Європейський центральний банк розпочав публічні консультації щодо свого нового керівництва, яке стосується аутсорсингу хмарних послуг провайдерам хмарних послуг. Посібник має на меті прояснити як розуміння ЄЦБ відповідних правових вимог, так і його очікування щодо банків, за якими він здійснює нагляд.
Як зазначається у релізі ЄЦБ, банки все частіше користуються послугами хмарних обчислень від сторонніх провайдерів. Ці послуги пропонують переваги: вони потенційно дешевші, гнучкіші та безпечніші. Однак залежність від зовнішніх провайдерів також пов’язана з певними ризиками.
Наприклад, якщо банк не зможе швидко замінити аутсорсингові послуги під час збою, його діяльність може бути порушена. Крім того, ринок хмарних послуг є висококонцентрованим, і багато банків залежать від кількох провайдерів, розташованих за межами Європи. Тому ЄЦБ вважає належною практикою для банків відкрито враховувати ці ризики.
Під час наглядового огляду та оцінки 2023 року ЄЦБ виявив різні вразливі місця в угодах банків з ІТ-аутсорсингу. Тому управління ризиками третіх сторін, включаючи хмарний аутсорсинг, залишається високим пріоритетом у наглядовому порядку денному ЄЦБ на 2024-2026 роки.
Прагнучи покращити управління ризиками, пов’язаними з ІКТ, законодавці ЄС ухвалили Закон про цифрову операційну стійкість (DORA). Він підкреслює необхідність проактивного пом’якшення ризиків, які можуть призвести до порушення роботи критично важливих функцій або послуг.
Такі правові акти, як DORA та Директива про вимоги до капіталу, вимагають від банків запровадити ефективне управління ризиками, пов’язаними з аутсорсингом, а також розбудовувати системи ІТ-безпеки та кіберстійкості. У Посібнику викладено розуміння ЄЦБ цих конкретних правил і того, як вони застосовуються до банків, за якими він здійснює нагляд.
Документ зробить нагляд більш послідовним і допоможе забезпечити рівні умови для всіх банків. Посібник ґрунтується на ризиках і передовому досвіді, виявлених об’єднаними наглядовими групами в контексті поточного нагляду та спеціальних інспекційних перевірок на місцях.
Публічні консультації щодо Посібника з аутсорсингу хмарних послуг завершуються 15 липня. Згодом ЄЦБ опублікує отримані коментарі разом із заявою про зворотний зв’язок та остаточну версію Посібника.