EUs DORA-forordning om IKT-sikkerhet i finans - norsk gjennomføring (2025)

Publisert 16.03.2025 av Harald Sætermo 

EUs Digital Operational Resilience Act (DORA) ble vedtatt i EU i desember 2022, og er et sentralt regelverk med sikte på å styrke IKT-sikkerhet i finansielle foretak. Regelverket vil komme til Norge gjennom en ny lov om digital operasjonell motstandsdyktighet i finanssektoren (DORA-loven) og innebære omfattende nye krav til norske finansielle foretak og deres IKT-leverandører. I denne artikkelen oppsummerer vi de sentrale elementene i nytt regelverk.

1. Bakgrunn for regulering

Norge har som et ledende land innenfor digitalisering av finanssektoren lenge hatt omfattende krav til IKT-sikkerhet i finanssektoren. IKT-forskriften fra 2003 er viktig ved at den stiller krav til risikostyring, hendelseshåndtering og utkontraktering av IKT-leveranser. Men krav til forsvarlig organisering, risikostyring og internkontroll finner vi også spredt i en rekke andre lover og forskrifter på finansrettens område.

Det er mange grunner til dette fokuset på IKT-sikkerhet, men det er klart at risiko og sårbarhet i IKT-systemer kan true den finansielle stabilitet og påvirke samfunnssikkerheten. Truslene kommer både fra interne operasjonelle utfordringer, via angrep fra vinningskriminell, til målrettede angrep med politisk eller militært formål. Leverandørene til bransjen opererer også internasjonalt, noe som fordrer et felles regelverk.

DORA-regelverket er et stort skritt fra EU i retning av å samordne og utvikle kravene til IKT-sikkerhet i Europa. Regelverket har vært under utvikling over flere år, og ble vedtatt i EU i desember 2022 med ikrafttredelse 17. januar 2025. Regelverket fremkommer av forordning (EU) 2022/2554 og direktiv (EU) 2022/2556 som endrer en rekke andre direktiv på finansrettens område. I tillegg kommer det omfattende tekniske standarder. 

Forordningen skal i prinsippet gjennomføres i norsk rett i sin helhet ved inkorporasjon. Det er basert på en høringsrunde og et lovforslag fra Finansdepartementet foreslått gjennomført i det som blir DORA-loven. Det foreslås også en forskriftshjemmel for å oppstille krav til foretak som ikke omfattes av DORA, noe som åpner for en videreføring av noe av reguleringen vi kjenner fra IKT-forskriften.

2. Hvilke foretak omfattes?

DORA-regelverket vil jf. forordningen artikkel 2 nr. 1 som et utgangpunkt gjelde for

  1. kredittinstitusjoner,
  2. betalingsforetak, inkludert betalingsforetak som er unntatt i henhold til direktiv (EU) 2015/2366,
  3. opplysningsfullmektiger,
  4. e-pengeforetak, inkludert e-pengeforetak som er unntatt i henhold til direktiv 2009/110/EF,
  5. verdipapirforetak,
  6. tilbydere av tjenester knyttet til kryptoverdier,
  7. verdipapirsentraler,
  8. sentrale motparter,
  9. handelsplasser,
  10. transaksjonsregistre,
  11. forvaltere av alternative investeringsfond,
  12. forvaltningsselskaper,
  13. leverandører av datarapporteringstjenester,
  14. forsikrings- og gjenforsikringsforetak,
  15. forsikringsformidlere, gjenforsikringsformidlere og tilknyttede forsikrings-formidlere,
  16. pensjonsforetak,
  17. kredittvurderingsbyråer,
  18. administratorer av kritiske referanseverdier,
  19. tjenesteleverandører for folkefinansiering,
  20. verdipapiriseringsregistre, og
  21. tredjepartstilbydere av IKT-tjenester.

Fra dette unntas visse foretak, fortrinnsvis som følge av begrenset størrelse eller tjenestetilbud.

Det er også interessant å merke seg det såkalte proporsjonalitetsprinsippet i forordningens artikkel 4. Dette slår fast at gjennomføringen av reglene om risikostyring og anvendelsen av andre forordningsregler skal stå i rimelig forhold til foretakenes størrelse og samlede risikoprofil, samt til karakteren, omfanget og kompleksiteten av deres tjenester, aktiviteter og operasjoner.

3. Hvilke krav oppstilles til foretakene?

DORA-forordningen oppstiller en rekke krav til de finansielle foretak som omfattes. Mange av kravene er gjenkjennelige fra gjeldende regelverk i Norge, men innholdet avviker og detaljgraden er langt mer omfattende.

