Final ESMA Guidelines on cloud outsourcing

At the end of December 2020, the European Securities and Markets Authority (ESMA) published its final report on its guidelines on outsourcing to cloud service providers (CSP). The purpose of the guidelines is to help firms identify, address and monitor the risks that may arise from their cloud outsourcing arrangements. Since the main risks associated with cloud outsourcing are similar across financial sectors, ESMA has considered the European Banking Authority (EBA) Guidelines on outsourcing arrangements, which have incorporated the EBA Recommendations on outsourcing to cloud services providers and the European Insurance and Occupational Pensions Authority (EIOPA) Guidelines on outsourcing to cloud service providers. This ensures consistency between the three sets of guidelines. The ESMA Guidelines on cloud outscoring apply to MiFID II firms such as investment firms and other financial services providers indirectly but they describe the market standard and set the supervisory framework for the National Competent Authorities (NCAs) in Europe such as the German Federal Financial Supervisory Authority (Bundesanstalt für Finanzdienstleistungsaufsicht – BaFin).

For the German jurisdiction, BaFin published guidance on outsourcing to cloud providers back in 2018. Please note that the amended MaRisk include outsourcing requirements for investment firms and other financial services providers and already reflect the EBA Guidelines on outsourcing, including cloud outsourcing. For more information on the MaRisk amendment, please see our previous Blogpost.

The guidelines in more detail

The following gives a brief overview of the main content of the ESMA cloud outsourcing guidelines.

  • Guideline 1: Governance, oversight and documentation

Firms should have a defined and up-to date cloud outsourcing strategy which should include, inter alia, a clear assignment of the responsibility for the documentation, management and control of cloud outsourcing arrangements, sufficient resources to ensure compliance with all legal requirements applicable to the firm’s outsourcing arrangements, a cloud outsourcing oversight function directly accountable to the management body and responsible for managing and overseeing the risk of cloud outsourcing arrangements, a (re)assessment of whether the cloud outsourcing arrangements concern critical or important functions as well as an updated register of information on all cloud outsourcing arrangements. For the outsourcing of critical or important functions, the ESMA guidelines include a detailed list of information which should be included in the register.

  • Guideline 2: Pre-outsourcing analysis and due diligence

ESMA provides information on what is required for the pre-outsourcing analysis (e.g. an assessment if the cloud outsourcing concerns a critical or important function). In the case of outsourcing of critical or important function, firms should conduct a comprehensive risk analysis and take into account benefits and costs of the cloud outsourcing and perform an evaluation of the suitability of the CSP.

  • Guideline 3: Key contractual elements

The guidelines provide a detailed list of what a written cloud outsourcing agreement should include in case of outsourcing of critical or important functions. Such agreements should include, inter alia, provisions regarding data protection, agreed service levels incident management, business continuity plans, termination rights and access and audit rights for the firm and its competent supervisory authority.

  • Guideline 4: Information security

Firms should set information security requirements in its internal policies and procedures and within the cloud outsourcing written agreement and monitor compliance with these requirements on an ongoing basis. In case of outsourcing of critical or important functions, additional requirements apply regarding information security organization, identity and access management, encryption and key management, operations and network security, application programming interfaces, business continuity and data location.

  • Guideline 5: Exit strategies

In case of outsourcing of critical or important functions, firms should develop and maintain exit strategies that ensure that the firm is able to exit the cloud outsourcing arrangement without undue disruption to its business activities and services to its client. Exit strategies should include comprehensive and documented exit plans, the identification of alternative solutions and provisions in the written outsourcing agreements that oblige the CSP to support orderly transfer of the outsourced function from the CSP to another CSP.

  • Guideline 6: Access and audit rights

Firms should ensure that the cloud outsourcing written agreement does not limit the firm´s and competent authority´s effective exercise of the access and audit rights on the CSP (see also Guideline 3). However, the Guideline also includes provisions aimed at reducing the organizational burden on the CSP and its clients when exercising access and audit rights: firm may use e.g. third-party certifications and external or internal audit reports made available by the CSP. However, in case of outsourcing of critical or important functions, the guidelines stipulate additional requirements that must be met in order to be able to rely on third party certifications or assessments.

