Q&A DORA

Tilbakemelding

1 Implementering

1.1 Spørsmål:
Når blir DORA gjeldende som norsk lov?

Svar:
DORA er et EU-regelverk. EU-regelverk implementeres i Norge gjennom EØS-avtalen. Regelverket må i tillegg implementeres gjennom norsk lovgivning. Finansdepartementet har fremlagt Prop. 54 LS (2024–2025) for Stortinget med forslag om en ny lov om digital operasjonell motstandsdyktighet. Stortinget må vedta den for at loven skal gjelde i Norge. Det antas at lovforslaget behandles i Stortinget i løpet av våren 2025. Ikrafttredelsesdatoen bestemmes etter at loven er vedtatt.  

1.2 Spørsmål:
Bør man i forberedelsene til DORA implementering allerede ta høyde for de mer detaljerte kravene i RTS'ene som kommer gitt at det kan bli forsinket implementering av disse?

Svar:
Det er hensiktsmessig å ta høyde for nivå2-regelverk. For nivå2-regelverk som ennå ikke er fastsatt kan man se hen til forslagene oversendt kommisjonen, men ha i mente at det blir endringer ved fastsettelse. Forutsatt at lov om digital operasjonell motstandsdyktighet i finanssektoren blir vedtatt, vil nivå2-regelverkene også inntas i norsk rett. Så langt Finanstilsynet kan se, ligger det få nasjonale valg i disse regelverkene. En oversikt over vedtatt nivå2-regelverk finnes på Finanstilsynets temaside om DORA. I følge forslag til DORA-loven i Prop. 54 LS (2024–2025) § 1 kan departementet fastsette utfyllende regler i forskrift. Departementet har gitt Finanstilsynet oppdrag om å utrede behovet for utfyllende regler. Flere av nivå2-regelverkene fastsatt i EU vil antagelig gjelde som forskrift fra den dagen DORA-loven trer i kraft.  

1.3 Spørsmål:
Hva skjer med IKT-forskriften når DORA trer i kraft i Norge?

Svar:
Hva som vil skje med IKT-forskriften når DORA implementeres i Norge avhenger av hvordan DORA bil implementert. Hvordan DORA blir implementert vil fremgå Stortingets lovvedtak vedrørende lov om operasjonell motstandsdyktighet i finanssektoren. Finansdepartementet må deretter vurdere om IKT-forskriften skal fortsette å gjelde for de foretakstypene som ikke er omfattet av DORAs virkeområde. Hvis svaret på det er ja, blir spørsmålet for hvem. Foretak som faller inn under virkeområdet til DORA vil fjernes fra virkeområdet til IKT-forskriften jf. Prop. 54 LS (2024–2025).  

1.4 Spørsmål:
Vil DORA være tilgjengelig på norsk?

Svar:
Norsk regelverk skal være tilgjengelig på norsk. DORA vil derfor bli oversatt til norsk og bli tilgjengelig når lov om digital operasjonell motstandsdyktighet kunngjøres i Norsk Lovtidend.

• Uoffisiell norsk oversettelse av DORA.

1.5 Spørsmål:
Vil DORA-forordningen og nivå2-regelverk implementeres samtidig?

Svar:
Se spørsmål 1.2.

2 Virkeområde

2.1 Spørsmål:
Hvilke IKT-tjenester faller inn under DORAs definisjon (tjeneste som støtter eller muliggjør levering av finansielle tjenester via IKT-system), herunder videresalg av standardprodukter?

Svar:
Hvilke typer IKT-tjenesteavtaler som omfattes av DORA framgår delegert kommisjonsforordning (EU) 2024/2956 for Register over IKT-tjenesteavtaler, se Annex III.  

2.2 Spørsmål:
Vil eiendomsmeglere og inkassoforetak vil bli omfattet av DORA?  

Svar:
I forslag til lov om digital operasjonell motstandsdyktighet i finanssektoren (DORA-loven) er det foreslått at Finansdepartementet i forskrift kan fastsette forenklede krav for eiendomsmeglere og inkassoforetak i samsvar med DORA, se Prop. 54 LS (2024–2025). IKT-forskriften vil gjelde for disse foretakene inntil eventuelle nye regler er fastsatt i forskrift under DORA-loven.  

2.3 Spørsmål:
Vil revisorer og regnskapsførere bli omfattet av DORA?  

Svar:
Hverken på EU-nivå eller i Norge er det foreløpig blitt foreslått at revisorer og regnskapsførere skal omfattes av DORA. EU-kommisjonen skal vurdere om revisorer skal innlemmes i virkeområdet til DORA når regelverket skal revideres (innen januar 2026), se DORA art. 58 nr. 3.

2.4 Spørsmål: 
Vil DORA gjelde for pensjonsforetak?

Svar:
Foretak for tjenestepensjon er omfattet i henhold til DORA art. 2 nr. 1 bokstav p. Slike foretak med 15 eller mindre antall medlemmer er imidlertid unntatt, jf. DORA art. 2 nr. 3 bokstav c. I forslag til lov om digital operasjonell motstandsdyktighet i finanssektoren er det foreslått at Finansdepartementet i forskrift kan fastsette forenklede krav til pensjonsforetak som er unntatt i art. 2 nr. 3. 

2.5 Spørsmål: 
Hva er utgangspunktet for beregningen for aksessoriske agenter og forholdet til terskelverdiene for små og mellomstore foretak? Den aksessoriske agentens hovedvirke eller virksomheten som aksessorisk agent? Det er store foretak (f.eks. bilforhandlere) som klart overstiger terskelverdiene om vi ser på hele virksomheten, men hvor forsikringsformidlingsvirksomheten faller under terskelverdiene. Omfattes slike foretak av DORA?

