DORA-forordningen

Europaparlaments- og rådsforordning (EU) 2022/2554 av 14. desember 2022 om digital operasjonell motstandsdyktighet for finansområdet og endring av forordning (EF) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 og (EU) 2016/1011

Regulation (EU) 2022/2554 of 14 December 2022 of the European Parliament and of the Council on digital operational resilience for the financial sector and amending Regulations (EC) No 1060/2009, (EU) No 648/2012, (EU) No 600/2014, (EU) No 909/2014 and (EU) 2016/1011

Sakstrinn

  1. Faktanotat
  2. Foreløpig posisjonsnotat
  3. Posisjonsnotat
  4. Gjennomføringsnotat

Opprettet 30.01.2023

Spesialutvalg: Kapitalbevegelser og finansielle tjenester

Dato sist behandlet i spesialutvalg:

Hovedansvarlig(e) departement(er): Finansdepartementet

Vedlegg/protokoll i EØS-avtalen: Vedlegg IX. Finansielle tjenester

Kapittel i EØS-avtalen: V. Bestemmelser som gjelder alle finansielle tjenester

Status

Forslaget har vært på høring og hadde høringsfrist 3. april 2024.

Sammendrag av innhold

Innledning

Forordning (EU)2022/2554 om digital og operasjonell motstandsdyktighet i den finansielle sektoren (DORA-forordningen, heretter DORA). Forordningen gjelder for de fleste finansforetak og i tillegg for IKT-tjenesteleverandører. Noen typer foretak er unntatt. DORA ble vedtatt i november 2022 og trådte i kraft 17. januar 2025 i EU.

DORA inneholder flere bestemmelser som gir de europeiske tilsynsmyndighetene myndighet til å utarbeide regulatoriske tekniske standarder.

DORA medfører også at flere forordninger innen finansområdet må endres. Disse er inntatt som endringsbestemmelser til DORA. Videre medfører DORA at flere direktiver innen finansområdet må endres. Endringene fremgår av direktiv (EU) 2022/2556

Bakgrunnen for det vedtatte regelverket

I september 2020 fremla Europakommisjonen en digital finanspakke, «Digital Finance Package», med en digital finansiell strategi og regelverk, for å sikre forbrukere tilgang til innovative finansielle produkter, samtidig som forbrukervern og finansiell stabilitet er ivaretatt. Som en del av pakken ble DORA lansert.

EU-regelverket på det digitale området er i stor grad regulert sektorvis i finanssektoren. I tillegg har man, både i EU og på nasjonalt nivå, valgt forskjellige tilnærminger, som anses som et potensielt hinder for fri flyt av varer og tjenester for foretak med grensekryssende virksomhet i finanssektoren.  

Finanssektoren er preget av rask digitalisering. Dette omfatter stadig nye og avanserte digitale løsninger. Løsningene medfører gevinster for forbrukere, finansforetak og samfunnet for øvrig, men introduserer samtidig nye sårbarheter. Finanssektoren er i stor grad avhengig av slike løsninger.

Foretakenes benytter seg i større grad av leverandører og antallet leverandører øker. I tillegg øker kompleksiteten i løsningene og det samme gjelder kontraktsforholdene med leverandørene. Dette representerer i mange tilfeller en endret/økt risiko for foretakene. Konsentrasjonsrisikoen er tidvis høy, da visse tjenester leveres til mange foretak av et fåtall leverandører. I tillegg er finanssektoren utsatt for digitale angrep, som kan få store samfunnsmessige konsekvenser og true finansiell stabilitet.

DORA er utarbeidet for å imøtekomme truslene som foreligger. Regelverket fokuserer på overordnet risikostyring, håndtering av hendelser, testing, håndtering av tredjepartsrisiko samt informasjonsdeling. Ved anvendelse av regelverket er det lagt til grunn at proporsjonalitetsprinsippet skal gjelde.

Forordningens innhold

DORA er delt inn i ni kapitler. Bestemmelsene angir krav til foretakene, herunder tiltak foretakene skal iverksette for å være motstandsdyktige ovenfor digitale angrep. Det er også gitt regler om rapportering av hendelser. I tillegg reguleres EU sin rolle som overvåkningsorgan. Nedenfor følger en kort redegjørelse for kapitlene. Små og mellomstore foretak er delvis unntatt fra regelverket.

Kapittel I – Generelle bestemmelser

Kapittelet inneholder overordnede bestemmelser vedrørende forordningens formål og hvem den gjelder for. De fleste finansforetak, verdipapirforetak og fond er omfattet. I tillegg er en rekke begreper definert. Det er også inntatt en bestemmelse om anvendelse av proporsjonalitetsprinsippet for deler av forordningens bestemmelser. Foretakets størrelse, risikoprofil, type virksomhet samt tjenestenes skala og kompleksitet er relevante momenter i vurderingen.

