EIOPA-BoS Pilveteenuse osutajatele tegevuse edasiandmise suunised

Seotud dokumendid
SUUNISED, MIS KÄSITLEVAD SELLISEID TESTE, LÄBIVAATAMISI VÕI TEGEVUSI, MIS VÕIVAD VIIA TOETUSMEETMETE RAKENDAMISENI EBA/GL/2014/ september 2014 S

Suunised Euroopa turu infrastruktuuri määruse (EMIR) kohaste kesksetele vastaspooltele suunatud protsüklilisusvastaste tagatismeetmete kohta 15/04/201

Komisjoni delegeeritud määrus (EL) nr 862/2012, 4. juuni 2012, millega muudetakse määrust (EÜ) nr 809/2004 seoses teabega nõusoleku kohta prospekti ka

EUROOPA KOMISJON Brüssel, C(2018) 7044 final KOMISJONI DELEGEERITUD MÄÄRUS (EL) /, , millega muudetakse delegeeritud määrust (EL)

Euroopa andmekaitseinspektori arvamus ettepaneku kohta võtta vastu nõukogu määrus, millega luuakse ühenduse kontrollisüsteem ühise kalanduspoliitika e

Väljaandja: Põllumajandusminister Akti liik: määrus Teksti liik: algtekst-terviktekst Redaktsiooni jõustumise kp: Redaktsiooni kehtivuse lõ

Arvamus nr 3/2019 seoses küsimuste ja vastustega kliiniliste uuringute määruse ja isikuandmete kaitse üldmääruse koosmõju kohta (artikli 70 lõike 1 pu

CDT

Suunised Reitinguagentuuride meetodite valideerimise ja läbivaatamise suunised 23/03/2017 ESMA/2016/1575 ET

EUROOPA KESKPANGA MÄÄRUS (EL) 2018/ 318, veebruar 2018, - millega muudetakse määrust (EL) nr 1011/ väärtpaberiosaluste sta

CL2004D0003ET _cp 1..1

EUROOPA KOMISJON Brüssel, C(2017) 4679 final KOMISJONI RAKENDUSOTSUS (EL) /, , milles käsitletakse EURESe portaalis vabade töökohta

EUROOPA LIIDU NÕUKOGU Brüssel, 15. mai 2008 (22.05) (OR. en) 9192/08 Institutsioonidevaheline dokument: 2008/0096 (CNB) UEM 110 ECOFIN 166 SAATEMÄRKUS

PR_COD_2am

untitled

SUUNISED SISEJUHTIMISE KOHTA EBA/GL/2017/11 21/03/2018 Suunised sisejuhtimise kohta

Justiitsministri määrus nr 10 Euroopa tõkendi tunnistuse vormi kehtestamine Lisa EUROOPA TÕKENDI TUNNISTUS 1 Viidatud nõukogu raamotsuse 20

KOMISJONI MÄÄRUS (EL) 2019/ 316, veebruar 2019, - millega muudetakse määrust (EL) nr 1408/ 2013, milles käsitletakse Euroopa L

EUROOPA PARLAMENDI JA NÕUKOGU DIREKTIIV 2014/•95/•EL, oktoober 2014, - millega muudetakse direktiivi 2013/•34/•EL seoses mitmeke

Tallinna lennujaam HEA ÜHINGUJUHTIMISE TAVA

MINISTRI KÄSKKIRI Tallinn nr Ministri käskkirja nr 164 Autokaubaveo komisjoni moodustamine ja töökorra kinnitamine muutmin

ET I LISA KOONDDOKUMENT NIMETUS KPN/KGT-XX-XXXX Taotluse esitamise kuupäev: XX-XX-XXXX 1. REGISTREERITAV(AD) NIMETUS(ED) KOLMAS RIIK, KUHU MÄÄRA

SUUNISED MAKSEJÕUETUSE VÕI TÕENÄOLISELT MAKSEJÕUETUKS JÄÄMISE KOHTA EBA/GL/2015/ Suunised erinevate asjaolude tõlgendamise kohta, mille p

ANDMEKAITSE INSPEKTSIOON Valvame, et isikuandmete kasutamisel austatakse eraelu ning et riigi tegevus oleks läbipaistev ISIKUANDMETE KAITSE EEST VASTU

MÄÄRUS nr 18 Välisvärbamise toetuse taotlemise ja kasutamise tingimused ning kord Määrus kehtestatakse riigieelarve seaduse 53 1 lõike 1 al

Euroopa Liidu Nõukogu Brüssel, 19. juuli 2019 (OR. en) 11128/19 PV CONS 40 SOC 546 EMPL 417 SAN 343 CONSOM 203 PROTOKOLLI KAVAND EUROOPA LIIDU NÕUKOGU

EUROOPA KESKPANGA OTSUS (EL) 2016/ 948, juuni 2016, - ettevõtlussektori varaostukava rakendamise kohta (EKP/ 2016/ 16)

AM_Ple_NonLegReport

KULUDOKUMENTIDE AUDITI ARUANNE

Euroopa Liidu Teataja L 109 Eestikeelne väljaanne Õigusaktid 60. aastakäik 26. aprill 2017 Sisukord II Muud kui seadusandlikud aktid MÄÄRUSED Komisjon

Microsoft PowerPoint - VKP_VÜFdial_J_AnnikaUettekanne_VKP_ _taiendatudMU.ppt [Compatibility Mode]

EUROOPA PARLAMENDI JA NÕUKOGU MÄÄRUS (EL) 2018/ 1807, november 2018, - mis käsitleb isikustamata andmete Euroopa Liidus vaba

LITSENTSILEPING Jõustumise kuupäev: LITSENTSIANDJA Nimi: SinuLab OÜ Registrikood: Aadress: Telefon: E-post:

EUROOPA KOMISJON Strasbourg, COM(2016) 821 final 2016/0398 (COD) Ettepanek: EUROOPA PARLAMENDI JA NÕUKOGU DIREKTIIV direktiivi 2006/123/EÜ (

Nissi Põhikooli isikuandmete töötlemise kord Kinnitatud direktori KK nr 1-2/10

OMANIKUJÄRELEVALVE_JG_TEIM

C

Load Ehitise kasutusluba Ehitusseaduse kohaselt võib valminud ehitist või selle osa kasutada vaid ettenähtud otstarbel. Kasutamise

Microsoft Word ESMA CFD Renewal Decision (2) Notice_ET

EUROOPA KOMISJON Brüssel, KOM(2011) 522 lõplik 2011/0226 (COD) C7-0225/11 ET Ettepanek: EUROOPA PARLAMENDI JA NÕUKOGU MÄÄRUS siseturu infosü

GEN

Tallinna hankekord

Euroopa Keskpanga otsus, 22. jaanuar 2014, millega muudetakse otsust EKP/2004/2, millega võetakse vastu Euroopa Keskpanga kodukord (EKP/2014/1)

156-77

Euroopa Liidu Nõukogu Brüssel, 20. juuli 2015 (OR. en) 10173/15 ADD 1 PV/CONS 36 ECOFIN 531 PROTOKOLLI KAVAND Teema: Euroopa Liidu Nõukogu istun

Aruanne Euroopa Liidu Asutuste Tõlkekeskuse eelarveaasta 2009 raamatupidamise aastaaruande kohta koos keskuse vastustega

Jenny Papettas

Euroopa andmekaitseinspektori arvamus, mis käsitleb õigusaktide ettepanekuid ühise põllumajanduspoliitika kohta pärast aastat

KOMISJONI RAKENDUSMÄÄRUS (EL) 2018/ 2019, detsember 2018, - millega kehtestatakse määruse (EL) 2016/ artikli 42 tähenduses

Kirjaplank

SANCO/10984/2010-EN Rev. 3

IT TEENUSTE EESKIRI Kehtib alates ÜLDSÄTTED 1.1. Käesolev Telia Eesti AS (edaspidi Telia) IT teenuste eeskiri (edaspidi Eeskiri) regulee

Euroopa Liidu Nõukogu Brüssel, 2. oktoober 2015 (OR. en) Institutsioonidevaheline dokument: 2012/0010 (COD) 12555/15 DATAPROTECT 154 JAI 707 DAPIX 163

