ene side kan en given aktivitet eller systemanvendelse godt vurderes som ikke-væsentlig ud fra en forretningsmæssig kontekst. På den anden side må den outsourcede opgave ud fra et IT-sikkerhedsmæssigt perspektiv vurderes som væsentlig, hvis den specifikke aktivitet eller systemanvendelse eksempelvis medfører, at leverandøren kan få adgang til outsourcingvirksomhedens fortrolige data. Vurderingen af væsentlighed skal blandt andet foretages i henhold til bestyrelsens krav og forventninger til IT-sikkerhed som angivet i den godkendte IT-sikkerhedspolitik og retningslinjer mv.

 

Væsentlig outsourcing er ikke kun begrænset til de tilfælde, hvor virksomhedens bestyrelse skal godkende den outsourcede aktivitet.

 

Overvejelser inden IT-outsourcing til en cloud-leverandør

Finanstilsynet har konstateret, at kvaliteten og dybden af det forudgående analysearbejde, der ligger til grund for bestyrelsens beslutning om outsourcing af væsentlige forretningsaktiviteter, varierer betydeligt. Det samme gælder bestyrelsens retningslinjer for kontrol og opfølgning på den outsourcede aktivitet.

 

Det forudgående analysearbejde, der ligger til grund for den endelige beslutning, bør naturligvis tilpasses den aktivitet, som virksomheden ønsker at outsource. Analysen skal også afspejle risiko og væsentlighed set ift. den outsourcede opgaves betydning for virksomheden.

 

Et sådant analysearbejde bør som minimum inkludere:

  • en præcis beskrivelse af den outsourcede aktivitet

  • en risikovurdering af den valgte leverandør

  • en risikovurdering af den outsourcede aktivitet samt en klar reference til imødegående kontrol- og sikringsforanstaltninger. Herunder hvorledes det sikres, at der gennemføres opfølgning på, at de identificerede kontrol- og sikringsforanstaltninger, der varetages af leverandøren, udføres korrekt, fuldstændigt og rettidigt

  • en analyse af outsourcingvirksomhedens efterlevelse af lovgivningsmæssige krav og andre eksterne krav mv. ved den konkrete outsourcing

  • en analyse af, hvordan outsourcingvirksomheden efterlever interne krav i IT-sikkerhedspolitikken og underliggende politikker, retningslinjer mv. i forbindelse med den konkrete outsourcing. Eksempelvis kunne dette være konkrete krav relateret til sikkerhedsforanstaltninger på infrastruktur og netværk med forventninger om gennemførsel af penetrationstest og sårbarhedsscanninger hos leverandøren mv.

  • en stillingtagen til, hvordan en eventuel udtræden af leverandørforholdet kan gennemføres, hvis aftalen bringes til ophør. Den konkrete vurdering bør inkludere relevante driftsmæssige og sikkerhedsmæssige forhold. I sidste ende skal det sikres, at den konkrete plan for udtrædelse af kontrakten bygger på realistiske vurderinger, deadlines mv., og at outsourcingvirksomheden kan opretholde og efterleve ledelsens krav og forventninger til en sikker og stabil drift.

 

Underretning af outsourcing til Finanstilsynet

Outsourcingvirksomheden skal indberette væsentlig outsourcing til Finanstilsynet senest otte dage efter indgåelsen af kontrakten. Det samme gælder, hvis der er tale om godkendelse af en kontrakt om videreoutsourcing jf. § 5, nr. 10, i outsourcingbekendtgørelsen. Indberetningen skal indeholde parternes navne og adresser, aftalens art, omfang og varighed samt tidspunktet for, hvornår aftalen træder i kraft.

 

Valg af leverandør

Outsourcingvirksomheden bør altid gennemføre en grundig undersøgelse af leverandørforhold, der har væsentlig betydning for outsourcingvirksomheden (en form for due diligence). Outsourcingvirksomheden bør også vurdere sine behov, krav og forventninger til outsourcingen.

