Voor reeds bestaande contracten en afspraken die betrekking hebben op outsourcing naar Cloud Service Providers, hebben organisaties tot 31 december 2022 de tijd om eventuele aanpassingen door te voeren. Waar het kritieke en/of belangrijke functies betreffen die uitbesteed worden aan een Cloud Service Provider, moet men na deze deadline de bevoegde autoriteit hiervan op de hoogte stellen, inclusief een plan van maatregelen om de herziening (of exit strategie) af te ronden.
“De richtsnoeren van ESMA op dit onderwerp bieden goede handvatten om de belangrijkste risico’s te beheersen en adequate afspraken te maken met de Cloud Service Providers,’’ vertelt consultant Niels Huijpen. ‘’Ze dragen bij aan het ‘in control’ zijn. Omdat ze relevant zijn voor vele (grote) onder toezicht staande organisaties in Europa, spelen ook Cloud Service Providers, zoals Microsoft en Amazon, hierop in door hun contracten al ‘compliant’ te maken.”
Waarom deze aanvullende verplichtingen rondom uitbesteding, specifiek voor aanbieders van clouddiensten?
Het is goed te beseffen waarom ESMA (maar ook EBA en EIOPA in hun eigen richtsnoeren op het vlak van uitbestedingen) deze eisen stelt aan IT/Cloud uitbestedingen. Het gaat hier immers om functies die de onderneming anders zelf zou uitvoeren of organiseren door middel van het inrichten van een eigen server-ruimte, beheerders, etc. Op dat moment ‘voelt’ de onderneming direct de eigen verantwoordelijkheid van een adequate inrichting en goede beveiliging en is de afhankelijkheid van externen een stuk kleiner.
Bij een uitbesteding van IT daarentegen blijft de onderneming weliswaar dezelfde verantwoordelijkheid houden, maar zitten de experts op het gebied van beheer/beveiliging/etc. ook bij de leverancier. Hierdoor bestaat er een kans dat zaken over het hoofd worden gezien. Ongeacht of de IT functie intern of extern wordt uitbesteed, blijven de risico’s hetzelfde. Deze dienen dus ook afgedekt te worden. Desnoods via afspraken in een contract. Huijpen: ”Ons vermoeden is dat ESMA met dit in het achterhoofd de richtsnoeren heeft ontwikkeld, zodat het voor ondernemingen eenvoudiger wordt met onderwerpen en specifieke maatregelen rekening te houden bij uitbestedingen naar de Cloud.”
Definities handig gebruiken
Het is niet zo dat alleen kritieke of belangrijke functies binnen de scope van de cloud-uitbestedingsrichtsnoeren vallen. In de richtsnoeren zijn definities opgenomen, waarmee organisaties zelf aan de slag kunnen om te bepalen (en vast te leggen!) welke richtsnoeren of onderdelen wel of niet van toepassing zijn. Een goede eerste stap kan zijn om te bepalen of de organisatie gebruik maakt van clouddiensten, en vervolgens of deze uitbesteed zijn. En zo ja, gaat het hier dan om een uitbesteding van een kritieke en/of belangrijke functie? Deze analyse zal iedere organisatie moeten maken. Uiteindelijk levert dit een overzicht op van alle cloud uitbestedingen.
Negen richtsnoeren
ESMA heeft negen richtsnoeren gedefinieerd op de volgende onderwerpen:
- Governance, Oversight and documentation
- Pre-outsourcing analysis and due diligence
- Key contractual elements
- Information security
- Exit strategies
- Access and Audit Rights
- Sub-outsourcing
- Written notification to competent authorities
- Supervision of cloud outsourcing arrangements
Voor ieder van deze onderwerpen zijn vervolgens diverse sub-richtsnoeren opgenomen. De richtsnoeren behelzen een combinatie van vereisten voor de organisatie inrichting (beleid en procedures), elementen die in contracten en Service Level Agreements terug moeten komen en onderdelen waarvoor een vastlegging aanwezig moet zijn. Bijvoorbeeld bij de overweging of het een kritieke of belangrijke functie betreft die uitbesteed wordt of het register van (cloud) uitbestedingen.
Zoals eerder geschetst, is de mate waarin de richtsnoeren van toepassing zijn op een organisatie afhankelijk van het hoe kritiek of belangrijk het proces, de applicatie of dienst is die wordt uitbesteed. Vanwege de grote organisatie afhankelijkheid bij het uitbesteden van functies die kritiek of belangrijk zijn, is het ook van belang de risico’s goed te blijven managen. Deze ESMA-richtsnoeren helpen hierbij, al zal de implementatie wel een zekere inspanning vergen op het punt van vastlegging.
Goed om te weten, is dat het laatste richtsnoer in de lijst niet relevant is voor organisaties. Deze is gericht op de ‘competent authorities’, oftewel de nationale toezichthouders, waarbij ook de risico gebaseerde aanpak wordt aangehaald. In de praktijk betekent dit bijvoorbeeld dat de toezichthouder in haar toezicht rekening zou moeten houden met de mate waarin organisaties beschikken over relevante governance, middelen en geïmplementeerde operationele processen voor het adequaat en ‘in control’ aangaan van cloud uitbestedingscontracten en -afspraken.
Vragen?
Het is goed voor te stellen dat de richtsnoeren – ondanks het beoogde doel – juist tot vragen leiden aan uw kant. Een vraag die wij veel krijgen van onze klanten: Is Office 365 bijvoorbeeld een cloud service en Microsoft daarmee een Cloud Service Provider? Het antwoord hierop is ja. Of dit echter een kritieke of belangrijke toepassing voor uw organisatie is, zal u zelf moeten bepalen. Tip: in de definitie van de richtsnoeren wordt toegelicht hoe u naar de terminologie ‘kritiek of belangrijk’ moet kijken.
In het vervolg op dit artikel gaan we in op veelgestelde vragen rondom de interpretatie van de ESMA richtsnoeren. We gaan dieper in op de nieuwe organisatie vereisten waaraan voldaan moet worden wanneer geen sprake is van uitbesteding van kritieke of belangrijke functies. Met andere woorden: “wat moet u minimaal ingericht hebben?”.
Lees meer Stel een vraag[1] beheerders van alternatieve beleggingsinstellingen (abi-beheerders) en bewaarders van alternatieve beleggingsinstellingen (abi’s), instellingen voor collectieve belegging in effecten (icbe’s), beheermaatschappijen en bewaarders van icbe’s, en beleggingsmaatschappijen die geen beheermaatschappij hebben aangesteld waaraan krachtens de icbe-richtlijn vergunning is verleend, centrale tegenpartijen (CTP’s), waaronder tier2-CTP’s uit derde landen die voldoen aan de relevante EMIR- voorschriften, transactieregisters (TR’s), beleggingsondernemingen en kredietinstellingen bij het verlenen van beleggingsdiensten en het verrichten van beleggingsactiviteiten, aanbieders van datarapporteringsdiensten en marktexploitanten van handelsplatformen, centrale effectenbewaarinstellingen (CSD’s), ratingbureaus (RB’s), securitisatieregisters (SR’s) en beheerders van cruciale benchmarks.