Euroopa Liidu Nõukogu Brüssel, 15. juuni 2015 (OR. en) 9236/15 MÄRKUS Saatja: Saaja: Nõukogu peasekretariaat Alaliste esindajate komitee / nõukogu UEM

EN

Euroopa Liidu Nõukogu Brüssel, 28. veebruar 2019 (OR. en) Institutsioonidevaheline dokument: 2018/0107(COD) 6946/19 JAI 226 COPEN 80 CYBER 62 ENFOPOL

Ehitusseadus

c_ et pdf

KINNITATUD programmi nõukogu koosolekul Haridus ja Teadusministeeriumi teadus- ja arendustegevuse programmi Eesti keel ja kultuur digiajast

TA

Lisa 1 I Üldsätted 1. Riigihanke korraldamisel tuleb tagada rahaliste vahendite läbipaistev, otstarbekas ja säästlik kasutamine, isikute võrdne kohtle

VKE definitsioon

A5 kahjukindlustus

Euroopa Liidu Nõukogu Brüssel, 20. detsember 2016 (OR. en) Institutsioonidevaheline dokument: 2016/0394 (COD) 15716/16 ENV 815 CLIMA 186 CODEC 1924 ET

1 (7) Isikuandmete puutumatust käsitlev teadaanne - Stora Enso tarnija ja osaniku register 1 Eesmärk Käesoleva isikuandmete puutumatust käsitleva tead

ERAELU KAITSE JA RIIGI LÄBIPAISTVUSE EEST VAIDEOTSUS avaliku teabe asjas nr /18/2778 Otsuse tegija Otsuse tegemise aeg ja koht Andmekaitse Inspe

Microsoft Word ESMA CFD Renewal Decision Notice_ET

PowerPoint Presentation

Eesti Pank - blankett

struktuuriüksus

PowerPoint Presentation

EBA BS (Final Guidelines on ICT Risk Assessment under SREP)

PowerPoint Presentation

propofol: CMDh scientific conclusions and grounds for the variation, amendments to the product information and timetable for the implementation - PSUS

Eritingimused - (isiku)andmete töötlemine seoses HW teenuste osutamisega Vastavalt EL isikuandmete kaitse üldmäärusele (2016/679) toimub isikuandmete

EKP suunised pankadele viivislaenude kohta – lisa: usaldatavusnõuetekohaste eraldiste miinimumtase viivislaenude puhul

Food Supply Chain:

PowerPoint Presentation

Eelnõu 24

AM_Ple_LegReport

Euroopa Parlamendi ja nõukogu määrus (EÜ) nr 443/2009, 23. aprill 2009, millega kehtestatakse uute sõiduautode heitenormid väikesõidukite süsinikdioks

Juhatuse otsus

Jäätmetest saavad tooted läbi sertifitseerimisprotsessi. SERTIFITSEERIMISPROTSESSI tutvustus ja praktilised nõuanded.

G4S poolt võetavad kohustused 1. G4S juurutab oma hinnastamispõhimõtetes käesolevale dokumendile lisatud hinnastamismaatriksi. Hinnastamismaatriks läh

Siseministri 21. veebruari 2005.a määruse nr 34 Siseministri 27. augusti 2004.a määruse nr 52 Schengen Facility vahendite kasutamise kord muutmine lis

Kohtulahendite kogumik EUROOPA KOHTU OTSUS (esimene koda) 6. juuni 2018 * Eelotsusetaotlus Ühine põllumajanduspoliitika EAFRD kaudu rahastamine Määrus

Infopäeva päevakava 1. Meetme väljatöötamise üldised põhimõtted (Rahandusministeerium, Tarmo Kivi) 2. Taotlemine (Rahandusministeerium, Siiri Saarmäe)

Euroopa Andmekaitseinspektor — Teade Euroopa andmekaitseinspektori asetäitja vaba ametikoha kohta — COM/2014/10353

Lisa 3-Ametikiri_UUS.doc

Majandus- ja kommunikatsiooniministri 10. aprill a määrus nr 26 Avaliku konkursi läbiviimise kord, nõuded ja tingimused sageduslubade andmiseks

wp243_rev.01_et

TEENUSE OSUTAMISE LEPING /kuupäev digikonteineris/ Kooli nimi, Registrikood (edaspidi Asutus), mida esindab amet Eesnimi Perekonnanimi, ja Hariduse In

Kinnitatud Setomaa Liidu üldkoosolekul Setomaa edendüsfond 1. SEF eesmärk MTÜ Setomaa Liit juures asuv Setomaa edendüsfond (SEF) on loodud

EUPL v 1 1-all versions _4_

Euroopa Parlamendi ja nõukogu soovitus, 18. juuni 2009, Euroopa kutsehariduse ja -koolituse arvestuspunktide süsteemi (ECVET) loomise kohtaEMPs kohald

untitled

Üldist majandushuvi pakkuvate teenuste otsuse artikli 9 ja üldist majandushuvi pakkuvate teenuste raamistiku punkti 62 kohane liikmesriikide aruande v

Microsoft Word - n doc

Slide 1

Väljavõte:

EIOPA-BoS-20-002 Pilveteenuse osutajatele tegevuse edasiandmise suunised

Sisukord Sissejuhatus... 3 Mõisted... 3 Kohaldamise kuupäev... 4 1. suunis. Pilveteenused ja tegevuse edasiandmine... 5 2. suunis. Pilveteenuse osutajatele tegevuse edasiandmise juhtimise üldpõhimõtted... 5 3. suunis. Tegevuse edasiandmise kirjaliku poliitika ajakohastamine... 5 4. suunis. Kirjalik teatis järelevalveasutusele... 6 5. suunis. Dokumenteerimisnõuded... 7 6. suunis. Edasiandmiseelne analüüs... 7 7. suunis. Kriitiliste või oluliste funktsioonide ja tegevuste hindamine... 8 8. suunis. Pilveteenuse osutajatele tegevuse edasiandmise riskihindamine... 9 9. suunis. Pilveteenuse osutaja hoolsuskohustuse audit... 10 10. suunis. Lepingulised nõuded... 10 11. suunis. Juurdepääsu- ja auditeerimisõigus... 11 12. suunis. Andmete ja süsteemide turvalisus... 13 13. suunis. Edasiantud kriitiliste või oluliste funktsioonide või tegevuste edasiandmine... 14 14. suunis. Pilveteenuse osutajatele tegevuse edasiandmise lepingute seire ja järelevalve... 14 15. suunis. Lõpetamisõigus ja väljumisstrateegiad... 14 16. suunis. Järelevalveasutuste järelevalve pilveteenuse osutajatele tegevuse edasiandmise lepingute üle... 15 Järgimis- ja aruandluseeskirjad... 16 Läbivaatamise lõppsäte... 16 2/16

