Har ni som försäkringsföretag uppdaterat era kritiska uppdragsavtal med molntjänstleverantörer i enlighet med EIOPA:s riktlinjer? Deadline är om tre månader!

Senast den 31 december 2022 måste ni som försäkrings- och återförsäkringsföretag ha säkerställt att era befintliga uppdragsavtal om kritiska och/eller viktiga operativa molntjänster är i linje med den europeiska försäkrings- och tjänstepensionsmyndighetens (”EIOPA”) riktlinjer om uppdragsavtal med molntjänstleverantörer (EIOPA-BoS-20-002). Annars kan i värsta fall brott mot försäkringsrörelselagen anses föreligga, vilket kan medföra varning, sanktionsavgift och/eller återkallelse av tillstånd.

Vem gäller EIOPA:s riktlinjer för?

Riktlinjerna gäller för samtliga försäkrings- och återförsäkringsföretag som har ingått eller avser att ingå någon form av uppdragsavtal med en molntjänstleverantör, avseende molntjänster. Molntjänster avser tjänster som tillhandahålls med hjälp av molnbaserade datortjänster som snabbt kan tillhandahållas och överlåtas med minimala driftsinsatser eller interaktion med tjänsteleverantörer, exempelvis tillhandahållande av nätverk, servrar, applikationer och mjukvaror.

Vad kräver EIOPA:s riktlinjer att ni måste göra?

Senast den 31 december 2022 måste ni som försäkrings- och återförsäkringsföretag ha säkerställt att samtliga av era befintliga uppdragsavtal som avser kritiska och/eller viktiga operativa molntjänster, är i enlighet med riktlinjernas specificerade avtalskrav. Riktlinjerna har dock som helhet gällt sedan första januari 2021 och har ställt omfattande krav på försäkrings- och återförsäkringsföretags verksamheter sedan dess, exempelvis följande:

1. Särskilda avtalskrav. Alla former av uppdragsavtal avseende molntjänster som försäkrings- och återförsäkringsföretag ingår, måste innehålla särskild information och särskilda avtalskrav, som närmare specificeras i EIOPA:s riktlinjer. Exempelvis ska särskilda åtkomst- och revisionsrättigheter beviljas till försäkrings- eller återförsäkringsföretaget.
2. Företagsbesiktning och riskbedömning. Innan uppdragsavtal avseende molntjänster ingås måste en grundlig företagsbesiktning genomföras av den tilltänkta molntjänstleverantören. Dessutom måste en djupgående riskbedömning genomföras av uppdragsavtalet och molntjänstleverantören, bl.a. intressekonflikter, operativa risker, IT-säkerhetsrisker, samt affärsrisker måste bedömas.
3. Bedömning av kritiska eller viktiga operativa funktioner och verksamheter. Innan uppdragsavtal om molntjänster ingås måste företag bedöma om avtalet avser en viktig operativ funktion eller verksamhet som är kritisk eller viktig (för vilka särskilda avtalskrav gäller).
4. Anmälan till Finansinspektionen. Samtliga uppdragsavtal avseende kritiska eller viktiga operativa molntjänster ska anmälas till finansinspektionen.
5. Register över uppdragsavtal. Försäkrings- och återförsäkringsavtal måste upprätta ett register över samtliga befintliga uppdragsavtal avseende molntjänster.
6. Policy för ingående av uppdragsavtal. En intern policy för ingående av uppdragsavtal avseende molntjänster måste upprättas, samt hållas kontinuerligt uppdaterad baserat på nya risker och omständigheter som uppkommer vid avtalsrelationer med molntjänstleverantörer.

Vill ni ha hjälp?

Är era befintliga uppdragsavtal om molntjänster i linje med EIOPA:s riktlinjer? Vi på Setterwalls har god erfarenhet av EIOPA:s riktlinjer och kan hjälpa er att granska uppdragsavtal samt ta fram avtalsmallar, interna policyer och styrdokument som hjälper er att driva er verksamhet i enlighet med riktlinjerna.