John E. Nilsen

Er ditt finansforetak klar for nye retningsliner i skyen?

Er ditt finansforetak klar for nye retningsliner i skyen?

Publisert: 25/08/2020

Finansforetak som bruker skytjenester, eller vurderer å ta i bruk skytjenester, må håndtere risiko slik Finanstilsynet forventer. Les om de nye retningslinjene.

Skrevet av John E. Nilsen

 

EIOPA (Den europeiske tilsynsmyndighet for forsikring og tjenestepensjon) og EBA (Den europeiske banktilsynsmyndighet) har i sommer publisert to sett med retningslinjer for finansforetak, ett sett for finansforetak generelt og ett sett for forsikringsselskap. Disse retningslinjene er forbeholdt finansforetakenes IKT-system og IKT-virksomhet, og gjelder ved utkontraktering av finansforetakets IKT-virksomhet til skytjenesteleverandører. Finanstilsynet har allerede uttalt at disse retningslinjene skal implementeres i Finanstilsynets praksis både hva gjelder konsesjon og tilsyn i henhold til IKT-forskriften.

 

IKT-forskriften gjelder både for finansforetaket og for tjenesteleverandører

Som utgangspunkt gjelder IKT-forskriften for finansforetakene. Dette innebærer at pliktene og ansvaret som pålegges finansforetaket etter IKT-forskriften er finansforetaket selv ansvarlig for, og ikke bakenforliggende tjenesteleverandører utad.

Innad, derimot, har også tjenesteleverandøren en selvstendig plikt til å bevise at de opptrer i samsvar med IKT-forskriften. Særlig i forbindelse med en konsesjonssøknad eller tilsyn vil det være fokus på om tjenesteleverandøren opptrer i samsvar med IKT-forskriften.

Retningslinjene skal konsolidere en rekke direktiv med virkning også for Norge

Muligheten for finansforetak å kunne utkontraktere deler eller hele sin IKT-virksomhet er ikke noe nytt og revolusjonerende og følger allerede av IKT-forskriften.

Årsaken til hvorfor ovennevnte europeiske organ har utformet nye retningslinjer er i hovedsak for å samle kjernen i en rekke direktiv, blant annet PSD2 og Solvency II direktivet, i ett samlet sett med retningslinjer.

 

Gjelder ikke kun skytjenesteleverandører

Selv om retningslinjene i hovedsak omtaler skytjenesteleverandører, eksempelvis Microsoft eller Amazon, så gjelder reglene også for tjenesteleverandører som er avhengig av en skytjeneste for å levere sin egne tjeneste. Et eksempel er hvis en tjenesteleverandør har utviklet en programvare som leveres og driftes via Amazon Web Services eller Microsoft Azure, er disse underlagt retningslinjene.

 

Krav til å ikke stille for strenge krav

Av retningslinjene utledes det som utgangspunkt et krav til proporsjonalitet. I praksis innebærer dette at en tjenesteleverandør ikke skal pålegges strengere krav enn det som kan reflekteres ut av størrelsen på dens leveranse. Så dersom en tjenesteleverandør kun står for en delleveranse i lys av hele IKT-virksomheten, kan tjenesteleverandøren ikke pålegges for strenge krav til samsvar etter IKT-forskriften.

 

Skiller mellom alminnelige- og kritisk viktige operasjonelle funksjoner

Et vesentlig skille mellom de nye retningslinjene og IKT-forskriftens regler er at retningslinjene skiller mellom alminnelige funksjoner og kritiske og viktige operasjonelle funksjoner, i motsetning til IKT-forskriften som i hovedsak gjelder IKT-systemer som er av betydning for foretakets virksomhet. Skillet i de nye retningslinjene innebærer i praksis at dersom en tjenesteleverandør leverer eksempelvis en programvare som ikke berører kritiske og viktige operasjonelle funksjoner så stilles det mindre strenge vilkår for opptreden i samsvar med retningslinjene. Motstykket er at dersom tjenesteleverandøren leverer tjenester som berører kritiske og viktige operasjonelle funksjoner så oppstilles det strengere vilkår både for tjenesteleverandøren og for finansforetaket for å påse at tjenesteleverandøren faktisk opptrer i samsvar med retningslinjene.

 

Hva som kan regnes for å være en kritisk og viktig operasjonell funksjon må vurderes konkret. Vi legger til grunn at en operasjonell funksjon anses for å være kritisk eller viktig dersom et avvik eller mangel i tjenesteleveransen vesentlig påvirker det kontinuerlig samsvaret som pålegges finansforetaket etter eksempelvis IKT-forskriften, eller at avvik i tjenesteleveransen påvirker finansforetaket i så vesentlig grad at denne ikke kan levere sine tjenester i tråd med eksisterende regelverk eller kontrakt.

 

Kjente grunnprinsipper i ny drakt

Gjennomgående i retningslinjene kan det utledes en rekke grunnprinsipp, herunder krav til tilgang, tilgjengelighet, integritet, konfidensialitet, personvern og sikkerhet vedrørende relevant data.