Microentrepriser er en definisjon som er verdt å merke seg, da slike foretak i flere sammenhenger er unntatt for krav i regelverket. Det samme gjelder små og mellomstore entrepriser.

DORA gjelder for følgende foretak:

  1. Kredittforetak
  2. Betalingsforetak, inkludert betalingsforetak unntatt i PSD2 ((EU) 2015/2366)
  3. Kontoinformasjonstilbydere
  4. E-pengeforetak, inkludert e-pengeforetak unntatt i E-pengedirektivet (2009/110/EC)
  5. Investeringsforetak
  6. Tilbydere av kryptotjenester, med tillatelse i henhold til MiCA(52020PC0593), m.m.
  7. Verdipapirsentraler
  8. Sentrale motparter
  9. Markedsplasser
  10. Transaksjonsregistre
  11. AIF-forvaltere
  12. Administrasjonsselskaper
  13. Leverandører av datarapporteringstjenester
  14. Forsikrings- og gjenforsikringsforetak
  15. Forsikringsformidlere, gjenforsikringsformidlere og aksessoriske forsikringsformidlere
  16. Arbeidsmarkedsrelaterte pensjonskasser
  17. Kredittvurderingsforetak
  18. Administratorer av kritiske benchmarks
  19. Tjenesteleverandører for folkefinansiering
  20. Verdipapirregistre
  21. Tredjepartstilbydere av IKT

Følgende er unntatt:

  1. AIF-forvaltere, jf. AIFMD (2011/61/EU), Art 3(2)
  2. Forsikrings- og gjenforsikringsforetak, jf. Solvens II (2009/138/EF), art. 4
  3. Arbeidsmarkedsrelaterte pensjonskasser, som forvalter pensjonsordninger, som til sammen ikke har flere enn 15 medlemmer totalt
  4. Faktiske og juridiske personer unntatt i henhold til MIFID II (2014/65/EU), art. 2 og 3.
  5. Forsikringsformidlere, gjenforsikringsformidlere og aksessoriske forsikringsformidlere, som er microentrepriser eller små/mellomstore foretak.
  6. Postgirokontorer, jf. CRD (2013/36/EU), art 2(5), nr. 3.

Kapittel II – Risikostyring på IKT-området

Kapittelet er delt inn i to hoveddeler. Den første delen inneholder en generell bestemmelse om overordnet virksomhetsstyring og organisering av foretaket. Den andre delen inneholder krav til et rammeverk for risikostyring og krav til elementer rammeverket skal inneholde.

Overordnet virksomhetsstyring og organisering

Det stilles krav til at foretakene skal ha et overordnet rammeverk for styring og kontroll av IKT-virksomheten. Rammeverket skal sikre en effektiv og forsvarlig risikostyring samt sikre en høy grad av motstandsdyktighet. Videre stilles det krav til at ledelsen skal definere, godkjenne, overvåke og være ansvarlig for å implementere et rammeverk for risikostyring.

For å oppnå styring og kontroll på IKT-virksomheten stilles det flere krav til ledelsen. Ledelsen er ansvarlig for å styre foretakets håndtering av IKT-risiko. Videre skal det utarbeides retningslinjer for å sikre tilgjengelighet, autentisitet, integritet og konfidensialitet av data. IKT-relaterte funksjoner i foretaket skal ha tydelige roller, og ledelsen skal sørge for at funksjonene kan kommunisere rettidig, samarbeide og koordinere arbeidet sitt. Videre har ledelsen ansvaret for å fastsette og godkjenne en strategi for digital motstandsdyktighet, herunder definere et akseptabelt nivå for risikotoleranse.

Ledelsen skal også godkjenne, overvåke og jevnlig vurdere foretakets kontinuitetsplan og kriseplan. Det stilles krav til at ledelsen skal godkjenne og jevnlig revidere internrevisjonens planer på IKT-området, IKT-revisjoner og vesentlige endringer av dem. I tillegg skal ledelsen tildele og jevnlig gjennomgå et passende budsjett for å imøtekomme foretakets behov i forbindelse med digital motstandsdyktighet.

