The EU regulatory framework on outsourcing – where are we now?

In recent years, in pursuit of cost reduction and efficiency improvement financial institutions around the globe have been increasingly interested in outsourcing their business activities to other institutions and specialised service providers. From asset management, where delegation of certain functions was a standard practice since decades, to small payment companies relying on specialised regulatory compliance service providers, there is almost no area of the financial services sector nowadays that has remained immune to the ever-increasing use of outsourcing arrangements. Moreover, rapid digitisation of the financial service sector, featured by more frequent use of cloud technology and specialised providers of IT-related services to financial institutions has just added more complexity into the game which immediately triggered the attention of financial regulators in the European Union.

ESA’s Guidance Framework

In attempt to bridge these gaps (to the certain extent) the European Supervisory Authorities (ESAs), European Banking Authority (EBA), European Securities and Markets Authority (ESMA and European Insurance and Occupational Pension Authority (EIOPA) have issued guidelines on outsourcing arrangements that stipulate standards and requirements that financial institutions under their respective supervisory remit need to fulfil when entering into outsourcing arrangements.

These include:

  • EBA Guidelines on outsourcing arrangements (EBA/GL/2019/02), see our explanation thereof here
  • ESMA Guidelines on outsourcing to cloud service providers (ESMA50-164-4285), see our blog post thereof here.
  • EIOPA Guidelines on outsourcing to cloud service providers (EIOPA-BoS-20-002)

What applies to whom?

Whereas EBA Guidelines apply to all types of outsourcing arrangements that financial institutions under its supervisory remit enter into, ESMA and EIOPA Guidelines are focused solely on one specific type of outsourcing arrangements that has attracted much of regulatory scrutiny lately, outsourcing to cloud service providers.

Outlook

It is unquestionable that ESA’s Guidance framework on outsourcing has provided a valuable set of standards and requirements that financial institutions can follow when ensuring compliance with applicable requirements on outsourcing they may be a subject to under applicable sector specific pieces of EU and national legislation. However, there are small divergences between ESA’s Guidelines and such lack of full alignment brings financial institutions that find themselves under the supervisory remit of more than one European Supervisory Authority in front of significant challenges. Furthermore, given that ESMA and EIOPA Guidelines apply solely to outsourcing to cloud service providers, there is a great number of standard outsourcing arrangements that will still need to be structured in accordance with high-level regulatory requirements on outsourcing stipulated by applicable EU legislation that frequently falls short of providing clear guidance for financial institutions.

Nevertheless, the process of harmonization of rules on outsourcing and operational resilience of financial institutions in general seems to be far from over. As part of its Digital Finance Package published on 24 September 2020, the EU Commission has published a proposal for Regulation on digital operational resilience for the financial sector (commonly known as Digital Operational Resilience Act “DORA”) that aims to harmonize EU regulatory requirements on digital operational resilience in financial services. In the same vein, beside requirements on management of ICT risks, DORA aims to bring certain requirements on outsourcing arrangements, onto a legislative footing. Despite the fact that DORA may harmonize a number of questions related to outsourcing arrangements until it becomes operational (which from today’s point of view is hard to expect before 2023) financial institutions will have to ensure compliance with requirements on outsourcing in accordance with ESA’s Guidelines and applicable sector specific pieces of EU and national legislation.

Benchmarks Regulation: Updated ESMA Q&A bring more clarity about input data used for regulated-data benchmarks

To provide benchmarks, administrators rely on input data from contributors. If the contributors are regulated, the benchmarks created with their data qualify as regulated-data benchmarks. The updated Question and Answers (Q&A) of January 30, 2019 from the European Securities and Markets authority (ESMA) provide, inter alia, answers to three questions regarding input data used for regulated-data benchmarks which have been raised frequently in the market (Q&A available here). This blogpost will present these questions as well as ESMA´s answers. Beforehand, it gives a short overview of the Benchmarks Regulation´s regulatory background and explains what input data means.

Regulatory background of the Benchmarks Regulation

Regulation (EU) 2016/1011 concerning indices used as a reference value or as a measure of the performance of an investment fund for financial instruments and financial contracts (Benchmarks Regulation – BMR) sets out the regulatory requirements for administrators, contributors and users of an index as a reference value for a financial product with respect to both the production and use of the indices and the data transmitted in relation thereto. It is the EU’s response to the manipulation of LIBOR and EURIBOR. The BMR aims to ensure that indices produced in the EU and used as a reference value cannot be subject to such manipulation again. In previous blogposts on the BMR, we have already dealt with the requirements for contingency plans and non-significant benchmarks (ESMA publishes Final Report on Guidelines on non-significant benchmarks- Part 1 and Part 2.)