Sissejuhatus 1. EIOPA annab kooskõlas määruse (EL) nr 1094/2010 1 artikliga 16 välja suunised, et anda kindlustus- ja edasikindlustusandjatele juhiseid, kuidas kohaldada direktiivi 2009/138/EÜ 2 (edaspidi Solventsus II direktiiv ) ja komisjoni delegeeritud määruse (EL) 2015/35 3 (edaspidi delegeeritud määrus ) sätteid tegevuse edasiandmise kohta juhul, kui tegevus antakse edasi pilveteenuse osutajatele. 2. Käesolevad suunised põhinevad Solventsus II direktiivi artikli 13 lõikel 28, artiklitel 38 ja 49 ning delegeeritud määruse artiklil 274. Lisaks sellele tuginevad need suunised EIOPA juhtimissüsteemi suunistes (EIOPA-BoS-14/253) antud juhistele. 3. Need suunised on adresseeritud pädevatele asutustele, et anda juhiseid, kuidas kindlustus- ja edasikindlustusandjad (edaspidi koos kindlustusandja(d) ) peaksid kohaldama eespool nimetatud õigusaktides sätestatud tegevuse edasiandmise nõudeid seoses tegevuse edasiandmisega pilveteenuse osutajatele. 4. Suuniseid kohaldatakse nii üksikute kindlustusandjate kui ka mutatis mutandis konsolideerimisgruppide suhtes 4. Konsolideerimisgruppi kuuluvad üksused, mille suhtes kohaldatakse muid sektoripõhiseid nõudeid, on käesolevate suuniste kohaldamisalast individuaalsel tasandil välja jäetud, sest nad peavad järgima sektoripõhiseid nõudeid ning Euroopa Väärtpaberiturujärelevalve ja Euroopa Pangandusjärelevalve asjakohaseid juhiseid. 5. Kui tegevuse edasiandmine ja edasiantud tegevuse edasiandmine pilveteenuse osutajatele toimub konsolideerimisgrupi sees, tuleks käesolevaid suuniseid kohaldada koostoimes EIOPA juhtimissüsteemi suuniste sätetega, mis käsitlevad tegevuse edasiandmist konsolideerimisgrupi sees. 6. Kindlustusandjad ja pädevad asutused peaksid käesolevate suuniste järgimisel või nende täitmise üle järelevalve teostamisel võtma arvesse proportsionaalsuse põhimõtet 5 ning pilveteenuse osutajatele edasi antud teenuse kriitilisust või olulisust. Proportsionaalsuse põhimõte peaks tagama, et juhtimiskord, sealhulgas seoses tegevuse edasiandmisega pilveteenuse osutajatele, on vastavuses seotud riskide laadi, ulatuse ja keerukusega. 7. Suuniseid tuleks lugeda koostoimes EIOPA juhtimissüsteemi suunistega ja punktis 1 loetletud regulatiivsete kohustustega, ilma et see piiraks nende kohaldamist. Mõisted 8. Suunistes määratlemata terminitel on sissejuhatuses viidatud õigusaktides määratletud tähendus. 9. Lisaks kasutatakse käesolevates suunistes järgmisi mõisteid. 1 Euroopa Parlamendi ja nõukogu 24. novembri 2010. aasta määrus (EL) nr 1094/2010, millega asutatakse Euroopa Järelevalveasutus (Euroopa Kindlustus- ja Tööandjapensionide Järelevalve), muudetakse otsust nr 716/2009/EÜ ning tunnistatakse kehtetuks komisjoni otsus 2009/79/EÜ (ELT L 331, 15.12.2010, lk 48). 2 Euroopa Parlamendi ja nõukogu 25. novembri 2009. aasta direktiiv 2009/138/EÜ kindlustus- ja edasikindlustustegevuse alustamise ja jätkamise kohta (Solventsus II) (ELT L 335, 17.12.2009, lk 1). 3 Komisjoni 10. oktoobri 2014. aasta delegeeritud määrus (EL) 2015/35, millega täiendatakse Euroopa Parlamendi ja nõukogu direktiivi 2009/138/EÜ kindlustus- ja edasikindlustustegevuse alustamise ja jätkamise kohta (Solventsus II) (ELT L 12, 17.1.2015, lk 1). 4 Solventsus II direktiivi artikli 212 lõige 1. 5 Solventsus II direktiivi artikli 29 lõige 3. 3/16

Teenuseosutaja Kolmas isik, kes tegevuse edasiandmise lepingu alusel teostab edasiantud protsessi, teenust või tegevust või selle osa. Pilveteenuse osutaja Eespool määratletud teenuseosutaja, kes vastutab tegevuse edasiandmise lepingu alusel pilveteenuste osutamise eest. Pilveteenused Pilvandmetöötluse abil pakutavad teenused, st mudel, mis võimaldab vastavalt vajadusele kergesti juurde pääseda ühiskasutatavatele konfigureeritavatele andmetöötlusressurssidele (nt võrgud, serverid, salvestamine, rakendused ja teenused), mida saab vähese vaeva või teenuseosutaja vähese sekkumisega kiiresti pakkuda ja kättesaadavaks teha. Avalik pilv Pilvetaristu, mis on kättesaadav üldsusele Privaatpilv avalikuks kasutamiseks. Pilvetaristu, mis on kättesaadav ainukasutuseks ühele kindlustusandjale. Kogukonnapilv Pilvetaristu, mis on kättesaadav spetsiifilise kindlustusandjate ühenduse ainukasutuseks, näiteks ühe konsolideerimisgrupi mitmele kindlustusandjale. Hübriidpilv Kohaldamise kuupäev Pilvetaristu, mis koosneb kahest või enamast eraldi pilvetaristust. 10. Neid suuniseid kohaldatakse alates 1. jaanuarist 2021 kõigi lepingute suhtes, mis käsitlevad tegevuse edasiandmist pilveteenuse osutajatele ja mis on sõlmitud või mida on muudetud nimetatud kuupäeval või pärast seda. 11. Kindlustusandjad peaksid pilveteenuse osutajatele kriitiliste või oluliste funktsioonide või tegevuste edasiandmisega seotud kehtivad lepingud läbi vaatama ja neid asjakohaselt muutma, et tagada käesolevate suuniste järgimine 31. detsembriks 2022. 12. Kui pilveteenuse osutajatele kriitiliste või oluliste funktsioonide või tegevuste edasiandmisega seotud lepingute läbivaatamine ei ole 31. detsembriks 2022 valmis, peaksid kindlustusandjad teavitama oma järelevalveasutust 6 sellest asjaolust, sealhulgas läbivaatamise lõpuleviimiseks kavandatud meetmetest või võimalikust väljumisstrateegiast. Järelevalveasutus võib kindlustusandjaga kokku leppida kõnealuse läbivaatamise lõpuleviimise pikendatud ajakava, kui see on asjakohane. 13. Kindlustusandja poliitikad ja siseprotsessid tuleks (vajaduse korral) ajakohastada 1. jaanuariks 2021, samas tuleks pilveteenuse osutajatele kriitiliste või oluliste funktsioonide või tegevuste edasiandmisega seotud lepingute dokumenteerimise nõuded rakendada hiljemalt 31. detsembriks 2022. 6 Solventsus II direktiivi artikli 13 punkt 10. 4/16

1. suunis. Pilveteenused ja tegevuse edasiandmine 14. Kindlustusandja peaks kindlaks tegema, kas leping pilveteenuse osutajaga kuulub Solventsus II direktiivi kohaselt tegevuse edasiandmise määratluse alla. Hindamisel tuleks arvesse võtta järgmist: a. kas edasiantavat funktsiooni või tegevust (või selle osa) teostatakse korduvalt või pidevalt ja b. kas see funktsioon või tegevus (või selle osa) kuulub tavaliselt selliste funktsioonide või tegevuste hulka, mida kindlustusandja tavapärase äritegevuse käigus teostaks või võiks teostada, isegi kui kindlustusandja ei ole varem teostanud seda funktsiooni või tegevust. 15. Kui leping teenuseosutajaga hõlmab mitut funktsiooni või tegevust, peaks kindlustusandja oma hinnangus arvestama lepingu kõiki aspekte. 16. Juhul kui kindlustusandja annab funktsioonid või tegevused edasi teenuseosutajatele, kes ei ole pilveteenuse osutajad, kuid kes sõltuvad oma teenuste osutamisel olulisel määral pilvetaristutest (nt kui pilveteenuse osutaja kuulub edasiantud tegevuse edasiandmise ahelasse), kuulub sellise tegevuse edasiandmist käsitlev leping käesolevate suuniste kohaldamisalasse. 2. suunis. Pilveteenuse osutajatele tegevuse edasiandmise juhtimise üldpõhimõtted 17. Ilma et see piiraks delegeeritud määruse artikli 274 lõike 3 kohaldamist, peaks kindlustusandja haldus-, juht- või järelevalveorgan tagama, et mis tahes otsus anda kriitilised või olulised funktsioonid või tegevused edasi pilveteenuse osutajatele põhineb põhjalikul riskihindamisel, mis hõlmab kõiki lepinguga kaasnevaid asjakohaseid riske, nt info- ja kommunikatsioonitehnoloogia (edaspidi IKT ) riskid, talitluspidevuse risk, õiguslikud ja nõuetele vastavusega seotud riskid, kontsentratsioonirisk, muud operatsiooniriskid ning asjakohasel juhul andmete migratsiooni ja/või rakendusetapiga seotud riskid. 18. Juhul kui kindlustusandja annab kriitilised või olulised funktsioonid või tegevused edasi pilveteenuse osutajatele, peaks ta oma riskide ja maksevõime hindamisel kajastama vajaduse korral muutusi oma riskiprofiilis, mis tulenevad pilveteenuse osutajatele tegevuse edasiandmise lepingutest. 19. Pilveteenuste kasutamine peaks olema vastavuses kindlustusandja strateegiatega (nt IKT strateegia, infoturbe strateegia, operatsiooniriski juhtimise strateegia) ning sisekorra ja -protsessidega, mida tuleks vajaduse korral ajakohastada. 3. suunis. Tegevuse edasiandmise kirjaliku poliitika ajakohastamine 20. Juhul kui kindlustusandja annab tegevuse edasi pilveteenuse osutajatele, peaks ta ajakohastama tegevuse edasiandmise kirjaliku poliitika (nt vaadates selle läbi, lisades eraldi lisa või töötades välja uued kohandatud poliitikad) ja muud asjakohased sisepõhimõtteid (nt infoturve), võttes arvesse pilveteenuse osutajatele tegevuse edasiandmise eripära vähemalt järgmistes valdkondades: a. kindlustusandja asjaomaste funktsioonide, eelkõige haldus-, juht- või järelevalveorgani ning IKT, infoturbe, nõuetele vastavuse, riskijuhtimise ja siseauditi eest vastutavate funktsioonide rollid ja vastutusalad; b. pilveteenuse osutajatele kriitiliste või oluliste funktsioonide või tegevuste edasiandmisega seotud lepingute heakskiitmiseks, rakendamiseks, seireks, 5/16