  • Guideline 7: Sub-outsourcing

In case of sub-outsourcing, the firm should ensure that the CSP appropriately oversees the sub-outsourcer. In addition, ESMA provides information on the provisions that should be included in the written outsourcing agreement between the firm and the CSP in the case of sub-outsourcing critical or important function. This includes the remaining accountability of the CSP, a notification requirement for the CSP in case of any intended sub-outsourcing allowing the firm sufficient time to carry out a risk assessment of the proposed sub-outsourcer, the firm´s right to object to the intended sub-outsourcing and termination rights in case of such objection.

  • Guideline 8: Written notification to competent authorities

Firms should notify in writing its competent authority in a timely manner of planned cloud outsourcing arrangement that concern critical or important functions. The notification should include, inter alia, a description of the outsourced functions, a brief summary of the reasons why the outsourced function is considered critical or important and the individual or decision-making body in the firm that approved the cloud outsourcing arrangement.

What´s next?

In a next step, the guidelines will be translated in the official EU languages and published on the ESMA´s website. The publication of the translation will trigger a two-month period during which the national competent authorities must notify ESMA whether they comply or intend to comply with the guidelines (comply or explain mechanism). For the German jurisdiction, it is to be expected that BaFin will comply with the ESMA guidelines.

Going green – ESAs veröffentlichen Formatvorlagen zur Transparenzverordnung

Die Anforderungen des europäischen Gesetzgebers an die Offenlegung von Nachhaltigkeitsinformationen durch Finanzmarktteilnehmer werden immer konkreter.

Die Verordnung (EU) 2019/2088 über nachhaltigkeitsbezogene Offenlegungspflichten im Finanzdienstleistungssektor (Transparenzverordnung) gilt ab Anfang 2021 und setzt den rechtlichen Rahmen. Sie regelt insbesondere wie Finanzmarktteilnehmer über die Berücksichtigung von Nachhaltigkeitsrisiken in ihrem eigenen Unternehmen informieren müssen, wie Anleger bei der Bewerbung von Finanzprodukten als nachhaltige Investition vorvertraglich zu informieren und welche Nachhaltigkeitsinformationen in regelmäßigen Berichten von Finanzmarktteilnehmern (z.B. Jahresberichten) zu veröffentlichen sind. Übergeordnetes Ziel des EU-Gesetzgebers ist es, durch mehr Transparenz Investitionen in nachhaltige Finanzprodukte zu fördern, die (Finanz-)Wirtschaft dadurch nachhaltiger zu machen und letztlich damit einen Beitrag zur Verhinderung oder Abschwächung des Klimawandels leisten zu können. Ausführlich über die neuen Verpflichtungen aufgrund der Transparenzverordnung haben wir bereits hier berichtet.

Die Veröffentlichung der Nachhaltigkeitsinformationen soll nach dem Willen des EU-Gesetzgebers möglichst einheitlich ausfallen; Finanzmarktteilnehmer sollen sich insoweit auf einem level playing field bewegen. Er hat deshalb die Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA), die Europäische Bankenaufsichtsbehörde (EBA) und die Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA) ermächtigt, technische Regulierungsstandards (RTS) auszuarbeiten. Diese enthalten Detailregelungen zum erforderlichen Inhalt und zu den Veröffentlichungsmethoden der in der Transparenzverordnung genannten Informationspflichten. Ein erster Entwurf dieser RTS wurde bereits im Frühjahr diesen Jahres veröffentlicht und ist hier abrufbar.

