Panorama Assicurativo Ania

🇪🇺 Cloud computing, outsourcing, Vigilanza

EIOPA: LINEE GUIDA IN MATERIA DI OUTSOURCING DEI SERVIZI DI CLOUD COMPUTING

“Guidelines on outsourcing to cloud service providers now available for national supervisory authorities” (News, 6 febbraio 2020) “Final Report on public consultation No. 19/270 on Guidelines on outsourcing to cloud service providers” (EIOPA-BoS-20-002, 31 01 2020)

EIOPA – EUROPEAN INSURANCE AND OCCUPATIONAL PENSIONS AUTHORITY
https://www.eiopa.europa.eu/

EIOPA Link alla NEWS

EIOPA Link al REPORT


Dopo aver svolto una pubblica consultazione su una versione preliminare la scorsa estate(1), EIOPA ha pubblicato, il 6 febbraio, le Linee Guida sull'esternalizzazione dei servizi di cloud computing da parte delle imprese di assicurazione. Le Guidelines forniscono indicazioni su come applicare le disposizioni in materia di esternalizzazione stabilite nella Direttiva 2009/138/CE (Solvency II), nel Regolamento delegato 2015/35 e negli orientamenti EIOPA sul sistema di governance.

L’Autorità di Francoforte ha sviluppato le Linee Guida, indirizzate alle Autorità nazionali di vigilanza, con i seguenti obiettivi:

  • fornire chiarimenti e maggiore trasparenza ai partecipanti al mercato, evitando potenziali arbitraggi regolamentari;
  • promuovere la convergenza della vigilanza in merito alle aspettative e ai processi applicabili all'esternalizzazione dei servizi cloud.

Il ricorso all’outsourcing del cloud computing è una pratica comune a tutte le imprese finanziarie e non solo alle imprese assicuratrici. Inoltre, i principali rischi associati sono simili tra i vari settori. Riconoscendo questi fatti e i potenziali rischi di frammentazione normativa, nello sviluppo delle Linee Guida EIOPA ha preso in considerazione – oltre alle disposizioni settoriali sull'esternalizzazione – anche le linee guida più recenti pubblicate dall'Autorità bancaria europea (EBA).

Le Linee Guida riguardano i seguenti aspetti:

  • criteri per stabilire se i servizi cloud debbano essere considerati nell'ambito dell'outsourcing;
     
  • principi ed elementi di governance dell'outsourcing del cloud, inclusi i requisiti di documentazione e l'elenco delle informazioni da notificare alle Autorità di vigilanza;
     
  • analisi di pre-outsourcing, inclusa una serie di criteri da seguire per valutare se un accordo di outsourcing del cloud si riferisce a una funzione o attività operativa critica o importante; istruzioni basate su principi su come eseguire la valutazione del rischio del cloud outsourcing e la diligenza dovuta nei confronti dei fornitori di servizi cloud;
     
  • requisiti contrattuali;
     
  • gestione dei diritti di accesso e audit; sicurezza di dati e sistemi; sub-outsourcing di funzioni o attività operative critiche o importanti, monitoraggio e supervisione dell’outsourcing e strategie di uscita;
     
  • istruzioni basate su principi per le Autorità nazionali di vigilanza sulla supervisione degli accordi di esternalizzazione del cloud, ove applicabili anche a livello di gruppo.

 

_______________
(1) Si veda, in proposito: “Esternalizzazione dei servizi di cloud computing: consultazione EIOPA”, in Panorama Assicurativo n. 190, agosto 2019 (Sezione “UE”).
http://www.panoramassicurativo.ania.it/admin/plugin/panorama/view.html?id=40805&est=1