haldamiseks ja (asjakohasel juhul) uuendamiseks vajalikud protsessid ja aruandlusmenetlused; c. pilveteenuste järelevalve, mis on proportsionaalne osutatavate teenustega kaasnevate olemuslike riskide laadi, ulatuse ja keerukusega, sealhulgas i) pilveteenuse osutajatele tegevuse edasiandmise lepingute riskihindamine ja pilveteenuste osutajatega seotud hoolsuskohustuse audit, sealhulgas riskihindamise sagedus; ii) seire ja juhtimiskontrollid (nt teenustaseme kokkuleppe kontroll); iii) turbestandardid ja -kontrollid; d. seoses kriitiliste või oluliste funktsioonide või tegevuste edasiandmisega pilveteenuse osutajatele tuleks viidata 10. suunises kirjeldatud lepingulistele nõuetele; e. dokumenteerimisnõuded ja järelevalveasutusele esitatav kirjalik teatis pilveteenuse osutajatele kriitiliste või oluliste funktsioonide või tegevuste edasiandmise kohta; f. seoses pilveteenuse osutajale tegevuse edasiandmise iga lepinguga, mis hõlmab kriitilisi või olulisi funktsioone või tegevusi, tuleb nõuda dokumenteeritud ja (vajaduse korral) piisavalt kontrollitud väljumisstrateegiat, mis on proportsionaalne osutatavate teenustega kaasnevate olemuslike riskide laadi, ulatuse ja keerukusega. Väljumisstrateegia võib hõlmata mitmesuguseid lõpetamisprotsesse, sealhulgas (kuid mitte ainult) pilveteenuse osutajale tegevuse edasiandmise lepinguga hõlmatud teenuste lõpetamist, taasintegreerimist või üleandmist. 4. suunis. Kirjalik teatis järelevalveasutusele 21. Solventsus II direktiivi artikli 49 lõikes 3 sätestatud kirjaliku teatamise nõudeid, mida on üksikasjalikumalt kirjeldatud EIOPA juhtimissüsteemi suunistes, kohaldatakse pilveteenuse osutajatele kriitiliste või oluliste funktsioonide ja tegevuste kõigi edasiandmiste suhtes. Kui varem mittekriitiliseks või ebaoluliseks liigitatud edasiantud funktsioon või tegevus muutub kriitiliseks või oluliseks, peaks kindlustusandja teatama sellest järelevalveasutusele. 22. Kindlustusandja kirjalik teatis peaks proportsionaalsuse põhimõtet arvestades sisaldama vähemalt järgmist teavet: a. edasiantud funktsiooni või tegevuse lühikirjeldus; b. lepingu alguskuupäev ja (kui asjakohane) järgmise uuendamise kuupäev, lõppkuupäev ja/või etteteatamistähtajad pilveteenuse osutaja ja kindlustusandja jaoks; c. pilveteenuse osutajale tegevuse edasiandmise lepingu suhtes kohaldatav õigus; d. pilveteenuse osutaja nimi, registreerimisnumber, juriidilise isiku tunnus (kui olemas), registrijärgne aadress ja muud kontaktandmed ning (kui asjakohane) emaettevõtte nimi; konsolideerimisgrupi puhul teave selle kohta, kas pilveteenuse osutaja kuulub konsolideerimisgruppi või mitte; e. pilveteenused ja kasutuselevõtumudelid (st avalik/privaat-/hübriid- /kogukonnapilv), hoitavate andmete eripära ja asukohad (st riigid või piirkonnad); f. lühikokkuvõte põhjustest, miks edasiantud funktsiooni või tegevust peetakse kriitiliseks või oluliseks; 6/16

g. millal edasiantud funktsiooni või tegevuse kriitilisust või olulisust viimati hinnati. 5. suunis. Dokumenteerimisnõuded 23. Kindlustusandja peaks oma juhtimis- ja riskijuhtimissüsteemi raames pidama arvestust pilveteenuse osutajatele tegevuse edasiandmise lepingute üle, nt pidades ajakohastatavat eriregistrit. Samuti peaks kindlustusandja säilitama pilveteenuse osutajatele tegevuse edasiandmist käsitlevate lõpetatud lepingute andmeid asjakohase säilitamisperioodi jooksul vastavalt riiklikele õigusnormidele. 24. Kriitiliste või oluliste funktsioonide või tegevuste edasiandmise korral peaks kindlustusandja registreerima kogu järgmise teabe: a. 4. suunises osutatud teave, mis tuleb teatada järelevalveasutusele; b. konsolideerimisgrupi puhul kindlustus- või edasikindlustusandjad ja muud usaldatavusnõuete kohase konsolideerimise alla kuuluvad kindlustusandjad, kes kasutavad pilveteenuseid; c. viimase riskihindamise kuupäev ja põhitulemuste kokkuvõte; d. pilveteenuse osutajale tegevuse edasiandmise lepingu heaks kiitnud üksikisik või otsuseid tegev organ (näiteks haldus-, juht- või järelevalveorgan) ettevõttes; e. viimase ja järgmise korrapärase auditi kuupäev, kui asjakohane; f. kõigi alltöövõtjate nimed, kellele on edasi antud kriitilise või olulise funktsiooni või tegevuse olulised osad, sealhulgas nende registrijärgne riik, teenuse osutamise riik ja asjakohasel juhul andmete hoidmise asukoht (st riigid või piirkonnad); g. pilveteenuse osutaja asendatavuse hindamise tulemus (nt lihtne, keeruline või võimatu); h. kas edasiantud kriitiline või oluline funktsioon või tegevus toetab ajakriitilisi tegevusi; i. hinnanguline aasta eelarvekulu; j. kas kindlustusandjal on olemas väljumisstrateegia juhuks, kui kumbki pool lõpetab tegevuse või pilveteenuse osutaja teenuste osutamine katkeb. 25. Mittekriitiliste või ebaoluliste funktsioonide või tegevuste edasiandmise korral peaks kindlustusandja määratlema registreeritava teabe pilveteenuse osutaja osutatavate teenustega kaasnevate olemuslike riskide laadi, ulatuse ja keerukuse alusel. 26. Kindlustusandja peaks tegema järelevalveasutusele taotluse korral kättesaadavaks kogu teabe, mida järelevalveasutus vajab kindlustusandja üle järelevalve teostamiseks, sealhulgas tegevuse edasiandmise lepingu koopia. 6. suunis. Edasiandmiseelne analüüs 27. Enne pilveteenuse osutajatega lepingu sõlmimist peaks kindlustusandja a. hindama, kas pilveteenuse osutajale tegevuse edasiandmise leping puudutab kriitilist või olulist funktsiooni või tegevust kooskõlas 7. suunisega; b. tuvastama kõik pilveteenuse osutajale tegevuse edasiandmisega seotud riskid ja hindama neid kooskõlas 8. suunisega; 7/16

