Коротше кажучи
Ситуація: 16 липня 2025 року Європейський центральний банк (ЄЦБ) опублікував необов’язковий посібник із роз’ясненням очікувань нагляду для установ, які надають аутсорсинг хмарних послуг.
Результат: Посібник переводить правила щодо ризиків третіх сторін Закону про цифрову операційну стійкість (2022/2554/EU, “DORA”) і Директиви про вимоги до капіталу (2013/36/EU, “CRD”) у докладні рекомендовані практики щодо управління, оцінки ризиків, стійкості, безпеки, нагляду та управління виходом. Він чітко спирається на наглядовий досвід ЄЦБ і регуляторні технічні стандарти DORA рівня 2 (2024/1773 та 2024/1774).
Заглядаючи вперед: Очікується, що банки, які перебувають під прямим наглядом, без зволікань порівняють свої домовленості з хмарного аутсорсингу щодо Посібника та задокументують плани виправлення, щоб уникнути висновків нагляду під час майбутніх оглядів та перевірок на місці Спільними наглядовими групами («JSTs»).
Ключові елементи
Незважаючи на те, що ЄЦБ формально не є обов’язковим, ЄЦБ заявляє, що Спільні експертні групи використовуватимуть Посібник ЄЦБ щодо аутсорсингу хмарних послуг постачальникам хмарних послуг як орієнтир у наглядових оцінках, який встановлює очікування, що компанії будуть застосовувати рекомендовані практики.
Посібник наголошує, що керівний орган зберігає повну відповідальність за управління ризиками інформаційно-комунікаційних технологій («ІКТ») (ст. 5 DORA) і вимагає попередньої оцінки ризиків кожної хмарної угоди згідно зі ст. 28 ДОРА. Установи повинні узгодити свою хмарну стратегію із загальною бізнес-стратегією та стратегією стійкості до цифрових технологій і застосовувати той самий рівень обачності, якби послуги надавалися власними силами.
Посібник містить рекомендації щодо уникнення залежності від конкретних постачальників (включаючи регулярну повторну оцінку), цілісного планування безперервності бізнесу та аварійного відновлення, всебічної інвентаризації активів ІКТ, шифрування даних під час передачі, у спокої та під час використання, а також надійного керування ідентифікацією та доступом (IAM).“), що охоплює хмарні активи. Він також наголошує на перевірених стратегіях виходу та режимах незалежного моніторингу, аудиту та звітування про інциденти.
Сфера застосування та застосування
Посібник застосовується до всіх кредитних установ, які знаходяться під прямим наглядом ЄЦБ, і охоплює всі форми хмарного аутсорсингу (IaaS, PaaS, SaaS), у державних, приватних, спільнотних або гібридних хмарних моделях. Це також поширюється на ситуації, коли нехмарні сторонні постачальники залежать від хмарної інфраструктури, що підтримує критичну або важливу функцію.
Незважаючи на те, що концепція пропорційності застосовуватиметься, відповідні установи заохочуються підтверджувати відповідність, виходячи з характеру, масштабу та складності функції, переданої аутсорсингу.
Управління та управління ризиками
Установам слід інтегрувати хмарний аутсорсинг у свої системи ризиків ІКТ, чітко визначити внутрішні ролі та обов’язки та забезпечити узгодження контрактів із постачальниками хмарних послуг. Перед підписанням банки повинні провести всебічну попередню оцінку ризиків, що охоплює ризики блокування та концентрації, ризики кількох орендарів, захист даних і геополітичні ризики, довгі та складні субаутсорсингові ланцюжки (зазвичай понад два-три рівні контракту) і залежність від постачальника в усьому середовищі постачальників установи. Потрібна регулярна переоцінка в міру розвитку умов використання та розвитку ринку.
Внутрішня політика, включно з політикою ризиків, безперервності бізнесу, IAM і політикою класифікації даних, має чітко охоплювати хмарні активи. Будь-які відхилення від внутрішніх стандартів повинні бути пом’якшені шляхом компенсаційного контролю.
Стійкість, безпека та стратегії виходу
Посібник сприяє цілісному підходу до стійкості хмари. Він радить установам поєднувати резервні регіони центрів обробки даних, гібридні або багатохмарні налаштування та окремі резервні копії, щоб забезпечити безперервність роботи в межах максимально допустимого простою. Плани аварійного відновлення необхідно тестувати щонайменше раз на рік за сценаріями численних збоїв, а персонал як установи, так і постачальника хмарних послуг має пройти навчання з визначеними ролями та обов’язками.
Дані мають бути зашифровані під час передачі, у спокої та, де це можливо, під час використання, із застосуванням надійних процедур керування ключами та аудиту. Керівництво також передбачає, що установи повинні обмежувати місця зберігання даних затвердженими юрисдикціями та контролювати відповідність за допомогою інструментів відстеження, а також повинні чітко оцінювати політичні та правові ризики юрисдикцій третіх країн.
