2 Lov om digital operasjonell motstandsdyktighet i finanssektoren (DORA-loven)

2.1 Innledning

Finanssektoren er i stor grad avhengig av digitale løsninger, og benytter seg i økende grad av tredjepartsleverandører for IKT-tjenester og -utstyr. Kompleksiteten i tjenesteproduksjonen og kontraktsforholdene med IKT-leverandørene har økt betydelig over mange år. I tillegg opererer mange finansielle foretak i flere land, samtidig som markedet for IKT-tjenester til finanssektoren er preget av internasjonalisering og konsolidering. Den norske finanssektoren er blant de mest digitaliserte i verden, og tett integrert med finansmarkedene i Norden og Europa. Digitaliseringen gir store fordeler både for foretakene, kundene og samfunnet ellers, men innebærer også risikoer og sårbarheter. Alvorlig svikt i IKT-systemer kan i verste fall true den finansielle stabiliteten og påvirke samfunnssikkerheten, enten svikten forårsakes av operasjonelle avvik, vinningskriminalitet eller målrettede angrep.

Foretakene i den norske finanssektoren har i mange år vært underlagt regelverk og tilsyn som skal bidra til en høy grad av IKT-sikkerhet, enten foretakene drifter løsningene selv eller har utkontraktert dette til IKT-leverandører. Særlig stiller IKT-forskriften fra 2003 omfattende krav til foretakenes risikostyring, hendelseshåndtering og bruk av IKT-leverandører.

Forordning (EU) 2022/2554 om digital operasjonell motstandsdyktighet i finanssektoren ble vedtatt i EU 14. desember 2022. Samtidig ble direktiv (EU) 2022/2556 vedtatt for å gjøre nødvendige tilpasninger i ulike direktiver på finansmarkedsområdet. Rettsaktene omtales samlet som DORA («Digital Operational Resilience Act»), og ble tatt inn i EØS-avtalen 20. februar 2025 ved EØS-komiteens beslutning nr. 40/2025, med forbehold om Stortingets samtykke, jf. Grunnloven § 26 annet ledd. Departementet foreslår i denne proposisjonen at DORA-rettsaktene gjennomføres i norsk rett, og at Stortinget gir sitt samtykke til innlemmelse av dem i EØS-avtalen.

DORA-regelverket innebærer harmonisering av krav til sikkerheten i nettverks- og informasjonssystemer som understøtter virksomheten i finansielle foretak i Europa. Gjennomføring av regelverket i norsk rett vil gjøre at kravene til foretakene i den norske finanssektoren styrkes, selv om dagens norske regelverk og tilsynsmessige oppfølging bygger på de samme prinsippene som de nye kravene.

2.2 Bakgrunn for forslaget

2.2.1 Forordning (EU) 2022/2554 (DORA-forordningen)

Forordning (EU) 2022/2554 om digital operasjonell motstandsdyktighet i finanssektoren (DORA-forordningen) ble vedtatt i EU 14. desember 2022 sammen med det tilhørende endringsdirektivet (EU) 2022/2556. DORA-forordningen inneholder omfattende krav til foretakenes IKT-risikostyring, håndtering og rapportering av IKT-hendelser, testing av den digitale motstandsdyktigheten, bruk av IKT-leverandører og informasjonsdeling. DORA-forordningen etablerer også et rammeverk for myndighetsovervåking på europeisk nivå av kritiske IKT-leverandører og legger til rette for tettere samarbeid på tvers av land og myndigheter. Regelverket har få nasjonale valg, og skal dessuten utfylles med felles tekniske standarder på en rekke områder. Forordningen ble gitt anvendelse i EU 17. januar 2025.

2.2.2 Direktiv (EU) 2022/2556 (DORA-direktivet)

Direktiv (EU) 2022/2556 (DORA-direktivet) ble vedtatt i EU 14. desember 2022 sammen med DORA-forordningen og endrer en rekke direktiver på finansmarkedsområdet. Endringene innebærer i hovedsak at det i bestemmelser om forsvarlig organisering og drift av virksomheten tas inn henvisninger til IKT-risikostyring og kravene som vil gjelde etter DORA-forordningen, i tillegg til endringer for å sikre konsistens med kravene og begrepsbruken i forordningen. DORA-direktivet endrer direktiv 2009/65/EF (direktivet om kollektive investeringsfond, UCITS), direktiv 2009/138/EF (forsikringsdirektivet, Solvens II), direktiv 2011/61/EU (direktivet om forvaltning av alternative investeringsfond, AIFMD), direktiv (EU) 2013/36 (kapitalkravsdirektivet, CRD), direktiv (EU) 2014/59 (krisehåndteringsdirektivet, BRRD), direktiv (EU) 2014/65 (verdipapirmarkedsdirektivet, MiFID II), direktiv (EU) 2015/2366 (betalingstjenestedirektivet, PSD II) og direktiv (EU) 2016/2341 (tjenestepensjonsdirektivet, IORP).