Svar:
I utgangspunktet antar vi at slike foretak, ut ifra størrelse, ikke vil bli omfattet av DORA. I forslaget til lov om digital operasjonell motstandsdyktighet i finanssektoren er det imidlertid foreslått en hjemmel for departementet til å fastsette at bestemmelsene i forordningen helt eller delvis skal gjelde for foretak unntatt i DORA art. 2, herunder fastsette forenklede krav for slike foretak i samsvar med relevante bestemmelser i DORA. Spørsmålet kan først vurderes endelig når regelverk er fastsatt i Norge, se Prop. 54 LS (2024–2025). 

2.6 Spørsmål: 
Faller valutavirksomhet, herunder valutavirksomhet som drives gjennom agenter, innenfor DORAs virkeområde?

Svar:
Valutavirksomhet kan bare drives av banker samt betalingsforetak, e-pengeforetak og finansieringsforetak som har tillatelse til å drive slik virksomhet, se finansforetaksloven § 2-5. Betalingsforetak og e-pengeforetak kan ikke drive valutavirksomhet bortsett fra når valutakonverteringen skjer som ledd i pengeoverføringer. Et foretak som kun skal drive valutavirksomhet, må derfor ha konsesjon som finansieringsforetak etter finansforetaksloven § 2-9 første ledd bokstav c.

Banker, betalingsforetak og e-pengeforetak er omfattet av virkeområdet til DORA, se art. 2. Finansieringsforetak kan bli underlagt DORA helt eller delvis, se forslag til DORA-loven § 2 første ledd bokstav b på side 64 i Prop. 54 LS (2024–2025). Om finansieringsforetak skal underlegges helt eller delvis er ikke vurdert enda. Virksomheten til agenter av norske foretak som driver valutavirksomhet vil omfattes av norsk implementering av DORA, mens agenter av utenlandske foretak vil de omfattes hjemlandets implementering av DORA.

2.7 Spørsmål: 
Vil DORA kunne komme direkte til anvendelse for enkelte IKT-tjenesteleverandører?

Svar:
Om DORA kommer direkte til anvendelse beror på om IKT-tjenesteleverandøren blir ansett å være kritisk på EU-/EØS-nivå og blir gjenstand for overvåking eller ikke, se DORA artikkel 31.

2.8 Spørsmål: 
Finnes det noen avgrensninger eller unntak som spesifikt vil påvirke IKT-tjenesteleverandører som betjener AIF-forvaltere?

Svar:
Finanstilsynet er ikke kjent med at det foreligger noen avgrensninger eller unntak som spesifikt vil påvirke IKT-tjenesteleverandører som betjener AIF-forvaltere.

2.9 Spørsmål: 
Er IKT-konsulentselskaper som leverer konsulenter (mennesker) til finansforetak underlagt DORA eller ikke? Er det slik at dersom man leverer kun konsulenter i form av enkeltpersoner som jobber under kundens (den finansielle enhetens) ledelse, så er man ikke regnet som en IKT-tjenesteleverandør, men dersom man leverer tjenester som systemer og applikasjoner så er man det?

Svar:
Begrepet IKT-tjenester er definert i DORA art. 3 nr. 21. Hvilke IKT-tjenester som omfattes følger av kommisjonsforordning (EU) 2024/2956 for register over IKT-tjenesteavtaler, se anneks III "Type of ICT services". Hvorvidt konsulenttjenester blir omfattet antas å følge av om det kun leveres konsulenttimer eller om det leveres tjenester/prosjekter/løsninger/etc.

2.10 Spørsmål: 
Vil medlemsbonusprogrammer for kunder/medlemmer, der medlemmene samler opp poeng som de kan få utbetalt som penger, bli underlagt DORA?

Svar:
Finanstilsynet kan ikke se at slike programmer blir omfattet med mindre de skjer gjennom et foretak som er underlagt konsesjon.

3 Styring og kontroll

3.1 Spørsmål:
Finanstilsynet skriver "Ledelsen/styret" der DORA skriver "management body". Hva er oversettelsen her? Ledelsen eller styret?

Svar:
For nærmere informasjon om tolkningen av "management body", se Prop. 54 LS (2024–2025) kapittel 2.5.4.

3.2 Spørsmål:
Vil geopolitisk risiko primært være fokusert på eksisterende risiko, som for eksempel krigen i Ukraina eller også potensielle fremtidige hendelser som Kina vs. Taiwan? Vil det komme retningslinjer her eller er det opp til det enkelte selskap å vurdere?

Svar:
Finanstilsynet vil ikke komme med retningslinjer på dette området. Her må foretakene se hen til vurderinger fra NFCERT, Nasjonal sikkerhetsmyndighet og andre myndigheter som gjør slike vurderinger.

3.3 Spørsmål:
Foretaket skal utarbeide en egen risikoappetitt. Hvordan skal denne best integreres i typiske eksisterende risikokategorier for operasjonell risiko? Betrakter Finanstilsynet dette som en tilleggskategori til for eksempel typiske Baselkategorier på nivå 1, eller bør det heller være underkategorier for en eller flere av Baselkategoriene?

Svar:
IKT-risiko er del av operasjonell risiko. Operasjonelle hendelser deles ofte inn i Baselkomiteens syv tapshendelseskategorier. Ser man på IKT-hendelser eller IKT-risikotemaer kan de treffe flere av Baselkategoriene. Styret skal definere foretakets operasjonelle risikoappetitt. Det vil si å definere nivået på operasjonell risiko som foretaket er villig til å akseptere. Hvordan det skal gjøres og på hvilket grunnlag (eksempelvis hendelsesdata) er opp til styret å vurdere. Finanstilsynet vil ikke vurdere dette annerledes enn vi gjør i dag.  

4 Hendelser

4.1 Spørsmål:
Vil Finanstilsynet oppmuntre til eller kreve bruk av spesifikke teknologiske løsninger for rapportering av IKT hendelser

Svar: Hendelser skal rapporteres i Excel- eller JSON-format.

• For mer informasjon, se Finanstilsynets nyhetssak av 3. januar 2025. 

4.2 Spørsmål:
For et konsern med flere finansielle enheter, vil en sentralisert enhet for innsending av hendelsesmeldinger og rapporter anses som utkontraktering til en tredjepartsleverandør iht. 19 nr. 5 av DORA?

