Q&A DORA

Tilbakemelding

Implementering

Spørsmål:
Når blir DORA gjeldende som norsk lov?

Svar:
DORA er et EU-regelverk. EU-regelverk implementeres i Norge gjennom EØS-avtalen. Regelverket må i tillegg implementeres gjennom norsk lovgivning. Finansdepartementet har foreslått en ny lov om digital operasjonell motstandsdyktighet. Stortinget må vedta den for at loven skal gjelde i Norge. Det antas at lovforslaget behandles i Stortinget i løpet av våren 2025. Ikrafttredelsesdatoen bestemmes etter at loven er vedtatt. 

Spørsmål:
Bør man i forberedelsene til DORA implementering allerede ta høyde for de mer detaljerte kravene i RTSene som kommer gitt at det kan bli forsinket implementering av disse?

Svar:
Det er hensiktsmessig å ta høyde for nivå2-regelverk. For nivå2-regelverk som ennå ikke er fastsatt kan man se hen til forslagene oversendt kommisjonen, men ha i mente at det blir endringer ved fastsettelse. Forutsatt at lov om digital operasjonell motstandsdyktighet i finanssektoren blir vedtatt, vil nivå2-regelverkene også inntas i norsk rett. Så langt Finanstilsynet kan se, ligger det få nasjonale valg i disse regelverkene. En oversikt over vedtatt nivå2-regelverk finnes på Finanstilsynets temaside om DORA. 

Spørsmål:
Hva skjer med IKT-forskriften når DORA trer i kraft i Norge?

Svar:
Hva som vil skje med IKT-forskriften når DORA implementeres i Norge avhenger av hvordan DORA bil implementert. Hvordan DORA blir implementert vil fremgå Stortingets lovvedtak vedrørende lov om operasjonell motstandsdyktighet i finanssektoren. Finansdepartementet må deretter vurdere om IKT-forskriften skal fortsette å gjelde. Hvis svaret på det er ja, blir spørsmålet for hvem. Foretak som faller inn under virkeområdet til DORA vil antagelig fjernes fra virkeområdet til IKT-forskriften.

Spørsmål:
Vil DORA være tilgjengelig på norsk?

Svar:
Norsk regelverk skal være tilgjengelig på norsk.  DORA vil derfor bli oversatt til norsk og bli tilgjengelig når lov om digital operasjonell motstandsdyktighet kunngjøres i Norsk Lovtidend.

Virkeområde

Spørsmål:
Hvilke IKT-tjenester faller inn under DORAs definisjon (tjeneste som støtter eller muliggjør levering av finansielle tjenester via IKT-system), herunder videresalg av standardprodukter?

Svar:
Hvilke typer IKT-tjenesteavtaler som omfattes av DORA framgår ITS (EU) 2024/2956 for Register over IKT-tjenesteavtaler, se Annex III. 

Spørsmål:
Vil eiendomsmeglere og inkassoforetak vil bli omfattet av DORA?  

Svar:
I forslag til lov om digital operasjonell motstandsdyktighet i finanssektoren er det foreslått at Finansdepartementet i forskrift kan fastsette forenklede krav for eiendomsmeglere og inkassoforetak i samsvar med DORA. 

Spørsmål:
Vil revisorer og regnskapsførere bli omfattet av DORA?  

Svar:
Hverken på EU-nivå eller i Norge er det foreløpig blitt foreslått at revisorer og regnskapsførere skal omfattes av DORA. EU-kommisjonen skal vurdere om revisorer skal innlemmes i virkeområdet til DORA når regelverket skal revideres (innen januar 2026), se DORA art. 58 nr. 3.

Spørsmål:
Vil DORA gjelde for pensjonsforetak?

Svar:
Foretak for tjenestepensjon er omfattet i henhold til DORA art. 2 nr. 1 bokstav p. Slike foretak med 15 eller mindre antall medlemmer er imidlertid unntatt, jf. DORA art. 2 nr. 3 bokstav c. I forslag til lov om digital operasjonell motstandsdyktighet i finanssektoren er det foreslått at Finansdepartementet i forskrift kan fastsette forenklede krav til pensjonsforetak som er unntatt i art. 2 nr. 3. 

Spørsmål:
Hva er utgangspunktet for beregningen for aksessoriske agenter og forholdet til terskelverdiene for små og mellomstore foretak? Den aksessoriske agentens hovedvirke eller virksomheten som aksessorisk agent? Det er store foretak (f.eks. bilforhandlere) som klart overstiger terskelverdiene om vi ser på hele virksomheten, men hvor forsikringsformidlingsvirksomheten faller under terskelverdiene. Omfattes slike foretak av DORA?