Input data

For a benchmark to be created, the administrator, i.e. the person/entity who has control over the provision of the reference value, relies on data he receives from contributors. These data used by an administrator to determine a benchmark in relation to the value of one ore more underlying asset or prices qualify as input data under the BMR.

With this in mind, what are the market-relevant questions regarding input data that are answered in the updated Q&A by ESMA? 

  • Can a benchmark qualify as a regulated-data benchmark if a third party is involved in the process of obtaining the data?

Under the rules of the BMR, a benchmark only qualifies as a regulated-data benchmark if the input data is entirely and directly submitted by contributors who are themselves regulated (e.g. trading venues). Since the input data come exclusively from entities that are themselves subject to regulation, the BMR sets fewer requirements for the provision of benchmarks from regulated data than for other benchmarks. This precludes, in principle, the involvement of any third party in the data collection process. The data should be sourced entirely and directly from regulated entities without the involvement of third parties, even if these third parties function as a pass-through and do not modify the raw data.

However, if an administrator obtains regulated data through a third party service provider (such as data vendor) and has in place arrangements with such service provider that meet the outsourcing requirements of the BMR, the administrator´s benchmark still qualifies as regulated-data benchmark. The third party being subject to the BMR´s outsourcing requirements ensures a quality of the input data contributed by this third party comparable to the quality of the input data contributed by a regulated entity.

  • Can NAV of investment funds qualify as benchmark?

The net asset value (NAV) of an investment fund is its value per share or unit on a given date or a given time. It is calculated by subtracting the fund´s liabilities from its assets, the result of which is divided by the number of units to arrive at the per share value. It is most widely used determinant of the fund´s market value and very often it is published on any trading day.

But, according to the BMR stipulations, the NAVs of investment funds are data that, if used solely or in conjunction with regulated data as a basis to calculate a benchmark, qualify the resulting benchmark as a regulated-data benchmark. The BMR therefore treats NAVs as a form of input data that is regulated and, consequently, should not be qualified as indices.

  • Can the methodology of a benchmark include factors that are not input data?

The methodology of a benchmark can include factors that are not input data. These factors should not measure the underlying market or economic reality that the benchmark intends to measure, but should instead be elements that improve the reliability and representativeness of the benchmark. This should be, according to ESMA, considered as the essential distinction between the factors embedded in the methodology and input data.

For instance, the methodology of an equity benchmark may include, together with the values of the underlying shares, a number of other elements, such as the free-float quotas, dividends, volatility of the underlying shares etc. These factors are included in the methodology to adjust the formula in order to get a more precise quantification of the equity market that the benchmark intends to measure, but they do net represent the price of the shares part of the equity benchmark.

Upshot

The updated ESMA Q&A provide more clarity for market participants on the understanding of input data and its use for regulated-data benchmarks. ESMA´s input will facilitate dealing with the regulatory requirements of the BMR, at least with regard to input data.

EBA konsultiert ein harmonisiertes Auslagerungsregime – Was erwartet den deutschen Markt?

Seit 22. Juni und noch bis 24. September 2018 konsultiert die EBA Richtlinien für ein harmonisiertes Auslagerungsregime. Anknüpfend an die Leitlinien zum Outsourcing des Commitee of European Banking Supervisors (CEBS) aus dem Jahr 2006, die nur für Kreditinstitute Anwendung finden, möchte die EBA nun einen gemeinsamen europäischen Rahmen für Kreditinstitute und Finanzdienstleistungsunternehmen, Zahlungs- und E-Geld-Institute schaffen. Erfasst sind von dem neuen Vorstoß damit Institute, die der CRR und der PSD2 unterliegen. Nach wie vor nicht erfasst sind Fondsmanager. Grund dafür ist einfach, dass die EBA für diesen Bereich nicht zuständig ist. Hier wäre eine Zusammenarbeit mit der ESMA, die für den Fondsbereich Leitlinien erlassen kann, wünschenswert gewesen.

