Denne beskrivelse gennemgår, hvilke regler der gælder for outsourcing generelt og ved cloud-outsourcing specifikt for forskellige typer af finansielle virksomheder. Outsourcing til cloudleverandører er grundlæggende omfattet af samme regler som øvrig outsourcing, men i visse tilfælde er der yderligere regler og retningslinjer. Således gælder de samme regler om ledelsesansvar og krav om tilstrækkelig kontrol med de outsourcede aktiviteter.
Bekendtgørelse om outsourcing for kreditinstitutter m.v.
Outsourcing til cloudleverandører skal efterleve bekendtgørelse om outsourcing for kreditinstitutter m.v. af 12. juni 2020 (herefter outsourcingbekendtgørelsen) på lige vilkår med øvrig outsourcing. Outsourcingbekendtgørelsen gælder for:
- pengeinstitutter
- realkreditinstitutter
- investeringsforvaltningsselskaber
- sparevirksomheder
- fælles datacentraler
- operatører af regulerede markeder
- e-pengeinstitutter
- betalingsinstitutter
- Danmarks Skibskredit A/S.
Bekendtgørelsen finder anvendelse, hvor en leverandør udfører en proces, en tjenesteydelse eller en aktivitet for en af de ovenstående typer virksomheder, som denne virksomhed ellers selv ville udføre. Der vil være tale om cloud-outsourcing, hvis en virksomhed outsourcer eksempelvis en tjenesteydelse til en leverandør, som derefter leveres som en cloudtjeneste.
Der findes ét særkrav til cloud i outsourcingbekendtgørelsen. Virksomheder skal ifølge bekendtgørelsen føre et register med oplysninger om outsourcing. I tilfælde af, at en outsourcingaftale indeholder brug af cloudtjenester, skal outsourcingregistret indeholde følgende:
- Oplysninger om den pågældende cloudleverandør
- Cloudtjenestens implementeringsmodeller
- Den særlige karakter af og lokaliteterne for de data, der skal opbevares.
Finanstilsynet har udstedt en vejledning til outsourcingbekendtgørelsen.
Regler for forsikringsselskaber m.fl.
De krav, der regulerer gruppe 1-forsikringsselskabers outsourcing, findes i lov om finansiel virksomhed og i Kommissionens delegerede forordning (EU) 2015/35 af 10. oktober 2014 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2009/130/EF om adgang til og udøvelse af forsikringsvirksomhed (Solvens II). Outsourcing er desuden berørt i EIOPA’s retningslinjer for ledelsessy-stemet, og cloud-outsourcing er specifikt reguleret i EIOPA’s retningslinjer vedrørende outsourcing til cloudleverandører. De danske regler om outsourcing bliver håndhævet i overensstemmelse med EIO-PA’s retningslinjer vedrørende outsourcing til cloudleverandører.
Kravene relateret til outsourcing for gruppe 2-forsikringsselskaber, Arbejdsmarkedets Tillægspension og Lønmodtagernes Dyrtidsfond findes i lov om finansiel virksomhed, ATP-loven og LD-loven samt i bekendtgørelse om outsourcing for gruppe 2-forsikringsselskaber, Arbejdsmarkedets tillægspension og Lønmodtagernes Dyrtidsfond.
Firmapensionskassers brug af outsourcing er reguleret i lov om firmapensionskasser.
Alle ovenstående virksomheder skal iagttage en række krav, når en leverandør på vegne af virksomheden udfører en proces, tjenesteydelse eller aktivitet, som virksomhederne ellers selv ville have udført. Virksomhederne bør i den forbindelse være opmærksomme på situationer, der indebærer brug af cloudløsninger. Det er i udgangspunktet kun gruppe 1-forsikringsselskaber, der er omfattet af EIOPA’s retningslinjer. Finanstilsynet finder dog, at blandt andet EIOPA’s retningslinjer vedrørende outsourcing til cloudleverandører rummer en række relevante opmærksomhedspunkter, som Finanstilsynet vurderer, at virksomheder, der gør brug af cloudydelser, generelt bør iagttage.
Regler for virksomheder på kapitalmarkedsområdet
På kapitalmarkedsområdet er der regler om outsourcing i kapitalmarkedslovens § 62. Her findes hjemmel til at fastsætte nærmere regler om outsourcing. Denne hjemmel ligger til grund for bestemmelserne i outsourcingbekendtgørelsen for kreditinstitutter, som finder anvendelse for investeringsforvaltningsselskaber og operatører af regulerede markeder.
Værdipapircentraler er reguleret af Europa-Parlamentets og Rådets forordning nr. 909/2014 om forbedring af værdipapirafviklingen i Den Europæiske Union og om værdipapircentraler (CSDR) med tilhørende delegerede EU-forordning 2017/392 (RTS 392). Værdipapircentraler, der outsourcer tjenesteydelser eller aktiviteter, har fortsat det fulde ansvar for opfyldelsen af deres forpligtelser, ligesom de skal iagttage en række krav.
ESMA har offentliggjort retningslinjer for outsourcing til cloudleverandører, som vil finde anvendelse på finansielle virksomheder på kapitalmarkedsområdet, herunder fondsmæglerselskaber, investeringsforvaltningsselskaber, operatører af regulerede markeder og værdipapircentraler. ESMA’s retningslinjer gælder fra d. 31. juli 2021, og det forventes herefter, at førnævnte virksomheder efterlever retningslinjerne i overensstemmelse med de danske regler.