Bekendtgørelse om outsourcing for kreditinstitutter m.v.

Stk. 2 Bekendtgørelsen finder med de fornødne tilpasninger også anvendelse på de virksomheder, der er nævnt i stk. 1, nr. 1-3 og 7, på delkonsolideret og konsolideret niveau. Modervirksomheder, der er omfattet af stk. 1, skal sikre, at anvendelsen af outsourcing hos virksomheden og dens dattervirksomheder, der er omfattet af stk. 1, nr. 1-3 og 7, er konsistent, velintegreret og passende på alle niveauer i koncernen.

Stk. 3 Bestemmelserne i denne bekendtgørelse finder tillige anvendelse for it-operatører af detailbetalingssystemer, i det omfang outsourcingen har relation til driften af detailbetalingssystemer, som deres tilladelse vedrører.

Stk. 4 Bestemmelserne i denne bekendtgørelse finder ikke anvendelse på outsourcing, der er reguleret af andre regler på det finansielle område.

Stk. 2 Ved vurderingen af, om en ordning udgør outsourcing, skal outsourcingvirksomheden overveje, hvorvidt processerne, tjenesteydelserne eller aktiviteterne eller dele heraf udføres gentagne gange eller løbende af leverandøren. Outsourcingvirksomheden skal desuden overveje om processerne, tjenesteydelserne eller aktiviteterne eller dele heraf normalt ville falde inden for rammerne af processer, tjenesteydelser eller aktiviteter, der realistisk set ville eller kunne udføres af outsourcingvirksomheden.  2. pkt. gælder også, selvom outsourcingvirksomheden ikke har udført disse processer, tjenesteydelser eller aktiviteter selv tidligere.

Stk. 3 Indeholder en ordning med en leverandør flere processer, tjenesteydelser eller aktiviteter, skal outsourcingvirksomheden inddrage alle aspekter af ordningen.

Stk. 4 Følgende udgør ikke outsourcing:

• 1) En proces, tjenesteydelse eller aktivitet, som virksomheden i henhold til lovgivning er forpligtet til at få udført af en leverandør, herunder lovpligtig revision.

• 2) Brug af markedsinformationstjenester.

• 3) Globale betalingsnetværksinfrastrukturer.

• 4) Clearing og afviklingsordninger mellem clearingcentraler, centrale modparter og afviklingsinstitutter og deres medlemmer.

• 5) Korrespondentbankydelser.

• 6) Køb af tjenester, varer eller forsyning, som ikke normalt ville blive udført af outsourcingvirksomheden.

Stk. 2 Outsourcing af it-opgaver, der udføres for finansielle virksomheder, skal for fælles datacentraler anses som kritisk eller vigtig outsourcing, hvis en fejl eller mangel ved dens udførelse væsentligt vil forringe de finansielle virksomheders

• 1) mulighed for at overholde betingelserne i deres tilladelse,

• 2) finansielle resultater eller

• 3) mulighed for på et forsvarligt grundlag at udøve deres aktiviteter.

Stk. 3 Outsourcing af tilladelsespligtige aktiviteter er kritisk eller vigtig outsourcing.

Stk. 4 Outsourcing af operationelle opgaver i interne kontrolfunktioner skal anses for kritisk eller vigtig outsourcing, medmindre manglende eller uhensigtsmæssig udførelse af de outsourcede processer, tjenesteydelser eller aktiviteter, ikke vil have en negativ indvirkning på effektiviteten af den interne kontrolfunktion.

Stk. 5 Outsourcingvirksomheden skal løbende vurdere, om en outsourcet proces, tjenesteydelse eller aktivitet er kritisk eller vigtig, hvis risikoen ved eller omfanget af processen, tjenesteydelsen eller aktiviteten har ændret sig væsentligt.

Stk. 2 Kontrakten, jf. stk. 1, skal give outsourcingvirksomheden, en tredjepart udpeget af outsourcingvirksomheden og Finanstilsynet de samme rettigheder til adgang og revision, som fremgår af § 21, stk. 4 og 5.