Svar: Siden "intra-group" skal behandles på samme måte som eksterne er det nærliggende at det anses som utkontraktering. Nivå2-regelverket vil gi nærmere regler for hva DORA åpner opp for knyttet til utkontraktering av rapporteringen / samlerapportering mm.

• For mer informasjon, se Finanstilsynets DORA-webinar 4. mars 2025.    

4.3 Spørsmål:
Har Finanstilsynet utviklet en mal for varsling av større IKT-relaterte hendelser?

Svar: Det er utarbeidet felles maler på EU-nivå ettersom rapportene skal videresendes til EUs finanstilsynsmyndigheter.

• For mer informasjon, se Finanstilsynets DORA-webinar 4. mars 2025.  

4.4 Spørsmål:
Hvilken kanal forventer Finanstilsynet at finansielle enheter bruker for varsling av hendelser?

Svar: Hendelser skal rapporteres via Altinn.

• For nærmere informasjon, se Finanstilsynets nyhetssak av 3. januar 2025.  
• For mer informasjon, se Finanstilsynets DORA-webinar 4. mars 2025.  

4.5 Spørsmål:
Vil rapporteringen være lik til de nordiske andre nordiske finanstilsynene?

Svar: Malene vil være like, men kanalene vil antagelig være forskjellige fra land til land. 

4.6 Spørsmål:
Vil det bli mulighet til å rapportere hendelser via API, eller er det kun excel som gjelder i tiden fremover?

Svar: For rapportering av IKT-hendelser skal foretakene benytte et Altinn app-skjema som Finanstilsynet utvikler i henhold til standardformatet og som blir konvertert til JSON før rapportene blir videresendt til ESA'ene. I spesielle tilfeller kan det rapporteres på Excel-skjemaet som vedlegg til e-post til hendelse@finanstilsynet.no.  

4.7 Spørsmål:
Skal hendelsesrapportering i henhold til DORA skje på engelsk?

Svar: Det er ikke et krav om å rapportere på engelsk, men det oppfordres til å gjøre det. Bakgrunnen for dette er at Finanstilsynet skal videreformidle rapportene til ESA'ene. 

4.8 Spørsmål:
Når kommer Finanstilsynets veileder for hendelsesrapportering?

Svar: Veilederen vil foreligge før regelverket trer i kraft i Norge.

4.9 Spørsmål:
Finanstilsynet har uttrykket at cyberhendelser alltid kategoriseres til alvorlig hendelse og skal rapporteres. Gjelder det også dersom angrep ikke var vellykket?

Svar: Hendelsesrapporteringen er stegvis, og det kan ta tid å analysere om et cyberangrep har fått konsekvenser. Når foretaket avdekker et cyberangrep mot foretaket eller i verdikjeden til en tjeneste foretaket benytter, skal angrepet rapporteres som en alvorlig hendelse dersom angrepet har påvirket kritiske tjenester og angrepet har gitt angriper tilgang til informasjons- og nettverkssystemer der slik tilgang kan føre til tap av data, se  delegert kommisjonsforordning (EU) 2024/1772 art. 8 nr.1 (a) med videre henvisning til art. 9 nr. 5 (b). Er foretaket i tvil om angrepet har gitt angriper en tilgang som nevnt ovenfor, kan hendelsen rapporteres som en trussel.

4.10 Spørsmål:

Skal alle cyberangrep rapporteres? Skal for eksempel et vellykket phishing-angrep hvor f.eks. kun en brukers brukernavn og passord er misbrukt rapporteres?

Svar: For at et cyberangrep skal være rapporteringspliktig, må hendelsen oppfylle vilkårene i delegert kommisjonsforordning 2024/1772 artikkel 8 nr.1 (a) med videre henvisning til artikkel 9 nr. 5 (b). Vilkårene er som følger:

1. Cyberangrepet må ha "påvirket viktige eller kritiske tjenester" som definert i delegert kommisjonsforordning 2024/1772 artikkel 6 og
2. cyberangrepet oppfyller kravet om å være "enhver vellykket, ondsinnet og uautorisert tilgang til nettverks- og informasjonssystemer der slik tilgang kan føre til tap av data". Det gis nærmere veiledning om hva som anses som "tap av data" i delegert kommisjonsforordning 2024/1772 artikkel 5.

4.11 Spørsmål:

Anbefaler Finanstilsynet at man bygger inn kravene for alvorlige IKT-hendelser inn foretakenes generelle prosess for hendelseshåndtering?

Svar: Det anbefales at foretakets rutiner for å håndtere hendelser også omfatter vurdering av alvorlighetsgrad på hendelsen og rapportering til myndighetene.

Spørsmål: Det legges stor vekt på rask rapportering, noe som er ressurskrevende for foretakene midt i hendelseshåndteringen. Hvilke tiltak iverksettes av Finanstilsynet som gjør hurtig varsling viktig?

Svar: Ved alvorlige hendelser er det viktig at Finanstilsynet raskt blir kjent med problemstillingen, hvordan problemet arter seg og hvilke tiltak som iverksettes. Hendelser får ofte stor mediaoppmerksomhet, og myndighetene blir av den grunn ofte kontaktet. Best mulig kunnskap om hendelsen er da viktig for å kunne bidra til å dempe uro og gi god og riktig informasjon både til andre myndigheter og til publikum. DORA har detaljerte krav til tidsfristene for rapportering. Hendelsesrapporteringen kan også identifisere en beredskapssituasjon, eksempelvis ved at flere foretak rapporterer parallelt om samme hendelse grunnet cyberangrep eller avvik hos felles leverandør.

4.12 Spørsmål:

Finanstilsynet har uttrykket at små pensjons- og forsikringsforetak foreløpig er unntatt fra rapporteringsplikten etter DORA. Hva er størrelse/kriterier for at pensjons- og forsikringsforetak er unntatt rapporteringsplikten? Er dette et annet kriterium enn det som er omtalt som mikroforetak under DORA?