Svar:
I utgangspunktet antar vi at foretakene, ut ifra størrelse, ikke vil bli omfattet av DORA. I høringsnotatet til lov om digital operasjonell motstandsdyktighet i finanssektoren er det imidlertid foreslått en hjemmel for departementet til å fastsette at bestemmelsene i forordningen helt eller delvis skal gjelde for foretak unntatt i DORA art. 2, inkassoforetak og eiendomsmeglerforetak, herunder fastsette forenklede krav for slike foretak i samsvar med relevante bestemmelser i DORA. Spørsmålet kan først vurderes endelig når regelverk er fastsatt i Norge.

Styring og kontroll

Spørsmål:
Finanstilsynet skriver "Ledelsen/styret" der DORA skriver "management body". Hva er oversettelsen her? Ledelsen eller styret?

Svar:
Om "management body" skal tolkes som ledelsen eller styret kommer an på hvilken bestemmelse i DORA det gjelder. Flere høringsinstanser har påpekt dette i sine høringsuttalelser. Forhåpentligvis vil det komme veiledning på dette i Finansdepartementets proposisjon til Stortinget. 

Hendelser

Spørsmål:
Vil Finanstilsynet oppmuntre til eller kreve bruk av spesifikke teknologiske løsninger for rapportering av IKT hendelser

Svar: Hendelser skal rapporteres i Excel- eller JSON-format. For mer informasjon, se Finanstilsynets nyhetssak av 3. januar 2025. 

Spørsmål:
For et konsern med flere finansielle enheter, vil en sentralisert enhet for innsending av hendelsesmeldinger og rapporter anses som utkontraktering til en tredjepartsleverandør iht. 19 nr. 5 av DORA?

Svar: Siden "intra-group" skal behandles på samme måte som eksterne er det nærliggende at det anses som utkontraktering. Nivå2-regelverket vil gi nærmere regler for hva DORA åpner opp for knyttet til utkontraktering av rapporteringen / samlerapportering mm. Finanstilsynet vil komme nærmere tilbake på dette, blant annet i eget webinar om rapportering av hendelser.

Spørsmål:
Har Finanstilsynet utviklet en mal for varsling av større IKT-relaterte hendelser?

Svar: Det er utarbeidet felles maler på EU-nivå ettersom rapportene skal videresendes til EUs finanstilsynsmyndigheter. Finanstilsynet vil komme nærmere tilbake på dette i eget webinar om rapportering av hendelser

Spørsmål:
Hvilken kanal forventer Finanstilsynet at finansielle enheter bruker for varsling av hendelser?

Svar: Hendelser skal rapporteres via Altinn. For nærmere informasjon, se Finanstilsynets nyhetssak av 3. januar 2025. Finanstilsynet vil også komme nærmere tilbake på dette i eget webinar om rapportering av hendelser

Spørsmål:
Vil rapporteringen være lik til de nordiske andre nordiske finanstilsynene?

Svar: Malene vil være like, men kanalene vil antagelig være forskjellige fra land til land. 

TLPT

Spørsmål:
Når blir det avklart hvilket offentlig organ som tar rollen TLPT Authority?

Svar: Hvilket offentlig organ som blir TLPT-myndighet i Norge avklares når lov om digital operasjonell motstandsdyktighet er vedtatt.  

IKT-tjenesteavtaler

Spørsmål:
Hvem skal vurdere hvilke underleverandører som effektivt understøtter IKT-tjenester som støtter kritiske eller viktige funksjoner eller vesentlig del av disse og som skal føres i informasjonsregisteret?

Svar: Det enkelte foretak er ansvarlig for vurderingen. Foretaket kan få bistand til vurderingen fra sine leverandører og deres underleverandører.

Spørsmål:
Foreligger det konkrete kriterier som kan/bør brukes for å identifisere hvilke leverandører som skal dokumenteres i foretakets registre?

Svar: Finanstilsynet legger til grunn at foretaket identifiserer hvilke foretak som er kritiske eller viktige gjennom sine konsekvensanalyser for virksomheten (BIA). Derfor er det foretakets vurderinger som må legges til grunn. Regelverket gir en rekke føringer for slike vurderinger.

Spørsmål:
Å kartlegge hele leverandørkjeden vil ta lang tid da informasjon må innhentes i hvert ledd. Samtidig kan det være nødvendig å tilpasse kontrakter i alle ledd. Tas det høyde for at dette vil være et pågående arbeid etter at DORA trer i kraft?

Svar: Finanstilsynet forventer at foretakene, i samarbeid med leverandørene sine, etabler en plan for slik gjennomgang og oppdatering.  

Informasjonsregisteret

Spørsmål:
Vil det lages en felles mal som foretakene kan bruke for innhenting av informasjon fra sine leverandører for utfylling av sitt Register of Information (RoI)?

Svar: Nei, ikke utover det som følger av nivå 2-regelverket (ITS (EU) 2024/2956 for Register over IKT-tjenesteavtaler). Hvordan informasjonen leveres bør avtales mellom leverandøren og foretaket.

Rapportering

Spørsmål:
Når må norske foretak sende inn Informasjonsregisteret (Register of Information, RoI)? Skal rapporteringen gjøres via Finanstilsynet i Norge?

