Bekendtgørelse om outsourcing for kreditinstitutter m.v. § 19

Den konsoliderede version af denne bekendtgørelsen er opdateret til i dag, idet vi har implementeret eventuelle senere ændringsbekendtgørelser i det omfang, de er trådt i kraft - se mere her.

Bekendtgørelse nr. 973 af 22. juni 2022

§ 19

Outsourcingvirksomheden skal før en beslutning om outsourcing eller videreoutsourcing

  • 1) vurdere de potentielle konsekvenser for outsourcingvirksomhedens operationelle risici og

  • 2) træffe nødvendige foranstaltninger til at begrænse operationelle risici i forbindelse med outsourcingen.

Stk. 2 Vurderingen efter stk. 1, nr. 1, skal som minimum indeholde:

  • 1) En identifikation og klassifikation af de relevante processer, tjenesteydelser eller aktiviteter og beslægtede data og systemer ud fra deres følsomhed og påkrævede beskyttelsesforanstaltninger.

  • 2) En risikobaseret analyse af processerne, tjenesteydelserne og aktiviteterne og relaterede data og systemer i forbindelse med outsourcingen.

  • 3) Vurderinger af konsekvenserne ved leverandørens lokalitet.

  • 4) Vurderinger af den politiske stabilitet og sikkerhedssituationen i de relevante jurisdiktioner.

  • 5) Definition og fastlæggelse af et passende beskyttelsesniveau for datafortroligheden, kontinuiteten af de outsourcede aktiviteter og integriteten og sporbarheden af dataene og systemerne i forbindelse med den tilsigtede outsourcing.

  • 6) Vurderinger af relevante sikkerhedsforanstaltninger for dataoverførsel, databehandling og datalagring.

  • 7) Vurderinger af betydningen af, at leverandøren eventuelt er en datter- eller modervirksomhed til outsourcingvirksomheden.

Stk. 3 Vurderingen skal, hvor det er relevant, omfatte scenarier af mulige risikohændelser.

Stk. 4 Vurderingen skal tage hensyn til de forventede konsekvenser ved outsourcing, herunder som minimum følgende:

  • 1) Koncentrationsrisici.

  • 2) De samlede risici som følge af outsourcing på tværs af outsourcingvirksomheden eller i den samlede koncern.

  • 3) Risikoen for, at outsourcingvirksomheden kan blive tvunget til at yde økonomisk støtte til en nødlidende leverandør eller overtage dennes forretningsmæssige aktiviteter.

  • 4) De foranstaltninger, som skal gennemføres af outsourcingvirksomheden og leverandøren med henblik på at styre og mindske risiciene.

Stk. 5 Vurderingen skal, hvis leverandører kan videreoutsource kritisk eller vigtig outsourcing til underleverandører, tage hensyn til følgende:

  • 1) De risici, der er forbundet med videreoutsourcing.

  • 2) Risikoen for, at flere underleverandører ved videreoutsourcing kan mindske outsourcingvirksomhedens mulighed for at føre kontrol med kritisk eller vigtig outsourcing og tilsynsmyndigheders mulighed for effektivt at føre tilsyn med kritisk eller vigtig outsourcing.

Stk. 6 Vurderingen skal tage højde for risici ved et eventuelt ophør af outsourcingen, herunder risici ved at overføre den outsourcede proces, tjenesteydelse eller aktivitet til en anden leverandør eller ved at reintegrere processen, tjenesteydelsen eller aktiviteten i outsourcingvirksomheden.