Svar: DORA art. 2 nr. 3 (a)-(f) angir hvilke foretakstyper DORA ikke får anvendelse for og som følgelig ikke plikter å rapportere om alvorlige IKT-relaterte hendelser. I bestemmelsen står det at DORA blant annet ikke får anvendelse på “forsikrings- og gjenforsikringsforetak som nevnt i artikkel 4 i direktiv 2009/138/EF” eller “tjenestepensjonsforetak som forvalter pensjonsordninger som til sammen ikke har mer enn 15 medlemmer i alt”, jf. henholdsvis bokstav b og c. Regelhenvisningen i bokstav b gir nærmere veiledning om størrelse på forsikrings- og gjenforsikringsforetak som er unntatt fra reglene i DORA.

Merk at i § 2 første ledd bokstav a i lovforslaget til DORA-loven (som vil gjøre DORA gjeldende i norsk rett) foreslås det at departementet i forskrift kan fastsette at bestemmelsene i DORA helt eller delvis skal gjelde for foretak som er unntatt i DORA art. 2 nr. 3.

4.13 Spørsmål:

I forbindelse med alvorlige IKT-hendelser vil det i mange tilfeller ikke få økonomiske konsekvenser for kundene. Betyr det at vi ikke trenger å informere kundene om hendelsen?

Svar: Det vil være god service å informere kundene om pågående hendelser som påvirker tjenestene til kundene slik praksis er i dag, selv om det i DORA kun er krav om dette der hendelsen vil kunne få økonomiske konsekvenser for kundene. 

5 Testing

5.1 Spørsmål:

Når blir det avklart hvilket offentlig organ som tar rollen TLPT-myndighet?

Svar: For nærmere informasjon, se Finansdepartementets vurdering i Prop. 54 LS (2024–2025), kapittel 2.5.7.3. 

5.2 Spørsmål:

Har dere kartlagt hvem som blir pålagt å gjennomføre TLPT? Vil det foreligge en oversikt over hvem dette gjelder, eller vil de berørte virksomhetene få direkte beskjed?

Svar: Det er foreløpig ikke gjort noen vurdering av hvilke foretak som blir pålagt å gjennomføre TLPT (trusselbasert penetrasjonstesting). Grunnen er at lov om digital operasjonell motstandsdyktighet i finanssektoren (DORA-loven) ikke er fastsatt og at heller ikke delegert kommisjonsforordning om TLPT-testing er fastsatt av Kommisjonen. Delegert kommisjonsforordning om TLPT-testing vil gi nærmere regler om utpeking av foretak som skal pålegges å gjennomføre TLPT. 

Foretakene som blir utpekt vil få nærmere beskjed om dette. Hvorvidt det vil bli publisert en offentlig liste er ikke vurdert.

5.3 Spørsmål:

I hvilken grad skal leverandører inkluderes i omfanget av den generelle (årlige) sikkerhetstestingen av digital operasjonell motstandsdyktighet?

Svar: Finanstilsynet legger til grunn at IKT-tjenesteleverandører deltar i foretakets sikkerhetstesting av digital operasjonell motstandsdyktighet der det er relevant. I artikkel 30 nr. 3 bokstav c og d stilles det krav til at avtaler som støtter kritiske eller viktige funksjoner skal ha bestemmelser om blant annet testing av beredskapsplaner for foretaket og eventuell deltakelse i TLPT-testing.

Finanstilsynet har i flere tilsyn påpekt manglende involvering av leverandører i foretakets testing.

6 IKT-tjenesteavtaler

6.1 Spørsmål:

Er det noe nasjonalt handlingsrom for særregler i form av strengere krav til kontraktsregulering i IKT-tjenesteavtaler enn det som oppstilles i DORA art. 30 og har i tilfelle Finanstilsynet identifisert noe behov for å innføre noen særregler?

Svar: DORA artikkel 30 gir ikke hjemmel for å fastsette nasjonale krav til kontraktsbestemmelser. Siden formålet med reglene i DORA er harmonisering av regler på IKT-området, er det ikke sannsynlig at Norge vil innføre egne regler på dette området.

6.2 Spørsmål:

Når norske foretak fremforhandler IKT-tjenesteavtaler i dag, men som skal implementeres etter at DORA har trådt i kraft i Norge, skal foretakene legge til grunn kravene som stilles i DORA art. 30 må overholdes i avtalen?

Svar: Kravene i DORA gjelder fra forordningen trer i kraft i Norge, noe som antas å skje i løpet av kort tid. Finanstilsynet forventer derfor at kontrakter som inngås framover oppfyller kravene til DORA artikkel 30.

6.3 Spørsmål:

Hva er definisjonen på en kritisk IKT-leverandør? Vil for eksempel en leverandør av lønnssystemer være forretningskritisk? Hva med forsikringsselskap hvor vi har forsikringer for ansatte? Vil f.eks. Telenor være en kritisk IKT-leverandør?

Svar: En kritisk eller viktig funksjon er definert som en funksjon hvis forstyrrelser i vesentlig grad vil forringe en finansiell enhets finansielle inntjening, eller soliditeten eller kontinuiteten i dens tjenester og aktiviteter, eller som, dersom den aktuelle funksjonen avbrytes, er mangelfull eller mislykkes, i vesentlig grad kan forringe en finansiell enhets oppfyllelse av de vilkårene og forpliktelsene som er forbundet med dens tillatelse, eller av dens øvrige forpliktelser i henhold til gjeldende regelverk for finansielle tjenester, se DORA artikkel 3 nr. 22. Foretaket må selv vurdere om de anser en IKT-tjenesteleverandør som kritisk eller viktig i lys av definisjonen og på bakgrunn av foretakets virksomhetskonsekvensanalyse (BIA).

6.4 Spørsmål:

Etter artikkel 28 nr. 5 har finansielle enheter kun lov til å inngå avtaler med IKT-tjenesteleverandører som følger «appropriate information security standards». Har Finanstilsynet noe mening om hvilke standarder som vil anses tilfredsstillende? Vil det for eksempel vært tilstrekkelig å følge ISO27001?

