Toimimiskindlus: mida tähendab kavandatav Ühendkuningriigi CTP-režiim ettevõtetele, finantsjärelevalveasutustele ja kolmandatele isikutele?

Pärast liigendit
aruteludokument (3/22 – Operatiivne vastupidavus: Ühendkuningriigi finantssektori kriitilised kolmandad osapooled), avaldati 2022. aasta juulis, Inglismaa keskpank (edaspidi "pank"), usaldatavusnormatiivide järelevalve amet (PRA) ja Financial Conduct Authority (FCA)

ühiseid ettepanekuid 7. detsembril 2023, et suurendada finantssektori vastupanuvõimet, jälgides kriitilisi kolmandaid osapooli, pidades nõu selle üle, kuidas jälgida ja tugevdada kriitiliste kolmandate osapoolte (CTP) pakutavate teenuste vastupidavust finantsteenustele.
ettevõtted ja finantsturu infrastruktuuri üksused (FMI).

Ettepanekud esitatakse pärast seda, kui parlament võttis vastu
2023. aasta finantsteenuste ja turgude seadus, mis andis HM Treasury'le (HMT) volitused määrata Ühendkuningriigi ettevõtetele ja FMI-dele teatud kolmandatest isikutest teenusepakkujad CTP-deks ning reguleerivatele asutustele volitused koostada eeskirju ja jälgida HMT määratud CTP-sid. Konsultatsioon
paber (CP) põhineb 2022. aasta juuli aruteludokumendil, milles esitati reguleerivate asutuste plaanid jälgida CTP-de poolt finantssektorile pakutavaid olulisi teenuseid. CP sisaldab üksikasjalikku teavet uue korra kohta, mis võimaldab reguleerivatel asutustel hallata CTP-ga seonduvat
süsteemsed riskid, võimaldades samal ajal ettevõtetel ja finantseerimisasutustel nende pakutavatest tehnoloogiateenustest jätkuvalt kasu saada.

Reguleerivad asutused on mures, et mõned ettevõtted ja finantsjärelevalveasutused sõltuvad üha enam kolmandatest osapooltest tehnoloogiapakkujatest selliste teenuste osas nagu pilvandmetöötlus ja andmeanalüütika, mis võivad mõjutada Ühendkuningriigi finantsstabiilsust, kui need ebaõnnestuvad või katkevad.
ja sätestas, et see nõuab "asjakohast, kuid proportsionaalset otsest regulatiivset järelevalvet", eriti kuna CTP-d on jätkuvalt kontsentreeritud rühm.

DP3/22-s tunnistasid reguleerivad asutused potentsiaalset kasu, mida kolmandate isikute pakutavad teenused võivad ettevõtetele ja finantsjärelevalveasutustele tuua, ning rõhutasid reguleerivate asutuste toetust nende teenuste ohutule ja säästvale kasutamisele. Samas väljendasid nad ka konkreetset
on mures, et "teatud kolmandate isikute ebaõnnestumine või tõsine häire nende poolt ettevõtetele ja finantsjärelevalveasutustele osutatavates materiaalsetes teenustes võib ohustada Ühendkuningriigi finantsstabiilsust, mis andis aluse regulatiivsele sekkumisele".

Seetõttu eeldatakse, et CP ettepanekud parandavad nende oluliste kolmandate osapoolte teenuste vastupidavust, millest finantsettevõtted ja nende kliendid sõltuvad, toetavad turu terviklikkust ning suurendavad Ühendkuningriigi konkurentsivõimet ja kasvu. Küsimus on selles, milline „an
asjakohane, kuid proportsionaalne otsese regulatiivse järelevalve tase” tähendaks praktikas. Kuigi finantsteenuste ettevõtted vastutavad oma tegevuse vastupidavuse eest ja vastutavad oma kokkulepete eest kolmandatest isikutest teenusepakkujatega,
nad ei suuda tegeleda süsteemsete riskidega, mida CTP-d võivad põhjustada. Seetõttu võtavad reguleerivad asutused kasutusele reguleeriva raamistiku, mis on suunatud kolmanda osapoole vastupanuvõimele.