Stk. 3 Outsourcingvirksomheden skal opsige outsourcingkontrakten eller dele heraf med leverandøren, eller udøve sin ret til at modsætte sig videreoutsourcing, i tilfælde af en sådan ret er aftalt, hvis den foreslåede videreoutsourcing eller ændring i eksisterende videreoutsourcing har væsentlige negative virkninger for den kritiske eller vigtige outsourcing, eller vil føre til en væsentlig forøgelse af risikoen, eller hvis kontraktkravene fastsat efter stk. 1 og 2, ikke efterleves.

Stk. 2 Outsourcingvirksomheden skal til enhver tid opfylde alle betingelserne i sin tilladelse til at drive virksomhed.

Stk. 3 Outsourcingvirksomheden skal ved brug af outsourcing opretholde en god adfærd i udøvelsen af de forretningsmæssige aktiviteter og udbud af tjenesteydelser.

Stk. 2 Outsourcingvirksomheden skal have tilstrækkelige kompetencer og ressourcer til at sikre en tilstrækkelig styring og overvågning af og kontrol med outsourcing.

Stk. 2 Outsourcingvirksomheden skal ved brug af outsourcing sikre relevante foranstaltninger, der sikrer tilstrækkelig varetagelse af personoplysninger og data, der behandles af leverandører.

Stk. 3 Outsourcingvirksomheden skal ved kritisk eller vigtig outsourcing kunne foretage mindst én af følgende handlinger indenfor en passende tidsramme:

• 1) Overføre processen, tjenesteydelsen eller aktiviteten til en eller flere leverandører.

• 2) Reintegrere processen, tjenesteydelsen eller aktiviteten i outsourcingvirksomheden.

• 3) Lade de forretningsmæssige aktiviteter, der er afhængige af processen, tjenesteydelsen eller aktiviteten, ophøre.

Stk. 2 Bestyrelsens ansvar og opgaver kan ikke outsources.

Stk. 3 Bestyrelsen skal overvåge direktionens beslutninger og styring af alle risici i forbindelse med outsourcing.

Stk. 4 Bestyrelsen skal godkende, regelmæssigt revidere og ajourføre en skriftlig outsourcingpolitik, der opfylder kravene i bilag 1. Bestyrelsen skal sikre, at politikken efterleves i outsourcingvirksomheden.

Stk. 5 Bestyrelsen skal, som led i den løbende risikovurdering, overvågning og kontrol, sikre, at den periodisk modtager rapportering om risici og eventuelle ændringer heri, der er identificeret i forbindelse med kritisk eller vigtig outsourcing, jf. §§ 19, 20 og 23.

Stk. 2 Bestyrelsens rammer og betingelser, jf. stk. 1, skal besluttes på baggrund af en forudgående analyse, der som minimum inddrager kravene i §§ 4, 13 og 18-20.

Stk. 3 Indgår outsourcingvirksomheden i en koncern, der benytter en centraliseret forhåndsvurdering af outsourcing, skal outsourcingvirksomheden modtage vurderingen og sikre, at der tages hensyn til outsourcingvirksomhedens særlige struktur og risici i forhåndsvurderingen.

Stk. 2 Direktionen skal sikre, at ansvaret for styring, overvågning og kontrol samt dokumentation af al outsourcing er entydigt placeret.

Stk. 3 Direktionen skal udpege en outsourcingansvarlig, som er ansvarlig for styring, overvågning og kontrol af outsourcing og for sikring af dokumentationen af outsourcing.

Stk. 4 Direktionen kan indenfor de rammer og betingelser, som er fastsat i medfør af § 11, stk. 1, indgå outsourcingkontrakter med leverandører.

Stk. 5 Direktionen skal sikre, at bestyrelsen orienteres om ændringer af kritisk eller vigtig outsourcing og de potentielle konsekvenser af disse ændringer. Orienteringen skal også foretages i outsourcingvirksomheder, der indgår i en koncern, og hvor overvågningen foretages centralt, jf. § 25.

Stk. 2 Indgår outsourcingvirksomheden i en koncern, kan outsourcingvirksomheden med de nødvendige tilpasninger i stedet anvende centralt fastlagte beredskabsplaner for outsourcing.

Stk. 2 Outsourcingvirksomheden skal opbevare dokumentation for afsluttet outsourcing i registeret og øvrig dokumentation i minimum 5 år, medmindre andet følger af anden lovgivning.