Svar: Finanstilsynet vil ikke lage noen liste over hvilke standarder som vil anses tilfredsstillende.  Det finnes en rekke standarder og det er opp til hvert enkelt foretak å bestemme hvilken standard det stilles krav til / som aksepteres ved inngåelse av avtale om IKT-tjenester.

6.5 Spørsmål:

Er det mulig å gi konkrete eksempler på bruk av tredjeparter som ikke er regnet som utkontraktering i dag? Finanstilsynet har gitt uttrykk for at DORA skal inneholde flere typer av aktører enn det som gjelder etter dagens regelverk.

Svar: IKT-rådgivning (ICT consulting) samt maskinvare og fysiske enheter (hardware og physical devices) er eksempler på IKT-tjenestekjøp som i Norge ikke har vært ansett som utkontraktering. For oversikt over IKT-tjenesteavtaletyper, se kommisjonsforordning (EU) 2024/2956 for register over IKT-tjenesteavtaler, anneks III "Type of ICT services".

6.6 Spørsmål:

Hvordan blir leverandørstyring internt i et konsern hvor et selskap i konsernet kjøper eksterne IKT-tjenester og selger/leverer videre til andre selskap i konsernet?

Svar: De samme kravene stilles til avtaler ved konserninterne kjøp av IKT-tjenester som ved konserneksterne kjøp, også der konsernet står for det eksterne kjøpet av IKT-tjenester og blir en del av leverandørkjeden. Samme plikter og ansvar gjelder også for oppfølging av underleverandører.

6.7 Spørsmål:

Kravene DORA stiller retter seg nesten utelukkende mot «financial entities» og IKT-tredjepartsleverandører er ikke omfattet av dette begrepet. Hvilke krav i DORA mener Finanstilsynet at IKT-tredjepartsleverandører er direkte forpliktet til å følge?

Svar: Foretaket har ansvar for all virksomhet selv om de bruker IKT-tjenesteleverandører. I prinsippet gjelder da reglene i DORA leverandørene som for foretakene, se art. 28 nr. 1 bokstav a. Der leverandører ikke følger avtalen skal foretaket ha rett til å si den opp, forutsatt at det foreligger et vesentlig avtalebrudd, se artikkel 28 nr.7. Foretaket skal sikre at denne retten er regulert i avtalen. Tilsynsmyndigheten kan også pålegge foretak å si opp en systemkritisk leverandør under visse forutsetninger, se artikkel 42 nr. 6.b. For øvrig vises det til kapittel V, avsnitt II i DORA.

6.8 Spørsmål:

Vil Finanstilsynets veiledning legge seg på samme linje som DORA med tanke på skillet i kravene som stilles til kritisk og viktige tjenesteleverandører og leverandører som ikke er det, se art. 30 nr. 2 og nr. 3?

Svar: Der Finanstilsynet lager veiledninger vil regelverket legges til grunn. En eventuell veiledning, for IKT-tjenesteavtaler derfor være i tråd med artikkel 30 nr. 2 og nr. 3.

6.9 Spørsmål:

Hvem har ansvaret for å sørge for at avtaler mellom finansforetak og IKT-leverandør oppdateres i henhold til DORA? Er det foretakets ansvar å ta initiativ til det?

Svar: Den finansielle enheten har ansvaret for at tjenesteavtaler er i tråd med DORA. Dette er en naturlig følge av at finansielle enheter til enhver tid er ansvarlig for at reglene i DORA etterleves, også ved bruk av IKT-tjenesteleverandører, se art. 28 nr. 1 bokstav a. Det er det enkelte foretaks ansvar at IKT-tjenesteavtaler oppdateres i henhold til DORAs bestemmelser.

6.10 Spørsmål:

Vil forvalter av tjenestepensjonsregisteret, som benyttes av tjenestepensjonsordningene bli ansett som en kritisk underleverandør, forutsatt at pensjonsforetak er omfattet?

Svar: Der pensjonsforetaket er omfattet vil forvalteren bli å anse som en IKT-tjenesteleverandør da den leverer IKT-tjenester som behandler pensjonsforetakets kundemasse som en sentral del av leveransen. Foretaket må gjøre en egen vurdering av om leveransen er kritisk eller viktig i lys av definisjonen i DORA artikkel 3 nr. 22.

7 Register over IKT-tjenesteavtaler

7.1 Spørsmål:

 Vil det lages en felles mal som foretakene kan bruke for innhenting av informasjon fra sine leverandører for utfylling av sitt Register of Information (RoI)?

Svar: Nei, ikke utover det som følger av nivå2-regelverket kommisjonsforordning (EU) 2024/2956 for Register over IKT-tjenesteavtaler. Hvordan informasjonen leveres bør avtales mellom leverandøren og foretaket.

7.2 Spørsmål:

Hvem skal vurdere hvilke underleverandører som effektivt understøtter IKT-tjenester som støtter kritiske eller viktige funksjoner eller vesentlig del av disse og som skal føres i informasjonsregisteret?

Svar: Det enkelte foretak er ansvarlig for vurderingen. Foretaket kan få bistand til vurderingen fra sine leverandører og deres underleverandører. 

7.3 Spørsmål:

Foreligger det konkrete kriterier som kan/bør brukes for å identifisere hvilke leverandører som skal dokumenteres i foretakets registre?

Svar: Finansielle enheter skal ha et register over alle IKT-kontraktsforhold, se DORA artikkel 28 nr. 3. Hva registeret skal inneholde følger av (EU) 2024/2956. Alle IKT-tjenesteleverandører skal nedover i leverandørkjeden skal inngå i registeret, så lenge de understøtter kritiske eller viktige funksjoner, se (EU) 2024/2956 art. 3 nr. 2 bokstav b. 

7.4 Spørsmål:

Å kartlegge hele leverandørkjeden vil ta lang tid da informasjon må innhentes i hvert ledd. Samtidig kan det være nødvendig å tilpasse kontrakter i alle ledd. Tas det høyde for at dette vil være et pågående arbeid etter at DORA trer i kraft?