I forhold til IKT-tjenesteleverandører er ledelsen ansvarlig for å godkjenne og jevnlig revidere retningslinjer for IKT-tjenesteavtaler. Ledelsen er også ansvarlig for å etablere rapporteringskanaler, slik at de er oppdatert på bruk av IKT-tjenesteleverandører, planlagte vesentlige endringer av leverandørforhold og potensiell innvirkning på kritiske og viktige funksjoner eventuelle endringer har. Som en del av rapporteringen av potensielle endringer av kritiske og viktige funksjoner, skal rapporteringen også inneholde oppsummering av utført risikoanalyse, for at ledelsen kan vurdere konsekvensen av endringer. Rapporteringen skal også omfatte større IKT-hendelser og deres innvirkning på foretaket, herunder respons samt tiltak for gjenoppretting og korrigering.

Regelverket stiller krav til at foretakene skal ha en funksjon som skal overvåke tjenester levert av tredjeparter. Alternativt kan ansvaret for å følge opp risikoeksponeringen og relevant dokumentasjon i forbindelse med tjenesteleveransen delegeres. Kravene beskrevet i dette avsnittet gjelder ikke for microentrepriser.

Operasjonelle bestemmelser

Det stilles krav til et solid, helhetlig og veldokumentert rammeverk for risikostyring på IKT-området. Rammeverkets formål skal være å håndtere risiko raskt, effektivt og helhetlig, for å sikre en høy grad av operasjonell motstandsdyktighet.

Det stilles flere krav til rammeverket. Blant annet skal det minimum inneholde nødvendige strategier, retningslinjer, prosedyrer, IKT-protokoller og IKT-verktøy for å beskytte foretakets data og redusere risiko. Foretakene skal følge opp rammeverket i praksis. Den kompetente myndigheten kan kreve å få se helhetlig og oppdatert dokumentasjon vedrørende IKT-risiko og rammeverket for risikostyring.

Overvåkningen av IKT-risiko skal tillegges en kontrollfunksjon, som skal være uavhengig for å unngå interessekonflikter, jf. blant annet prinsippet om tre forsvarslinjer. Rammeverket skal gjennomgås minimum årlig. For microentrepriser stilles det imidlertid kun krav til periodisk gjennomgang. I tillegg skal rammeverket gjennomgås i etterkant av større IKT-hendelser, eller i henhold til instruksjoner/konklusjoner fra tilsynsmyndigheten i forbindelse med testing av operasjonell motstandsdyktighet eller revisjoner. Den kompetente myndigheten kan kreve å få fremlagt en rapport med foretakets vurdering av rammeverket for IKT-risiko. Rammeverket skal gjennomgås av internrevisjonen. Revisjonsrapporten skal følges opp med nødvendige tiltak, og det skal foreligge en operasjonell strategi for implementeringen. Regelverket stiller minimumskrav til implementeringsstrategien.

For å kunne håndtere IKT-risiko, stilles det krav til at foretakene skal benytte oppdaterte IKT-systemer, protokoller og verktøy. Regelverket stiller i denne sammenheng flere minimumskrav.

Regelverket inneholder bestemmelser om identifikasjon, som går ut på at foretaket skal identifisere, klassifisere og dokumentere IKT-relaterte funksjoner. Identifiseringen omfatter blant annet konfigurasjoner, systemavhengigheter, kartlegging av utstyr, avhengigheter i forhold til tredjeparter og kilder til IKT-risiko. Det stilles også krav til tiltak foretaket må implementere for å beskytte seg mot, forhindre og avdekke eventuelle dataangrep, samt krav til hvordan foretaket skal respondere og ha mekanismer for å gjenopprette driften ved hendelser eller avvik.

Som en del av rammeverket for risikostyring på IKT-området, skal foretaket utarbeide en kontinuitetsplan for IKT-virksomheten og -løsningene, herunder gjenopprettelsesplaner. Videre skal det foretas en konsekvensanalyse for virksomheten (Business Impact Assessment, BIA) som skal ligge til grunn for kontinuitetsplanen. Kontinuitetsplanen skal være gjenstand for testing. På forespørsel fra den kompetente myndigheten skal foretakene rapportere antatt kostnad og mulige tap som følge av et alvorlig angrep.

DORA regulerer prosedyrer og metoder for gjenoppretting av normal drift etter en hendelse. Formålet med bestemmelsene er å sikre at foretakets IKT-systemer og data kan gjenopprettes med minimal nedetid, slik at driftsavbruddet og tap av data begrenses. Blant annet gis det nærmere bestemmelser om prosedyrer for hvordan gjenoppretting skal skje og hvilke krav som stilles til backup-løsninger. For verdipapirsentraler stilles det krav til minst et sekundært datasenter, som må oppfylle flere kriterier.