c. tegema võimaliku pilveteenuse osutajaga seoses asjakohase hoolsuskohustuse auditi kooskõlas 9. suunisega; d. tuvastama huvide konfliktid, mida tegevuse edasiandmine võib põhjustada, ja hindama neid kooskõlas delegeeritud määruse artikli 274 lõike 3 punktis b sätestatud nõuetega. 7. suunis. Kriitiliste või oluliste funktsioonide ja tegevuste hindamine 28. Enne tegevuse edasiandmise lepingu sõlmimist pilveteenuse osutajaga peaks kindlustusandja hindama, kas tegevuse edasiandmise leping on seotud kriitilise või olulise funktsiooni või tegevusega. Vajaduse korral peaks kindlustusandja seda hinnates kaaluma, kas leping võib tulevikus muutuda kriitiliseks või oluliseks. Samuti peaks kindlustusandja pilveteenuse osutajale varem edasi antud funktsiooni või tegevuse kriitilisust või olulisust uuesti hindama, kui lepingust tulenevate olemuslike riskide laad, ulatus või keerukus oluliselt muutub. 29. Hindamisel peaks kindlustusandja võtma koos riskihindamise tulemusega arvesse vähemalt järgmisi tegureid: a. mõju, mida edasiantud funktsiooni või tegevuse teostamise oluline katkestus või pilveteenuse osutaja suutmatus osutada teenuseid kokkulepitud teenustasemetel võib avaldada kindlustusandja i. regulatiivsete kohustuste pidevale täitmisele; ii. iii. iv. lühi- ja pikaajalisele finantsilisele ja maksevõime vastupidavusele ning elujõulisusele; talitluspidevusele ja tegevuslikule vastupidavusele; operatsiooniriskile, sealhulgas käitumis-, IKT ja õiguslikele riskidele; v. maineriskidele; b. pilveteenuse osutajale tegevuse edasiandmise lepingu võimalik mõju kindlustusandja suutlikkusele i. tuvastada, jälgida ja juhtida kõiki asjaomaseid riske; ii. iii. täita kõiki õiguslikke ja regulatiivseid nõudeid; teha edasiantud funktsiooni või tegevusega seoses asjakohaseid auditeid; c. kindlustusandja (ja/või asjakohasel juhul konsolideerimisgrupi) koondriskipositsioon seoses konkreetse pilveteenuse osutajaga ning samasse ärivaldkonda kuuluvate tegevuse edasiandmise lepingute võimalik koondmõju; d. kindlustusandja selliste ärivaldkondade suurus ja keerukus, mida mõjutab tegevuse edasiandmine pilveteenuse osutajatele; e. suutlikkus (kui see on vajalik või soovitav) anda pilveteenuse osutajale tegevuse edasiandmise kavandatav leping üle teisele pilveteenuse osutajale või taasintegreerida teenused ( asendatavus ); f. isikuandmete ja isikustamata andmete kaitse ning konfidentsiaalsusnõuete rikkumise või andmete kättesaadavuse ja tervikluse tagamata jätmise võimalik mõju kindlustusandjale, kindlustusvõtjatele või teistele asjaomastele isikutele, tuginedes muu hulgas määrusele (EL) 2016/679 7. Kindlustusandja peaks 7 Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrus (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT L 119, 4.5.2016, lk 1). 8/16

eelkõige arvesse võtma andmeid, mis on ärisaladus ja/või mis on tundlikud (nt kindlustusvõtjate terviseandmed). 8. suunis. Pilveteenuse osutajatele tegevuse edasiandmise riskihindamine 30. Üldjuhul peaks kindlustusandja kasutama lähenemisviisi, mis on vastavuses pilveteenuse osutajatele edasi antavate teenustega kaasnevate olemuslike riskide laadi, ulatuse ja keerukusega. See hõlmab mõju hindamist, mida tegevuse edasiandmine pilveteenuse osutajatele võib avaldada eelkõige operatsiooni- ja maineriskidele. 31. Juhul kui pilveteenuse osutajatele antakse edasi kriitilised või olulised funktsioonid või tegevused, peaks kindlustusandja a. võtma arvesse kavandatava pilveteenuse osutajatele tegevuse edasiandmise lepingu oodatavat kasulikkust ja kulu, võrreldes sealhulgas kõiki olulisi riske, mida võib vähendada või paremini juhtida, kõigi oluliste riskidega, mis võivad tekkida kavandatava edasiandmislepingu tulemusena; b. hindama (kui see on vajalik ja asjakohane) riske, sealhulgas õiguslikke riske, IKT-riske, vastavusriske (nõuete mittejärgmisest tulenevaid riske) ja maineriske, ning järelevalve piiranguid, mis tulenevad järgmisest: i. valitud pilveteenus ja kavandatud kasutuselevõtumudelid (st avalik/privaat-/hübriid-/kogukonnapilv); ii. iii. iv. andmete migratsioon ja/või rakendamine; tegevused ning nendega seotud andmed ja süsteemid, mille puhul kaalutakse edasiandmist (või mis on edasi antud), ning nende tundlikkus ja nõutavad turbemeetmed; poliitiline stabiilsus ja julgeolekuolukord riikides (ELis või väljaspool ELi), kus edasiantud teenuseid osutatakse või võidakse osutada ja kus andmeid hoitakse või tõenäoliselt hoitakse. Hindamisel tuleks arvesse võtta järgmist: 1. kehtivad õigusaktid (sh andmekaitse kohta); 2. kohaldatavad õiguskaitsesätted; 3. maksejõuetusõiguse sätted, mida kohaldatakse teenuseosutaja maksejõuetuse korral, ja piirangud, mis tekiksid, kui oleks vaja kindlustusandja andmeid kiiresti taastada; v. edasiantud tegevuse edasiandmine, sealhulgas täiendavad riskid, mis võivad tekkida, kui alltöövõtja asub kolmandas riigis või pilveteenuse osutajast erinevas riigis, ning risk, et edasiantud tegevuse edasiandmise pikad ja keerulised ahelad vähendavad kindlustusandja suutlikkust teha järelevalvet oma kriitiliste või oluliste funktsioonide või tegevuste üle ning järelevalveasutuste suutlikkust teha nende üle tõhusat järelevalvet; vi. kindlustusandja üldine kontsentratsioonirisk seoses konkreetse pilveteenuse osutajaga, sealhulgas tegevuse edasiandmine pilveteenuse osutajale, kes ei ole kergesti asendatav, või konkreetse pilveteenuse osutajaga mitme edasiandmislepingu sõlmimine. Kontsentratsiooniriski hindamisel peaks kindlustusandja (ja/või konsolideerimisgrupp, kui asjakohane) võtma arvesse kõiki 9/16