Svar: Finanstilsynet forventer at foretakene, i samarbeid med leverandørene sine, etabler en plan for slik gjennomgang og oppdatering. 

7.5 Spørsmål:

Må man kun ha register for direkte IKT-tjenesteleveranser, eller må man også ha register for underleverandører? Altså eksempelvis: Vi får leveranser fra en leverandør som utkontrakterer leveransen videre, må registeret også inneholde alle underleverandører?

Svar: Se spørsmål 7.3.

7.6 Spørsmål:

I hvor mange ledd skal man følge leverandører og underleverandører? Skal leverandører avtjenestetypene som nevnes i Annex III også rapporteres dersom de ligger lengre ut i leverandørkjeden, eller er de bare tenkt for å kategorisere de direkte leverandørene (rank 1)?

Svar: Se spørsmål 7.3 

7.7 Spørsmål:

Hva er forskjellen mellom register over utkontraktert virksomhet og leverandørregisteret etter DORA? Vil det bli en regelharmonisering her, eller vil man måtte operere med to registre?

Svar: Kravene til register over utkontraktering følger av meldepliktforskriften, mens kravene til register over IKT-tjenesteavtaler følger av DORA og kommisjonsforordning (EU) 2024/2956. DORA's krav til register er vesentlig mer omfattende enn det som følger av meldepliktforskriften. Finansdepartementet har i foreslått at den nye finanstilsynsloven (som trer i kraft 1. april) § 4-6 endres til å gjelde annen utkontrakteringer enn det som følger av DORA fra DORA-loven trer i kraft, se Prop. 54 LS (2024–2025). Det er opp til foretaket om de vil inkludere utkontrakteringsavtaler i registeret over IKT-tjenesteavtaler slik at de kan operere med et register, eller har to separate registre. Velger man ett register må type avtaler kunne skilles fra hverandre.  

7.8 Spørsmål:

Skal et finanskonsern som har virksomhet i flere land rapportere på konsernnivå? Skal det bare rapporteres til myndighetene i landet hvor det ultimate morforetaket befinner seg eller skal det også rapporteres til datterforetakenes myndigheter i andre land?

Svar: Ifølge DORA artikkel 28 nr. 3 skal foretaket ha et register over alle IKT-tjenesteavtaler på foretaksnivå, subkonsolidert og konsolidert. Videre skal registeret rapporteres konsolidert på høyeste nivå i konsernet innen EU/EØS til tilsynsmyndigheten i landet der det høyeste nivået befinner seg, se ESA'enes beslutning (ESA 2024 22) artikkel 3.  

7.9 Spørsmål:

Er EUID påkrevd for alle europeiske IKT-tjenesteleverandører i tillegg til LEI?

Svar: IKT-tjenesteleverandører skal identifiseres med EUID eller LEI. Dersom leverandøren har begge ID'ene skal begge benyttes, se (EU) 2024/2956 artikkel 3 nr. 5.

7.10 Spørsmål:

Hvis en bank foretar KYC (AML) for et annet finansforetak, vil banken være en IKT-tjenesteleverandør, slik at DORA kommer til anvendelse?

Svar: Svaret beror på hvordan banken utfører KYC. Dersom tjenesten for eksempel omfatter bruk av leverandørens AML-systemer, vil den også anses som en IKT-tjeneste, se DORA artikkel 3 nr. 19.

8 Rapportering

8.1 Rapportering av IKT-tjenesteavtaler

8.1.1 Spørsmål:

Er det slik at veileder og regelverk for meldeplikt av IKT utkontraktering ikke lenger vil gjelde for IKT-tjenesteavtaler, men overtas av kommisjonsforordning (EU) 2024/2956?

Svar: Meldeplikten etter finanstilsynsloven og meldepliktforskriften samt Rundskriv 7/2021 vil ikke gjelde for IKT-tjenesteavtaler, slik det framgår lovproposisjonen (Prop. 54 LS (2024–2025)). Ifølge DORA skal planlagte IKT-tjenesteavtaler som støtter kritiske eller viktige funksjoner meldes i rimelig tid til tilsynsmyndigheten, se artikkel 28 nr.3, siste avsnitt.

8.1.2 Spørsmål:

Hva skjer med meldeplikten når DORA trer i kraft? Vil det bli krav om melding 60 dager før avtalen trer i kraft?

Svar: Se spørsmål 8.1.1.

8.1.3 Spørsmål:

Er det bare kritiske eller viktige IKT-tjenesteavtaler som skal rapporteres? Ikke «vanlige» IKT-kontrakter?

Svar: Planlagte kontraktsforhold som gjelder kritiske eller viktige avtaler skal meldes til tilsynsmyndigheten, se artikkel 28 nr.3, siste avsnitt. Når det gjelder rapportering av registeret over IKT-tjenesteavtaler, se spørsmål 8.2.4.

8.1.4 Spørsmål

Gitt at DORA erstatter IKT-utkontrakteringsrammeverket, hvordan vil dette eventuelt påvirke meldefrister til Finanstilsynet all den tid slike frister ikke er regulert i DORA?

Svar: Finansdepartementet har vurdert at tilsynsmyndigheten kan gi nærmere veiledning for meldepliktens formkrav og tidsfrister, og at departementet kan gi regler i forskrift hvis det blir behov, se Prop. 54 LS (2024–2025) punkt 2.5.6.3.

8.2 Rapportering av registeret over IKT-tjenesteavtaler

8.2.1 Spørsmål:

Skal all rapportering gå til/via Finanstilsynet eller skal noe rapportering under DORA gå direkte til relevant ESA?

Svar: I utgangspunktet skal foretaket i alle tilfeller rapportere til den nasjonale tilsynsmyndigheten. Dersom det blir aktuelt med direkte rapportering til relevant europeisk finanstilsynsmyndighet (ESA) vil Finanstilsynet kommunisere det i god tid.

