Utvalgte hurtiglenker

    EØS-notatbasen

    Utfyllende bestemmelser til DORA om klassifisering og rapportering av IKT-relaterte hendelser og cybertrusler

    Delegert kommisjonsforordning (EU) 2024/1772 av 13. mars 2024 som supplerer forordning (EU) 2022/2554 fra Europaparlamentet og Rådet med hensyn til regulatoriske tekniske standarder som spesifiserer kriteriene for klassifisering av IKT-relaterte hendelser og cybertrusler, fastsetter vesentlighetsterskler og spesifiserer detaljene i rapporter om alvorlige hendelser.

    Commission Delegated Regulation (EU) 2024/1772 of 13 March 2024 supplementing Regulation (EU) 2022/2554 of the European Parliament and of the Council with regard to regulatory technical standards specifying the criteria for the classification of ICT-related incidents and cyber threats, setting out materiality thresholds and specifying the details of reports of major incidents

    EØS-notat | 06.12.2024 | EØS-notatbasen

    Sakstrinn

    1. Faktanotat
    2. Foreløpig posisjonsnotat
    3. Posisjonsnotat
    4. Gjennomføringsnotat

    Opprettet 05.12.2024

    Spesialutvalg: Kapitalbevegelser og finansielle tjenester

    Dato sist behandlet i spesialutvalg:

    Hovedansvarlig(e) departement(er): Finansdepartementet

    Vedlegg/protokoll i EØS-avtalen: Vedlegg IX. Finansielle tjenester

    Kapittel i EØS-avtalen: V. Bestemmelser som gjelder alle finansielle tjenester

    Status

    Rettsakten er vedtatt av EU-kommisjonen og vil tre i kraft i EU den 17. januar 2025. Forordningen er til vurdering for innlemmelse i EØS-avtalen.  

    Sammendrag av innhold

    Rettsakten er en delegert kommisjonsforordning til forordning (EU) 2022/2554 (DORA – Digital Operational Resilience Act) om digital operasjonell motstandsdyktighet i finanssektoren. 

    Alle foretak som omfattes av DORA må registrere og klassifisere IKT-relaterte hendelser. De fleste foretak som omfattes skal rapportere inn alvorlige hendelser til Finanstilsynet. Foretakene kan også rapportere inn vesentlige cybertrusler på frivillig basis.  

    Den delegerte kommisjonsforordningen inneholder detaljerte regler for klassifisering av IKT-relaterte hendelser og cybertrusler, samt terskler for vesentlighet og rapporteringskrav for alvorlige IKT-hendelser og vesentlige cybertrusler. Forordningen gir også utfyllende regler knyttet til vurderingen av om en alvorlig hendelse er relevant for andre kompetente myndigheter i EU/EØS og hva slags informasjon som skal deles med disse. 

    Merknader
    Rettslige konsekvenser

    I forslag til lov om digital operasjonell motstandsdyktighet i finanssektoren § 2 framgår det at departementet kan fastsette utfyllende forskrifter. Det antas derfor at den delegerte kommisjonsforordningen vil gjennomføres i norsk rett ved henvisning i forskrift. Forordningen vil gi mer detaljerte regler enn de som følger av dagens regelverk for hendelsesrapportering innen IKT, herunder IKT-forskriften og annet sektorregelverk, samt rundskriv nr. 15/2009. 

    Økonomiske og administrative konsekvenser

    De fleste foretakene som omfattes av DORA har i dag en rapporteringsplikt etter IKT-forskriften og antas derfor å ha systemer og rutiner som kan videreføres med visse modifikasjoner. Den delegerte kommisjonsforordningen kan medføre økonomiske og administrative konsekvenser for foretak i forbindelse med opprettelse og/eller tilpasning av systemer og rutiner for registrering, klassifisering og rapportering av IKT-relaterte hendelser og cybertrusler. Dette kan inkludere investeringer i teknologiske løsninger, nye rutiner og opplæring av ansatte knyttet til rapportering til Finanstilsynet.  

    Forordningen forventes ikke å ha vesentlige økonomiske eller administrative konsekvenser for norske myndigheter til tross for at det må utvikles nye IKT-løsninger for mottak og videresending av hendelsesrapporter.  

    Sakkyndige instansers merknader

    Finanstilsynet har vurdert rettsakten som EØS-relevant og akseptabel.

    Vurdering

    Forordningen anses EØS-relevant og akseptabel.  

    Andre opplysninger

    Nøkkelinformasjon

    Institusjon: Kommisjonen
    Type rettsakt: Forordning
    KOM-nr.:
    Rettsaktnr.: (EU) 2024/1772
    Basis rettsaktnr.: (EU) 2022/2554
    Celexnr.: 32024R1772

    EFTA-prosessen

    Dato mottatt standardskjema: 05.12.2024
    Frist returnering standardskjema:
    Dato returnert standardskjema:
    EØS-relevant: Ja
    Akseptabelt: Ja
    Tekniske tilpasningstekster: Nei
    Materielle tilpasningstekster: Nei
    Art. 103-forbehold: Nei

    Norsk regelverk

    Endring av norsk regelverk: Ja
    Høringsstart:
    Høringsfrist:
    Frist for gjennomføring:

    Lenker

    Til toppen