konkreetse pilveteenuse osutajaga sõlmitud tegevuse edasiandmise lepinguid. 32. Riskihindamine tuleks teha enne tegevuse edasiandmist pilveteenuse osutajale. Kui kindlustusandja saab teada olulistest puudustest ja/või muutustest osutatavates teenustes või pilveteenuse osutaja olukorras, tuleks riskihinnang viivitamata läbi vaadata või see uuesti teha. Kui pilveteenuse osutajale tegevuse edasiandmise lepingut uuendatakse seoses selle sisu ja ulatusega (nt ulatuse laiendamine või varem hõlmamata kriitiliste või oluliste funktsioonide lisamine), tuleks riskihindamine uuesti teha. 9. suunis. Pilveteenuse osutaja hoolsuskohustuse audit 33. Kindlustusandja peaks oma valiku- ja hindamisprotsessi käigus tagama, et pilveteenuse osutaja on sobiv vastavalt kindlustusandja tegevuse edasiandmise kirjalikus poliitikas määratud kriteeriumidele. 34. Enne mis tahes funktsiooni või tegevuse edasiandmist tuleks teha pilveteenuse osutaja hoolsuskohustuse audit. Kui kindlustusandja sõlmib hindamise juba läbinud pilveteenuse osutajaga teise lepingu, peaks kindlustusandja riskipõhise lähenemisviisi alusel määrama, kas on vaja teha teine hoolsuskohustuse audit. Kui kindlustusandja saab teada olulistest puudustest ja/või muutustest osutatavates teenustes või pilveteenuse osutaja olukorras, tuleks hoolsuskohustuse audit viivitamata läbi vaadata või see uuesti teha. 35. Juhul kui pilveteenuse osutajale antakse edasi kriitilised või olulised funktsioonid, tuleks hoolsuskohustuse auditi raames hinnata pilveteenuse osutaja sobivust (nt oskused, taristu, majanduslik olukord, äriühingu staatus ja õiguslik seisund). Kui asjakohane, võib kindlustusandja kasutada hoolsuskohustuse auditi toetuseks tõendeid, rahvusvahelistel standarditel põhinevaid sertifikaate, tunnustatud kolmandate isikute auditiaruandeid või siseauditi aruandeid. 10. suunis. Lepingulised nõuded 36. Kindlustusandja ja pilveteenuse osutaja õigused ja kohustused peaksid olema selgelt jaotatud ning vormistatud kirjaliku lepinguna. 37. Ilma et see piiraks delegeeritud määruse artiklis 274 sätestatud nõuete kohaldamist, tuleks kriitiliste või oluliste funktsioonide või tegevuste edasiandmisel pilveteenuse osutajale esitada kindlustusandja ja pilveteenuse osutaja vahel sõlmitavas kirjalikus lepingus järgmine teave: a. osutatava edasiantud funktsiooni selge kirjeldus (pilveteenused, sealhulgas tugiteenuste liik); b. lepingu algus- ja (kui asjakohane) lõppkuupäev ning etteteatamistähtajad pilveteenuse osutaja ja kindlustusandja jaoks; c. kohtualluvus ja lepingu suhtes kohaldatav õigus; d. poolte finantskohustused; e. kas edasiantud kriitilise või olulise funktsiooni või tegevuse (või selle oluliste osade) edasiandmine on lubatud ja kui on, siis tingimused, millele oluline edasiandmine peab vastama (vt 13. suunis); f. koht (st piirkonnad või riigid), kus asjaomaseid andmeid hoitakse ja töödeldakse (andmekeskuste asukoht), ning nõutavad tingimused, sealhulgas nõue kindlustusandjat teavitada, kui teenuseosutaja kavatseb asukohta (asukohti) muuta; 10/16

g. sätted, mis käsitlevad juurdepääsu asjaomastele andmetele ning nende kättesaadavust, terviklust, konfidentsiaalsust, privaatsust ja ohutust, võttes arvesse 12. suunise nõudeid; h. kindlustusandja õigus korrapäraselt jälgida pilveteenuse osutaja tegevust; i. kokkulepitud teenustasemed, sealhulgas konkreetsed kvantitatiivsed ja kvalitatiivsed toimivusnõuded, mille alusel saab teha õigeaegset seiret ja võtta põhjendamatult viivitamata asjakohaseid parandusmeetmeid, kui tase ei vasta kokkulepitule; j. pilveteenuse osutaja aruandluskohustus kindlustusandja ees, sealhulgas vajaduse korral kohustus esitada kindlustusandja turbefunktsiooni ja põhifunktsioonide jaoks olulisi aruandeid, näiteks pilveteenuse osutaja siseauditi funktsiooni aruandeid; k. kas pilveteenuse osutaja peaks sõlmima kohustusliku kindlustuse teatud riskide vastu ja (kui asjakohane) nõutava kindlustuskaitse tase; l. nõue rakendada ja kontrollida hädaolukorra lahendamise kavu; m. nõue, et pilveteenuse osutaja peab andma kindlustusandjale, tema järelevalveasutustele ja mis tahes muudele kindlustusandja või järelevalveasutuste määratud isikutele järgmised õigused: i. täielik juurdepääs kõigile asjaomastele tegevusruumidele (peakontor või tegevuskeskus) ning kõigile edasiantud funktsiooni täitmiseks kasutatavatele seadmetele, süsteemidele, võrkudele, teabele ja andmetele (sh seotud finantsteabele), personalile ja pilveteenuse osutaja välisaudiitoritele ( juurdepääsuõigus ); ii. piiramatu kontrolli- ja auditeerimisõigus seoses pilveteenuse osutajale tegevuse edasiandmise lepinguga ( auditeerimisõigus ), et oleks võimalik teha tegevuse edasiandmise lepingu seiret ning tagada kõigi kohaldatavate regulatiivsete ja lepinguliste nõuete täitmine; n. sätted, millega tagatakse, et kindlustusandja saab oma andmed kohe kätte, kui pilveteenuse osutaja peaks osutuma maksejõuetuks, vajama kriisilahendust või tegevuse lõpetama. 11. suunis. Juurdepääsu- ja auditeerimisõigus 38. Selleks et kindlustusandja saaks täita oma regulatiivseid kohustusi, ei tohiks pilveteenuse osutajale tegevuse edasiandmise lepinguga piirata kindlustusandja juurdepääsu- ja auditeerimisõiguse ega pilveteenuste kontrollivõimaluste tõhusat kasutamist. 39. Kindlustusandja peaks kasutama oma juurdepääsu- ja auditeerimisõigust ja määrama riskipõhise lähenemisviisi alusel auditite sageduse ning auditeeritavad valdkonnad ja teenused kooskõlas EIOPA juhtimissüsteemi suuniste 8. jaoga. 40. Juurdepääsu- või auditeerimisõiguse kasutamise sageduse ja ulatuse määramisel peaks kindlustusandja võtma arvesse seda, kas tegevuse edasiandmine pilveteenuse osutajale on seotud kriitilise või olulise funktsiooni või tegevusega ja milline on tegevuse edasiandmise lepingust tuleneva riski laad ja ulatus ning mõju kindlustusandjale. 41. Kui juurdepääsu- või auditeerimisõiguse või teatud audititehnikate kasutamine põhjustab riski pilveteenuse osutaja ja/või teise pilveteenuse osutaja kliendi keskkonnale (nt mõju teenustasemetele, andmete kättesaadavus, 11/16

