close
Share with your friends

EIOPA verschärft Regulierung der Cloud-Nutzung durch Versicherer

EIOPA verschärft Regulierung der Cloud-Nutzung

Mit dem Konsultationspapier für Versicherer und Rückversicherer zieht eine stärkere Regulierung nun auch in diesen Teil der Finanzbranche ein. Die neue Richtlinie soll ab Juli 2020 in Kraft treten.

Ansprechpartner

Verwandte Inhalte

Fallschirmspringer

Die EIOPA hat am 1. Juli 2019 ein Konsultationspapier für Versicherungen und Rückversicherer veröffentlicht, welches sich mit der Behandlung von Cloud Services als Auslagerung befasst. Analog zu den EBA-Guidelines für Banken werden damit nun auch die Anforderungen für Versicherer konkretisiert.

Im Detail betrifft dies den Umgang mit Cloud Services in 16 Punkten. Darunter fallen zum Beispiel die Wesentlichkeits- und Risikoanalyse von Cloud-Dienstleistungen, vertragliche Anforderungen, Informationssicherheit und Datenschutz, Berechtigungsmanagement und Prüfungsrechte, Standort der Datenverarbeitung oder auch der Umgang mit Subunternehmen.

Die EIOPA-Guidelines sollen ab dem 1. Juli 2020 in Kraft treten und für neu geschlossene Verträge mit Cloud-Dienstleistern bzw. -Anbietern ab diesem Zeitpunkt gelten. Bis zum 1. Juli 2022 soll die Richtlinie vollständig umgesetzt werden.
 

Gemeinsamkeiten mit den EBA-Guidelines

  • Analog zu den EBA-Guidelines on Outsourcing Arrangements, unterscheiden die EIOPA-Guidelines zwischen kritischen und nicht wesentlichen Auslagerungen bzw. Ausgliederungen.
  • Die EBA-Guidelines on Outsourcing Arrangements und die EIOPA-Guidelines decken sich in wichtigen Punkten, wie z.B.: Wesentlichkeits- und Risikoanalyse, vertragliche Anforderungen, Informationssicherheit und Datenschutz sowie Prüfungsrechten, jedoch sind die Guidelines der EBA in manchen Punkten viel genauer und detaillierter gefasst, als die der EIOPA.
  • Die EIOPA nutzt die EBA als Basis, die Guidelines erhalten viele ähnliche Wortlaute.
     

Unterschiede zu den EBA-Guidelines

  • Zugangsrechte für Prüfer: Die EBA-Guidelines fordern bei Bankinstituten, dass zuständige Behörden einen „vollständigen Zugang“ und „uneingeschränkte Rechte“ zur Kontrolle und Prüfung des Dienstleisters haben. Im Gegensatz dazu sagen die EIOPA-Guidelines, dass Versicherungen und Aufsichtsbehörden einen „effektiven Zugang“ zu allen Informationen in Bezug auf die ausgelagerten Funktionen und Tätigkeiten bei dem Dienstleister haben sollen. Der Wortlaut der EBA-Guidelines on Outsourcing Arrangements ist deutlich schärfer als der in den EIOPA-Guidelines.
  • Standort der Dienstleistung: Die EBA-Guidelines unterscheiden zwischen Dienstleistern mit Sitz in einem Mitgliedsstaat der EU und solchen aus einem Drittstaat. Die EIOPA-Guidelines berücksichtigen den Sitz des Dienstleisters im Drittstaat nur bei der Risikobewertung von „signifikanten“ Weiterverlagerungen an Sub-Dienstleister im Drittstaat.
  • Aufsichtliche Zulassung/ Bedingung für Outsourcing: In den EBA-Guidelines on Outsourcing Arrangements gibt es das Kapitel „Aufsichtliche Bedingungen für eine Auslagerung“. Darin werden Auslagerungen von Funktionen behandelt, die eine Zulassung oder Registrierung von den zuständigen Behörden benötigen. In der EIOPA-Guidelines wird diese Thematik nicht behandelt.
     

Im Wesentlichen ähneln die EIOPA- den EBA-Guidelines, wobei die EBA an einigen Stellen einen schärferen Wortlaut nutzt und damit konkretere und damit schärfere Anforderungen stellt. Klar ist, dass zukünftig neben Banken nun auch Versicherungen auf europäischer Ebene erhöhten Anforderungen ausgesetzt sind. Es ist damit absehbar, dass nun auch bei den Versicherungen große Transformationsprojekte in absehbarer Zukunft geplant werden, um den zahlreichen neuen Anforderungen zu begegnen und sie zeitgerecht umzusetzen.

So kontaktieren Sie uns

 

Möchten Sie mit KPMG in Kontakt treten?

 

loading image Angebotsanfrage (RFP)