Forordning om digital operasjonell motstandsdyktighet i finanssektoren (DORA)

Om DORA

DORA inneholder felleseuropeiske regler for å styrke den digitale operasjonelle motstandskraften til foretak i finanssektoren. DORA ventes gjennomført i norsk rett uten vesentlige forsinkelser i forhold til EU. Ikrafttredelsesdatoen i EU er 17. januar 2025. DORA er inndelt i følgende hovedområder:

• styring av IKT-risiko
• håndtering av hendelser
• testing av digital motstandsdyktighet
• styring av tredjepartsrisiko
• informasjonsdeling

DORAs krav til rutiner og tiltak bygger på et proporsjonalitetsprinsipp. Det skal tas hensyn til foretakets størrelse og risikoprofil, samt arten, omfanget og kompleksiteten i foretakets tjenester, aktiviteter og drift.

Ved brudd på bestemmelser i DORA har den nasjonale tilsynsmyndigheten adgang til å ilegge overtredelsesgebyr.

Virkeområde

De fleste foretakene i finanssektoren som er regulert av EU/EØS-sektorregelverket, omfattes av DORA, med enkelte unntak. I Norge tilsvarer dette i hovedsak foretak under tilsyn, jf. finanstilsynsloven § 1. Virkeområdet framgår nærmere av artikkel 2 i forordningen.

Revisorer, regnskapsførere, eiendomsmeglere og inkassoforetak er i utgangspunktet ikke omfattet av regelverket. Finansdepartementet har imidlertid foreslått at departementet i forskrift kan fastsette at reglene skal gjelde helt eller delvis for eiendomsmeglere og inkassoforetak. Det samme gjelder for foretak som i utgangspunktet er unntatt i artikkel 2 nr. 3. For nærmere informasjon, se lenke til departementets høring.

Styring av IKT-risiko

DORA stiller krav til foretakenes virksomhetsstyring og et rammeverk for risikostyring. Det stilles krav til at foretakene skal ha et rammeverk for styring og kontroll i tråd med de tre forsvarslinjene. Styret er ansvarlig for å håndtere foretakets risiko på et overordnet nivå, herunder vedta retningslinjer, utarbeide/godkjenne IKT-strategi og godkjenne foretakets kontinuitetsplan m.m.

DORA bygger blant annet på dagens retningslinjer for styring av IKT-risiko, som er utviklet av de europeiske tilsynsmyndighetene på finansområdet. Kravene er knyttet til ulike områder innen IKT-risikostyring (som identifisering, beskyttelse og forebygging, deteksjon, respons og gjenoppretting, styring av tredjepartsrisiko, læring, utvikling og kommunikasjon). Enkelte foretak underlegges et forenklet rammeverk for risikostyring (artikkel 16).

Håndtering av hendelser

Foretakene skal ha en prosedyre for å avdekke, håndtere og varsle om hendelser. Det stilles nærmere krav til hva prosedyren skal inneholde. Videre stilles det krav til hvordan foretakene skal klassifisere hendelser, når hendelser skal rapporteres og hvordan de skal rapporteres. Foretak kan rapportere avdekkede trusler på frivillig basis. DORA stiller også krav til hvordan den nasjonale tilsynsmyndigheten skal følge opp innrapporterte hendelser.

Testing av digital motstandsdyktighet

Finansforetak, med noen unntak, skal gjennomføre trusselbasert penetrasjonstesting (TLPT). Testen skal minimum gjennomføres hvert tredje år. Det stilles nærmere krav til hvordan testene skal gjennomføres, hva den skal dekke, hvem som er kvalifisert til å teste og hvordan testen skal følges opp. Den nasjonale tilsynsmyndigheten kan ut fra en nærmere vurdering be foretaket øke eller redusere frekvensen på testingen.

Styring av tredjepartsrisiko

Styring av leverandørrisiko skal inngå som en del av rammeverket for risikostyring. Det er viktig å være oppmerksom på at DORA omfatter IKT-tjenester, og ikke bare IKT-utkontrakteringer. DORA stiller nærmere krav til hvilke vurderinger foretak må gjøre før inngåelse av en IKT-tjenesteavtale, hvordan avtalen skal følges opp og hva den må inneholde.

