“EIOPA consults on guidelines on outsourcing to cloud service providers” (News, 1 luglio 2019)
“Consultation paper on the proposal for Guidelines on outsourcing to cloud service providers” (EIOPA-BoS-19/270, 1 July 2019)
EIOPA - EUROPEAN INSURANCE AND OCCUPATIONAL PENSIONS AUTHORITY
https://eiopa.europa.eu/
Cloud computing, Vigilanza, outsourcing


Il 1° luglio scorso, EIOPA ha avviato una pubblica consultazione sulle bozze di linee guida relative all'outsourcing ai fornitori di servizi di cloud-computing(1).

Le linee guida forniscono orientamenti agli operatori del mercato su come applicare le disposizioni in materia di esternalizzazione di cui alla direttiva 2009/138/CE, al regolamento delegato 2015/35 della Commissione e alle Guidelines EIOPA sul sistema di governance in caso di esternalizzazione a fornitori di servizi cloud.

In linea con il suo contributo al Piano d'Azione FinTech della Commissione europea e tenendo conto dell'esito della 4a Tavola Rotonda InsurTech sull'uso del cloud computing da parte delle imprese assicuratrici, EIOPA ha sviluppato le linee guida con i seguenti obiettivi:

  • fornire chiarimenti e maggiore trasparenza agli operatori, evitando potenziali arbitraggi normativi;
     
  • promuovere la convergenza della vigilanza in merito alle aspettative e ai processi applicabili in relazione all'outsourcing del cloud computing.

L'uso del cloud outsourcing è una pratica comune a tutte le imprese finanziarie e non solo alle imprese assicuratrici. Inoltre, i principali rischi associati sono simili per tutti i settori. Riconoscendo i potenziali rischi della frammentazione normativa, nello sviluppo del documento - oltre alle disposizioni di natura assicurativa sull'esternalizzazione - EIOPA ha anche preso in considerazione le più recenti linee guida pubblicate dall'Autorità bancaria europea (EBA).

Le linee guida EIOPA toccano i seguenti aspetti:

  • criteri per distinguere se i servizi cloud debbano essere considerati nell'ambito dell'outsourcing;
     
  • principi ed elementi di governance dell'outsourcing del cloud, compresi i requisiti di documentazione e l'elenco delle informazioni che sono parte della notifica alle Autorità di vigilanza;
     
  • analisi pre-outsourcing, inclusa la valutazione della materialità, la valutazione del rischio e la due diligence sui fornitori di servizi;
     
  • requisiti contrattuali;
     
  • gestione dei diritti di accesso e di audit; sicurezza di dati e sistemi; sub-outsourcing, monitoraggio e supervisione dell'outsourcing del cloud e strategie di uscita;
     
  • istruzioni per le Autorità di vigilanza nazionali in merito alla supervisione degli accordi di esternalizzazione del cloud, anche, se del caso, a livello di gruppo.

Il termine per l’invio dei commenti è lunedì 30 settembre 2019.
 

________________
(1) Sul tema, si veda: “EIOPA: report sull’esternalizzazione dei servizi di cloud computing”, in Panorama Assicurativo n. 187, maggio 2019 (Sezione “UE”).
http://www.panoramassicurativo.ania.it/admin/plugin/panorama/view.html?id=40569&est=1

STATISTICHE
NEWS