Hög tid att se över uppdragsavtal om molntjänster

Innan årsskiftet ska finansiella institut ha granskat och ändrat befintliga uppdragsavtal om molntjänster för att se till att avtalen är i linje med gällande riktlinjer från ESMA och EIOPA.

Finansinspektionen tillämpar från och med den 31 juli 2021 Europeiska värdepappers- och marknadsmyndighetens, ESMA, riktlinjer för utkontraktering till molntjänstleverantörer. Finansinspektionen tillämpar även från och med den 1 januari 2021 motsvarande riktlinjer utfärdade av Europeiska försäkrings- och tjänstepensionsmyndigheten, EIOPA. Riktlinjerna beskriver hur företag bör gå tillväga vid beslut om att lägga ut molntjänster på en tredje part, val av molntjänstleverantör, övervakning av utkontrakterad verksamhet samt utträdesstrategier.

Riktlinjerna är avsedda för finansiella institut och gäller för alla uppdragsavtal om molntjänster som ingås, förnyas eller ändras på eller efter detta datum.

Företag som omfattas av riktlinjerna bör granska och ändra befintliga uppdragsavtal om molntjänster för att se till att avtalen tar hänsyn till dessa riktlinjer senast den 31 december 2022. Om granskningen av uppdragsavtal om molntjänster för kritiska eller viktiga funktioner inte är färdig till den 31 december ska Finansinspektionen informeras om detta samt om vilka åtgärder som planeras för att fullgöra granskningen eller eventuell utträdesstrategi.

Wesslau Söderqvist Advokatbyrå kan bistå med att granska befintliga uppdragsavtal avseende molntjänster samt ta fram nya uppdragsavtal eller tilläggsavtal som är i linje med ESMA:s och EIOPA:s riktlinjer per den 31 december 2022. Har ni frågor med anledning av det ovanstående är ni välkomna att kontakta oss.

Här är kraven enligt riktlinjerna kring vad som bör finnas i korthet:

  • En fastställd och godkänd strategi avseende uppdragsavtal om molntjänster som stämmer överens med företagets övriga strategier och riktlinjer.
  • Upprätta en funktion eller mekanism för övervakning av utkontrakteringen till molntjänstleverantörer.
  • Övervaka molntjänstleverantörernas verksamhet, säkerhetsåtgärder och efterlevnad av överenskomna servicenivåer med en riskbaserad övervakning och med fokus på utkontrakteringen av kritiska eller viktiga funktioner.
  • Föra ett register med information om sina uppdragsavtal om molntjänster. Registret ska uppdateras regelbundet.
  • Innan företag ingår ett uppdragsavtal bör företaget genomföra en analys av om avtalet avser en kritisk eller viktig funktion, vilka risker och eventuella intressekonflikter en utkontrakteringslösning innebär.
  • Fastställa informationssäkerhetskrav i uppdragsavtal om molntjänster och i sina interna policys och rutiner samt fortlöpande övervaka efterlevnaden av dessa krav.
  • Ha en utträdesstrategi för att se till att uppdragsavtal om molntjänster kan sägas upp utan onödiga störningar av verksamheten och tjänsterna.
  • Se till att uppdragsavtal inte begränsar företagets eller behöriga myndigheters rätt till inspektion, revision eller effektiv tillsyn.

Carl Gleisner
+46 (0)8-407 88 22
carl.gleisner@wsa.se

Johan Grenefalk
+46 (0)8-407 88 07
johan.grenefalk@wsa.se

Kristina Jonsson
+46 (0)8-407 88 09
kristina.jonsson@wsa.se