Svar: Norske foretak kan ikke pålegges å innrapportere i henhold til et regelverk som ikke gjelder i Norge. Derfor skal ikke norske foretak rapportere før lov om digital operasjonell motstandsdyktighet har trådt i kraft. Norske foretak vil derfor ikke delta i innrapporteringen til EU våren 2025.

Spørsmål:
Vil Finanstilsynet utarbeide standardiserte maler eller retningslinjer for rapportering for å sikre ensartethet og overholdelse av DORA-kravene?

Svar: Det foreligger standardiserte maler for EU, for eksempel for rapportering av hendelser. Finanstilsynet har foreløpig ikke lagt opp til andre standardiserte maler, men vil fortløpende vurdere behovet. 

Spørsmål:
Kan Finanstilsynet utdype hvordan de vil håndtere avvik i rapporteringskravene, og hvilke sanksjoner som eventuelt kan bli aktuelt ved manglende eller utilstrekkelig rapportering?

Svar: Finanstilsynet vil vurdere hver enkelt sak individuelt og vil ikke utarbeide en prisliste for sanksjoner i form av bøter.

Filialer

Spørsmål:
Hvordan vil implementeringstidspunkt påvirke foretak som har hovedkontor i Norge og filialer i EU?

Svar: Foretakene skal følge kravene om gjelder i hjemlandsmyndigheten. Det samme gjelder filialer i andre land enn Norge. Datterselskaper skal følge kravene som gjelder i landet de er etablert i. 

Samhandling

Spørsmål:
Ettersom DORA stiller krav til samarbeid på tvers av landegrenser og tilsyn, vil Finanstilsynet implementere konkrete samarbeidsmekanismer med andre tilsynsmyndigheter, og hva forventes i så fall fra finansinstitusjonenes side i slike sammenhenger?

Svar: Samhandling med andre tilsynsmyndigheter er allerede etablert gjennom deltagelse i arbeidsgrupper under de europeiske tilsynsmyndighetene i forbindelse med utvikling av nivå 2-regelverk. Det antas at samarbeidsgruppene vil videreføres, men akkurat hvordan er ikke fastlagt. 

Forholdet til NIS-direktivene

Spørsmål:
Hvordan vil implementeringen av DORA forholde seg til NIS2-implementeringen i Norge?

Svar: I Norge er vi i ferd med å implementere NIS1-dirketivet gjennom digitalsikkerhetsloven og digitalsikkerhetsforskriften. Hvordan NIS2-direktivet blir implementert er foreløpig ukjent. DORA vil uansett være et særregelverk som går foran både NIS1 og NIS2. I dialog mellom Finanstilsynet og Nasjonal Sikkerhetsmyndighet (NSM) er det enighet om at vi må finne en praktisk måte å håndtere DORA versus NIS2, siden DORA har henvisninger til NIS2 og ikke NIS1. 

Diverse spørsmål

Spørsmål:
Hva er forholdet mellom IKT-forskriften, EBA-retningslinjer og DORA?

Svar: For foretak som omfattes av virkeområdet til DORA, vil IKT-forskriften erstattes av DORA. Retningslinjer fra EBA vil enten oppheves eller tilpasses DORA. Det vurderes også om det er behov for nye retningslinjer. 

Spørsmål:
Hva er deres tanker om overlapp med andre reguleringer og hva som vil få fortrinn ved konflikter mellom lovverk? (f.eks. GDPR og DORA)

Svar: DORA er et spesialregelverk som går foran generelt regelverk.

Spørsmål:
Er det spesielle forhold norske foretak bør forberede seg på siden Norge er et land utenfor EU?

Svar: Finanstilsynet har ikke identifisert spesielle forhold foretakene bør ta høyde for. Det er viktig å være oppmerksom på at retningslinjer fra de europeiske tilsynsmyndighetene ikke lenger gjelder for EU-land, etter at DORA har trådt i kraft. Finanstilsynet forventer at norske foretak fortsetter å se hen til dem inntil DORA har trådt i kraft i Norge. 

Spørsmål:
Hvordan vil samarbeidet mellom myndigheter i Norge og andre EU-land være med tanke på grensekryssende arbeid?  Vil det komme noen veiledning for eventuell overlapp av nasjonale tilsynsmyndigheter. 

Svar: Regelverket er en forordning med få nasjonale valg, som skal tas direkte inn i nasjonal rett. Myndighetsutøvelsen ligger til foretakets hjemlandsmyndighet. Finanstilsynet anser derfor at det ikke er fare for overlapp og derfor heller ikke behov for å utarbeide en veiledning. Der medlemsstater har benyttet seg av muligheten for nasjonale valg vil forskjeller kunne forekomme.

Tilsynsmyndigheten skal utvikle og fremme beste praksis, legge til rette for samarbeid, fremme konsistens i tolkning og vurderinger som gjelder på tvers av tilsynsmyndighetene i tilfelle uenighet, se DORA artikkel 49.  Dette kalles tilsynsmessig konvergens.