Stk. 3 Outsourcingvirksomheden skal på Finanstilsynets anmodning uden unødigt ophold udlevere oplysninger fra registeret i elektronisk læsbar form til Finanstilsynet.

Stk. 4 Indgår outsourcingvirksomheden i en koncern, kan outsourcingvirksomheden udpege en virksomhed i koncernen, der fører registeret over outsourcingvirksomhedens outsourcing.

Stk. 5 Indgår outsourcingvirksomheden i en koncern, der fører et register over eksisterende outsourcing, skal de virksomheder i koncernen, der er omfattet af denne bekendtgørelse, uden unødigt ophold kunne få udleveret sit individuelle register over outsourcing.

Stk. 2 Indgår outsourcingvirksomheden i en koncern, hvor exitplanen for en kritisk eller vigtig outsourcing er blevet etableret på koncernniveau, skal outsourcingvirksomheden modtage et sammendrag af exitplanen og sikre sig, at planen kan udføres effektivt.

Stk. 2 Har leverandøren hjemsted i et andet land end Danmark indenfor Den Europæiske Union eller i et land, som Unionen har indgået aftale med på det finansielle område, skal outsourcingvirksomheden sikre, at leverandøren er registreret og har tilladelse til at levere den tilladelsespligtige aktivitet af hjemlandets tilsynsmyndighed, eller på anden vis har tilladelse til at udføre de tilladelsespligtige aktiviteter i overensstemmelse med national lovgivning.

Stk. 3 Har leverandøren hjemsted i et land udenfor Den Europæiske Union, som Unionen ikke har indgået aftale med på det finansielle område, skal outsourcingvirksomheden sikre, at følgende betingelser er opfyldt:

• 1) Leverandøren er registreret eller har tilladelse til at levere den tilladelsespligtige aktivitet og er underlagt tilsyn i hjemlandet.

• 2) Der foreligger en samarbejdsaftale mellem Finanstilsynet og de myndigheder, der fører tilsyn med leverandøren i hjemlandet, der sikrer, at Finanstilsynet som minimum har følgende beføjelser:

  • a) Finanstilsynet kan på anmodning indhente nødvendige oplysninger til at udføre tilsynsopgaver i henhold til den finansielle lovgivning.

  • b) Finanstilsynet kan få adgang til alle data, dokumenter, lokaler eller ansatte i leverandørens hjemland, som er relevante for udførelsen af sine tilsynsbeføjelser.

  • c) Finanstilsynet kan så hurtigt som muligt modtage oplysninger fra tilsynsmyndigheder i leverandørens hjemland om mulige brud på den finansielle lovgivning.

  • d) Finanstilsynet kan samarbejde med tilsynsmyndigheder i leverandørens hjemland om håndhævelse i tilfælde af, at leverandøren overtræder relevante danske myndighedskrav og dansk lovgivning.

Stk. 2 Vurderingen efter stk. 1, nr. 1, skal som minimum indeholde:

• 1) En identifikation og klassifikation af de relevante processer, tjenesteydelser eller aktiviteter og beslægtede data og systemer ud fra deres følsomhed og påkrævede beskyttelsesforanstaltninger.

• 2) En risikobaseret analyse af processerne, tjenesteydelserne og aktiviteterne og relaterede data og systemer i forbindelse med outsourcingen.

• 3) Vurderinger af konsekvenserne ved leverandørens lokalitet.

• 4) Vurderinger af den politiske stabilitet og sikkerhedssituationen i de relevante jurisdiktioner.

• 5) Definition og fastlæggelse af et passende beskyttelsesniveau for datafortroligheden, kontinuiteten af de outsourcede aktiviteter og integriteten og sporbarheden af dataene og systemerne i forbindelse med den tilsigtede outsourcing.

• 6) Vurderinger af relevante sikkerhedsforanstaltninger for dataoverførsel, databehandling og datalagring.

• 7) Vurderinger af betydningen af, at leverandøren eventuelt er en datter- eller modervirksomhed til outsourcingvirksomheden.

Stk. 3 Vurderingen skal, hvor det er relevant, omfatte scenarier af mulige risikohændelser.

Stk. 4 Vurderingen skal tage hensyn til de forventede konsekvenser ved outsourcing, herunder som minimum følgende:

• 1) Koncentrationsrisici.

