Utkontraktering: krav, avtaleregulering og risikovurderinger

Selv om IKT-virksomhet utkontrakteres, har finansforetakene selv ansvaret for å kontrollere at foretaket og leverandører etterlever kravene i IKT-forskriften. Grunnlaget for dette vil blant annet være avtalen som inngås med leverandørene.

Sentrale krav til avtalen er at den må sikre at finansforetaket gis rett til å kontrollere, herunder revidere, de av leverandørens aktiviteter som er knyttet til avtalen. Finanstilsynet skal gis tilgang til opplysninger og rett til å gjennomføre tilsyn hos IKT-leverandøren.

Ifølge Finanstilsynets Risiko- og sårbarhetsanalyse for 2017 har det, de siste årene, vært økende grad av utkontraktering til globale skytjenesteleverandører og generelt en økning i antall leverandører av utkontrakterte tjenester. Dette skyldes at løsningene både er mer sammensatte ved at flere leverandører bidrar til løsningene og at leverandøren utkontrakterer til underleverandører. Dette stiller økte krav til samhandling med underleverandører og mellom underleverandørene, også ved håndtering av alvorlige hendelser. Finanstilsynet har imidlertid avdekket at mange utkontrakteringsavtaler er mangelfulle på disse områdene.

I forkant av utkontrakteringen må finansforetaket gjøre en vurdering av hvilke hendelser som kan inntreffe og hvilke konsekvenser en hendelse kan få, både for foretaket og dets kunder. Dette må reflekteres i avtalen, og det bør stilles krav til løsningstid. Dette kravet må stå i samsvar med mulige konsekvenser ulike hendelser kan få. Videre må det avtales når beredskapsløsninger skal iverksettes og hva disse skal gå ut på. Gjentatte kritiske hendelser eller problemer med å løse oppståtte problemer, utgjør et mislighold som kan gi foretaket rett til å heve avtalen. Avtalen bør derfor tydelig definere hvilke forhold som kan gi finansforetaket rett til å påberope seg vesentlig mislighold.

Avtalen må også inneholde bestemmelser som skal gjelde ved terminering av avtalen. For å sikre en kontrollert og sikker overgang til ny leverandør, bør det fastsettes hvilke forpliktelser både eksisterende leverandør og foretaket selv har ved en slik overføring.
Videre bør avtalen sikre foretakets tilgang til kildekode gjennom en deponeringsordning. Programvaren må også kunne overføres til videre forvaltning og utvikling av annen leverandør, eller til foretaket selv, dersom leverandøren ikke kan overholde sine forpliktelser i leveransen av tjenester. Dette vil særlig være viktig i avtaler med mindre leverandører, der begrensede ressurser og avhengighet av enkeltpersoner kan utgjøre en risiko for ustabilitet i kritiske leveranser.

Det er samme krav til utkontraktering av skytjenesteleverandører som ved utkontraktering til andre leverandører. Slik utkontraktering kan imidlertid medføre andre utfordringer og risikoer. EBA, The European Banking Authority, har derfor utarbeidet en anbefaling for finansforetaks utkontraktering til skytjenesteleverandører som vil gjelde fra 1. juli 2018.

• Data- og systemsikkerhet, inkludert krav til håndtering av taushetsbelagt informasjon.
• Lokalisering av data og databehandling, med særlige krav til risikovurderinger ved utkontraktering utenfor EU.
• Full tilgang og revisjonsrettigheter for både foretaket og Finanstilsynet, også tilgang til kontorlokaler og operasjonssentre.
• Avtaleregulering av leverandørens rett til utkontraktering til underleverandører og særlige krav til risikovurderinger.
• Krav til beredskapsplaner og exitstrategier.