 

Undersøgelsen bør være tilpasset den specifikke aktivitet, som virksomheden ønsker at outsource. Undersøgelsens formål er at indhente oplysninger om leverandøren og vurdere, om krav og forventninger kan imødekommes. I sidste ende skal undersøgelsen give outsourcingvirksomheden tilstrækkelig indsigt i alle forhold, der kan have relevans for den endelige beslutning om at outsource.

 

Finanstilsynet anbefaler, at outsourcingvirksomheden allerede på dette tidspunkt inddrager relevante kompetencer, der kan hjælpe med den samlede vurdering. Det er Finanstilsynets erfaring, at hvis man eksempelvis inddrager juridiske og revisionsmæssige kompetencer såvel som relevante IT-kompetencer (inden for sikkerhed, drift, arkitektur mv.) i vurderingen af væsentlige leverandørforhold, kan outsourcingvirksomheden og leverandøren bedre afstemme deres forventninger og forhåbentlig undgå uoverensstemmelser i det fremadrettede samarbejde.

 

Kontraktens udformning

Det er outsourcingvirksomhedens ansvar at sikre, at kontrakten efterlever gældende krav i outsourcingbekendtgørelsen. Finanstilsynet har ved gennemgang af en række standardkontrakter på anvendelse af cloud-services konstateret nogle udfordringer med at efterleve bekendtgørelsens § 5, som handler om krav til kontraktens udformning.

For at undgå misforståelser og eventuelle uoverensstemmelser mellem outsourcingvirksomhed og leverandøren bør outsourcingvirksomheden sikre, at gældende krav i bekendtgørelsens § 5 fremgår direkte i kontrakten. Der bør være en tydelig reference til de specifikke afsnit eller bilag til kontrakten, som sikrer efterlevelse af de konkrete punkter i § 5. For nogle kan det være relevant med en engelsk version af outsourcingbekendtgørelsen. Den findes på Finanstilsynets hjemmeside. Outsourcingvirksomheden bør også sikre sig, at juridiske og tekniske formuleringer i kontrakten er tilstrækkeligt klare, så der ikke opstår tvivl om deres betydning.

 

Der kan være udfordringer med at efterleve de samme punkter i § 5 vedrørende kontraktens udformning. På samme måde kan der opstå tvivl om betydningen af formuleringen af kontraktens indhold. Derfor har Finanstilsynet valgt at fremhæve nogle punkter, som outsourcingvirksomheden bør være særligt opmærksom på i forhold til kontraktens udformning:

 

 

Beskrivelse af den outsourcede aktivitet

 

Det er vigtigt, at kontrakten indeholder en præcis afgrænsning og beskrivelse af den outsourcede aktivitet, og hvad leverandøren er forpligtet til at levere kvalitativt og kvantitativt. Det sikrer, at der ikke er tvivl om, hvad leverandøren kan gøres ansvarlig for, hvis der opstår fejl og mangler ved den leverede ydelse. Det bør også fremgå tydeligt af kontrakten, hvornår ansvaret for en leverance overgår til outsourcingvirksomheden.

 

 

Adgang til leverandøren

 

Kontrol, opfølgning og rapportering om udførelsen af den outsourcede aktivitet er et centralt princip i styringen af aktiviteten som beskrevet i § 4 i outsourcingbekendtgørelsen. Risikoprofil og strategier samt understøttende IT-sikkerhedspolitikker mv., som outsourcingvirksomheden har fastsat, må ikke tilsidesættes ved outsourcingen. Derfor er det en forudsætning, at kontrakten ikke indeholder begrænsninger på disse områder.