• 2) De samlede risici som følge af outsourcing på tværs af outsourcingvirksomheden eller i den samlede koncern.

• 3) Risikoen for, at outsourcingvirksomheden kan blive tvunget til at yde økonomisk støtte til en nødlidende leverandør eller overtage dennes forretningsmæssige aktiviteter.

• 4) De foranstaltninger, som skal gennemføres af outsourcingvirksomheden og leverandøren med henblik på at styre og mindske risiciene.

Stk. 5 Vurderingen skal, hvis leverandører kan videreoutsource kritisk eller vigtig outsourcing til underleverandører, tage hensyn til følgende:

• 1) De risici, der er forbundet med videreoutsourcing.

• 2) Risikoen for, at flere underleverandører ved videreoutsourcing kan mindske outsourcingvirksomhedens mulighed for at føre kontrol med kritisk eller vigtig outsourcing og tilsynsmyndigheders mulighed for effektivt at føre tilsyn med kritisk eller vigtig outsourcing.

Stk. 6 Vurderingen skal tage højde for risici ved et eventuelt ophør af outsourcingen, herunder risici ved at overføre den outsourcede proces, tjenesteydelse eller aktivitet til en anden leverandør eller ved at reintegrere processen, tjenesteydelsen eller aktiviteten i outsourcingvirksomheden.

Stk. 2 Undersøgelsen skal som minimum indeholde en vurdering af:

• 1) Leverandørens forretningsmodel, virksomhedstype, størrelse, kompleksitet, finansielle situation, ejerskab og koncernstruktur.

• 2) De langsigtede relationer med leverandører, som allerede er vurderet, og som udfører tjenester for outsourcingvirksomheden.

• 3) Om leverandøren er koncernforbundet med outsourcingvirksomheden.

• 4) Om leverandøren er underlagt tilsyn af Finanstilsynet eller anden relevant myndighed.

• 5) Om leverandøren kan træffe passende tekniske og organisatoriske foranstaltninger med henblik på at beskytte outsourcingvirksomhedens data, herunder personoplysninger.

• 6) Om leverandøren og eventuelle underleverandører handler i overensstemmelse med outsourcingvirksomhedens værdier og adfærdskodeks.

Stk. 2 Outsourcingkontrakten skal for kritisk eller vigtig outsourcing opfylde kravene i bilag 3.

Stk. 3 Outsourcingvirksomheden skal i outsourcingkontrakten for outsourcing, der ikke er kritisk eller vigtig, opfylde kravene i bilag 3, nr. 3.

Stk. 4 Outsourcingvirksomheden skal i outsourcingkontrakten for outsourcing, der ikke er kritisk eller vigtig, ud fra en risikobaseret tilgang sikre ret til adgang og revision som anført i stk. 5 og bilag 3, nr. 4.

Stk. 5 Outsourcingvirksomheden skal ved kritisk eller vigtig outsourcing sikre, at outsourcingkontrakten eller andre kontraktordninger ikke hindrer eller begrænser den faktiske udøvelse af retten til adgang og revision for outsourcingvirksomheden, Finanstilsynet, Finansiel Stabilitet eller en tredjepart, der er udpeget af outsourcingvirksomheden til at udøve disse rettigheder.

Stk. 6 Outsourcingvirksomheden skal i outsourcingkontrakten for outsourcing, der ikke er kritisk eller vigtig, tage højde for, at outsourcede processer, tjenesteydelser og aktiviteter kan blive kritiske eller vigtige.

Stk. 2 Outsourcingvirksomheden skal anlægge en risikobaseret tilgang til datalagrings- og databehandlingslokaliteter og informationssikkerhedshensyn, hvis outsourcing involverer behandling eller videregivelse af personoplysninger eller fortrolige data.

Stk. 3 Outsourcingvirksomheden skal, hvor det er relevant, sikre, at den er i stand til at udføre test af it-sikkerheden for at vurdere effektiviteten af foranstaltninger til modvirkning af cyber- og informationsrisici samt kommunikationsteknologiske risici.

Stk. 2 Outsourcingvirksomheden skal før et planlagt besøg hos en leverandør sikre, at outsourcingvirksomheden, revisorer eller tredjeparter, der handler på vegne af outsourcingvirksomheden, giver leverandøren et rimeligt varsel.

