Am 22. April diesen Jahres
veröffentliche die luxemburgische Aufsichtsbehörde Commission de Surveillance du Secteur Financier (CSSF) ein neues Rundschreiben mit der Bezeichung 22/806, in welchem sie detailliertere Vorschriften als je zuvor, hinsichtlich der Outsourcing-Beziehungen von Finanzmarktteilnehmern beschreibt.
Ziel dieser Vorschriften ist es, die Gesellschaften vor zu großen Abhängigkeiten durch das Outsourcing ihrer IT-Infrastruktur, von Geschäftsprozessen oder ganzen Dienstleistungssparten zu schützen und detaillierte Vorgaben hinsichtlich der Verträge und Überwachungspflichten zu machen.
Diese weitreichenden Pflichten zur Prüfung von Outsourcing-Verträgen, sowie der fortlaufenden Überwachung der Einhaltung gewisser Reporting- und Sicherheitsrichtlinien der Outsourcing Partner landen erneut auf dem Tisch von zahlreichen, luxemburgischen Investmentgesellschaften und Finanzdienstleistern.
(Bildquelle: https://pixabay.com/images/id-2648046/)
Zunächst aber langsam, für wen gelten die Vorschriften?
Dazu zunächst die Information, dass sich das Rundschreiben allgemein in zwei Teile aufteilt: Die European Banking Authority Guidelines („EBA Guidelines“), sowie die ICT Outsourcing Guidelines.
Erstere gelten für „credit institutions“, „investment firms“, sowie „payment and electronic money institutions“ und “Professionals of the financial Sector (PSF)” wohingegen die ICT Outsourcing Guidelines für “IFMs (Luxembourg UCITS Management Companies & AIFMs”, “Central Counterparties (CCPs)”, “Market operators operating a trading venue”, und “central securities depositories (CSDs)” gelten sollen.
Welche Outsourcing-Vorschriften werden verschärft?
Von besonderer Bedeutung sind Vorschriften für Manager von Investmentfonds hinsichtlich deren ICT-Outsourcing Aktivitäten. Damit gemeint ist die Auslagerung von wesentlichen (oder unwesentlichen) IT-Komponenten und Ressourcen zu Bewerkstelligung der täglichen Arbeit.
Spezieller wird im Rundschreiben von detaillierteren Organisations- und Governance-Anforderungen gesprochen. Gleichzeitig muss ein Register aller ICT-Outsourcingpartner angelegt und fortlaufend gepflegt werden.
Die CSSF stellt für neue Outsourcing-Beziehungen außerdem einen umfangreichen Fragebogen bereit, welcher durch den Auftraggeber vor dem Beginn des Projektes auszufüllen ist.
Ein positiver Aspekt des neuen Rundschreibens ist, dass nun für nicht-kritische oder unwichtige Auslagerungen eine klare Regelung geschaffen wurde, nach welcher diese nicht der CSSF anzuzeigen sind.
Was jetzt zu tun ist!
Wenn Sie betroffen sind ist es wichtig, zeitnah mit der Bearbeitung der Anforderungen zu beginnen und vor Allem eine ausreichende Dokumentation aufzubauen, sowie diese auf dem aktuellen Stand zu halten.
So sind Sie im Falle eines Vor-Ort Besuchs der CSSF auf der Sicheren Seite.
Wenn Sie bei der Beantwortung des Fragebogens oder der Dokumentation Hilfe benötigen, so sind wir für Sie stets unter www.it4funds.lu erreichbar.
Inkrafttreten
Die Anforderungen des Rundschreiben CSSF 22/806 treten für alle bestehenden Outsourcing Beziehungen zum 31.12.2022 in Kraft. Alle neuen Outsourcing-Beziehungen müssen demnach schon ab sofort (seit dem 30.06.2022) nach den neuen Anforderungen ausgestaltet werden.