Hovedkravene i forordningen er krav til:

  1. Risikostyring: Forordningens har omfattende krav til hvordan foretakene skal ha innført et rammeverk for forvaltning og kontroll for å oppnå et høyt nivå av digital operasjonell motstandsdyktighet. I Norge vil styret i foretaket være ledelsesorganet som skal fastsette, godkjenne, føre tilsyn med, og ha ansvar for gjennomføringen for IKT-risikostyringen. Kravene til risikostyring er detaljerte om hvilke hensyn som skal ivaretas, hvilke risikoer som skal dekkes, og hvilke elementer av IKT-systemet som skal dekkes. Risikostyringen skal inneholde nærmere angitte mekanismer for oppdagelse, avverging og gjenopprettelse av hendelser inkludert sikkerhetskopiering. Ved hendelser skal det foreligge planer for krisekommunikasjon. Det er også krav til periodevise gjennomganger og revisjon, og foretakene skal samle inn informasjon om sårbarheter, cybertrusler og IKT-hendelser. Kravene er omfattende, men for visse mindre foretak er det innført noe enklere regler.

  2. Styring, klassifisering og rapportering av IKT-relaterte hendelser: Foretakene skal ha etablerte prosesser for avdekking, håndtering og varsling av IKT-hendelser. Hendelsene skal klassifiseres etter alvorlighetsgrad, og etter nærmere kriterier rapporteres til tilsynsmyndighetene.

  3. Test av digital operasjonell motstandsdyktighet: Forordningen inneholder krav til testing fra uavhengige parter for å avdekke svakheter, feil og avvik i systemene. Det skal også være system for oppfølging av funn fra testene.

  4. Styring av IKT-tredjepartsrisikoer: Næringen benytter seg i stor utstrekning av underleverandører og utkontraktering for håndtering av IKT-leveranser. Som et svar på dette har forordningen egne regler for styring av risikoen som knytter seg til slike tredjeparter. Kravene knytter seg til evaluering av leverandører, kontraktsinngåelse, oppfølging og rapportering. Kritiske IKT-leverandører til bransjen skal også overvåkes på EU-nivå.

  5. Ordninger for informasjonsutveksling: Forordningen legger opp til utveksling mellom foretak av informasjon og etterretning om cybertrusler.

  6. Kompetente myndigheter: I Norge er det foreslått at Finanstilsynet skal være tilsynsorgan på området, men med mulighet for å revurdere dette i lys av gjennomføringen av NIS2-regelverket (generelle regler om motstandsdyktighet i nettverks- og informasjonssystemer hos private og offentlige aktører). Forordningen inneholder videre regler om informasjonsutveksling mellom tilsynsorganene. Vedtakskompetansen som i EU er tillagt de felleseuropeiske tilsynsmyndighetene, er på norsk hold forutsatt lagt til EFTAs overvåkningsorgan i EØS/EFTA.

Forordningen legger opp til bruk av administrative sanksjoner (gebyrer) ved manglende overholdelse av kravene.

4. Implementering i norsk rett

I EU trådte regelverket tre i kraft 17. januar 2025. I Norge arbeider Stortinget i skrivende stund med forslaget til lov som vil implementere DORA i norsk rett. Når vi får en ikrafttredelse i Norge, er da ikke avklart. 

5. Nyheter om DORA

Vi følger implementeringen av DORA, både i Norge og i EU. Fra den siste tiden kan nevnes:

  • Lovforslag til DORA-loven fremmet for Stortinget 07.03.2025.

  • Finans Norge har utarbeidet veileder, februar 2025

  • EBA har tatt inn DORA-implementering som fokusområder for sitt arbeide i 2025

  • Tekniske standarder for IKT, risikostyring mv. under DORA er publisert. 

  • ESMA setter cyberrisiko som en tilsynsprioritet. ESMA opplyser i november 2023 å ha endret fokus i sine strategiske tilsynsprioriteter (USSP’er) til cyberrisiko, digital motstandsdyktighet og ESG-rapportering med virkning fra 2025. Dette er sammenfallende med implementeringen av DORA i EU i 2025.

  • DORA-forordningen godkjent Europaparlamentet – november 2023.


www.lexoslo.no

Alle artikler er underlagt våre copyright- og ansvarsbestemmelser, som kan leses her.

Vi hjelper banker, finansforetak og andre aktører i finansbransjen med å løse sine juridiske utfordringer. Ta gjerne kontakt for en prat.