EUs DORA-forordning om IKT-sikkerhet i finans - norsk gjennomføring
EUs Digital Operational Resilience Act (DORA) ble vedtatt i EU i desember 2022, og er et sentralt regelverk med sikte på å styrke IKT-sikkerhet i finansielle foretak. Regelverket vil etter alt å dømme komme til Norge gjennom en ny lov om digital operasjonell motstandsdyktighet i finanssektoren og innebære omfattende nye krav til norske finansielle foretak og deres IKT-leverandører. I denne artikkelen oppsummerer vi de sentrale elementene i nytt regelverk.
1. Bakgrunn for regulering
Norge har som et ledende land innenfor digitalisering av finanssektoren lenge hatt omfattende krav til IKT-sikkerhet i finanssektoren. IKT-forskriften fra 2003 er viktig ved at den stiller krav til risikostyring, hendelseshåndtering og utkontraktering av IKT-leveranser. Men krav til forsvarlig organisering, risikostyring og internkontroll finner vi spredt i en rekke lover og forskrifter på finansrettens område.
Det er mange grunner til dette fokuset på IKT-sikkerhet, men det er klart at risiko og sårbarhet i IKT-systemer kan true den finansielle stabilitet og påvirke samfunnssikkerheten. Truslene kommer både fra interne operasjonelle utfordringer, via angrep fra vinningskriminell, til målrettede angrep med politisk eller militært formål. Leverandørene til bransjen opererer også internasjonalt, noe som fordrer et felles regelverk.
DORA-regelverket er et stort skritt fra EU i retning av å samordne og utvikle kravene til IKT-sikkerhet i Europa. Regelverket har vært under utvikling over flere år, og ble vedtatt i EU i desember 2022 med ikrafttredelse 17. januar 2025. Regelverket fremkommer av forordning (EU) 2022/2554 og direktiv (EU) 2022/2556 som endrer en rekke andre direktiv på finansrettens område. I tillegg er det under utarbeidelse omfattende tekniske standarder.
Forordningen skal i prinsippet gjennomføres i norsk rett i sin helhet ved inkorporasjon. Forslaget som i skrivende stund ligger på bordet fra Finansdepartementet innebærer gjennomføring i en egen lov om digital operasjonell motstandsdyktighet i finanssektoren. IKT-forskriften vil i stor grad bli overflødig, men vi tror den vil bli oppretthold, om enn i modifisert stand, for foretak som ikke omfattes av DORA.
2. Hvilke foretak omfattes?
DORA-regelverket vil jf. forordningen artikkel 2 nr. 1 som et utgangpunkt gjelde for
- kredittinstitusjoner,
- betalingsforetak, inkludert betalingsforetak som er unntatt i henhold til direktiv (EU) 2015/2366,
- opplysningsfullmektiger,
- e-pengeforetak, inkludert e-pengeforetak som er unntatt i henhold til direktiv 2009/110/EF,
- verdipapirforetak,
- tilbydere av tjenester knyttet til kryptoverdier,
- verdipapirsentraler,
- sentrale motparter,
- handelsplasser,
- transaksjonsregistre,
- forvaltere av alternative investeringsfond,
- forvaltningsselskaper,
- leverandører av datarapporteringstjenester,
- forsikrings- og gjenforsikringsforetak,
- forsikringsformidlere, gjenforsikringsformidlere og tilknyttede forsikrings-formidlere,
- pensjonsforetak,
- kredittvurderingsbyråer,
- administratorer av kritiske referanseverdier,
- tjenesteleverandører for folkefinansiering,
- verdipapiriseringsregistre, og
- tredjepartstilbydere av IKT-tjenester.
Fra dette unntas visse foretak, fortrinnsvis som følge av begrenset størrelse eller tjenestetilbud.
Det er også interessant å merke seg det såkalte proporsjonalitetsprinsippet i forordningens artikkel 4. Dette slår fast at gjennomføringen av reglene om risikostyring og anvendelsen av andre forordningsregler skal stå i rimelig forhold til foretakenes størrelse og samlede risikoprofil, samt til karakteren, omfanget og kompleksiteten av deres tjenester, aktiviteter og operasjoner.
3. Hvilke krav oppstilles til foretakene?
DORA-forordningen oppstiller en rekke krav til de finansielle foretak som omfattes. Mange av kravene er gjenkjennelige fra gjeldende regelverk i Norge, men innholdet avviker og detaljgraden er langt mer omfattende.