CP ettepanekutes on sätestatud reeglid ja põhimõtted, mida kohaldatakse kõigi teenuste suhtes, mida CTP-d Ühendkuningriigi ettevõtetele ja finantsjärelevalveasutustele osutavad. Reguleerivate asutuste pakutud lähenemisviis tugineb CTP-de poolt järelevalveasutustele teabe esitamisele, et hinnata
materjaliteenuste vastupidavus. Nende hulka kuuluvad üksikasjalikud operatsiooniriski ja vastupidavuse nõuded, mida kohaldatakse ainult CTP-de materiaalsete teenuste suhtes ettevõtetele ja finantsjärelevalveasutustele, eelkõige seoses kübervastupidavuse, tarneahela riskide ja intsidentide haldamisega.
Tehakse ettepanek, et CTP-d esitaksid oma esimese enesehinnangu „kolme kuu jooksul pärast määramist ja seejärel igal aastal” ning täidaksid oma esimese ressursside kaardi, sealhulgas iga materjali tarnimiseks, toetamiseks ja hooldamiseks kasutatud varade ja tehnoloogiate kohta.
teenus, mida ta pakub, ja versioon nende finantssektori juhtumite haldamise käsiraamatust „esimese kaheteistkümne kuu jooksul pärast nende määramist ja seejärel igal aastal”.

CP sätestab ka reguleeriva raamistiku, mille kaudu tuvastatakse potentsiaalsed CTP-d, mis hõlmab selliseid kriteeriume nagu finantsteenuste ettevõtetele osutatavate teenuste arv ja liik ning nende teenuste olulisus. Siiski peaks
Samuti tuleb märkida, et need selgitavad ka, et "CTP määratud staatus ei tähenda tingimata, et see on oma olemuselt vastupidavam, turvalisem või sobivam teatud teenuse osutamiseks konkreetsele ettevõttele või FMI-le kui määramata kolmandad isikud, kes pakuvad sama.
või sarnased teenused”.

Reguleerivad asutused selgitavad, et nad kavatsevad soovitada kolmandaid osapooli CTP-deks määramiseks, „lähtudes nende hinnangust võimaliku mõju kohta, mida nende kolmandate osapoolte teenuste rike või häire võib avaldada teenuste stabiilsusele või usaldusele.
Ühendkuningriigi finantssüsteem”. CP kohaselt võtab HMT enne kolmandast isikust teenusepakkuja määramist CTP-ks arvesse „nende teenuste olulisust, mida kolmas isik osutab ettevõtetele ja FMI-dele oluliste tegevuste, teenuste osutamisel,
või operatsioonid; ning nende ettevõtete ja finantsjärelevalveasutuste arv ja liik, kellele isik teenuseid osutab. 

Reguleerivad asutused täpsustavad ka, et nad võtavad arvesse ka seda, kas ettevõtted ja finantsjärelevalveasutused on allhangete ja kolmandate isikute registris teatanud, et kolmas osapool toetab nende oluliste äriteenuste osutamist, nagu on määratletud reguleerivate asutustega.
vastavad operatiivse vastupidavuse poliitikad”. Lisaks selgitavad nad, et „asjaolu, et ettevõte või FMI tuvastab või ei tuvasta kolmandat isikut olulise äriteenuse osutamise toetajana, ei tühista ega asenda reguleerivate asutuste hinnangut.
kas kolmas isik vastab „olulisuse” kriteeriumile”. Lisaks teevad reguleerivad asutused CP kaudu ettepaneku „käsitleda mitut erinevat teenust, mida sama teenusepakkuja ettevõtetele ja finantsjärelevalveasutustele osutab, kokkuvõttes olulisena, kui nad leiavad, et nende koosmõju
häire või ebaõnnestumine võib ohustada Ühendkuningriigi finantssüsteemi stabiilsust või usaldust selle vastu.

Nõuetele vastavuse seisukohast laiendab kavandatav CTP-režiim CTP-sid, et näidata, et need suudavad parandada oma finantsteenuste ettevõtteid toetavate toimingute vastupidavust. CP kehtestab CTP-dele spetsiifilised järelevalvenõuded,
mis hõlmavad peamiselt regulatiivseid esitamisnõudeid, mis teavitaksid reguleerivaid asutusi konkreetsetest häiretest, mis võivad osutatavaid teenuseid negatiivselt mõjutada, ja mis annaksid reguleerivatele asutustele kindluse nende suutlikkuses osutada materiaalseid teenuseid
tõsise, kuid usutava häire korral iga-aastase enesehindamise ja regulaarse stsenaariumi testimise kaudu.