Zu begrüßen ist der Vorstoß der EBA dennoch vor dem Hintergrund, dass gerade für die FinTech-Szene Auslagerungen ein wichtiges Thema sind. Etablierte Institute, die intern keine eigenen Innovationen entwickeln, suchen häufig Kooperationspartner aus der FinTech-Szene. Im Rahmen solcher Kooperationen werden innovative Ideen von den etablierten Instituten angeboten, aber die (IT-)Leistungen erbringen oft die FinTechs im Rahmen einer Auslagerung. Es ist sicher sinnvoll, auf europäischer Ebene einen gemeinsamen Rahmen für Auslagerungen zu schaffen, damit auch FinTech-Unternehmen, die grenzüberschreitend tätig sein wollen, nicht mehrere nationale Standards einhalten müssen, was wiederum Kosten verursacht. Die Empfehlungen der EBA zur Auslagerung an Cloud-Anbieter,die bereits im März 2018 veröffentlicht wurden, sind in die Konsultation integriert worden.

Nach dem Vorschlag der EBA werden die Anforderungen an das Auslagerungsmanagement und an Auslagerungsverträge für CRR-Institute und Zahlungsinstitute angeglichen. Die Vorgaben des Zahlungsdiensteaufsichtsgesetzes (ZAG), das für Zahlungs- und E-Geld-Institute gilt, waren bislang weniger streng als die des Kreditwesengesetzes (KWG), das für Kreditinstitute und Finanzdienstleistungsunternehmen Anwendung findet. In der Praxis orientierten sich aber auch Zahlungsdienstleister bereits an der Verwaltungspraxis der BaFin zum Outsourcing für Kreditinstitute. Ein neuer einheitlicher Rahmen verschafft hier Klarheit. Da der Proportionalitätsgrundsatz auch nach den konsultierten Auslagerungsleitlinien erhalten bleiben soll, können Institute und Zahlungsinstitute künftig weiterhin abhängig von ihrem Geschäftsmodell ihr Auslagerungsmanagement in angemessener Weise gestalten.

Zentrale Punkte bleiben weiterhin, dass Auslagerungen im Risikomanagement abgebildet werden müssen, dass interne Kontrollmechanismen etabliert werden, dass die Datensicherheit in jedem Fall gewährleistet bleibt und dass das Institutsmanagement die letzte Verantwortung für ausgelagerte Prozesse behält. Die Vorgaben an Auslagerungsverträge bringen ebenfalls keine Neuerungen. Festgeschrieben ist nun, dass Serviceleistungen, die eine Erlaubnis einer Aufsichtsbehörde erfordern, nur von lizensierten Dienstleistern erbracht werden dürfen. Jedes Institut soll künftig eine schriftlich festgehaltene Auslagerungs-Policy vorhalten, deren Vorgaben etwas ausführlicher sind, als das bisher der Fall ist. Eine recht aufwändige Neuerung ist, dass geplante Auslagerungen von kritischen oder wichtigen Funktionen, inklusive wesentlicher Auslagerungen an Cloud-Servicedienstleister, nach dem Entwurf der EBA künftig vorher der zuständigen Behörde angezeigt werden sollen. Auch wesentliche Änderungen in einem solchen Auslagerungsverhältnis sollen der Behörde zeitnah mitgeteilt werden. Hier wird abzuwarten sein, wie sich die Verwaltungspraxis entwickelt.

Der Vorschlag der EBA enthält auch Vorgaben zu Auslagerungen an Drittstaaten-Servicedienstleister. Ein Anwendungsfall für solche Drittstaaten-Auslagerungen kann laut EBA etwa sein, dass ein Drittstaateninstitut, das Zugang zum europäischen Markt hat oder sucht, nicht seine gesamte Infrastruktur neu aufbauen muss, sondern bestehende, im Drittstaat bereits vorhandene Infrastruktur (etwa in der eigenen Gruppe) im Rahmen einer Auslagerung auch für die innereuropäische Einheit nutzen kann. Damit ist die Konsultation der EBA auch für den bevorstehenden Brexit relevant. Sofern UK im Fall eines harten Brexits zum Drittstaat würde und UK-Institute Geschäftsbereich in die EU verlagern, kann so in einem gewissen Rahmen auch vorhandene Infrastruktur grenzüberschreitend genutzt werden. Es ist nun ausdrücklich geregelt, was bislang bereits galt, nämlich dass Bankgeschäfte und Zahlungsdienste nur an Dienstleister in Drittstaaten ausgelagert werden dürfen, wenn diese in dem Drittstatt beaufsichtigt sind und es eine geregelte Zusammenarbeit zwischen der Drittstaatenaufsicht und der zuständigen Aufsichtsbehörde in dem jeweiligen EU-Staat gibt.

Insgesamt handelt es sich bei der Konsultation um einen weitgesteckten Rahmen, der die derzeitige deutsche Auslagerungspraxis nicht wesentlich verändern wird.