Foretakene skal ha ressurser og ansatte for å samle informasjon om sårbarheter og cybertrusler samt IKT-hendelser, spesielt dataangrep, som kan påvirke foretakets digitale motstandsdyktighet. Informasjonen skal analyseres for å kunne vurdere hvordan den affekterer den digitale motstandsdyktigheten. Videre skal foretakene evaluere større IKT-hendelser, ved å analysere årsaken og avdekke hvilke forbedringer som må gjøres i forhold til IKT-driften og kontinuitetsplanen. Ledelsen skal, minst årlig, motta rapporter om hvilke funn som er gjort samt anbefalte tiltak. Eventuelle endringer som følge av større hendelser skal rapporteres til den kompetente myndigheten på forespørsel. Erfaringer i henhold til testing og IKT-hendelser, herunder ved aktivering av kriseplan m.m., skal inntas i foretakets risikovurderingsprosess. For øvrig reguleres foretakenes plikt til å overvåke i hvilken grad strategien for digital motstandsdyktighet er effektiv og hvordan overvåkingen skal utføres. Foretakene skal også følge med på teknologiutviklingen, for å kunne vurdere hvordan den påvirker krav til IKT-sikkerhet og digital motstandsdyktighet. Foretakene skal ha intern opplæring for ansatte. Det skal også foreligge en plan for krisekommunikasjon.

Flere typer foretak er unntatt fra reglene beskrevet over, da det foreligger bestemmelser om et forenklet rammeverk for risikostyring.

Kapittel III – Håndtering av IKT-relaterte hendelser, klassifisering og rapportering

Det stilles krav til håndtering, klassifisering og rapportering av IKT-hendelser. Bestemmelsene går i hovedsak ut på at foretakene skal utarbeide prosedyrer for tilfellene hvor en hendelse inntreffer, herunder hvordan foretaket skal overvåke, håndtere og følge opp en pågående hendelse. Klassifiseringen av hendelser skal skje i henhold til visse minimumskriterier. Rapporteringen skal skje til relevant myndighet. De europeiske tilsynsmyndighetene (ESAene) skal gjennom en felles komité (Joint Committee (JC)) utarbeide en standard for rapporteringen. ESAene skal også gjennom en felles komité, og i samarbeid med den Europeiske Sentralbanken, vurdere muligheten for å sentralisere rapporteringen av større IKT-hendelser til et sentralt punkt i EU. En slik løsning må for Norges del vurderes særskilt med tanke på suverenitetsprinsippet. Den kompetente myndigheten skal følge opp en rapportert hendelse med kvittering for mottatt varsel samt gi relevante tilbakemeldinger og eventuelt veiledning. Det er spesielt lagt vekt på at den kompetente myndigheten skal veilede på eventuelle tiltak foretaket kan gjøre og hvordan man kan minimere påvirkningen på resten av sektoren. Alle IKT-hendelser og kvalifiserte cybertrusler skal loggføres etter visse kriterier. Foretakene har også anledning til å melde fra om kvalifiserte cybertrusler på frivillig basis.

Kapittel IV – Testing av digital operasjonell motstandsdyktighet

Kapittelet inneholder generelle krav til testing av digital motstandsdyktighet. Foretakene skal etablere, vedlikeholde og evaluere et solid og helhetlig program for å teste operasjonell motstandsdyktighet. Programmet skal inngå i rammeverket for risikostyring. Formålet med testingen er å vurdere hvor forberedt foretakene er på IKT-hendelser samt avdekke svakheter, mangler og avvik i den digitale motstandsdyktigheten. Videre skal testingen gi grunnlag for å implementere forbedringstiltak raskt.

Det skal blant annet foreligge forskjellige vurderinger/analyser, tester, metoder, praksiser og verktøy i forbindelse med testingen. Testingen skal skje med en risikobasert tilnærming og foretaket skal sikre at testingen gjennomføres av en uavhengig aktør, enten intern eller ekstern. Foretakene skal utarbeide prosedyrer og rutiner for å prioritere, klassifisere og rette feil avdekket gjennom testingen. I tillegg skal det etableres en metode for intern validering for å sikre at alle avdekkede svakheter, mangler og avvik følges opp. Kritiske IKT-systemer skal minimum testes årlig. Microentrepriser er unntatt flere av kravene gitt i forbindelse med testing.

Testprogrammet for operasjonell motstandsdyktighet skal, i tråd med proporsjonalitetsprinsippet, legge til rette for gjennomføring av adekvat testing. I denne sammenheng lister regelverket opp eksempler på en rekke type tester. På dette området foreligger det egne regler for verdipapirsentraler, sentrale motparter og microentrepriser.

