Den 19. juni ga Finansdepartementet Finanstilsynet i oppdrag å utrede norsk gjennomføring av DORA – de nye felleseuropeiske reglene om digital operasjonell motstandsdyktighet i finanssektoren. Nå er forslaget sendt på høring.
Reglene består av forordning (EU) 2022/2554 (DORA) og et tilhørende endringsdirektiv (EU) 2022/2556. Frist for utredningen var satt til 28. september 2023.
Nå har Finansdepartementet sendt Finanstilsynets forslag på høring. Departementet viser til at norske finansmarkedsaktører lenge har vært underlagt regelverk og tilsyn som skal sikre høy grad av IKT-sikkerhet, men at DORA vil gi mer omfattende og detaljerte krav til sikkerhet og beredskap, herunder ved bruk av underleverandører. Regelverket legger også opp til mer omfattende samarbeid og tilsyn på tvers av landegrensene.
Styrking av krav
DORA innebærer en harmonisering og styrking av kravene til sikkerhet i nettverks- og informasjonssystemer som understøtter virksomhet i finansforetak. Formålet er å øke tilliten til det finansielle systemet, opprettholde stabilitet og unngå store kostnader for økonomien ved å minimere konsekvenser og kostnader ved IKT-forstyrrelser. Departementet anser gjennomføringen for å fremme robusthet, finansiell stabilitet, trygghet for kundene og ivaretakelse av kritiske samfunnsfunksjoner. Samtidig anses innføringen av felleseuropeiske krav å ha betydning for internasjonale markeders tillit til norske foretaks risikostyring og norske myndigheters oppfølging av finanssektoren.
Departementet beskriver også et integrert finansmarkedet i Norden og Europa, med en finansiell infrastruktur og et IKT-leverandørmarked preget av internasjonalisering og konsolidering. Slik integrering skaper risiko for at uønskede IKT-hendelser i ett foretak eller én sektor raskt smitter over mellom foretak, sektorer og land. DORA anses i denne sammenheng for å være et viktig tiltak for å styrke sikkerheten og samarbeidet i det norske, felleseuropeiske og internasjonale finansmarkedet.
Implementeres gjennom ny lov
Finanstilsynet foreslår at DORA implementeres gjennom en ny lov om digital operasjonell motstandsdyktighet i finanssektoren, hvor forordningen inkluderes gjennom henvisning i lovens § 1. I tilfeller der forordningen gjør unntak eller unnlater enkelte foretak, foreslår Finansdepartementet å innta hjemmel i § 2 til å fastsette at disse, helt eller delvis, likevel skal omfattes av kravene i norsk rett. Finanstilsynet foreslås som tilsynsmyndighet i § 3, med hjemmel til å ilegge overtredelsesgebyr etter loven § 4.
Det foreslås også visse konsekvenstilpasninger i verdipapirhandelloven, verdipapirfondloven, AIF-loven, kredittvurderingsbyråloven, lov om fastsettelse av finansielle referanseverdier og verdipapirsentralloven, for å sørge for at det i bestemmelser om forsvarlig organisering og drift av virksomheten tas inn henvisning til IKT-risikostyring og kravene som vil gjelde etter DORA, samt konsekvente krav og begrepsbruk etter forordningen. I finansforetaksloven foreslås det også endringer for å reflektere krav til nettverks- og informasjonssystemer, samt at det i loven § 20-6 a om vesentlige hindringer for krisehåndtering er gitt ytterligere grunnlag for å ilegge pålegg om å kreve at strukturen til foretaket eller konsernet forenkles for å sikre at kritiske funksjoner kan skilles ut juridisk og operasjonelt fra øvrig virksomhet for å sikre kontinuitet og digital operasjonell motstandsdyktighet.
I tillegg foreslås det utkast til forskrift om endring i finansforetaksforskriften og forskrift om pensjonsforetak. For øvrig vil DORAs endringer i det reviderte betalingstjenestedirektivet og tjenestepensjonsdirektivet kreve tilsvarende tilpasninger i finansforetaksforskriften og forskrift om pensjonsforetak.
I høringsnotatet legges det til grunn dagens IKT-forskrift i stor grad bygger på felleseuropeiske retningslinjer som også gjenspeiles i DORA. Forordningen pålegger imidlertid vesentlig mer omfattende og detaljert regler enn dagens forskrift. Departementet legger likevel til grunn at DORA gir rom for nasjonale regler for foretak unntatt eller unnlatt fra forordningen, men at forskriften bør gjennomgås for å sikre konsistens med forordningen på dette området. Hjemmel til å underlegge også disse foretakene de implementerte reglene foreslås som nevnt i loven § 2.
Konsekvenser av gjennomføringen
Om konsekvenser for foretakene legger tilsynet til grunn at gjennomføringen vil innebære at kravene til foretakene i finanssektoren styrkes, selv om dagens norske regelverk og tilsynsmessige oppfølging bygger på de samme prinsippene som de nye kravene. Forordningen stiller omfattende krav til foretakets risikostyring og utkontraktering av IKT-tjenester.
For IKT-leverandører som leverer IKT-tjenester til foretak i finanssektoren, vil gjennomføringen medføre at de må forholde seg til de mer omfattende kravene som stilles til foretakenes bruk av IKT-leverandører, under felleseuropeisk overvåkning og tilsyn.
Forordningen antas å øke tryggheten og tilliten for kunder og norsk økonomi. For myndighetene innebærer implementeringen enkelte nye tilsynsoppgaver for Finanstilsynet, med behov for økt ressursbruk.
Utvikling
Forordningen er foreløpig ikke inntatt i EØS-avtalen, men Finansdepartementet vil i 2024 jobbe med EU og EØS-/EFTA-statene for innlemmelse og nødvendige EØS-tilpasninger. Det må blant annet gjøres tilpasninger i ESAs kompetanse til å fatte bindende avgjørelser, som i EU fattes av felleseuropeiske tilsynsmyndigheter.
Høringsfristen er satt til 3. april 2024.