 

Som eksempel gir retningslinjene uttrykk for at tjenesteleverandøren skal sikre at Finanstilsynet og finansforetaket selv gis tilgang til tjenesteleverandørens system, enten faktisk tilgang eller i form av opplysninger, i forbindelse med tilsyn og konsesjonssøknad. Dette kan utledes direkte av IKT-forskriften. Imidlertid oppstiller retningslinjene et klart skille og klarere regler, slik ovennevnt at det stilles strengere krav dersom tjenesten berører kritiske og viktige operasjonelle funksjoner, i motsetning til IKT-forskriften hvor denne tilgangen mer eller mindre avgjøres skjønnsmessig.

 

Hva gjelder tilgjengelighet knytter prinsippet seg både til at sensitiv data ikke skal være tilgjengelig for hvem som helst, herunder at data skal klassifiseres etter risiko og tilgjengeligheten til dataen skal vurderes med hensyn til hvem som har et operasjonelt behov for tilgang. Videre knytter prinsippet seg til at det skal være en kontinuitet i tilgangen til data. Vurdering av tilgjengelighet er vanlig praksis, imidlertid gjelder skillet mellom hvilken tjeneste som leveres også tilgjengelighet.

 

Kritiske og viktige operasjonelle funksjoner får bedre vern

Retningslinjene gir ikke uttrykk for en ny praksis hos Finanstilsynet. Imidlertid oppstilles klare og strenge regler, særlig hva gjelder kritiske og viktige operasjonelle funksjoner. Retningslinjene vil med all sannsynlighet bli en nødvendig utdyping av IKT-forskriftens bestemmelser. Et av hovedmålene med retningslinjene er nettopp å gi finansforetakene en bedre forståelse for tilsynsmyndighetenes forventninger for hvordan IKT-sikkerhetsrisiko skal behandles.

 

Klare frister

De generelle retningslinjene trådte i kraft 30. juni 2020 og gjelder mer eller mindre umiddelbart. Hva gjelder retningslinjene for forsikringsselskap trår disse i kraft 1. januar 2021 hvor overgangsperioden varer frem til 31. desember 2022.

 

Det som imidlertid er helt klart er at retningslinjene gjelder og vil gjelde både for eksisterende utkontrakteringer samt utkontrakteringer som inngås i fremtiden. Ettersom praksisen i utgangspunktet ikke endres men blir klarere angående hva kreves av finansforetakets IKT-virksomhet, er det behov for å være i samsvar med retningslinjene allerede nå.

 

Ta kontakt med meg, john@arktislaw.no dersom du er i tvil om du opptrer i samsvar med retningslinjene eller vurderer å flytte dine tjenester til skyen.

Vil du lære mer om juridiske og forretningsmessige spørsmål knyttet til digitalisering og teknologi?

Skriv inn din e-post for å få den nyeste innsikten og læringsmulighetene fra Arktis Law.
dots-primary

Recent posts

Arktis Law Italian Desk 4.0

PARTECIPA A GARE D’APPALTO IN NORVEGIA CON ITALIAN DESK 4.0

IL SERVIZIO ITALIAN DESK 4.0 VI PERMETTE DI ACCEDERE A BANDI E PARTECIPARE A  GARE D’APPALTO IN…

Les mer
fotballkontrakt

Profesjonell fotballspiller? Så mye lønn har du krav på

Når du skal signere proffkontrakt, bør du vurdere om stillingsbrøken er riktig. Les om konsekvensene og hvordan…

Les mer
Arktis Law

Behandler din bedrift data i USA? Da bør du lese dette.

Den 16. juli 2020 avsa EU-domstolen en ny og prinsipiell dom vedrørende overføring av personopplysninger fra EU…

Les mer

Standard IT-avtale: En jungel uten LAN-kabler

Standardavtaler skal spare deg penger, men er de gode nok til å holde deg utenfor konflikter? Her…

Les mer
Verdipapirhandelloven

Verdipapirhandel-loven: Strengere krav til kapitalforvaltere

Endringer i verdipapirhandel-loven krever mer informasjon av kapitalforvaltere. Mens endring i aksjeloven gjør det enklere for startups….

Les mer

Skal du ta ansvaret for skytjenesters nedetid?

Å ikke kjenne til spillereglene for skybaserte tjenester, kan bli en dyr affære for tjenesteleverandører. Last ned…

Les mer

Synes du det er vanskelig å komme i gang med GDPR?

Vi har en sjekkliste som kan hjelpe deg. Av Arktis Law Det er ikke lett å vite…

Les mer
Twentyfist Board

Endelig et verktøy for moderne styrearbeid

Twentyfirst Board hjelper styret ditt med formalitetene. Og gir dem krutt til å løfte selskapet ditt videre…

Les mer

Slik fikser du finansieringen

Finn balansen mellom å hente penger og bevare kontrollen i oppstartsselskapet ditt? Last ned vår guide!

Les mer
Varemerker og Brexit

Dette betyr Brexit for varemerket ditt

Må du skynde deg å stille deg i køen, eller kan du ta varemerkeregistreringen med ro når…

Les mer