Det stilles krav til trusselbasert penetrasjonstesting (TLPT). En rekke typer foretak er unntatt fra slik testing, blant annet microentrepriser. En TLPT skal gjennomføres minst hvert tredje år. Den kompetente myndigheten skal vurdere hvilke foretak som skal utføre TLPT ut ifra et proporsjonalitetsprinsipp samt vurderingskriterier i regelverket. En TLPT skal dekke flere eller alle kritiske funksjoner i et foretak. Finansforetak skal identifisere relevante underliggende IKT-systemer, prosesser og teknologier, som støtter kritiske og viktige funksjoner. Dette omfatter funksjoner som er satt bort til leverandør. Foretakene skal vurdere hvilke kritiske og viktige funksjoner som bør være en del av TLPT, med tanke på å definere et presist tema/omfang for testingen. Vurderingen skal godkjennes av den kompetente myndigheten.

I noen tilfeller legges det opp til at TLPT ovenfor leverandører, etter avtale, kan gjennomføres som en samlet test, på vegne av flere foretak, av en ekstern tester.

Finansforetak skal, under testingen, minimere potensiell innvirkning på data, skade på ressurser, forstyrrelser på kritiske og viktige funksjoner, tjenester eller drift i eget foretak, konkurrenter, eller finanssektoren generelt. For å oppnå dette skal foretaket anvende effektive risikokontroller.

Etter at en TLPT er gjennomført, skal den kompetente myndigheten tilsendes et sammendrag av funn, planer for å rette opp funn og dokumentasjon som viser at testen er gjennomført i henholdt til gjeldende krav. Det skal foreligge en attest på at testen er gjennomført korrekt, for å kunne tillate gjensidig anerkjennelse av testen mellom kompetente myndigheter. Attesten skal formidles til den kompetente myndigheten.   

Finansforetak skal ansette testere, med formålet å kunne gjennomføre TLPT. Signifikante kredittinstitusjoner skal kun bruke eksterne testere. Når det gjelder testere, stilles det krav til aktørene som skal gjennomføre testene.  

Regelverket åpner for at det kan utpekes en egen TLPT-myndighet, som er ansvarlig for å følge opp TLPT-relaterte spørsmål. Dersom det ikke pekes ut en egen myndighet, er det tilsynsmyndigheten etter DORA som er TLPT-myndigheten. I slike tilfeller oppgaver i relasjon til TLPT delegeres til en annen nasjonal myndighet i finanssektoren.

Kapittel V – Håndtering av tredjepartsrisiko på IKT-området

Kapittelet er delt inn i to hoveddeler. Den første delen omhandler grunnleggende prinsipper for håndtering av tredjepartsrisikoer, mens den andre delen omhandler et tilsynsrammeverk for vesentlige IKT-tjenesteleverandører.

Grunnleggende prinsipper for håndtering av tredjepartsrisikoer

Når det gjelder tredjepartsrisiko, skal styringen av tredjepartsrisikoen inngå som en del av den overordnede risikostyringen. Foretaket er ansvarlig for etterlevelse av alle forpliktelser som følger av DORA og annet relevant regelverk, også ved inngåelse av IKT-tjenesteavtaler. I tillegg angis retningslinjer for hva foretakene skal legge vekt på ved risikostyringen. Foretakene plikter å ha en oversikt over IKT-tjenesteavtaler og skal definere og dokumentere hvilke avtaler som er kritiske eller viktige. Oversikten skal forelegges på forespørsel fra relevant tilsynsmyndighet. Foretakene skal minimum årlig rapportere nye avtaler som er inngått, hva slags type kontrakt som er inngått, form for avtaleinngåelse og type IKT- tjeneste eller funksjon som er satt bort, til kompetent myndighet. I tillegg skal foretakene informere den kompetente myndigheten i rimelig tid om planlagte IKT-tjenesteavtaler, forutsatt at avtalen er kritisk eller viktig.

Før et foretak inngår en leverandøravtale, stilles det krav til hva foretaket må ha foretatt seg på forhånd, blant annet due diligence av leverandøren. Videre legges det en begrensing på foretakene, ved at de kun kan inngå kontrakter med leverandører som etterlever adekvate informasjonssikkerhetsstandarder. Dersom det er tale om en kritisk eller viktig IKT-tjeneste, må leverandøren etterleve de beste og nyeste standardene. Når det gjelder foretakenes rett til tilgang, inspeksjoner og revisjon, er det lagt opp til at foretakene skal ha en risikobasert tilnærming, hvor hyppigheten av revisjoner og inspeksjoner, samt hvilke områder som skal revideres skal være forhåndsdefinert. Foretaket skal verifisere at revisor har tilstrekkelig kunnskap og evner til å gjennomføre IKT-revisjoner og vurderinger.

