Utvalgte hurtiglenker

    EØS-notatbasen

    Utfyllende bestemmelser til DORA om IKT-risikostyring

    Delegert kommisjonsforordning (EU) 2024/1774 av 13. mars 2024 som supplerer forordning (EU) 2022/2554 fra Europaparlamentet og Rådet med hensyn til regulatoriske tekniske standarder som spesifiserer IKT-risikostyringsverktøy, metoder, prosesser og policyer samt det forenklede IKT-risikostyringsrammeverket

    Commission Delegated Regulation (EU) 2024/1774 of 13 March 2024 supplementing Regulation (EU) 2022/2554 of the European Parliament and of the Council with regard to regulatory technical standards specifying ICT risk management tools, methods, processes, and policies and the simplified ICT risk management framework

    EØS-notat | 06.12.2024 | EØS-notatbasen

    Sakstrinn

    1. Faktanotat
    2. Foreløpig posisjonsnotat
    3. Posisjonsnotat
    4. Gjennomføringsnotat

    Opprettet 05.12.2024

    Spesialutvalg: Kapitalbevegelser og finansielle tjenester

    Dato sist behandlet i spesialutvalg:

    Hovedansvarlig(e) departement(er): Finansdepartementet

    Vedlegg/protokoll i EØS-avtalen: Vedlegg IX. Finansielle tjenester

    Kapittel i EØS-avtalen: V. Bestemmelser som gjelder alle finansielle tjenester

    Status

    Rettsakten er vedtatt av EU-kommisjonen og vil tre i kraft i EU den 17. januar 2025. Forordningen er til vurdering for innlemmelse i EØS-avtalen.  

    Sammendrag av innhold

    Rettsakten er en delegert kommisjonsforordning til forordning (EU) 2022/2554 (DORA – Digital Operational Resilience Act) om digital operasjonell motstandsdyktighet i finanssektoren. 

    Den delegerte kommisjonsforordningen inneholder regler som skal styrke foretakenes oppfølging av IKT-risiko. Det stilles detaljerte krav til utarbeidelse, dokumentering og implementering av retningslinjer, rutiner, protokoller og verktøy knyttet til IKT-risiko og –sikkerhet som skal inngå i foretakets IKT-risikostyringsrammeverk. Alle foretak som er omfattet av DORA skal blant annet ha et IKT-risikostyringsrammeverk som inneholder retningslinjer for informasjonssikkerhet og for IKT-prosjektstyring, fysiske sikkerhetstiltak, IKT-beredskapsplaner og testeregime av disse.  

    For foretak som faller inn under definisjonen i DORA artikkel 16 (1), vil et forenklet IKT-risikostyringsrammeverk være tilstrekkelig. 

    Ved utarbeidelse og implementering av retningslinjer, prosedyrer mv., skal foretakene ta hensyn til foretakets størrelse og overordnet risikoprofil, samt arten, omfanget og elementene av økt eller redusert kompleksitet av dens tjenester, aktiviteter og drift.  

    Merknader
    Rettslige konsekvenser

    I forslag til lov om digital operasjonell motstandsdyktighet i finanssektoren § 2 framgår det at departementet kan fastsette utfyllende forskrifter. Det antas derfor at den delegerte kommisjonsforordningen vil gjennomføres i norsk rett ved henvisning i forskrift. Forordningen vil gi mer detaljerte regler enn de som følger av dagens regelverk for IKT-risikostyring, herunder IKT-forskriften og annet sektorregelverk. 

    Økonomiske og administrative konsekvenser

    De fleste foretakene som omfattes av DORA er underlagt regler om styring og kontroll av IKT-risiko etter IKT-forskriften, annet sektorregelverk og retningslinjer fra de europeiske tilsynsmyndighetene. Foretakene antas derfor å ha utarbeidet, dokumentert og implementert en rekke av de retningslinjer, prosedyrer og protokoller for styring av IKT-risiko som kreves etter den delegerte kommisjonsforordningen som i hovedtrekk kan videreføres med visse modifikasjoner. Den økonomiske og administrative byrden vil avhenge av i hvilken grad foretaket har etterlevd gjeldende regelverk og retningslinjer. 

    Forordningen stiller mer omfattende og detaljerte krav enn eksisterende regelverk. Det er likevel ikke forventet at Finanstilsynet eller andre offentlige myndigheter vil få en betydelig økt arbeidsmengde på bakgrunn av forordningen. Det vises til at Finanstilsynet i tilsynsvirksomheten har lagt til grunn etterlevelse av gjeldende retningslinjer fra de europeiske tilsynsmyndighetene. 

    Sakkyndige instansers merknader

    Finanstilsynet har vurdert rettsakten som EØS-relevant og akseptabel. 

    Vurdering

    Rettsakten er EØS-relevant og akseptabel. 

    Andre opplysninger

    Nøkkelinformasjon

    Institusjon: Kommisjonen
    Type rettsakt: Forordning
    KOM-nr.:
    Rettsaktnr.: (EU) 2024/1774
    Basis rettsaktnr.: (EU) 2022/2554
    Celexnr.: 32024R1774

    EFTA-prosessen

    Dato mottatt standardskjema: 05.12.2024
    Frist returnering standardskjema:
    Dato returnert standardskjema:
    EØS-relevant: Ja
    Akseptabelt: Ja
    Tekniske tilpasningstekster: Nei
    Materielle tilpasningstekster: Nei
    Art. 103-forbehold: Nei

    Norsk regelverk

    Endring av norsk regelverk: Ja
    Høringsstart:
    Høringsfrist:
    Frist for gjennomføring:

    Lenker

    Til toppen