Відповідно до Посібника, стратегії виходу повинні бути розроблені для всіх критичних або важливих хмарних сервісів перед запуском і включати детальні плани, що охоплюють часові рамки, витрати, потреби в ресурсах, визначені альтернативи та перехідні періоди. Права на припинення мають охоплювати такі події, як переміщення центрів обробки даних, зміни у чинному законодавстві чи юрисдикції та постійні збої в роботі послуг.
Керівництво також вказує, що плани виходу повинні періодично перевірятися, демонструвати реалістичні витрати та підлягати незалежному перегляду. Заклади повинні підтримувати оновлені списки кваліфікованих альтернативних постачальників і перевіряти, чи внутрішній персонал володіє навичками, необхідними для виконання виходу.
Нагляд, моніторинг і аудит
Установи залишаються повністю відповідальними за моніторинг і аудит хмарних служб і не можуть передавати підряд перевірку відповідності. Вони повинні використовувати незалежні інструменти моніторингу на додаток до тих, що пропонуються постачальниками хмарних послуг, і зберігати внутрішній досвід для інтерпретації результатів. Домовленості про хмарні послуги мають визначати зобов’язання щодо звітування про інциденти, які відповідають, зокрема, DORA Arts. 19 і 30, а також пункти договірних рекомендацій ЄЦБ про «належну практику» (наприклад, права на виправлення, розрахунок вартості аудиту, повідомлення про зміни).
Керівництво також передбачає, що служби внутрішнього аудиту повинні регулярно перевіряти якість управління ризиками постачальників хмарних послуг і не можуть покладатися виключно на сертифікації третіх сторін або звіти SOC. ЄЦБ заохочує проведення спільних аудитів групами піднаглядних установ зменшити витрати та підвищити технічну глибину за допомогою чергування керівництва та участі кваліфікованих технічних експертів.
Потрібні негайні дії
Щоб зменшити ризик примусового виконання, банки та інші установи, що підлягають прямому нагляду, повинні, зокрема:
- Проведіть аналіз прогалин проти Посібника ЄЦБ і DORA рівня 2 RTS і визначте будь-які необхідні кроки для виправлення документів.
- Оновити політику аутсорсингу та ризиків ІКТгарантуючи, що вони поширюються на всі хмарні активи та угоди субаутсорсингу.
- Перегляд і, можливо, перегляд контрактів включати права на аудит, звітування про інциденти, розташування даних і положення про розірвання у відповідності з рекомендаціями ЄЦБ щодо «належної практики».
- Перевірте можливості безперервності бізнесу та аварійного відновленнявключаючи тестування на екстремальні сценарії збою або блокування постачальника хмарних послуг.
- Створіть або оновіть стратегії виходу для всіх критично важливих або важливих хмарних служб і перевірте їхню придатність за допомогою незалежної перевірки.
- Посилити засоби контролю IAM і класифікації даних охопити хмарні ресурси та узгодити процеси шифрування та керування ключами зі стандартами DORA.
Очікується, що Спільні дослідницькі групи вимагатимуть задокументованих доказів цієї діяльності в рамках наглядових циклів 2026 року. Інституції, яким не вдається узгодити роботу, стикаються з підвищеним операційним і репутаційним ризиком, а також потенційними висновками під час оцінювання процесу наглядової перевірки та оцінки («SREP»).
Зв'язок з іншими ризиками розвитку ІКТ в ЄС
Посібник ЄЦБ доповнює та реалізує нещодавні нормотворчі та наглядові розробки ЄС, про які йдеться у нашому попередньому клієнті Коментарі: «Стандарти ЄС для тестування на проникнення на основі загроз» і «Єдині стандарти субпідряду ІКТ у фінансовому секторі ЄС». У той час як стандарти субпідряду визначають обов’язкові договірні положення та очікування щодо управління в рамках DORA, а структура TLPT встановлює зобов’язання щодо перевірки стійкості, Посібник ЄЦБ загалом перетворює деякі з цих вимог на наглядові практики, які Спільні наглядові групи потенційно використовуватимуть для оцінки відповідності під час поточного нагляду та перевірок на місці.
Чотири ключові висновки
- Роз'яснення очікувань нагляду: Посібник ECB визначає конкретні очікування щодо хмарного аутсорсингу та інтегрує вимоги DORA в практику нагляду.
- Широкий діапазон: Посібник охоплює будь-який хмарний аутсорсинг ІКТ, у тому числі коли третя сторона покладається на хмарну інфраструктуру для підтримки критичних функцій.
- Операційна стійкість у фокусі: Рекомендації охоплюють увесь життєвий цикл від управління до виходу та можуть використовуватися як еталон під час перевірок на місці.
- Дійте зараз: Зацікавлені сторони повинні порівняти домовленості про хмарні послуги, залучити постачальників хмарних послуг до оновлення контрактів і продемонструвати узгодженість з очікуваннями ЄЦБ і DORA для пом’якшення наглядових і операційних ризиків.