Bekendtgørelse om outsourcing for kreditinstitutter m.v. § 5

Den konsoliderede version af denne bekendtgørelsen er opdateret til i dag, idet vi har implementeret eventuelle senere ændringsbekendtgørelser i det omfang, de er trådt i kraft - se mere her.

Bekendtgørelse nr. 973 af 22. juni 2022

§ 5

Outsourcingvirksomheden skal inddrage resultatet af risikovurderingen, jf. § 19, ved vurderingen af, om der er tale om kritisk eller vigtig outsourcing. Outsourcingvirksomheden skal herudover som minimum tage højde for følgende:

  • 1) Om outsourcingen er direkte forbundet med levering af de aktiviteter, som outsourcingvirksomheden har tilladelse til.

  • 2) De mulige konsekvenser af enhver afbrydelse af den outsourcede proces, tjenesteydelse eller aktivitet, eller leverandørens manglende evne til at levere de aftalte leverancer løbende på det aftalte serviceniveau i forhold til

    • a) kort- og langsigtet økonomisk modstandskraft og levedygtighed,

    • b) forretningskontinuitet og operationel robusthed,

    • c) operationelle risici,

    • d) omdømmemæssige risici eller

    • e) eventuel genopretnings- og afviklingsplanlægning, afviklingsmuligheder og operationel kontinuitet i forbindelse med tidlig indgriben, genopretning eller afvikling.

  • 3) De potentielle konsekvenser ved outsourcing for outsourcingvirksomhedens evne til at

    • a) identificere, styre og overvåge alle risici,

    • b) overholde alle lovgivningsmæssige krav eller

    • c) foretage revisioner af den outsourcede proces, tjenesteydelse eller aktivitet.

  • 4) Den potentielle indvirkning på ydelser til outsourcingvirksomhedens kunder.

  • 5) Al øvrig outsourcing, outsourcingvirksomhedens samlede eksponering overfor den samme leverandør, og den potentielle samlede virkning af outsourcing indenfor samme forretningsområde.

  • 6) Størrelsen og kompleksiteten af de berørte forretningsområder.

  • 7) Muligheden for, at outsourcing kan udvides uden at erstatte eller revidere den underliggende kontrakt.

  • 8) Muligheden for at overføre outsourcingen til en anden leverandør.

  • 9) Muligheden for at reintegrere den outsourcede proces, tjenesteydelse eller aktivitet i outsourcingvirksomheden.

  • 10) Beskyttelse af data og de potentielle konsekvenser af brud på fortroligheden eller manglende sikring af datatilgængelighed og dataintegritet for outsourcingvirksomheden og dens kunder.