IKT-hendelsesrapportering fra finansforetak etter DORA-regelverket
Nyheter
Publisert: 3. januar 2025
EU-forordningen om digital operasjonell motstandsdyktighet (DORA) stiller krav om IKT-hendelsesrapportering og at finansforetak har rutiner og tiltak for å redusere IKT-risiko.
Artikkel 18 "Classification of ICT-related incidents and cyber threats" og artikkel 19 "Reporting of major ICT-related incidents and voluntary notification of significant cyber threats" i DORA-regelverket beskriver kravene til IKT-hendelsesrapportering fra finansforetakene.
Videre spesifiserer den delegerte forordningen 2024/1772 om hendelsesrapportering hvordan hendelser skal klassifiseres, og hvordan foretakene kan avgjøre om en hendelse er rapporteringspliktig eller ikke.
Utkastet til nye regulerings- og implementeringstekniske standarder fra de europeiske finanstilsynsmyndighetene (EBA, EIOPA og ESMA) spesifiserer hva hendelsesrapporteringen skal inneholde, tidsfrister for rapportering, standardformat for rapportering, sikre kanaler, rapportering av gjentakende hendelser, reklassifisering av hendelser, melding om utkontraktering av rapporteringen og aggregert rapportering. Utkastet til nye standarder er ikke endelig godkjent, men det forventes ikke store endringer i det.
Forordning 2024/1772 og utkastet til de nye standardene spesifiserer også krav om rapportering av trusler om vesentlige cyberangrep.
I henhold til DORA-artikkel 19(6)(a)1 skal de nasjonale finanstilsynsmyndighetene videresende hendelsesrapportene uten ugrunnet opphold til EBA, ESMA eller EIOPA.
Teknisk format på rapporteringen er spesifisert i Excel og JSON. Vedlagt er utkast til Excel-skjemaene. Det forventes heller ikke store endringer i disse skjemaene.
Finanstilsynet vil utvikle et Altinn app-skjema i henhold til standardformatet. Informasjonen i webskjemaene vil bli konvertert til JSON før rapportene blir videresendt til EBA, ESMA eller EIOPA.
I spesielle tilfeller kan foretak rapportere på Excel-skjemaet som vedlegg til e-post og sende til hendelse@finanstilsynet.no
Finanstilsynet vil også publisere en detaljert veiledning for hendelsesrapporteringen i henhold til DORA før loven om digital operasjonell motstandsdyktighet i finanssektoren trer i kraft i Norge.