Ved inngåelse av leverandøravtale skal foretaket i visse definerte tilfeller sikre adgang til oppsigelse av avtalen. Hvis det er tale om en kritisk eller viktig avtale, skal foretaket sikre en uttredelsesstrategi (exit-strategi) og det stilles krav til hva denne må inneholde. Det stilles også krav til at finansforetaket skal sikre muligheten til å tre ut av en leverandøravtale, uten at dette går ut over finansforetakets kontinuitet, både i forhold til drift og ytelse av tjenester ovenfor kunder og etterlevelse av regelverk. Planene for uttredelse skal være dekkende, veldokumenterte og skal testes og revurderes jevnlig. Foretakene skal kartlegge alternative løsninger og overgangsordninger, slik at den virksomheten som er satt bort til leverandør, med tilhørende data, kan overføres til en alternativ leverandør eller tilbake til egen virksomhet. Foretakene skal også ha adekvate beredskapsordninger for å sikre kontinuitet ved en uttredelse av kontrakt.

Forut for inngåelse av kritiske eller viktige IKT-tjenesteavtaler skal foretaket vurdere om avtalen vil føre til at man inngår en avtale med en aktør som er vanskelig å erstatte eller om flere tjenester er konsentrert hos samme leverandør, eller leverandører som har et tett samarbeid. Foretakene skal også gjøre en kost-nytte-vurdering i forhold til alternative leverandører og muligheten for at leverandør for kritiske/viktige tjenester benytter underleverandører. Som en del av risikovurderingen skal foretaket ta stilling til om IKT-tjenesteavtaler medfører komplekse verdikjeder.

Forordningen stiller krav til utforming av avtalen. Avtalen skal være skriftlig. Videre skal partenes rettigheter og plikter være tydelig fordelt. Avtalen skal også inneholde krav til tjenestekvalitet. For øvrig stilles det flere minimumskrav til innholdet i kontrakten. I kontraktsforhandlingene skal foretaket vurdere bruk av standard kontraktsbestemmelser utarbeidet av offentlige myndigheter.

Tilsynsramme for kritiske tredjepartstilbydere av IKT-tjenester

ESAene skal, gjennom deres felles komite og på anbefaling fra tilsynsforumet (som skal etableres), vurdere og utpeke hvilke IKT-tjenesteleverandører som er kritiske for foretakene, ut ifra gitte kriterier. Felleskomiteen skal også utpeke hvilken ESA som skal være ansvarlig for overvåking (tilsynsfører) av den enkelte kritiske tjenesteleverandør, ut ifra gitte kriterier. Hvert år skal en oppdatert liste over kritiske tjenesteleverandører publiseres.

Det er gitt regler for strukturen av tilsynsrammen, hvilke oppgaver den ansvarlige overvåkeren skal ha, samhandling mellom ansvarlige overvåkere, hvilken kompetanse en ansvarlig overvåker skal ha og hvordan denne skal utøves. I tillegg er det gitt regler for den ansvarlige overvåkerens anledning til å innhente informasjon og hvilke undersøkelser som kan gjennomføres. Den ansvarlige overvåkeren kan foreta inspeksjon hos en utpekt tjenesteleverandør og det er regulert nærmere hva overvåkeren kan foreta seg.

Ved tilsynet skal den ansvarlige overvåkeren assisteres av en gruppe bestående av ESAene og relevante kompetente myndigheter hvor finansforetak hører hjemme. I tillegg kan den nasjonale kompetente myndigheten i henhold til NIS2-direktivet (EU 2022/2555) og en kompetent myndighet fra landet den kritiske leverandøren hører hjemme delta på frivillig basis.

Tjenesteleverandøren skal innen 60 dager etter en undersøkelse eller inspeksjon, opplyse ansvarlig overvåker om hensikten til å følge opp anbefalinger, eventuelt grunngi valg om å ikke følge anbefalingene. Tilbakemeldingen fra tjenesteleverandør skal umiddelbart videreformidles til de kompetente myndighetene.

Regelverket legger opp til at kritiske tjenesteleverandører skal betale avgift for å dekke den ansvarlige overvåkerens utgifter i forbindelse med tillagte oppgaver. Det legges også opp til muligheten for å inngå samarbeid med tilsynsmyndigheter i tredjeland.

Kapittel VI – Ordninger for informasjonsdeling

Regelverket legger opp til at foretakene kan dele informasjon om cybertrusler seg imellom, forutsatt at delingen vil styrke digital motstandsdyktighet for foretakene og at kommunikasjonen skjer i et anerkjent miljø. Foretakene skal underrette kompetent myndighet om deltakelse i slike ordninger for informasjonsdeling. Det antas at NFCERT er et slikt type miljø.