Anschaulich konkretisiert werden diese Vorgaben nun durch die Ende September von der EIOPA, der EBA und der ESMA veröffentlichten Formatvorlagenentwürfen. Diese sollen Finanzmarktteilnehmer zur Erfüllung ihrer Veröffentlichungspflichten im Rahmen der Bewerbung eines Finanzproduktes als ökologisch, sozial oder nachhaltig sowie den Veröffentlichungspflichten in regelmäßigen Berichten wie z.B. Jahresberichten eines Fonds, nutzen können. Im Rahmen der vorvertraglichen Informationen der Anleger müssen Finanzmarktteilnehmer etwa in tabellarischer Form und ausgestaltet als Frage/Antwort Text, darüber informieren

  • welche konkreten Nachhaltigkeitsziele durch das beworbene Finanzprodukt gefördert werden,
  • welche Investmentstrategie verfolgt wird,
  • wie die Assets allokiert werden (bei einem Fondsprodukt müsste hier z.B. dargelegt werden, in welche nachhaltigen Zielassets der Fonds investieren wird),
  • welche Kriterien und Indikatoren verwendet werden, um die Nachhaltigkeit des Finanzproduktes zu bestimmen.

Alle Entwürfe der Formatvorlagen sind hier abrufbar. Stakeholder können zudem bis Mitte Oktober hier ihr Feedback zu den Entwürfen abgeben.

Es ist zudem vorgesehen, die Templates in bereits existierende Offenlegungspflichten von z.B. Verwaltern alternativer Investmentfonds (AIFM) und Organismen für gemeinsame Anlagen in Wertpapieren (OGAW) zu integrieren. Vorvertragliche Informationen über die Nachhaltigkeit eines Fondsproduktes könnten also etwa in die wesentlichen Anlegerinformationen integriert oder als Anlage beigefügt werden.  

Es zeigt sich: es tut sich tatsächlich was beim Thema Nachhaltigkeit in der Finanzwirtschaft und die Anforderungen an die Marktteilnehmer werden durch den europäischen Gesetzgeber immer konkreter und detaillierter ausformuliert.

ESMA veröffentlicht Strategie zu Sustainable Finance

Nicht nur in der zweiten Staffel der deutschen TV-Serie Bad Banks mit dem fiktiven FinTech GreenWallet ist Nachhaltigkeit ein Thema, auch in der realen Finanzwelt ist es allgegenwärtig. Am 06. Februar 2020 hat die European Securities and Markets Authority (ESMA) ihre Strategie zu Sustainable Finance veröffentlicht (abrufbar hier).

Darin erläutert die europäische Wertpapieraufsicht konkret, wie sie Environmental, Social und Corporate Governance (ESG) Faktoren und damit das Thema Nachhaltigkeit zukünftig in ihre Arbeit einbeziehen wird.

Kernpunkte der ESMA Strategie

Folgende Kernpunkte ihrer Strategie stellt die ESMA heraus:

  • Die Transparenz Verordnung, die Markteilnehmer zur Offenlegung von Informationen über nachhaltige Investitionen und Nachhaltigkeitsrisiken verpflichten wird, soll durch gemeinsame technische Regulierungsstandards der ESMA, der European Banking Authority (EBA) und der  European Insurance and Occupational Authority (EIOPA) vervollständigt werden.
  • Die Einhaltung der Vorgaben der Transparenz Verordnung wird die ESMA bereits ab 2020 bei der Ausübung ihrer Aufsicht gegenüber den von ihr direkt beaufsichtigten Instituten berücksichtigen.
  • Die ESMA wird ein eigenes Kapitel über Trends, Risiken und Verwundbarkeiten (TRV) im Bereich der nachhaltigen Finanzen in ihrem halbjährlichen TRV-Report aufnehmen.
  • Die der ESMA zur Verfügung stehenden Daten werden zur Analyse finanzieller Risiken des Klimawandels, einschließlich klimabedingter Stresstests, genutzt werden.
  • Durch eine EU-weite einheitliche Aufsicht in Bezug auf ESG-Faktoren soll u.a. ein Schwerpunkt bei der Verhinderung des sog. Greenwashing gelegt werden; beim sog. Greenwashing werden Finanzprodukte als nachhaltig angeboten oder beworben, ohne dass tatsächlich Nachhaltigkeit in dem Produkt steckt.
  • Zudem wird die ESMA an der EU-Plattform für nachhaltige Finanzwirtschaft, die die EU-Taxonomie Verordnung entwickeln und damit eine EU-weit einheitliche Definition von „Nachhaltigkeit“ einführen sowie die Kapitalströme für nachhaltige Finanzwirtschaft überwachen wird, teilnehmen.