Hovedkravene i forordningen er krav til:
- Risikostyring: Forordningens har omfattende krav til hvordan foretakene skal ha innført et rammeverk for forvaltning og kontroll for å oppnå et høyt nivå av digital operasjonell motstandsdyktighet. I Norge vil styret i foretaket være ledelsesorganet som skal fastsette, godkjenne, føre tilsyn med, og ha ansvar for gjennomføringen for IKT-risikostyringen. Kravene til risikostyring er detaljerte om hvilke hensyn som skal ivaretas, hvilke risikoer som skal dekkes, og hvilke elementer av IKT-systemet som skal dekkes. Risikostyringen skal inneholde nærmere angitte mekanismer for oppdagelse, avverging og gjenopprettelse av hendelser inkludert sikkerhetskopiering. Ved hendelser skal det foreligge planer for krisekommunikasjon. Det er også krav til periodevise gjennomganger og revisjon, og foretakene skal samle inn informasjon om sårbarheter, cybertrusler og IKT-hendelser. Kravene er omfattende, men for visse mindre foretak er det innført noe enklere regler.
- Styring, klassifisering og rapportering av IKT-relaterte hendelser: Foretakene skal ha etablerte prosesser for avdekking, håndtering og varsling av IKT-hendelser. Hendelsene skal klassifiseres etter alvorlighetsgrad, og etter nærmere kriterier rapporteres til tilsynsmyndighetene.
- Test av digital operasjonell motstandsdyktighet: Forordningen inneholder krav til testing fra uavhengige parter for å avdekke svakheter, feil og avvik i systemene. Det skal også være system for oppfølging av funn fra testene.
- Styring av IKT-tredjepartsrisikoer: Næringen benytter seg i stor utstrekning av underleverandører og utkontraktering for håndtering av IKT-leveranser. Som et svar på dette har forordningen egne regler for styring av risikoen som knytter seg til slike tredjeparter. Kravene knytter seg til evaluering av leverandører, kontraktsinngåelse, oppfølging og rapportering. Kritiske IKT-leverandører til bransjen skal også overvåkes på EU-nivå.
- Ordninger for informasjonsutveksling: Forordningen legger opp til utveksling mellom foretak av informasjon og etterretning om cybertrusler.
- Kompetente myndigheter: I Norge er det foreslått at Finanstilsynet skal være tilsynsorgan på området, men med mulighet for å revurdere dette i lys av gjennomføringen av NIS2-regelverket (generelle regler om motstandsdyktighet i nettverks- og informasjonssystemer hos private og offentlige aktører). Forordningen inneholder videre regler om informasjonsutveksling mellom tilsynsorganene. Vedtakskompetansen som i EU er tillagt de felleseuropeiske tilsynsmyndighetene, er på norsk hold forutsatt lagt til EFTAs overvåkningsorgan i EØS/EFTA.
Forordningen legger opp til bruk av administrative sanksjoner ved manglende overholdelse av kravene. Formodentlig vil dette dreie seg om bøter.
4. Implementering i norsk rett
Vi forventer at DORA-regelverket blir tatt inn i EØS og gjennomført i norsk rett. Finansdepartementet sendte i januar 2024 et forslag til norsk implementering utarbeidet av Finanstilsynet på høring, med frist for kommentarer til 3. april 2024. I EU vil regelverket tre i kraft 17. januar 2025, men om vi på norsk hold rekker en slik frist, gjenstår å se.
5. Nyheter om DORA
Vi følger implementeringen av DORA, både i Norge og i EU. Fra den siste tiden kan nevnes:
- Tekniske standarder for IKT, risikostyring mv. under DORA publisert i januar 2024.
- ESMA setter cyberrisiko som en tilsynsprioritet. ESMA opplyser i november 2023 å ha endret fokus i sine strategiske tilsynsprioriteter (USSP’er) til cyberrisiko, digital motstandsdyktighet og ESG-rapportering med virkning fra 2025. Dette er sammenfallende med implementeringen av DORA i EU i 2025.
- EBAs arbeidsprogram for 2024 setter utvikling av tilsyn med sikte på DORA som et fokusområde.
- DORA-forordningen godkjent Europaparlamentet – november 2023.
- Finanstilsynet med mandat for utredning av gjennomføring av DORA i norsk rett – juni 2023.
Alle artikler er underlagt våre copyright- og ansvarsbestemmelser, som kan leses her.