Ugrás a fő tartalomra

      Új ESMA alapelvek a harmadik fél, nem-IKT szolgáltatók kockázatainak kezelésére


      Az Európai Értékpapír-piaci Hatóság (ESMA) 2025. júniusában új, 14 pontból álló alapelv-rendszert tett közzé a harmadik felekhez kapcsolódó kockázatok felügyeletéről.[1] E lépés hátterében az áll, hogy az utóbbi években jelentősen megnőtt a pénzügyi intézmények kiszervezésekkel és külső szolgáltatókkal szembeni kockázata. Az ESMA célja egy közös és hatékony uniós szintű felügyeleti kultúra támogatása, amely segít a felügyelt pénzügyi szereplőknek megérteni és megfelelően kezelni a harmadik felek igénybevételéből eredő kockázatokat, amelyek kiegészítői a nemrég alkalmazandó DORA rendelet elvárásainak, elsősorban a nem-IKT szolgáltatókra vonatkozóan.

      Az alábbiakban áttekintjük röviden az új ESMA elvek célját, valamint azt, hogyan egészítik ki ezek az elvek a DORA-t. Végül kitérünk arra is, hogy felügyeleti szempontból miért fontos a harmadik feles szolgáltatók kockázati felügyeletének erősítése, és milyen gyakorlati lépéseket érdemes a pénzügyi intézményeknek megtenni.

      Mielőtt az ESMA anyag ismertetésére térnénk, elevenítsük fel a DORA (Digital Operational Resilience Act) szabályozás főbb elemeit. A rendelet egységes keretrendszert hozott létre a pénzügyi rendszer digitális működési ellenállóképességének megerősítésére, hatálya gyakorlatilag kitejed a pénzügyi szektor szinte minden szereplőjére és azok információs és kommunikációs technológiai (IKT) beszállítóira. Szigorú követelményeket állapít meg az (IKT) kockázatok kezelésére és a kibertámadások elleni védekezésre előírva, hogy az intézmények értékeljék, figyeljék és mérsékeljék a kockázatokat a teljes ellátási láncukban – beleértve a külső harmadik fél szolgáltatókat is. Emellett szabályokat határoz meg az IKT biztonsági incidensek jelentésére, a tesztelésre, valamint a pénzügyi intézmények számára kritikusnak minősített IKT-szolgáltatók felügyeletére is.

      Az ESMA új elveinek célja


      2025. júniusában       az ESMA publikálta új felügyeleti alapelveit a harmadik fél kockázatok kezelésére vonatkozóan. Az összesen 14 elvből álló csomag célja, hogy kezelje a kiszervezések, tevékenység-átruházások és más külső szolgáltatások igénybevételével járó növekvő kockázatokat a pénzügyi szektorban. Az új alapelvek soft law jellegük miatt nem kötelező érvényűek és elsősorban a befektetési szolgáltatási szektor felügyeletét ellátó nemzeti hatóságok egységes jogértelmezését és jó gyakorlatainak kidolgozását támogatják egy egységes keretrendszerrel, mivel kidolgozásukkor figyelembe vették a már meglévő nemzetközi standardokat. Az ESMA alapelvei szerint a jövőben a nemzeti felügyelők közötti párbeszéd és esettanulmányok segítik majd ezen elvek fokozatos beépülését a felügyelési gyakorlatba. Fontos kiemelni, hogy az elvek nem a pénzügyi intézmények számára közvetlenül előírt jogszabályi kötelezettségek, hanem a felügyeleti hatóságok számára nyújtanak iránymutatást – ugyanakkor a felügyelt intézményeknek is érdemes megismerkedniük velük, hiszen segíthetnek megérteni a felügyelet elvárásait a harmadik fél kockázatok kezelésében. Érdemes észben tartani, hogy az ESMA iránymutatások és alapelvek sokszor a Magyar Nemzeti Bank (MNB) ajánlása formájában kifejezett elvárásként kerülnek megfogalmazásra, majd MNB vizsgálatok során érvényesítésre is a helyi szereplőkkel szemben.

      Hogyan egészítik ki az ESMA elvek a DORA-t?


      A DORA rendelet elsősorban a digitális (IKT) szolgáltatókkal kapcsolatos kockázatkezelésre fókuszál. Az olyan kritikus fontosságú informatikai szolgáltatók, mint például a felhőszolgáltatók vagy más technológiai partnerek, DORA hatálya alá tartoznak, és ezek felügyeletét a DORA keretrendszere külön szabályozza.[2] Az ESMA mostani alapelvei ezt a keretet egészítik ki azzal, hogy – egyelőre a befektetési szektorban - minden egyéb, harmadik fél szolgáltatási viszonyra is kiterjednek. Az elvek deklaráltan alkalmazandók minden típusú kiszervezési vagy harmadik féllel kötött megállapodásra, függetlenül attól, hogy a külső szolgáltató ugyanazon vállalatcsoport része-e vagy sem, az EU-ban található-e vagy harmadik országban, és attól is függetlenül, hogy a szolgáltatás nyújtásához milyen technológiát alkalmaznak. Bár formálisan minden – IKT és nem-IKT szolgáltató a hatályba esik, ahol már létezik konkrét uniós szabályozás egy adott harmadik fél kockázatra (például a DORA az IKT esetén), ott az adott jogszabály rendelkezései elsőbbséget élveznek az ESMA általános alapelveivel szemben. Ez azt jelenti, hogy lényegében az alapelvek hatókörébe a gyakorlatban a nem-IKT szolgáltatók – például egy könyvelési, ügyviteli kiszervezés vagy akár egy üzleti folyamatot érintő alvállalkozók - tartoznak, az IKT-szolgáltatók tekintetében csak annyiban alkalmazandó, amennyiben arra a DORA nem tér ki, nem ad szabályozást.  Összességében tehát az ESMA elvei a DORA követelményeit figyelembe véve és azokat kiegészítve biztosítanak egy átfogóbb felügyeleti nézőpontot, hogy a pénzügyi intézmények minden külső partnerükkel kapcsolatban megfelelő kockázatkezelési gyakorlatot folytassanak, ne csak az informatikai területen.