konfidentsiaalsusaspektid), peaksid kindlustusandja ja pilveteenuse osutaja leppima kokku alternatiivsetes viisides, kuidas pakkuda kindlustusandjale sarnasel tasemel kindlust ja teenust (nt konkreetsete kontrollimehhanismide lisamine, mida kontrollitakse pilveteenuse osutaja koostatavas eriaruandes/sertifikaadis). 42. Ilma et see piiraks kindlustusandjate lõplikku vastutust pilveteenuse osutajate tegevuse eest, võivad nad kasutada auditiressursside tõhusamaks rakendamiseks ning pilveteenuse osutaja ja tema klientide organisatsioonilise koormuse vähendamiseks järgmist: a. pilveteenuse osutaja esitatud kolmanda isiku väljastatud sertifikaate ja kolmanda isiku või siseauditi aruandeid; b. ühisauditeid (st auditid viiakse läbi koos konkreetse pilveteenuse osutaja teiste klientidega) või nende määratud kolmanda isiku tehtud ühisauditeid. 43. Kriitiliste või oluliste funktsioonide või tegevuste edasiandmisel pilveteenuse osutajatele peaksid kindlustusandjad kasutama punkti 42 alapunktis a osutatud meetodit üksnes juhul, kui nad a. tagavad, et sertifikaat või auditiaruanne hõlmab kindlustusandja määratud süsteeme (nt protsessid, rakendused, taristu, andmekeskused jne) ja kontrollimehhanisme ning selle raames hinnatakse asjaomaste regulatiivsete nõuete täitmist; b. hindavad korrapäraselt ja põhjalikult uute sertifikaatide ja auditiaruannete sisu ning jälgivad, et sertifikaadid ja aruanded ei oleks aegunud; c. tagavad, et tulevastes sertifikaatides või auditiaruannetes oleks käsitletud olulisi süsteeme ja kontrollimehhanisme; d. on rahul sertifitseeriva või auditeeriva isiku suutlikkusega (nt sertifitseerimisvõi auditiettevõtte rotatsiooni, kvalifikatsioonide, asjatundlikkuse ja audititoimikus olevate tõendite ülekontrollimisega/kinnitamisega); e. on veendunud, et sertifikaate väljastatakse ja auditeid tehakse asjakohaste standardite alusel ning et need sisaldavad kehtestatud oluliste kontrollimehhanismide tulemuslikkuse kontrolli; f. on sätestanud lepingus enda õiguse nõuda sertifikaatide ja auditiaruannete ulatuse laiendamist teistele asjaomastele süsteemidele ja kontrollimehhanismile (selliste ulatuse muutmise taotluste arv ja esitamise sagedus peaks olema mõistlik ja riskijuhtimise seisukohast põhjendatud); g. säilitavad lepingujärgse õiguse teha omal äranägemisel individuaalseid kohapealseid auditeid seoses kriitiliste või oluliste funktsioonide või tegevuste edasiandmisega pilveteenuse osutajatele; seda õigust tuleks kasutada erivajaduste korral, mida ei ole võimalik lahendada muud liiki suhtluse kaudu pilveteenuse osutajaga. 44. Kriitiliste või oluliste funktsioonide edasiandmiseks pilveteenuse osutajatele peaks kindlustusandja hindama, kas punkti 42 alapunktis a nimetatud kolmanda isiku väljastatud sertifikaadid ja aruanded on regulatiivsete kohustuste täitmiseks piisavad, ning mitte alati toetuma üksnes neile aruannetele ja sertifikaatidele, pidades silmas riskipõhist lähenemisviisi. 45. Enne kavandatud kohapealset kontrollkäiku peaks oma juurdepääsuõigust kasutav isik (kindlustusandja, audiitor või kindlustusandja(te) nimel tegutsev kolmas isik) sellest mõistliku aja jooksul ette teatama, välja arvatud juhul, kui varajane etteteatamine ei ole olnud hädaolukorra või kriisiolukorra tõttu võimalik. 12/16

Sellises teates tuleks täpsustada kontrollkäigu toimumiskoht ja eesmärk ning selles osalevad töötajad. 46. Arvestades, et pilvandmetöötluse lahendused on tehniliselt väga keerukad, peaks kindlustusandja kontrollima, et auditit tegevad töötajad tema enda siseaudiitorid või tema nimel tegutsevad audiitorid või pilveteenuse osutaja määratud audiitorid või vajaduse korral kolmandast isikust sertifitseerimisasutuse või teenuseosutaja auditiaruandeid läbi vaatavad töötajad on omandanud asjaomaste auditite ja/või hindamiste läbiviimiseks asjakohased oskused ja teadmised. 12. suunis. Andmete ja süsteemide turvalisus 47. Kindlustusandja peaks tagama, et pilveteenuse osutajad järgivad Euroopa ja riiklikke eeskirju ning asjakohaseid IKT turbestandardeid. 48. Juhul kui kindlustusandja annab pilveteenuse osutajatele edasi kriitilised või olulised funktsioonid või tegevused, peaks ta lisaks määrama tegevuse edasiandmise lepingus konkreetsed infoturbenõuded ja jälgima korrapäraselt nende nõuete täitmist. 49. Juhul kui kindlustusandja annab kriitilised või olulised funktsioonid või tegevused edasi pilveteenuse osutajatele, peaks ta riskipõhist lähenemisviisi kohaldades ning enda ja pilveteenuse osutaja kohustusi arvesse võttes tegema punkti 48 kohaldamisel järgmist: a. leppima selgelt kokku pilveteenuse osutaja ja kindlustusandja vahel selgelt jaotatud rollid ja kohustused seoses funktsioonide või tegevustega, mida mõjutab tegevuse edasiandmine pilveteenuse osutajale; b. määrama ja otsustama andmete konfidentsiaalsuse, edasiantavate tegevuste jätkuvuse ning andmete ja süsteemide tervikluse ja jälgitavuse tagamiseks sobiva kaitsetaseme tegevuse edasiandmiseks pilveteenuse osutajale; c. kaaluma vajaduse korral edastatavate andmete, mälus olevate andmete ja sisestatud andmetega seoses erimeetmeid, nt krüpteerimistehnoloogia kasutamine koos asjakohase võtmehaldusega; d. kaaluma mehhanisme pilveteenuste integreerimiseks kindlustusandja süsteemidega, näiteks rakendusliidesed ning usaldusväärne kasutaja- ja juurdepääsuhalduse protsess; e. tagama lepinguga, et võrguliikluse kättesaadavus ja eeldatav läbilaskevõime vastavad rangetele talitluspidevuse nõuetele, kui see on asjakohane ja teostatav; f. määrama ja otsustama nõuetekohase talitluspidevuse nõuded, millega tagatakse piisav tase tehnoloogiaahela igal tasandil, kus asjakohane; g. kehtestama usaldusväärse ja hästi dokumenteeritud intsidentide haldamise protsessi, mis hõlmab asjakohaseid kohustusi, nt tegelike või arvatavate intsidentide korral kasutatava koostöömudeli määratlemine; h. kohandama riskipõhist lähenemisviisi seoses andmete hoidmise ja töötlemise asukohaga (st riik või piirkond) ning infoturbe kaalutlustega; i. jälgima pilveteenuse osutaja rakendatavate kontrollimehhanismide tulemuslikkuse ja tõhususega seotud nõuete täitmist, mis vähendaksid osutatavate teenustega seotud riske. 13/16

13. suunis. Edasiantud kriitiliste või oluliste funktsioonide või tegevuste edasiandmine 50. Kui edasiantud kriitiliste või oluliste funktsioonide (või nende osa) edasiandmine on lubatud, tuleks kindlustusandja ja pilveteenuse osutaja vahelises tegevuse edasiandmise lepingus a. sätestada tegevusliigid, mis jäetakse välja edasiantud tegevuse võimalikust edasiandmisest; b. täpsustada tingimused, mida tuleb edasiantud tegevuse edasiandmise korral täita (nt et allteenuseosutaja täidab samuti täielikult pilveteenuse osutaja asjaomaseid kohustusi). Need kohustused hõlmavad auditeerimis- ja juurdepääsuõigust ning andmete ja süsteemide turvalisust; c. märkida, et pilveteenuse osutaja vastutab edasiantud teenuste edasiandmise korral täielikult nende teenuste eest ja teostab nende üle järelevalvet; d. sätestada pilveteenuse osutaja kohustus teavitada kindlustusandjat kõigist alltöövõtjate või asjaomaste teenustega seoses kavandatud olulistest muudatustest, mis võivad mõjutada teenuseosutaja suutlikkust täita kohustusi, mis tulenevad pilveteenuse osutajale tegevuse edasiandmise lepingust. Nendest muudatustest teatamise aeg peaks võimaldama kindlustusandjal teha vähemalt kavandatud muudatuste mõju riskihindamise, enne kui allteenuseosutajate või asjaomaste teenustega seotud muudatus tegelikult toimub; e. tagada, et kindlustusandjal on õigus esitada muudatuste suhtes vastuväiteid ja/või õigus leping lõpetada ja sellest väljuda, juhul kui pilveteenuse osutada kavatseb teha allteenuseosutaja või asjaomaste teenustega seoses muudatusi, mis kahjustaksid kokkulepitud teenuste riskihindamist. 14. suunis. Pilveteenuse osutajatele tegevuse edasiandmise lepingute seire ja järelevalve 51. Kindlustusandja peaks riskipõhise lähenemisviisi alusel korrapäraselt jälgima oma pilveteenuse osutajate tegevust, turbemeetmeid ja kokkulepitud teenustasemest kinnipidamist. Põhitähelepanu tuleks pöörata kriitiliste ja oluliste funktsioonide edasiandmisele pilveteenuse osutajatele. 52. Selleks peaks kindlustusandja kehtestama seire- ja järelevalvemehhanismid, milles peaks arvesse võtma, kui see on teostatav ja asjakohane, edasiantud kriitiliste või oluliste funktsioonide või nende osa edasiandmist. 53. Haldus-, juht- või järelevalveorganit tuleks korrapäraselt teavitada riskidest, mis on tuvastatud pilveteenuse osutajatele kriitiliste või oluliste funktsioonide või tegevuste edasiandmisel. 54. Et tagada pilveteenuse osutajatele tegevuse edasiandmise lepingute piisav seire ja järelevalve, peaksid kindlustusandjad kasutama pilveteenuse osutajatele edasi antud teenuste seireks piisaval arvul piisavate oskuste ja teadmistega töötajaid. Kindlustusandja nende tegevuste eest vastutavatel töötajatel peaksid olema vajaduse korral nii IKT kui ka äritegevuse teadmised. 15. suunis. Lõpetamisõigus ja väljumisstrateegiad 55. Kriitiliste või oluliste funktsioonide või tegevuste edasiandmisel pilveteenuse osutajale peaks kindlustusandja lisama tegevuse edasiandmise lepingusse selgelt 14/16