8.2.2 Spørsmål:

Når må norske foretak sende inn Informasjonsregisteret (Register of Information, RoI)? Skal rapporteringen gjøres via Finanstilsynet i Norge?

Svar: Norske foretak kan ikke pålegges å innrapportere i henhold til et regelverk som ikke gjelder i Norge. Derfor skal ikke norske foretak rapportere før lov om digital operasjonell motstandsdyktighet har trådt i kraft. Norske foretak deltar derfor ikke i innrapporteringen til EU våren 2025. Hvem det skal rapporteres til framgår av spørsmål 8.2.1.

8.2.3 Spørsmål:

En potensiell veiledning fra Finanstilsynet for innrapportering av registeret over IKT-tjenesteavtaler vil tidligst skje etter behandling av proposisjonen (Prop. 54 LS (2024–2025)). Finnes det noen spesifisert liste over hva som skal rapporteres på, inntil en veiledning foreligger, eller forholder man seg her kun til det som er nevnt i DORA?

Svar: Finanstilsynet vil utarbeide en veiledning knyttet til årlig innrapportering av register over IKT-tjenesteavtaler. Hva som skal rapporteres framgår av kommisjonsforordning (EU) 2024/2956.   

8.2.4 Spørsmål:

Hvor står det at finansielle enheter årlig skal rapportere registeret over IKT-tjenesteavtaler?

Svar: Ifølge artikkel 28 nr. 3 kan tilsynsmyndigheten til enhver tid be om at hele eller deler av registeret gjøres tilgjengelig. Videre skal finansielle enheter minst én gang i året rapportere antall nye kontraktsforhold vedrørende bruk av IKT-tjenester, kategoriene av tredjepartsleverandører av IKT-tjenester, typen kontraktsforhold samt IKT-tjenestene og -funksjonene som leveres. Ifølge artikkel 31 nr. 10 skal tilsynsmyndigheten årlig skal oversende oversikter til overvåkningsforumet (som består av ESA'ene) etablert for tilsyn med kritiske IKT-tjenesteleverandører. Dette danner grunnlaget for å peke ut kritiske IKT-tjenesteleverandører. Hva som skal rapporteres fra tilsynsmyndighetene til ESA'ene framgår nærmere av ESA'enes beslutning: ESA 2024 22.

9 Overvåkning

9.1 Spørsmål:

Er det identifisert kritiske tredjepartsleverandører i Norge, og har disse blitt informert om at de anses kritiske etter DORA?

Svar: Det er så langt ikke identifisert kritiske tredjepartsleverandører på EU/EØS-nivå i Norge, ei heller gjennom prøveinnsamlingen av IKT-tjenesteavtaler i 2023.

10 Spesielt for mindre foretak

10.1 Spørsmål:

Hvordan påvirker DORA små og mellomstore bedrifter?

Svar: DORA påvirker alle foretak omfattet av virkeområdet. En del foretakstyper en unntatt DORA, se artikkel 2 nr. 3. DORA har også enkelte bestemmelser som gjelder kun for, eller gjør unntak for, spesifiserte foretakstyper eller etter foretakets størrelse. Videre følger det av regelverket et forholdsmessighetsprinsipp, se DORA artikkel 4. DORAs bestemmelser omfatter mange absolutte krav. Mindre foretak (se for eksempel DORA artikkel 3 nr. 60 (mikroforetak)) er unntatt fra flere av regelverkets må og skal krav. 

10.2 Spørsmål:

Foretak med mindre enn 10 ansatte får forenklede regler. Når vet vi hvilke regler fra DORA som omfatter disse små selskapene?

Svar: Spørsmålet tolkes til å gjelde såkalte mikroforetak. Det gjøres oppmerksom på at et mikroforetak er definert som en finansiell enhet, som ikke er en handelsplass, sentral motpart eller transaksjonsregister. I tillegg må det være færre enn ti ansatte og en årsomsetning og/eller årsbalanse som ikke overstiger 2 millioner euro, se artikkel 3 (60). Det gjøres også oppmerksom på at mikroforetak ikke faller inn under det forenklede rammeverket for risikostyring i artikkel 16, med mindre det er tale om en finansiell enhet som er nevnt i denne bestemmelsen. Det er uttrykkelig nevnt i DORA når mikroforetak er unntatt fra krav etter forordningen. Særregulering av mikroforetak framgår av følgende bestemmelser: artikkel 5 nr. 3; artikkel 6 nr.  4, 5, og 6; artikkel 8 nr. 3 og 7; artikkel 11 nr. 3,6,7 og 10; artikkel 12 nr. 4; artikkel 13 nr. 4 og 7; artikkel 25 nr. 3; artikkel 26 nr. 1; artikkel 28 nr. 2 og artikkel 30 nr. 3 siste avsnitt.

10.3 Spørsmål:

Hvilke kriterier er det for at et selskap skal vurderes som et "mindre foretak" og dermed ha enklere krav etter DORA?

Svar: Se spørsmål 12.8.

10.4 Spørsmål:

Må et firma med 3 ansatte segregere IKT-risikohåndteringsfunksjon, kontrollfunksjon og internrevisjonsfunksjon etter art. 6 nr. 4, eller er det fleksibilitet på dette og tilsvarende krav for så små firmaer?

Svar: Ifølge DORA artikkel 6 nr. 4 skal finansielle enheter, unntatt mikroforetak, tildele ansvaret for å styre og føre tilsyn med IKT-risiko til en kontrollfunksjon og sikre et passende nivå av uavhengighet for en slik kontrollfunksjon for å unngå interessekonflikter. Finansielle enheter skal sikre et passende skille og uavhengighet mellom IKT-risikostyringsfunksjoner, kontrollfunksjoner og interne revisjonsfunksjoner i henhold til modellen med tre forsvarslinjer eller en intern modell for risikostyring og kontroll.

11 Filialer

11.1 Spørsmål:

Hvordan vil implementeringstidspunkt påvirke foretak som har hovedkontor i Norge og filialer i EU?