Tähelepanuväärne on, et kavandatavad nõuded kehtiksid teenustele, mida osutatakse Panga, PRA ja/või FCA poolt reguleeritud ettevõtetele ja FMI-dele, olenemata nende osutamise kohast. See tähendab, et ettepanekud on „agnostlikud CTP asukoha suhtes”.
Reguleerivad asutused selgitavad, et „ei ole nõuet, et CTP asutaks Ühendkuningriigis üksus (nt tütarettevõte), kus seda veel ei ole. See kavandatud lähenemisviis tunnistab, et CTP-d võivad pakkuda teenuseid mitmest jurisdiktsioonist (mis võib aidata parandada
nende teenuste tõhusus ja vastupidavus). CP täpsustab, et „ettevõtted ja FMI-d, kes saavad CTP-delt teenuseid, võivad tegutseda mitmes jurisdiktsioonis. See väljapakutud lähenemisviis võib vähendada ka CTP-de, ettevõtete ja finantsjärelevalveasutuste nõuete täitmisega seotud kulusid
lähenemisviisile, mis nõudis CTP-delt Ühendkuningriigi üksuste, infrastruktuuri, personali või teenuste lokaliseerimist.

Ettepanekud on kooskõlas finantsstabiilsuse nõukogu (FSB)
hiljutine aruanne kolmanda osapoole riskijuhtimise ja järelevalve tõhustamise kohta ja Euroopa Liidu oma

Digital Operational Resilience Act (DORA), millega kehtestati 2020. aastal info- ja kommunikatsioonitehnoloogia (IKT) riskijuhtimise, intsidentidest teatamise, vastupidavuse testimise ja kolmanda osapoole riskijuhtimise (TPRM) siduvad eeskirjad, mis võimaldavad järelevalveasutustel
jälgida kriitilisi IKT kolmanda osapoole teenusepakkujaid (CTPP), sealhulgas pilveteenuse pakkujaid (CSP). Näiteks ei leia CP kooskõlas FSB-ga, et koondumine kolmandate isikute teenuste osutamisel ettevõtetele või finantsjärelevalveasutustele oleks automaatselt süsteemne.
riskid ja et "koondumine võib peegeldada kolmanda osapoole teenuste kvaliteeti, sealhulgas vastupidavust".

CP-s kavandatud nõuete eesmärk on täiendada, kuid mitte tühistada finantsteenuste ettevõtete ja finantsjärelevalveasutuste kehtivaid regulatiivseid kohustusi seoses nende tegevuse vastupidavusega, pakkudes väga vajalikku selgust nende kohustuste ja nende kohustuste kohta.
CTP-dest. Arvestades selle keskendumist kolmandate osapoolte riskijuhtimisele, on CP asjakohane ka selle jaoks

Järelevalveavaldus SS2/21 Allhange ja kolmandate isikute riskijuhtimine 2021. aastal avaldatud, mis sätestab PRA ootused selle kohta, kuidas ettevõtted peaksid järgima regulatiivseid nõudeid ja ootusi, mis on seotud allhangete ja kolmandate osapoolte riskijuhtimisega.

Lõpetuseks tuleks märkida, et reguleerivad asutused tuletavad meelde, et „ettevõtted ja finantsjärelevalveasutused jäävad vastutavaks ja vastutavad iga oma allhankelepingu ja kolmandate isikute lepingute olulisuse ja riskide hindamise eest ning asjakohaste ja proportsionaalsete toimingute eest.
võimalike kolmandate isikute hoolsuskohustus”. Lisaks täpsustavad nad, et ettepanekud täiendavad, kuid „ei hägusta, kaota ega vähenda ettevõtete, finantsjärelevalveasutuste, nende juhatuste ja tippjuhtkonna vastutust ja vastutust”, sealhulgas „kõikide isikute, kes töötavad.
kõrgemad juhtkonna funktsioonid (SMF-id), et nad jätkaksid oma olemasolevate regulatiivsete kohustuste täitmist, mis on seotud töökindluse ja kolmandate osapoolte riskijuhtimisega.

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
• Allikas: https://www.finextra.com/blogposting/25349/operational-resilience-what-does-the-proposed-uk-ctp-regime-mean-for-firms-fmis-and-third-parties?utm_medium=rssfinextra&utm_source=finextrablogs