Weitere Schritte der ESMA

Um die Umsetzung ihrer Strategie zu unterstützen, hat die ESMA bereits 2019 ein Koordinationsnetzwerk für Nachhaltigkeit eingerichtet. Das Netzwerk setzt sich aus Experten der zuständigen nationalen Behörden und Mitarbeitern der ESMA zusammen. Das Netzwerk wird zudem von einer beratenden Arbeitsgruppe aus Stakeholdern unterstützt, die in den kommenden Monaten eingerichtet werden soll.

Fazit

Marktteilnehmer sind weiterhin aufgefordert, sich mit dem Thema Nachhaltigkeit und dessen Auswirkungen auf ihr Geschäftsmodell auseinanderzusetzen und sich auf die Umsetzung regulatorischer Vorgaben vorzubereiten.

Risiken und Schwachstellen der Finanzstabilität – Bericht des Gemeinsamen Ausschusses der Europäischen Aufsichtsbehörden

Am 12. September 2019 hat der Gemeinsame Ausschuss der Europäischen Bankenaufsichtsbehörde (European Banking Authority – EBA), der Europäischen Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (European Insurance and Occupational Pensions Authority – EIOPA) und der Europäischen Wertpapier- und Marktaufsichtsbehörde (European Securities and Markets Authority – ESMA) einen Bericht über die Risiken und Schwachstellen der europäischen Finanzmärkte und –systeme veröffentlicht.

Hintergrund

Der Gemeinsame Ausschuss der Europäischen Aufsichtsbehörden koordiniert die sektorübergreifende Zusammenarbeit zwischen EBA, EIOPA und ESMA, um so eine kohärente Aufsicht sicherzustellen. Unter anderem veröffentlicht der Gemeinsame Ausschuss im halbjährlichen Turnus Berichte, in denen Risiken und Schwachstellen in Bezug auf die Finanzstabilität in der Union nebst Empfehlungen, wie diese durch koordinierte Politik- und Aufsichtsmaßnahmen angegangen werden können, dargestellt werden.

Potenzielle Quellen für Instabilität und Handlungsempfehlungen

Im Einzelnen beschäftigt sich der Bericht mit dem Brexit, niedrigen Zinssätzen, unrentablen Banken, Leveraged Loans und Collaterized Loan Obligations sowie nachhaltiger Finanzwirtschaft und ESG-Risiken.

  • Brexit: Ein harter Brexit ohne Abkommen kann sich bspw. durch sinkende Vermögenswerte und steigende Risikoprämien auf den Finanzmärkten bemerkbar machen. Marktteilnehmer und Aufsichtsbehörden sollen deshalb ihre Arbeit an der Notfallplanung fortsetzen, sodass sie auch für einen harten Brexit gerüstet sind.
  • Niedrige Zinssätze: Es ist damit zu rechnen, dass die Zinssätze weiterhin niedrig bleiben, sodass die damit verbundenen Risiken berücksichtigt werden müssen, bspw. sollen bei Investmentfonds die Regeln für das Liquiditätsmanagement beachtet und Stresstests durchgeführt werden.
  • Unrentable Banken: Um die Widerstandsfähigkeit der Institute gegenüber einem schwierigeren wirtschaftlichen Umfeld zu erhöhen, sind weitere Investitionen in Finanztechnologien und das Erkunden von Möglichkeiten zur Konsolidierung des Bankensektors erforderlich. Gerade hier ist die konsequente Anwendung gemeinsamer Aufsichtsanforderungen und –regeln äußerst wichtig.
  • Leveraged Loans und Collaterized Loan Obligations (CLOs): Die Risiken, die im Zusammenhang mit dem Markt für Leveraged Loan und Collaterized Loan Obligations auftreten können, sollen weiter untersucht und identifiziert werden. Nach wie vor bestehen hier Unklarheiten über das Gesamtvolumen der ausstehenden Leveraged Loans und über die letztendlichen Risikoträger der CLO-Tranchen, wodurch eine Unterbewertung von Risiken droht.