2.2.3 Høring

På oppdrag fra Finansdepartementet utredet Finanstilsynet i 2023 behovet for endringer i norsk rett for å gjennomføre de forventede EØS-forpliktelsene som svarer til DORA-regelverket. Departementet utarbeidet så et høringsnotat på grunnlag av Finanstilsynets utredning og andre kilder. Departementet sendte 23. januar 2024 notatet på høring med frist 3. april 2024. Høringsnotatet ble sendt til følgende instanser:

• Alle departementene

• Akademikerne

• Aksjonærforeningen i Norge

• Arbeids- og velferdsdirektoratet

• Arbeidsgiverforeningen Spekter

• Bankenes sikringsfond

• Brønnøysundregistrene

• Datatilsynet

• Deloitte AS

• Den norske advokatforening

• Den Norske Aktuarforening

• Den norske Revisorforening

• Direktoratet for forvaltning og økonomistyring

• Econa

• Eiendom Norge

• EVRY

• Finans Norge

• Finansforbundet

• Finansieringsselskapenes forening

• Folketrygdfondet

• Forbrukerrådet

• Forbrukertilsynet

• Forening for Finansfag Norge

• Handelshøgskolen ved Nord universitet

• Handelshøyskolen BI

• Havtrygd Gjensidig Forsikring

• Hovedorganisasjonen for universitets- og høyskoleutdannede

• Hovedorganisasjonen Virke

• Huseiernes landsforbund

• Høgskulen på Vestlandet

• Kommunalbanken AS

• Konkurransetilsynet

• Kpmg AS

• KS

• Landsorganisasjonen i Norge

• Likestillings- og diskrimineringsombudet

• Nasdaq OMX Oslo ASA

• Nordic Trustee

• Norges Bank

• Norges eiendomsmeglerforbund

• Norges handelshøyskole

• Norges ingeniør- og teknologorganisasjon

• Norges Juristforbund

• Norges Kommunerevisorforbund

• Norges Rederiforbund

• Norsk Crowdfunding Forening

• Norsk Kapitalforvalterforening

• Norsk Venturekapitalforening

• Norsk Økrimforening

• Norske Boligbyggelags Landsforbund SA

• Norske Finansanalytikeres Forening

• Norske Forsikringsmegleres Forening

• Næringslivets Hovedorganisasjon

• Oslo Børs ASA

• Pensjonskasseforeningen

• Regelrådet

• Regjeringsadvokaten

• Regnskap Norge

• Riksadvokaten

• Riksrevisjonen

• Sivilombudet

• Skattebetalerforeningen

• Skattedirektoratet

• Skatterevisorenes Forening

• SMB Norge

• Sparebankforeningen i Norge

• Statens pensjonskasse

• Statistisk sentralbyrå

• Stiftelsesforeningen

• Storebrand ASA

• The Nordic Association of Marine Insurers (CEFOR)

• Tietoevry Norge

• Tilsynsrådet for advokatvirksomhet

• Universitetet i Agder

• Universitetet i Bergen

• Universitetet i Oslo

• Universitetet i Sørøst-Norge

• Universitetet i Tromsø – Norges arktiske universitet

• Verdipapirfondenes forening

• Verdipapirforetakenes Forbund

• Verdipapirsentralen ASA

• Yrkesorganisasjonenes Sentralforbund

• ØKOKRIM

• Økonomiforbundet

Følgende høringsinstanser har gitt merknader:

• Advokatforeningen

• Finansforbundet

• Finans Norge

• NHO

• Nordic Financial CERT

• Norges Bank

• Oslo Børs ASA

• Pensjonskasseforeningen

• Regelrådet

• Verdipapirfondenes forening

• Verdipapirforetakenes Forbund

Følgende instanser har skrevet at de ikke vil inngi høringsuttalelse, eller at de ikke har merknader til forslaget:

• Arbeids- og velferdsdirektoratet

• Brønnøysundregistrene

• Den Norske Aktuarforening

• Forsvarsdepartementet

• Justis- og beredskapsdepartementet

• Landbruks- og matdepartementet

• Statistisk sentralbyrå

2.3 Gjeldende rett

2.3.1 Innledning

Foretakene i den norske finanssektoren har i mange år vært underlagt regelverk og tilsyn som skal bidra til en høy grad av IKT-sikkerhet, enten foretakene drifter løsningene selv eller har utkontraktert dette til IKT-leverandører. Nedenfor gis en oversikt over relevante bestemmelser i lov- og forskriftsverket for finansforetak, betalingssystemer og på verdipapirområdet, samt de mer detaljerte kravene etter IKT-forskriften.

