21 apr Outsourcing i den finansielle sektor: Regulatoriske krav og ansvarsfordeling ved trejepartsaftaler
Reglerne for outsourcing i den finansielle sektor er i dag omfattende og under løbende udvikling. De spænder fra nationale bekendtgørelser til EU-forordninger og stiller krav til alt fra definitionen af outsourcing og intern ansvarsfordeling til kontraktstruktur og leverandørstyring. For medarbejdere, der arbejder med outsourcing i det daglige, er overblikket over disse krav afgørende
Hvad udgør outsourcing?
Outsourcingbekendtgørelsen afgrænser outsourcing som enhver aftalebaseret ordning, der indebærer, at en ekstern leverandør løbende eller gentagne gange varetager processer, tjenesteydelser eller aktiviteter, som virksomheden ellers selv ville have udført.
Bekendtgørelsen finder anvendelse for en bred kreds af virksomheder, herunder pengeinstitutter, realkreditinstitutter, fondsmæglerselskaber, e-pengeinstitutter og betalingsinstitutter.
Bekendtgørelsen fastslår, at kravene skal efterleves under hensyn til, om de er proportionale i forhold til virksomhedens risikoprofil, forretningsmodel, størrelse og aktiviteternes kompleksitet.
En central distinktion
Bekendtgørelsen sondrer skarpt mellem kritisk eller vigtig outsourcing og øvrig outsourcing, og denne distinktion er afgørende for, hvilke krav der finder anvendelse. Kvalificeringen som kritisk eller vigtig forudsætter, at leverandørsvigt i væsentlig grad bringer virksomhedens efterlevelse af tilladelseskrav, finansielle resultater eller forsvarlige drift i fare. Aktiviteter, der i sig selv kræver tilladelse, klassificeres automatisk i denne kategori.
Klassifikationen udløser en række særlige forpligtelser, herunder til kontraktindhold, skriftlige exitstrategier og forudgående meddelelse til Finanstilsynet.
Ansvarsfordeling
Bekendtgørelsen fastlægger en klar intern ansvarsfordeling. Det overordnede ansvar for en forsvarlig outsourcingpraksis påhviler bestyrelsen, og dette ansvar kan ikke outsources. Bestyrelsen skal vedtage og holde en skriftlig outsourcingpolitik opdateret samt løbende modtage rapportering om risici ved kritisk eller vigtig outsourcing.
Direktionen bærer ansvaret for den løbende praktiske styring inden for bestyrelsens fastlagte rammer og skal hertil udpege en dedikeret outsourcingansvarlig, der forestår styring, overvågning og kontrol af virksomhedens samlede outsourcingaktiviteter.
Regulering af IKT-outsourcing
Outsourcingbekendtgørelsen og Solvens II-reglerne gælder fortsat for al outsourcing, der ikke vedrører IKT. For aftaler om informations- og kommunikationsteknologi-tjenester sætter EU’s forordning om digital operationel modstandsdygtighed, DORA, den regulatoriske ramme.
Forordningen fik fuld anvendelse ultimo januar 2025, uden nogen overgangsperiode. Finansielle virksomheder er således forpligtet til at efterleve DORA’s krav i både eksisterende og nye aftaler om IKT-outsourcing. Et af forordningens centrale formål er at skabe ensartede regler for IKT-tjenester på tværs af sektoren. Den gælder for en bred kreds af aktører, fra kreditinstitutter og betalingsinstitutter til investeringsselskaber, forsikringsvirksomheder, forsikringsformidlere og arbejdsmarkedspensionsselskaber.
Hvad ændres ved tredjepartsaftaler?
Det kendte krav om at gennemføre en outsourcing-vurdering forud for indgåelse af aftale med en leverandør gælder ikke for IKT-tjenester under DORA. I stedet er det centrale spørgsmål, om aftalen indebærer, at en ekstern leverandør leverer en IKT-tjeneste.
Hertil introducerer DORA nye kontraktkrav. I alle aftaler om IKT-tjenester pålægges virksomheden at vurdere, om leverandøren skal integreres i interne sikkerhedsprogrammer og kurser om virksomhedens modstandsdygtighed over for digitale trusler. For kritiske eller vigtige IKT-arrangementer tilkommer kravet om, at leverandøren indgår en forpligtelse til at medvirke i virksomhedens trusselsbaserede penetrationstest (TLPT). Den særlige EU-regulering vedrørende cloud-outsourcing, herunder EIOPAs retningslinjer for cloududbydere, blev fra januar 2025 erstattet af DORA.
Kritiske tredjepartsudbydere og virksomhedens eget ansvar
DORA stiller særskilte krav til leverandører, der på EU-plan kategoriseres som kritiske tredjepartsudbydere, eksempelvis forventes Microsoft at falde inden for denne kategori. Det er vigtigt at understrege, at disse selvstændige forpligtelser ikke fritager den finansielle virksomhed fra sine egne forpligtelser. Due diligence, risikovurdering og kontraktmæssig DORA-overholdelse påhviler fortsat virksomheden uanset leverandørens klassifikation.
Sådan kan Apex Law hjælpe
Ulrich Hejle yder rådgivning inden for compliance og regulatoriske forhold i den finansielle sektor. Vi bistår virksomheder med at etablere hensigtsmæssige complianceprogrammer med procedurer tilpasset den enkelte klients virksomhed, herunder i relation til outsourcing-regulering og krav under DORA. Vi har desuden erfaring med at bistå klienter i forbindelse med tilsynsbesøg, overholdelse af indberetningsforpligtelser og løbende korrespondance med myndigheder.
Kontakt Ulrich Hejle hos Apex Law på info@apexlaw.dk for en uforpligtende samtale om, hvordan advokatfirmaet kan hjælpe din virksomhed med at navigere i outsourcing-regulering og efterleve kravene i DORA-forordningen.