EUs DORA-forordning om IKT-sikkerhet i finans - norsk gjennomføring (2025)

1. Bakgrunn for regulering

Norge har som et ledende land innenfor digitalisering av finanssektoren lenge hatt omfattende krav til IKT-sikkerhet i finanssektoren. IKT-forskriften fra 2003 er viktig ved at den stiller krav til risikostyring, hendelseshåndtering og utkontraktering av IKT-leveranser. Likevel er kravene til forsvarlig organisering, risikostyring og internkontroll spredt på flere lover og forskrifter.

Trusler mot IKT-sikkerhet kommer fra både interne operasjonelle utfordringer, vinningskriminelle og målrettede angrep med politisk eller militært motiv. Gitt finanssektorens grenseoverskridende natur, er et harmonisert regelverk nødvendig.

DORA-regelverket er et stort skritt fra EU i retning av å samordne og utvikle kravene til IKT-sikkerhet i Europa. Regelverket ble vedtatt i desember 2022 og trådte i kraft i EU 17. januar 2025. Regelverket fremkommer av forordning (EU) 2022/2554 og direktiv (EU) 2022/2556 som endrer en rekke andre direktiv på finansrettens område. I tillegg kommer det omfattende tekniske standarder.  

Forordningen skal i prinsippet gjennomføres i norsk rett i sin helhet ved inkorporasjon. Det er basert på en høringsrunde og et lovforslag fra Finansdepartementet foreslått gjennomført i det som blir DORA-loven. Det foreslås også en forskriftshjemmel for å oppstille krav til foretak som ikke omfattes av DORA, noe som åpner for en videreføring av noe av reguleringen vi kjenner fra IKT-forskriften. 

2. Hvilke foretak omfattes?

DORA-regelverket gjelder, jf. forordningen artikkel 2 nr. 1, for en bred gruppe finansforetak, inkludert:

• Kredittinstitusjoner

• Betalingsforetak, inkludert betalingsforetak unntatt etter direktiv (EU) 2015/2366

• Opplysningsfullmektiger

• E-pengeforetak, inkludert de unntatt etter direktiv 2009/110/EF

• Verdipapirforetak

• Tilbydere av tjenester knyttet til kryptoverdier

• Verdipapirsentraler

• Sentrale motparter

• Handelsplasser

• Transaksjonsregistre

• Forvaltere av alternative investeringsfond

• Forvaltningsselskaper

• Leverandører av datarapporteringstjenester

• Forsikrings- og gjenforsikringsforetak

• Forsikringsformidlere, gjenforsikringsformidlere og tilknyttede forsikringsformidlere

• Pensjonsforetak

• Kredittvurderingsbyråer

• Administratorer av kritiske referanseverdier

• Tjenesteleverandører for folkefinansiering

• Verdipapiriseringsregistre

• Tredjepartsleverandører av IKT-tjenester

Visse mindre foretak er unntatt, primært basert på størrelse eller tjenesteomfang.

Forordningen innfører et proporsjonalitetsprinsipp (artikkel 4), som sikrer at risikostyring og øvrige krav tilpasses foretakets størrelse, risikoprofil og kompleksitet.

3. Hvilke krav oppstilles til foretakene?

DORA-forordningen stiller omfattende krav til finansforetakene. Mange av kravene ligner eksisterende norsk regulering, men de er mer detaljerte.

De sentrale kravene er:

1. Risikostyring: Forordningens har omfattende krav til hvordan foretakene skal ha innført et rammeverk for forvaltning og kontroll for å oppnå et høyt nivå av digital operasjonell motstandsdyktighet. I Norge vil styret i foretaket være ledelsesorganet som skal fastsette, godkjenne, føre tilsyn med, og ha ansvar for gjennomføringen for IKT-risikostyringen. Kravene til risikostyring er detaljerte om hvilke hensyn som skal ivaretas, hvilke risikoer som skal dekkes, og hvilke elementer av IKT-systemet som skal dekkes. Risikostyringen skal inneholde nærmere angitte mekanismer for oppdagelse, avverging og gjenopprettelse av hendelser inkludert sikkerhetskopiering. Ved hendelser skal det foreligge planer for krisekommunikasjon. Det er også krav til periodevise gjennomganger og revisjon, og foretakene skal samle inn informasjon om sårbarheter, cybertrusler og IKT-hendelser. Kravene er omfattende, men for visse mindre foretak er det innført noe enklere regler. 

2. Styring, klassifisering og rapportering av IKT-relaterte hendelser: Foretakene skal ha etablerte prosesser for avdekking, håndtering og varsling av IKT-hendelser. Hendelsene skal klassifiseres etter alvorlighetsgrad, og etter nærmere kriterier rapporteres til tilsynsmyndighetene. 

3. Test av digital operasjonell motstandsdyktighet: Forordningen inneholder krav til testing fra uavhengige parter for å avdekke svakheter, feil og avvik i systemene. Det skal også være system for oppfølging av funn fra testene. 

4. Styring av risiko ved bruk av tredjepartsleverandører: Næringen benytter seg i stor utstrekning av underleverandører og utkontraktering for håndtering av IKT-leveranser. Som et svar på dette har forordningen egne regler for styring av risikoen som knytter seg til slike tredjeparter. Kravene knytter seg til evaluering av leverandører, kontraktsinngåelse, oppfølging og rapportering. Kritiske IKT-leverandører til bransjen skal også overvåkes på EU-nivå.

5. Informasjonsutveksling om cybertrusler: Forordningen legger opp til utveksling mellom foretak av informasjon og etterretning om cybertrusler. 

6. Tilsynsmyndigheter: Finanstilsynet skal være tilsynsorgan på området i Norge. Forordningen inneholder videre regler om informasjonsutveksling mellom tilsynsorganene. Vedtakskompetansen som i EU er tillagt de felleseuropeiske tilsynsmyndighetene, er på norsk hold forutsatt lagt til EFTAs overvåkningsorgan i EØS/EFTA. 

Forordningen legger opp til administrative sanksjoner (gebyrer) ved manglende overholdelse av kravene.

4. Implementering i norsk rett

I EU trådte regelverket tre i kraft 17. januar 2025. I Norge arbeider Stortinget i skrivende stund med forslaget til lov som vil implementere DORA i norsk rett. Når vi får en ikrafttredelse i Norge, er da ikke avklart.