 

Finanstilsynet skal kunne føre tilsyn med den outsourcede aktivitet, jf. § 5 i outsourcingsbekendtgørelsen, og som beskrevet i den tilhørende vejledning. Outsourcingvirksomheden og dennes revisorer skal kunne gennemføre revision, kontrol og opfølgning på den outsourcede aktivitet i henhold til gældende krav i bekendtgørelsen. Oplysninger til brug for dette vil være de oplysninger, som Finanstilsynet, outsourcingvirksomheden eller dennes revisorer finder nødvendige for at varetage deres respektive opgaver.

 

Det betyder, at der ikke bør bruges formuleringer i kontrakten, som kan medføre tvivl om, hvorvidt Finanstilsynet, outsourcingvirksomheden eller dennes revisorer kan varetage deres arbejde, bl.a. ved at sikre sig adgang til den nødvendige information hos leverandøren. Hvad der vurderes nødvendig i relation til den outsourcede aktivitet vurderes af virksomheden, dennes revisorer eller Finanstilsynet.

  

Videreoutsourcing

Hvis der finder en væsentlig videreoutsourcing af den outsourcede aktivitet sted hos den valgte leverandør, skal denne videreoutsourcing godkendes af outsourcingvirksomheden, før den træder i kraft. Det vil nærmere bestemt sige, før outsourcingvirksomhedens aktivitet bliver berørt, og før den eller de valgte underleverandør får adgang til data mv.

 

Godkendelsesprocessen skal sikre, at leverandøren ikke videreoutsourcer, før outsourcingvirksomhedens formelt har accepteret det.

 

Ved en eventuel videreoutsourcing fra leverandør til underleverandører bør outsourcingvirksomheden sikre sig, at:

  1. leverandøren sikrer, at underleverandøren er underlagt samme krav som leverandøren

  2. leverandøren kontrollerer, at disse krav bliver overholdt.

 

Dette følger af§ 1, stk. 3, i outsourcingbekendtgørelsen.

 

Væsentlighedskravet i regelsættet gælder også ved videreoutsourcing.

En væsentlig videreoutsourcing må ikke forringe outsourcingvirksomhedens muligheder for at gennemføre kontrol og opfølgning på aktiviteten, jf. outsourcingbekendtgørelsens § 6 og punkt 6 i vejledningen hertil.

 

Det er afgørende, at det fremgår præcist af kontrakten, hvordan dette sikres, jf. gældende krav i outsourcingbekendtgørelsens § 5, nr. 10, samt § 6.

 

Det kan ske, at en outsourcingvirksomhed vurderer, at en varslet videreoutsourcing af forskellige grunde ikke efterlever virksomhedens forventninger. Det kan være forventninger i forbindelse med den outsourcede aktivitet, lovgivning, efterlevelse af outsourcingvirksomhedens krav til IT-sikkerhed e.l. I sådanne tilfælde er det vigtigt, at outsourcingvirksomheden har sikret sig, at kontrakten med leverandøren giver mulighed for at træde ud af samarbejdet på en sikker og betryggende måde. Leverandøren skal desuden være forpligtet til loyalt at medvirke til, at opgaven bliver videreført til en anden leverandør eller ført tilbage til outsourcingvirksomheden, jf. § 5, nr. 9.

 

 

Kontraktens ophør

 

Outsourcingvirksomheden bør udarbejde en operationel og realistisk exit-strategi for de tilfælde, hvor opgaven overgår til en uønsket leverandør eller skal føres tilbage til outsourcingvirksomheden. De konkrete elementer i en sådan strategi bør være præcise og bero på dokumenterede vurderinger, der i tilstrækkelig grad inkluderer de interne krav og forventninger, outsourcingvirksomheden har til IT-drift og IT-sikkerhed mv.

 

Det betyder, at outsourcingvirksomheden, inden aftalen bliver indgået, skal sikre sig, at den er i stand til at gennemføre den besluttede exit-strategi og overgå til en alternativ løsning. Exit-planen bør altså være tilstrækkelig operationel og tage afsæt i dokumenterede faglige vurderinger af driftsmæssige, sikkerhedsmæssige og juridiske forhold i relation til den outsourcede aktivitet.