Kapittel VII – Kompetente myndigheter

Reglene i kapitlet angir hvem som er kompetent tilsynsmyndighet.

I henhold til NIS 2-direktivet ((EU) 2022/255)) skal det dannes en samarbeidsgruppe (heretter Samarbeidsgruppen) for å legge til rette for samarbeid og utveksling av informasjon mellom medlemslandene. I DORA legges det opp til at ESAene og kompetente myndigheter kan delta i Samarbeidsgruppen, når det gjelder tilsynsaktiviteter i forbindelse med finansforetak. Målet er å fremme samarbeid og erfaringsutveksling mellom kompetente myndigheter, i henhold til DORA, og Samarbeidsgruppen. Videre legges det opp til at myndigheter skal samarbeide seg imellom. Relevant informasjon vedrørende kritiske IKT-leverandører skal utveksles mellom den kompetente og den overordnede tilsynsmyndigheten.

Det gis adgang til at til ESAene, gjennom JC og i samarbeid med kompetente myndigheter m.fl., kan etablere ordninger for å muliggjøre erfaringsutveksling vedrørende praksis i den finansielle sektoren. Målet er å fremme økt bevissthet samt identifisere felles sårbarheter og risikoer på tvers av sektorer. Videre legges det opp til at det kan gjennomføres felles øvelser i krisehåndtering og beredskap ved cyberangrep. Øvelsene skal ta sikte på å utvikle kommunikasjonskanaler og legge til rette for en effektiv og koordinert håndtering på EU-nivå, skulle en grensekryssende IKT-hendelse eller tilhørende trusler med påvirkning på det europeiske finansielle systemet oppstå.

Regelverket gir den kompetente myndigheten myndighet til å føre tilsyn med, undersøke og sanksjonere foretakene, i den grad det er nødvendig for å gjennomføre forordningen. Medlemslandene skal innføre regler for adekvate administrative reaksjoner og gjenopprettende tiltak ved brudd på bestemmelser i forordningen. Reaksjonene skal være effektive, proporsjonale og preventive. Medlemslandene står fritt til å innføre strafferettslige sanksjoner i nasjonal rett.

Medlemslandene skal meddele hvordan bestemmelsene i dette kapittelet implementeres, i lov, forskrift og rundskriv, til Kommisjonen, ESMA, EBA og EIOPA. Videre gis det bestemmelser om hvordan kompetente myndigheter skal publisere administrative reaksjoner.

Konfidensiell informasjon tilegnet i forbindelse med forordningen skal underlegges profesjonell taushetsplikt. Det gis også bestemmelser om når ESAene og den kompetente myndigheter kan behandle persondata.

Kapittel VIII – Delegeringer

Kommisjonen er gitt myndighet til å vedta delegerte forordninger under visse forutsetninger. Delegeringen av myndighet kan når som helst trekkes tilbake av Europaparlamentet eller Kommisjonen.

Kapittel IX – Overgangsbestemmelser (samt endringer til eksisterende forordninger)

Innen fem år etter at forordningen trer i kraft skal Kommisjonen evaluere den. Det er lagt føringer på hva evalueringen skal inneholde. Innen tre år etter at forordningen trer i kraft skal Kommisjonen vurdere og rapportere behovet for forsterkede krav til standarder for revisorer og revisjonsfirmaer i forhold til digital motstandsdyktighet, ved et lovforslag.

Kapittelet inneholder også endringer i følgende forordninger:

Kortnavn

Referanse

CRA

(EF) 1060/2009

EMIR

(EU) 648/2012

CSDR

(EU) 909/2014

MiFIR

(EU) 600/2014

BMR

(EU) 2016/2011

Om tekniske standarder og retningslinjer

I forordningen framgår det at det skal utarbeides en rekke retningslinjer, regulatoriske tekniske standarder og implementeringstekniske standarder, m.m. Standardene er omtalt samlet grunnet det store antallet. I vedlagte bilder følger en oversikt over arbeidsgrupper i JC og hvilke retningslinjer og standarder, samt andre leveranser, som skal utarbeides og hvilket organ som er ansvarlig for den enkelte standard.

De regulatoriske tekniske standardene og implementeringstekniske standardene er nivå 2-regelverk og vil reguleres i form av delegerte kommisjonsforordninger.

