Teema-arvio: valvottavien tieto- ja viestintäteknologian (ICT) ulkoistusten tilanne
Finanssivalvonta on laatinut teema-arvion, jossa se on selvittänyt sen valvottavien käyttämän tieto- ja viestintäteknologian (ICT) ulkoistusten nykytilaa ja ulkoistusten mahdollista keskittymistä samoille toimijoille.
ICT-ulkoistuskumppaneissa ei merkittäviä keskittymäriskejä
Digitalisoituvan finanssisektorin valvonta on yksi Finanssivalvonnan strategian painopistealueista. Finanssivalvonta on havainnut viime vuosina kasvua valvottavilta saatavien ulkoistusilmoitusten määrässä. Finanssisektorin ICT-ulkoistusten ja muun palveluiden tuottamisen keskittyminen samoille toimijoille on riski, joka korostuu ulkoistusten määrän kasvaessa. Finanssivalvonta on tämän vuoksi selvittänyt sen valvottavien ICT-ulkoistusten mahdollista keskittymistä samoille toimijoille. Tiedot on kerätty syksyllä 2022 toteutetulla kyselyllä, johon vastasi n. 150 Finanssivalvonnan merkittävintä valvottavaa.
Kerättyjen tietojen perusteella finanssisektorin ICT-ulkoistukset eivät ole Suomessa vahvasti keskittyneet. Eri osa-alueilla on tärkeitä ICT-ulkoistuskumppaneita, mutta ei kuitenkaan sellaisia, joiden ongelmat haittaisivat merkittävästi koko osa-alueen valvottavien toimintaa. Kerätyistä tiedoista ei tunnistettu sellaista ICT-ulkoistuskumppania, jonka ongelmat aiheuttaisivat laajan häiriön koko finanssisektorille. Tietoja analysoitaessa ei löytynyt myöskään sellaisia ICT-ulkoistuskumppaneita, joiden merkitystä ei olisi jo aikaisemmin tunnistettu.
Suurten pilvipalveluntarjoajien merkitys on kuitenkin kasvanut viime vuosina ja on todennäköistä, että niiden rooli muodostuu jossain vaiheessa kriittiseksi. Finanssivalvonta valvoo ICT-ulkoistustilanteen kehitystä. Finanssivalvonta painottaa, että ICT-ulkoistusten lisääntyessä on tärkeää huolehtia siitä, että valvottavalla on riittävästi ICT-ulkoistusten riskienhallintaan liittyvää osaamista. Valvottavien tulee huolehtia myös siitä, että kaikki ICT-ulkoistuksia koskevat ilmoitukset toimitetaan viipymättä Finanssivalvonnalle.
Finanssisektorin ICT-ulkoistusten valvonta tiukentuu uuden sääntelyn myötä
ICT-ulkoistusten keskittyminen voi aiheuttaa todennäköisyydeltään ja vaikutuksiltaan eritasoisia riskejä ulkoistusasiakkaiden palvelujen jatkuvuudelle. Finanssialan digitaalista häiriönsietokykyä koskeva asetus (DORA1) kiinnittää tähän huomiota toteuttamalla oman valvontakehikon kriittisille, koko EU-alueen laajuisille finanssisektorin ICT-ulkoistuskumppaneille. DORAn myötä valvottavien tulee antaa tiedot ulkoistuksista määrämuodossa ja tiedot kerätään yhdenmukaisesti Euroopan laajuisesti. DORAa sovelletaan 17.1.2025 lähtien. Finanssivalvonta tulee ohjeistamaan valvottaviaan erikseen tarkemmin DORAn vaatimuksista.
Lisätietoja antaa
Juha Kalm, vanhempi asiantuntija, puhelin 09 183 5525. Sähköpostiosoite on muotoa etunimi.sukunimi(at)finanssivalvonta.fi.