Svar: Foretakene skal følge kravene om gjelder i hjemlandsmyndigheten. Det samme gjelder filialer i andre land enn Norge. Datterselskaper skal følge kravene som gjelder i landet de er etablert i.

12 Forholdet til NIS-direktivene

12.1 Spørsmål:

Hvordan vil implementeringen av DORA forholde seg til NIS2-implementeringen i Norge?

Svar: Norge er i ferd med å implementere NIS1-dirketivet gjennom digitalsikkerhetsloven og digitalsikkerhetsforskriften. Hvordan NIS2-direktivet blir implementert er foreløpig ukjent. DORA vil uansett være et særregelverk som går foran både NIS1 og NIS2. I dialog mellom Finanstilsynet og Nasjonal Sikkerhetsmyndighet (NSM) er det enighet om at vi må finne en praktisk måte å håndtere DORA versus NIS2, siden DORA har henvisninger til NIS2 og ikke NIS1.

13 Diverse spørsmål

13.1 Spørsmål:

Hva er forholdet mellom IKT-forskriften, EBA-retningslinjer og DORA?

Svar: For foretak som omfattes av virkeområdet til DORA vil IKT-forskriften erstattes av DORA. Retningslinjer fra ESA'ene vil enten oppheves eller tilpasses DORA. Det vurderes også om det er behov for nye retningslinjer. 

13.2 Spørsmål:

Hva vil statusen til EBA guidelines bli fremover? For eksempel EBA guideline om ICT-risk, utkontraktering og utkontraktering til skytjenester?

Svar: Se spørsmål 13.1. 

13.3 Spørsmål:

Hva er deres tanker om overlapp med andre reguleringer og hva som vil få fortrinn ved konflikter mellom lovverk? (f.eks. GDPR og DORA)

Svar: DORA er et spesialregelverk som går foran generelt regelverk.

13.4 Spørsmål:

Er det spesielle forhold norske foretak bør forberede seg på siden Norge er et land utenfor EU?

Svar: Finanstilsynet har ikke identifisert spesielle forhold foretakene bør ta høyde for. Det er viktig å være oppmerksom på at retningslinjer fra de europeiske tilsynsmyndighetene ikke lenger gjelder for EU-land, etter at DORA har trådt i kraft. Finanstilsynet forventer at norske foretak fortsetter å se hen til dem inntil DORA har trådt i kraft i Norge. 

13.5 Spørsmål:

Hvordan vil samarbeidet mellom myndigheter i Norge og andre EU-land være med tanke på grensekryssende arbeid?  Vil det komme noen veiledning for eventuell overlapp av nasjonale tilsynsmyndigheter. 

Svar: Regelverket er en forordning med få nasjonale valg, som skal tas direkte inn i nasjonal rett. Myndighetsutøvelsen ligger til foretakets hjemlandsmyndighet. Finanstilsynet anser derfor at det ikke er fare for overlapp og derfor heller ikke behov for å utarbeide en veiledning. Der medlemsstater har benyttet seg av muligheten for nasjonale valg vil forskjeller kunne forekomme.

Tilsynsmyndigheten skal utvikle og fremme beste praksis, legge til rette for samarbeid, fremme konsistens i tolkning og vurderinger som gjelder på tvers av tilsynsmyndighetene i tilfelle uenighet, se DORA artikkel 49. Dette kalles tilsynsmessig konvergens.

13.6 Spørsmål:

Hva menes med RTS og ITS?

Svar: Det er forkortelser som brukes om nivå2-regelverk under et EU-regelverk (enten et direktiv eller en forordning). Nivå2-regelverk fastsettes av EU-kommisjonen, etter delegert myndighet fra EU-parlamentet og Rådet. Vanligvis utarbeides forslagene til nivå2-regelverk av de europeiske tilsynsmyndighetene og oversendes Kommisjonen for fastsettelse. Ved fastsettelse blir de benevnt som kommisjonsforordninger. RTS står for Regulatory Technical Standards og er delegerte kommisjonsforordninger som brukes til å utdype regelverkskrav i en forordning eller et direktiv (nivå1). ITS står for Implementing Technical Standards og brukes der det kreves regler for den praktiske gjennomføringen av regelverket, for eksempel rapporteringsformater. 

13.7 Spørsmål:

Hvordan forstår Finanstilsynet definisjonen av "ICT intra-group service provider", art. 3 (20)? Kan et finansforetak med konsesjon falle inn under den definisjonen, eller siktes det kun til foretak som utelukkende leverer IKT-tjenester (ref. formuleringen "predominantly" i art. 3 (20)). Eller vil et finansforetak som leverer IKT-tjenester til andre konsernforetak anses å være "ICT third-party service provider", art. 3 (19). Disse to typene håndteres ulikt i ITS for register, så derav behov for avklaring.

Svar: Ifølge definisjonen i DORA artikkel 3 (20) er en konsernintern leverandør av IKT-tjenester et foretak som er en del av et finanskonsern, og som hovedsakelig leverer IKT-tjenester til finansielle enheter innenfor samme konsern eller til finansielle enheter som tilhører samme institusjonelle beskyttelsesordning, herunder til deres morforetak, datterforetak, filialer eller andre enheter som er under felles eierskap eller kontroll. Finanstilsynet vurderer at definisjonen gjelder uavhengig av om leverandørforetaket har konsesjon eller ikke. Konserninterne IKT-tjenesteleverandører anses som en tredjepartsleverandør av IKT-tjenester i henhold til artikkel 3 nr. 19. Imidlertid kan ikke en konsernintern IKT-tjenesteleverandør pekes ut som gjenstand for overvåkning, se DORA art. 31 nr. 8 (iii).

13.8 Spørsmål:

Kommer Finanstilsynet med en veileder som mapper DORA-artikler med IKT-forskriftens paragrafer?

Svar: Regelverkene er såpass forskjellige at Finanstilsynet vil ikke lage noen veileder som mapper DORA-artikler med IKT-forskriftens paragrafer. En helt overordnet mapping følger av presentasjonen brukt i Finanstilsynets DORA-webinar 6. november 2024.