Stk. 3 Leverandøren skal ikke modtage et rimeligt varsel, hvis det ikke er muligt på grund af en nødsituation eller krisesituation, eller hvis besøgets formål vil blive forspildt.

Stk. 4 Ved gennemførelse af et besøg, jf. stk. 2, skal outsourcingvirksomheden tage behørigt hensyn til leverandørens drift og sikkerhed, hvis leverandøren betjener andre kunder. Outsourcingvirksomhedens repræsentanter skal have relevante kvalifikationer og viden til at gennemføre besøget.

Stk. 5 Outsourcingvirksomheden skal løbende ajourføre sine vurderinger i overensstemmelse med §§ 5 og 19.

Stk. 6 Outsourcingvirksomheden skal overvåge sine interne koncentrationsrisici som følge af outsourcing under hensyntagen til § 19, stk. 4.

Stk. 7 Outsourcingvirksomheden skal løbende sikre, at en outsourcing opfylder hensigtsmæssige resultat- og kvalitetsstandarder i overensstemmelse med outsourcingvirksomhedens politikker ved at

• 1) sikre, at outsourcingvirksomheden modtager passende rapportering fra leverandøren,

• 2) evaluere de leverancer, der modtages fra leverandøren ved brug af værktøjer, herunder centrale præstations- og kontrolindikatorer, rapporter om udførelsen af tjenesterne, selvcertificering og uafhængige undersøgelser og

• 3) gennemgå alle andre relevante oplysninger modtaget fra leverandøren, herunder rapporter om beredskabsplaner og test af disse.

Stk. 8 Outsourcingvirksomheden skal overvåge, om leverandøren overholder de aftalte data- og systemsikkerhedskrav, hvis outsourcing vedrører it-ydelser.

Stk. 2 Outsourcingvirksomheden skal som minimum, såfremt den operationelle overvågning og kontrol af outsourcing er centraliseret, fra den centraliserede overvågningsfunktion modtage

• 1) årlig rapportering, der indeholder et sammendrag af risikovurderingen, jf. § 19, og rapportering om relevante resultat- og kvalitetsstandarder, jf. § 23, stk. 7 og 8, og

• 2) et sammendrag af de relevante revisionsrapporter for så vidt angår kritisk eller vigtig outsourcing og mulighed for at få stillet den fulde revisionsrapport til rådighed.

Stk. 2 Anvender outsourcingvirksomheden tredjepartscertificeringer, tredjepartsrevisionsrapporter eller interne revisionsrapporter stillet til rådighed af leverandøren, skal den sikre, at outsourcingvirksomheden kan opfylde sine regulatoriske forpligtelser.

Stk. 3 Outsourcingvirksomheden må for kritisk eller vigtig outsourcing ikke over tid udelukkende forlade sig på tredjepartscertificeringer, tredjepartsrevisionsrapporter eller interne revisionsrapporter, der er stillet til rådighed af leverandøren.

Stk. 2 Meddelelsen efter stk. 1 skal indeholde de oplysninger, der er nævnt i bilag 2, nr. 1.

Stk. 3 Ændringer eller hændelser, der kan have en væsentlig indvirkning på den fortsatte levering af en allerede indgået outsourcing, skal i god tid meddeles til Finanstilsynet.

Stk. 2 Der kan pålægges selskaber m.v. (juridiske personer) strafansvar efter reglerne i straffelovens 5. kapitel.

Stk. 2 Bekendtgørelse nr. 949 af 22. juni 2022 om outsourcing for kreditinstitutter m.v. ophæves.

Stk. 2 Outsourcingkontrakter, der er indgået inden den 1. juli 2020, skal senest den 31. december 2022 bringes i overensstemmelse med reglerne i denne bekendtgørelse.

Stk. 3 Er outsourcingkontrakter om kritisk eller vigtig outsourcing ikke bragt i overensstemmelse med denne bekendtgørelse senest den 31. december 2022, skal outsourcingvirksomheden underrette Finanstilsynet herom, herunder om de foranstaltninger, der er planlagt for at bringe outsourcingkontrakten i overensstemmelse med bekendtgørelsen eller den mulige exitstrategi.