De europeiske tilsynsmyndighetene skal etablere et rammeverk for systemkritiske IKT-tjenesteleverandører i finanssektoren. Rammeverket skal bestå av et overvåkingsforum som skal overvåke utviklingen av IKT-risiko og sårbarheter i IKT-landskapet. Videre skal de europeiske tilsynsmyndighetene i fellesskap utpeke systemkritiske IKT-tjenesteleverandører, og en av tilsynsmyndighetene pekes ut som overvåkingsmyndighet med ansvar for å følge opp den enkelte leverandør. Overvåkingsmyndigheten har myndighet til å innhente informasjon og utføre inspeksjoner. Videre kan den gi anbefalinger som følge av avdekkede forhold. Anbefalingene skal formidles til de nasjonale tilsynsmyndighetene, som igjen skal videreformidle avdekkede risikoer hos den kritiske IKT-tjenesteleverandøren til relevante foretak og påse at foretakene hensyntar risikoen i sitt rammeverk for risikostyring.

Informasjonsdeling

DORA regulerer ordninger for informasjonsutveksling, både mellom foretak og mellom myndigheter. I tillegg legges det til rette for samarbeid mellom myndigheter og EU-organer.

Gjeldende rett

IKT i finanssektoren er i dag regulert gjennom IKT-forskriften. I tillegg har Norge forpliktet seg til å følge de europeiske tilsynsmyndighetenes retningslinjer som er relevante for IKT-området. IKT-forskriften regulerer krav til organisering, risikoanalyser, kvalitetsmål for de enkelte delene av IKT-virksomheten, sikkerhet, utvikling og anskaffelse, systemvedlikehold, drift, avviks- og endringshåndtering, driftsavbrudd og kriseberedskap, utkontraktering samt dokumentasjon på foretakets IKT-virksomhet. Reglene i IKT-forskriften er overordnede, mens de europeiske retningslinjene inneholder mer detaljerte anbefalinger. Det bemerkes at verdipapirsentraler ikke er omfattet av IKT-forskriften, men er regulert gjennom verdipapirsentralforskriften.

Melding om utkontraktert virksomhet reguleres i finanstilsynsloven § 4 c og meldepliktforskriften. I tillegg skal foretak omfattet av finanstilsynsloven § 1 ha en oppdatert oversikt over alle avtaler om utkontraktering av virksomhet, jf. meldepliktforskriften § 1. Meldeplikten gjelder kun for avtaler som foretaket har vurdert som kritiske eller viktige. Meldinger som gjelder utkontraktering av IKT-virksomhet, skal i tillegg til generelle opplysninger inneholde utkontrakteringsavtalen med vedlegg, styremøteprotokoll som viser at avtalen er behandlet i styret, og risikovurdering av utkontrakteringen.

For hendelsesrapportering og utkontraktering er det utarbeidet egne rundskriv (Se under regelverk.).

Forholdet til NIS2-direktivet

DORA inneholder henvisninger til NIS2-direktivet (EU) 2022/2555, som omhandler cybersikkerhet. Direktivet omfatter nødvendige og viktige kredittinstitusjoner, handelsplasser og sentrale motparter. Det skal utpekes foretak som omfattes av direktivet etter nærmere kriterier. Direktivet stiller krav til at foretakene blant annet skal gjøre risikovurderinger og rapportere hendelser til nasjonal(e) myndighet(er). Sektorspesifikke regler skal ifølge direktivet ha forrang foran NIS2. Ifølge DORA artikkel 1 nr. 3 skal DORA anses som et sektorspesifikt regelverk i forhold til NIS2.

NIS2 erstatter NIS-direktivet (EU) 2016/1148. NIS1 ble først tatt inn i EØS-avtalen i 2023. Stortinget har vedtatt at direktivet skal gjennomføres ved digitalsikkerhetsloven. Loven er imidlertid ikke trådt i kraft.

Implementering av DORA i Norge

DORA er et EU-regelverk. EU-regelverk implementeres i Norge gjennom EØS-avtalen. Siden DORA er en forordning, kan ikke Norge gjøre tilpasninger i regelverket, ut over det som følger av nasjonale valg i forordningen og EØS-avtalen.

Finansdepartementet sendte 23. januar på høring høringsnotat om behovet for endringer i norsk rett for å gjennomføre de forventede EØS-forpliktelsene som svarer til DORA. Det er foreslått at forordningen implementeres ved lov om digital motstandsdyktighet i finanssektoren. Høringsfristen var 3. april 2024.

• Høring – nye regler om digital operasjonell motstandsdyktighet i finanssektoren (DORA)

Norge kan velge å implementere DORA før innlemmelse i EØS-avtalen. For foretakene vil en samtidig ikrafttredelse som EU være hensiktsmessig, spesielt for foretak med grensekryssende virksomhet. Ikrafttredelsesdato i Norge er imidlertid ikke avklart.

• Informasjon om den norske lovprosessen
• Informasjon om gjennomføring av EØS-regelverk

Oversikt over nivå 2-regelverk vedtatt i EU