Die CSSF hat am 22. April 2022 das Rundschreiben CSSF 22/806 über Outsourcing-Vereinbarungen veröffentlicht. Es betrifft Banken, Gewerbetreibende des Finanzsektors (Professionnels du secteur financier – PSF) sowie verschiedene andere Unternehmen des Finanzsektors („In-Scope Entities“).
Den vollständigen Text des Rundschreibens (der nur auf Englisch verfügbar ist) finden Sie unter folgendem Link: https://www.cssf.lu/wp-content/uploads/cssf22_806eng.pdf.
Diese betroffenen Rechtsträger sind verpflichtet, „zuverlässige interne Governance-Regelungen einzuführen, die eine klare Organisationsstruktur, angemessene interne Kontrollmechanismen, einschließlich einwandfreier Verwaltungs- und Rechnungslegungsverfahren und -praktiken, die ein wirksames und effizientes Risikomanagement ermöglichen und fördern, sowie Kontroll- und Sicherheitsmechanismen für ihre IT-Systeme aufweisen müssen“. Mit dem Rundschreiben soll dieser allgemeine Rahmen für die interne Governance in den Fällen ergänzt werden, in denen der Rechtsträger auf Outsourcing-Vereinbarungen setzt, sei es im IT-Bereich oder auf anderen Gebieten. Diese Regeln basieren auf den jüngsten Leitlinien der Europäischen Bankenaufsichtsbehörde zum Thema Outsourcing (EBA/GL/2019/02 on outsourcing arrangements).
In Teil I werden Definitionen und allgemeine Regeln für das Outsourcing gegeben.
Es ist insbesondere wichtig, die Fälle von Outsourcing einer „kritischen oder wichtigen“ Funktion (ein Konzept, das das frühere Konzept des „wesentlichen“ Outsourcing ersetzt) gemäß Abschnitt 4.1.2 des Rundschreibens zu identifizieren.
Die Definition dieses Begriffs findet sich unter Punkt 18 „Kritische oder wichtige Funktionen“.
Hinsichtlich dieser Funktionen ist eine vorherige Mitteilung über jede Unterbeauftragung an die Behörde erforderlich (es sei denn, bei bereits bestehenden Regelungen wurde die Unterbeauftragung schon genehmigt oder der CSSF mitgeteilt).
Teil II des Rundschreibens befasst sich mit der Vergabe von Unteraufträgen für ICT-Funktionen.
Dabei ist ein Kapitel den Outsourcing-Vereinbarungen für die Cloud-Computing-Infrastruktur gewidmet.
Es wird darauf hingewiesen, dass für „Cloud-Computing-Outsourcing-Vereinbarungen“ die Verpflichtung zur vorherigen Anmeldung besteht.
Teil III
In diesem Teil schließlich geht es um die Übergangsbestimmungen. So obliegt es den Rechtsträgern, die bereits bestehenden Outsourcing-Vereinbarungen zu überprüfen und gegebenenfalls zu ändern, um sicherzustellen, dass sie den neuen Vorschriften entsprechen.
Hierzu siehe Punkte 145 und 146 des Rundschreibens:
„145. In-Scope-Unternehmen haben bestehende Outsourcing-Vereinbarungen zu überprüfen und zu ändern, um sicherzustellen, dass sie mit diesem Rundschreiben in Einklang stehen.
- In-Scope-Unternehmen vervollständigen die Dokumentation aller bereits bestehenden Outsourcing-Vereinbarungen in Übereinstimmung mit diesem Rundschreiben nach dem Zeitpunkt der ersten Verlängerung jeder bestehenden Outsourcing-Vereinbarung, spätestens jedoch bis zum 31. Dezember 2022.
Kommen In-Scope-Unternehmen zu der Einschätzung, dass die Überprüfung und Änderung der vor dem 30. Juni 2022 getroffenen Outsourcing-Vereinbarungen für kritische oder wichtige Funktionen nicht bis zum 31. Dezember 2022 abgeschlossen sein wird, haben sie ihre zuständige Behörde rechtzeitig über diesen Umstand zu informieren, einschließlich der geplanten Maßnahmen zum Abschluss der Überprüfung oder für eine mögliche Beendigungsstrategie.“
Daher sollten die betroffenen Rechtsträger unverzüglich mit der Umsetzung beginnen, um die Frist 31. Dezember 2022 so weit wie möglich einzuhalten, auch wenn sie mit der Behörde eine Verschiebung des Termins aushandeln können, falls Probleme entstehen sollten.