DORA-direktivet

DORA-forordningen krever endringer i følgende direktiver:

Kortnavn

Referanse

Solvens II

2009/138/EF

UCITS

2009/65/EF 

AIFMD

2011/61/EU 

CRD

2013/36/EU

BRRD

2014/59/EU

MIFID II

2014/65/EU 

PSD II

(EU) 2015/2366 

IORP II

(EU) 2016/2341 

Vurdering

DORA vil gi gevinster, da regelverket bidrar til å harmonisere IKT-regelverket i finanssektoren, slik at det vil bli enklere å forholde seg til hva som er gjeldende rett på det digitale området. Når reglene foreligger i kraft av én forordning fremfor dagens dagens regulrering i form av diverse lover, forskirfter og retningslinjer, antas det at krav til foretakenes arbeid med IKT-sikkerhet får større oppmerksomhet i foretakene.

Regelverket er utformet med tanke på å beskytte foretakene, kundene og samfunnet for øvrig, noe som skaper trygghet ovenfor og tillit til den finansielle sektoren. Trygghet og tillit kombinert med forhåpentligvis færre vellykkede alvorlige angrep og hendelser vil også bidra til stabilitet i den finansielle sektoren og samfunnet ellers.

Rettslige konsekvenser

I finanssektoren gjelder IKT-forskriften for foretaks IKT-virksomhet, med unntak av verdipapirsentraler. I tillegg finnes IKT-relaterte bestemmelser i enkelte sektorregelverk. Bestemmelsene i IKT-forskriften og annet sektorregelverk tilsvarer i stor grad DORAs bestemmelser.

DORA er en forordning, hvilket innebærer at den som utgangspunkt skal inntas direkte i norsk lovgivning. Det må også tas stilling til behov for endringer i lovbestemmelser og forskriftsbestemmelser, da DORA-forordningen krever endringer i flere direktiver og andre forordninger.  

DORA regulerer foretakenes meldeplikt for inngåtte IKT-tjenesteavtaler. Meldepliktforskriften (forskrift av 15. september nr. 2777) dekker hovedsakelig denne. Det kan imidlertid oppstå behov for tilpasninger, som sannsynligvis vil kunne implementeres ved endring av forskriften.

De regulatoriske tekniske standardene som utarbeides i tilknytning til DORA er nivå 2-regelverk, er også EØS-relevante og må implementeres i norsk lovgivning. Dette vil kunne gjøres i form av forskrift.

Økonomiske og administrative konsekvenser

DORA introduserer en rekke krav til rapportering, som vil få konsekvenser for den kompetente myndigheten og foretak under tilsyn. Noe rapportering foreligger allerede i dag, blant annet på hendelser og IKT-tjenesteavtaler, men DORA legger i mange tilfeller opp til en mer omfattende rapportering. Rapporteringen vil medføre økt oppfølging fra den kompetente myndighetens side ovenfor foretakene. I tillegg økes rapportering til EU.

DORA er et komplekst regelverk med mange detaljer. Både for foretakene og tilsynsmyndigheten vil regelverket være krevende å forvalte. For tilsynsmyndigheten vil det bety et mer omfattende tilsynsansvar og mulig større behov for veiledning ovenfor foretakene.

Per i dag samarbeider Finanstilsynet med NSM og Datatilsynet. DORA kan medføre at slikt samarbeid må utvides. Dette vil muligens medføre økt ressursbruk i NSM og Datatilsynet også.  

Det er noe vanskelig å si hvor krevende det blir å følge opp regelverket praksis, men sannsynligvis vil det bli behov for noe økte ressurser, både i foretakene og hos myndigheter. De regulatoriske tekniske standardene utgjør sammen med DORA et større sett med regler, med et høyere detaljnivå enn dagens regelverk og retningslinjer. Derfor vil de samlet kreve ytterligere ressurser å forvalte. I tillegg forventes det nye regelverket å medføre økt behov for samhandling med andre lands tilsynsmyndigheter. I Norge vil Finanstilsynet hovedsakelig være kompetent myndighet.

Sakkyndige instansers merknader

Forutsatt at forslaget vedtas i EØS, vurderer Finanstilsynet at DORA bør innføres ved lov. Finanstilsynet har vurdert saken vurderer rettsakten til å være EØS-relevant og akseptabel.

Andre opplysninger

Nøkkelinformasjon

Institusjon: Parlament og Råd
Type rettsakt: Forordning
KOM-nr.:
Rettsaktnr.: (EU) 2022/255
Basis rettsaktnr.:
Celexnr.: 32022R2554

EFTA-prosessen

Dato mottatt standardskjema: 11.01.2023
Frist returnering standardskjema: 03.05.2023
Dato returnert standardskjema:
EØS-relevant: Ja
Akseptabelt: Ja
Tekniske tilpasningstekster: Ja
Materielle tilpasningstekster: Ja
Art. 103-forbehold: Nei

Norsk regelverk

Endring av norsk regelverk: Ja
Høringsstart:
Høringsfrist: 03.04.2024
Frist for gjennomføring:

Lenker