Nyheter og innsikt

EUs DORA-forordning om IKT-sikkerhet i finans - norsk gjennomføring

EUs Digital Operational Resilience Act (DORA) ble vedtatt i EU i desember 2022 og er et sentralt regelverk med sikte på å styrke IKT-sikkerhet i finansielle foretak. Regelverket forventes innført i Norge gjennom en ny lov om digital operasjonell motstandsdyktighet i finanssektoren, med omfattende krav til finansforetak og IKT-leverandører. I denne artikkelen oppsummerer vi de sentrale elementene i det nye regelverket.
Finansrett

1. Bakgrunn for regulering

Norge har som et ledende land innenfor digitalisering av finanssektoren lenge hatt omfattende krav til IKT-sikkerhet i finanssektoren. IKT-forskriften fra 2003 er viktig ved at den stiller krav til risikostyring, hendelseshåndtering og utkontraktering av IKT-leveranser. Likevel er kravene til forsvarlig organisering, risikostyring og internkontroll spredt på flere lover og forskrifter.

Trusler mot IKT-sikkerhet kommer fra både interne operasjonelle utfordringer, vinningskriminelle og målrettede angrep med politisk eller militært motiv. Gitt finanssektorens grenseoverskridende natur, er et harmonisert regelverk nødvendig.

DORA-regelverket er et stort skritt fra EU i retning av å samordne og utvikle kravene til IKT-sikkerhet i Europa. Regelverket ble vedtatt i desember 2022 og trådte i kraft i EU 17. januar 2025. Regelverket fremkommer av forordning (EU) 2022/2554 og direktiv (EU) 2022/2556 som endrer en rekke andre direktiv på finansrettens område. I tillegg utvikles omfattende tekniske standarder.

Forordningen skal i prinsippet gjennomføres i norsk rett i sin helhet ved inkorporasjon. Finansdepartementet har gjennomført en høringsrunde og planlegger å fremme en proposisjon til Stortinget i første kvartal 2025. IKT-forskriften vil i stor grad bli overflødig, men forventes å bli videreført i modifisert form for foretak som faller utenfor DORA.

2. Hvilke foretak omfattes?

DORA-regelverket gjelder, jf. forordningen artikkel 2 nr. 1, for en bred gruppe finansforetak, inkludert:

  • Kredittinstitusjoner

  • Betalingsforetak, inkludert betalingsforetak unntatt etter direktiv (EU) 2015/2366

  • Opplysningsfullmektiger

  • E-pengeforetak, inkludert de unntatt etter direktiv 2009/110/EF

  • Verdipapirforetak

  • Tilbydere av tjenester knyttet til kryptoverdier

  • Verdipapirsentraler

  • Sentrale motparter

  • Handelsplasser

  • Transaksjonsregistre

  • Forvaltere av alternative investeringsfond

  • Forvaltningsselskaper

  • Leverandører av datarapporteringstjenester

  • Forsikrings- og gjenforsikringsforetak

  • Forsikringsformidlere, gjenforsikringsformidlere og tilknyttede forsikringsformidlere

  • Pensjonsforetak

  • Kredittvurderingsbyråer

  • Administratorer av kritiske referanseverdier

  • Tjenesteleverandører for folkefinansiering

  • Verdipapiriseringsregistre

  • Tredjepartsleverandører av IKT-tjenester

Visse mindre foretak er unntatt, primært basert på størrelse eller tjenesteomfang.

Forordningen innfører et proporsjonalitetsprinsipp (artikkel 4), som sikrer at risikostyring og øvrige krav tilpasses foretakets størrelse, risikoprofil og kompleksitet.

3. Hvilke krav oppstilles til foretakene?

DORA-forordningen stiller omfattende krav til finansforetakene. Mange av kravene ligner eksisterende norsk regulering, men de er mer detaljerte.

De sentrale kravene er:

  • Risikostyring: Foretakene må etablere et styringsrammeverk for digital operasjonell motstandsdyktighet. Styret i foretaket er ansvarlig for å overvåke IKT-risikostyringen, inkludert identifikasjon, forebygging og gjenoppretting av hendelser.

  • Styring, klassifisering og rapportering av IKT-relaterte hendelser: Foretakene skal ha prosesser for oppdagelse, håndtering og varsling av IKT-hendelser basert på alvorlighetsgrad.

  • Test av digital operasjonell motstandsdyktighet: Regelmessig testing av systemene for å avdekke svakheter, feil og avvik, med påfølgende tiltak.

  • Styring av risiko ved bruk av tredjepartsleverandører: Krav til vurdering, avtaleinngåelse og oppfølging av IKT-leverandører. Kritiske leverandører vil underlegges tilsyn på EU-nivå.

  • Informasjonsutveksling om cybertrusler: DORA legger til rette for samarbeid mellom finansforetak for å styrke cybersikkerheten.

  • Tilsynsmyndigheter: I Norge er det foreslått at Finanstilsynet får tilsynsansvar, men dette kan revurderes i lys av NIS2-regelverket.

Forordningen legger opp til administrative sanksjoner ved manglende etterlevelse, sannsynligvis i form av bøter.

4. Implementering i norsk rett

DORA forventes innlemmet i EØS-avtalen og gjennomført i norsk rett. Finansdepartementet har gjennomført høring basert på et forslag fra Finanstilsynet, med høringsfrist 3. april 2024. Departementet planlegger nå å fremme en proposisjon til Stortinget i første kvartal 2025. Regelverket trådte i kraft i EU 17. januar 2025, men det gjenstår å se når Norge vil ha en endelig implementering.