Nachhaltige Finanzwirtschaft und ESG-Kriterien: der Klimawandel und die Implementierung der ESG-Kriterien Environment, Social und Governance kann erhebliche Risiken für das Finanzsystem bergen (vgl. dazu auch hier ),weshalb Aufsichtsbehörden und Finanzinstitute bspw. mittels Szenarioanalysen und Stresstests ihre Risikobewertung daran anpassen sollen.

Fazit

Die Handlungsempfehlungen sind für Marktteilnehmer rechtlich nicht bindend. Die nationalen Aufsichtsbehörden werden ihre Aufsichtspraxis jedoch an die Empfehlungen des Gemeinsamen Ausschusses der Europäischen Aufsichtsbehörden anpassen, sodass sich auch die Marktteilnehmer an den Handlungsempfehlungen orientieren sollten.

EIOPA veröffentlicht ein Konsultationspapier zum Thema Integration von Nachhaltigkeitsrisiken und – faktoren

Die EIOPA (European Insurance and Occupational Pensions Authority) hat am 28. November 2018 den Entwurf eines Technical Advice betreffend mögliche Anpassungen der delegierten Rechtsakte bezogen auf Solvency II sowie der Insurance Distribution Directive (IDD) (Richtlinie (EU) 2016/97) veröffentlicht. Die Konsultation endete am 30. Januar 2019.  

Die vorgeschlagenen Änderungen im Zusammenhang mit Solvency II zielen darauf ab, die Identifikation und die Bewertung der Nachhaltigkeitsrisiken auf den Gebieten des Underwriting und der Investitionen sicherzustellen. Dabei sollen die potentiellen langfristigen Auswirkungen auf Anlageentscheidungen bezogen auf Nachhaltigkeitsfaktoren Berücksichtigung finden (sog. steward principle). Zudem sollen die Präferenzen des Versicherungsnehmers für die ESG-Kriterien (Environmental, Social und Governance) reflektiert werden.

Die vorgeschlagenen Änderungen bezogen auf die IDD betreffen die folgenden Bereiche:

  • Interessenkonflikte: Versicherungsunternehmen bzw. Versicherungsvermittler sollen bei der Ermittlung von Interessenkonflikten, die die Interessen des Kunden beeinträchtigen könnten, auch solche Interessenkonflikte berücksichtigen, die im Zusammenhang mit Nachhaltigkeitsthemen stehen. Versicherungsunternehmen und Versicherungsvermittler sollen über geeignete Vorkehrungen verfügen, um sicherzustellen, dass ESG-Überlegungen in den Beratungsprozess einbezogen werden.
  • Produktüberwachung & Governance: Die ESG-Präferenzen der Kunden im Zielmarkt sollten in verschiedenen Phasen des Produktlebenszyklus berücksichtigt werden, wenn das Versicherungsprodukt Kunden angeboten wird, die Versicherungsprodukte mit einem ESG-Profil bevorzugen.

Stellungnahmen sollen auf der Grundlage der folgenden drei Grundsätze entwickelt wurde: Kohärenz mit den aktuellen Anforderungen, Verhältnismäßigkeit sowie sektorübergreifende Konsistenz.

Mit dem Konsultationspapier reagiert die EIOPA auf eine Anfrage der Europäischen Kommission vom 1. August 2018. Insbesondere bezog sich die Anfrage auf die folgenden Themen: organisatorische Anforderungen, Betriebsbedingungen, Risikomanagement sowie Zielmarktbewertung (letzteres nur im Zusammenhang mit der IDD).

Nachhaltigkeit wird im gesamten Finanzmarkt zum Dauerthema und Schwerpunkt auch für die Aufsichtsbehörden. Es bleibt abzuwarten, welche messbaren Kriterien letztlich als Konsens festgelegt werden, um Investitionen tatsächlich nachhaltiger zu gestalten.