sõnastatud väljumisstrateegia klausli, millega tagatakse, et ta saab lepingu vajaduse korral lõpetada. Lõpetamine peaks olema võimalik, ilma et see kahjustaks kindlustusvõtjatele teenuste osutamise järjepidevust ja kvaliteeti. Selle saavutamiseks peaks kindlustusandja a. töötama välja terviklikud, teenusepõhised, dokumenteeritud ja piisavalt kontrollitud (nt analüüsides potentsiaalsete eri väljumisvõimaluste võimalikke kulusid, mõju, ressursse ja ajastust) väljumiskavad; b. tegema kindlaks alternatiivsed lahendused ning töötama välja asjakohased ja teostatavad üleminekukavad, mis võimaldavad kindlustusandjal võtta olemasolevad tegevused ja andmed pilveteenuse osutajalt ära ning anda need üle alternatiivsetele teenuseosutajatele või tagasi kindlustusandjale. Need lahendused tuleks määratleda probleemide osas, mis võivad tekkida andmete asukoha tõttu, võttes vajalikke meetmeid talitluspidevuse tagamiseks üleminekuetapis; c. tagama, et pilveteenuse osutaja toetab kindlustusandjat piisavalt, kui viimane annab edasiantud andmed, süsteemid või rakendused üle teisele teenuseosutajale või otse kindlustusandjale; d. leppima pilveteenuse osutajaga kokku, et pärast seda, kui andmed on kindlustusandjale tagasi antud, kustutab pilveteenuse osutaja tema andmed täielikult ja turvaliselt kõigis piirkondades. 56. Väljumisstrateegiate väljatöötamisel peaks kindlustusandja kaaluma järgmist: a. määrama väljumisstrateegia eesmärgid; b. määrama käivitavad sündmused (nt peamised riskinäitajad, mis näitavad teenuse vastuvõetamatut taset), mis võiksid väljumisstrateegia aktiveerida; c. tegema edasiantavate tegevuste mõjuanalüüsi, et välja selgitada, mis inim- ja muid ressursse on vaja ja kui kaua kestab väljumiskava täitmine; d. määrama väljumiskavade ja üleminekutegevuste juhtimiseks vajalikud rollid ja vastutusalad; e. määratlema ülemineku edukuse kriteeriumid. 16. suunis. Järelevalveasutuste järelevalve pilveteenuse osutajatele tegevuse edasiandmise lepingute üle 57. Järelevalveasutused peaksid oma järelevalvemenetluse raames analüüsima mõju, mis tuleneb kindlustusandjate lepingutest tegevuse edasiandmiseks pilveteenuse osutajatele. Mõju analüüs peaks keskenduma eelkõige kriitiliste või oluliste funktsioonide või tegevuste edasiandmisega seotud lepingutele. 58. Järelevalve tegemisel kindlustusandjate lepingute üle, millega antakse tegevus edasi pilveteenuse osutajatele, peaksid järelevalveasutused arvestama järgmisi riske: a. IKT riskid; b. muud operatsiooniriskid (sh õiguslikud ja nõuete mittejärgmisest tulenevad riskid, tegevuse edasiandmise risk ja kolmanda isiku juhtimisrisk); c. mainerisk; d. kontsentratsioonirisk, sealhulgas riigi/sektori tasandil. 59. Järelevalveasutused peaksid võtma riskipõhise lähenemisviisi alusel lisama oma hinnangusse järgmised aspektid: 15/16

a. kindlustusandja selliste juhtimis- ja tegevusprotsesside asjakohasus ja tõhusus, mis on seotud pilveteenuse osutajatele tegevuse edasiandmise lepingute heakskiitmise, rakendamise, seire, haldamise ja pikendamisega; b. kas kindlustusandjal on pilveteenuse osutajatele edasi antud teenuste seireks piisaval arvul piisavate oskuste ja teadmistega töötajaid; c. kas kindlustusandja tuvastab kõik käesolevates suunistes esitatud riskid ja juhib neid. 60. Konsolideerimisgrupi puhul peaks konsolideerimisgrupi järelevalve teostaja tagama, et pilveteenuse osutajatele kriitiliste või oluliste funktsioonide või tegevuste edasiandmise mõju kajastatakse konsolideerimisgrupi järelevalvealases riskihinnangus, võttes arvesse punktides 58 59 loetletud nõudeid ning konsolideerimisgrupi individuaalseid juhtimise ja tegevuse iseärasusi. 61. Kui kriitiliste või oluliste funktsioonide või tegevuste edasiandmisel pilveteenuse osutajatele osaleb rohkem kui üks kindlustusandja eri liikmesriikidest ja seda juhib keskselt emaettevõtja või konsolideerimisgrupi tütarettevõtja (nt kindlustusandja või konsolideerimisgrupi teenuseettevõtja, nagu konsolideerimisgrupi IKT-teenuste osutaja), peaksid konsolideerimisgrupi järelevalve teostaja ja/või tegevuse edasiandmisega seotud kindlustusandjate asjaomased järelevalveasutused arutama, kui asjakohane, järelevalvekolleegiumis tegevuse edasiandmise mõju konsolideerimisgrupi riskiprofiilile. 62. Kui tuvastatakse, et kindlustusandjal ei ole enam usaldusväärset juhtimiskorda või ta ei vasta enam regulatiivsetele nõuetele, peaksid järelevalveasutused võtma asjakohaseid meetmeid, nt nõudma kindlustusandjalt juhtimiskorra parandamist, piirama edasiantud funktsioone või nõudma ühest või mitmest tegevuse edasiandmise lepingust väljumist. Võttes arvesse kindlustusandja talitluspidevuse tagamise vajadust, tuleks lepingute ülesütlemist nõuda eelkõige siis, kui regulatiivsete nõuete järelevalvet ja täitmist ei ole võimalik saavutada teiste meetoditega. Järgimis- ja aruandluseeskirjad 63. Käesolev dokument sisaldab määruse (EL) nr 1094/2010 artikli 16 kohaselt väljaantud suuniseid. Selle määruse artikli 16 lõike 3 kohaselt on pädevad asutused ja finantseerimisasutused kohustatud võima kõik suuniste ja soovituste järgimiseks vajalikud meetmed. 64. Pädevad asutused, kes käesolevaid suuniseid järgivad või kavatsevad järgima hakata, peavad integreerima need asjakohasel viisil oma õigus- või järelevalveraamistikku. 65. Pädevad asutused peavad kinnitama EIOPA-le, kas nad järgivad või kavatsevad hakata järgima käesolevaid suuniseid, ning esitama mittejärgimise põhjused kahe kuu jooksul pärast tõlgete avaldamist. 66. Kui osutatud tähtajaks ei vastata, peetakse pädevaid asutusi aruandlusnõudeid mittetäitvaks ja nendest teatatakse. Läbivaatamise lõppsäte 67. Käesolevad suunised vaatab läbi EIOPA. 16/16

2024 © DocPlayer.ee Privaatsuspoliitika | Kasutusreeglid | Tagasiside