      Felügyeleti szempontból az egységes elvek bevezetése kulcsfontosságú lépés. A harmadik felekkel járó kockázatok hatékony felügyelete és kezelése hozzájárul a pénzügyi rendszer egészének stabilitásához és a befektetők védelméhez. Ha minden tagállamban hasonló elvek mentén zajlik a felügyelés, az biztosítja a következetességet és minimalizálja annak kockázatát, hogy egyes intézmények vagy országok lemaradjanak a jó gyakorlatoktól. Gondoljunk csak bele: ha egy pénzügyi intézmény számos kritikus feladatot kiszervez, akkor egy külső partner meghibásodása vagy kiesése nemcsak az adott intézmény működését zavarhatja meg, hanem több piaci szereplőre, határon átnyúló csoportok esetén akár több országra is átterjedő problémákat okozhat. Ilyen átfogó kockázatok megelőzéséhez a felügyeleti hatóságoknak látniuk kell, mely területeken vannak a pénzügyi intézmények és milyen módon kitéve ilyen harmadik feleknek, és meg kell győződniük arról, hogy megfelelően kezelik-e ezeket a kockázatokat.

      Az alapelvek összefoglalása


      Az ESMA által kiadott 14 alapelv a harmadik felekkel kapcsolatos kockázatok teljes életciklusát lefedi és leképezi a kiszervezési szabályozásokból, valamint a DORA szabályozásból már ismert követelményeket. Így többek között elvárja, hogy a pénzügyi intézmények világosan határozzák meg a felelősségi köröket, végezzenek előzetes kockázatértékelést, kössenek megfelelő szerződéseket (audit- és kilépési jogokkal), valamint folyamatosan monitorozzák a szolgáltatók teljesítményét. Az elvek kiterjednek a csoporton belüli és harmadik országbeli partnerekre is, és céljuk, hogy a felügyelet átlátható, megelőző jelleggel tudja értékelni a külső kapcsolatokból fakadó kockázatokat.

      Az alapelvek röviden az alábbi fő területeket fedik le:

      • Felelősségi körök: a vezetés nem szervezheti ki a jogi felelősségét
      • Kockázatértékelés: harmadik fél kiválasztása előtt kötelező átvilágítás
      • Szerződéses biztosítékok: SLA, auditjog, kilépési lehetőség
      • Folyamatos monitoring: teljesítménykövetés és kockázat újraértékelése
      • Csoporton belüli és kiszervezési láncok: nem mentesülnek a kontroll alól
      • Harmadik országok: külön kockázatkezelési szempontokat igényelnek
      • Felügyeleti hozzáférés biztosítása: betekintési és ellenőrzési jogok garantálása

      Ezek célja, hogy a felügyelet következetesen tudja értékelni a harmadik félhez fűződő kockázatokat a nem-IT szolgáltatások terén is.

      Gyakorlati lépések a pénzügyi intézmények számára


      Az új elvek megjelenése kapcsán a pénzügyi intézményeknek érdemes megvizsgálniuk saját harmadik felekre vonatkozó kockázatkezelési gyakorlatukat és a DORA rendelet előírásainak való megfelelés mellett ajánlott ezt a területet is megerősíteni. Az alábbi gyakorlati lépéseket célszerű megtenni vagy továbbfejleszteni:

      • Harmadik fél kockázatkezelési keretrendszer felülvizsgálatát
      • Külső partnerek azonosítását és kockázati besorolását

      Átvilágítás és kockázatértékelés minden új együttműködés előtt és meglévő szerződésnél is

      • Megfelelő szerződéses feltételek kialakítását
      • Folyamatos monitorozás biztosítását

      Ezek a lépések nagyrészt már az üzleti folyamatokba és a kontroll környezetbe épített lépések az ágazati jogszabályok által előírt kiszervezési előírások, valamint az MNB 7/2020 “kiszervezési” ajánlása[3] kapcsán, így az intézmények jelentős részénél (főleg bankcsoportok esetén) a megfelelés inkább finomhangolás jellegű, de semmiképpen nem jelenthet nehézséget. Ennek ellenére az ESMA alapelvek mentén történő belső folyamati, szabályozási és kontroll-környezeti átvilágítás kellő bizonyosságot adhat a megfelelésre való készültségről.

      [1] ESMA publishes Principles for third-party risk supervision | MNB.hu
      [2] ESMA42-1710566791-6103 Principles on third-party risks supervision
      [3] 7-2020-kulso-szolgaltato-igenybevetele.pdf

      Kapcsolat

      Ágnes Rakó
      Rakó Ágnes

      Partner, a tanácsadási üzletág társvezetője

      KPMG in Hungary

      Péter Szalai
      Szalai Péter

      Associate Partner, A kockázatkezelési tanácsadás vezetője

      KPMG in Hungary

      Wieder Gergő
      Wieder Gergő

      Igazgató

      KPMG in Hungary

      Glózer-Say Viktória
      Glózer-Say Viktória

      Szenior menedzser

      KPMG in Hungary