2.3.2 Finansforetak og betalingssystemer

Etter lov 10. april 2015 nr. 17 om finansforetak og finanskonsern (finansforetaksloven) § 13-5 skal et finansforetak organiseres og drives på en forsvarlig måte, ha en klar organisasjonsstruktur og ansvarsfordeling, samt klare og hensiktsmessige styrings- og kontrollordninger. Foretaket skal ha hensiktsmessige retningslinjer og rutiner for å identifisere, styre, overvåke og rapportere risiko foretaket er, eller kan bli, eksponert for, samt uavhengige kontrollfunksjoner med ansvar for internrevisjon, risikostyring og etterlevelse av regelverk. Foretakets styrings- og kontrollordninger samt retningslinjer og rutiner skal være tilpasset risikoen ved og omfanget av virksomheten i foretaket. Departementet har gitt utfyllende regler i forskrift.

Betalingssystemer er systemer for overføring av midler med formelle og standardiserte ordninger og felles regler for behandling, avregning eller oppgjør av betalingstransaksjoner, jf. lov 17. desember 1999 nr. 95 om betalingssystemer m.v. (betalingssystemloven) § 1-1 første ledd. Systemer for betalingstjenester er i § 1-1 tredje ledd definert som systemer basert på standardvilkår for overføring av penger fra eller mellom kundekonti i banker mv. når overføringene bygger på bruk av betalingskort, tallkoder eller annen form for selvstendig brukerlegitimasjon utstedt til en ubestemt krets. Loven skal bl.a. bidra til at systemer for betalingstjenester innrettes og drives slik at hensynet til sikker og effektiv betaling og til rasjonell og samordnet utførelse av betalingstjenester ivaretas, jf. § 3-1. Systemer for betalingstjenester skal etter § 3-3 første ledd innrettes og drives i samsvar med formålet i § 3-1, og Finanstilsynet kan gi nærmere regler om standardisering av avtaler, vilkår, tekniske forhold mv. for systemer for betalingstjenester.

Forskrift 22. august 2014 nr. 1097 om kapitalkrav og gjennomføring av CRR/CRD-regelverket (CRR/CRD-forskriften) del X har nærmere regler om risikostyring og internkontroll for bl.a. banker, kredittforetak og finansieringsforetak, samt verdipapirforetak og visse forvaltningsselskaper. Forskrift 9. desember 2016 nr. 1503 om pensjonsforetak § 22 gir nærmere regler om risikostyring og internkontroll for pensjonsforetak. Forskrift 9. desember 2016 nr. 1502 om finansforetak og finanskonsern (finansforetaksforskriften) § 3-2 gir tilleggskrav til søknad om tillatelse som betalingsforetak og e-pengeforetak, herunder om IKT-drift og beredskap. Forskrift 15. februar 2019 nr. 152 om systemer for betalingstjenester er fastsatt i medhold av finansforetaksloven og betalingssystemloven, og gir nærmere regler bl.a. om risikovurdering og krav til sikker ytelse.

2.3.3 Verdipapirområdet

Etter lov 29. juni 2007 nr. 75 om verdipapirhandel (verdipapirhandelloven) § 9-16 er det bl.a. krav om at verdipapirforetak skal treffe tiltak som skal sikre kontinuitet og regelmessighet i investeringstjenestevirksomheten, og tiltak som begrenser operasjonell risiko til et minimum når verdipapirforetak benytter seg av en tredjepart til å utføre operasjonelle funksjoner. Det stilles videre krav om at verdipapirforetaket skal ha effektive kontroll- og sikkerhetsordninger for informasjonsbehandlingssystemer, gode administrasjons- og regnskapsrutiner og tilfredsstillende interne kontrollordninger. Etter § 11-11 skal markedsoperatører for regulerte markeder etablere og gjennomføre internkontroll i samsvar med relevant regelverk og retningslinjer, og etter § 11-18 ha interne regler og tiltak som bl.a. sikrer identifisering og håndtering av vesentlige risikoer som virksomheten utsettes for, og at markedet har systemer for en forsvarlig drift av det tekniske systemet, herunder effektive ordninger i tilfelle teknisk avbrudd. Etter § 11-19 skal et regulert marked bl.a. ha effektive systemer, prosedyrer og ordninger som sikrer at handelssystemet er robust, samt beredskapsplaner og systemer som sikrer kontinuerlig drift ved svikt i handelssystemet. Departementet kan i forskrift gi utfyllende regler til de ulike bestemmelsene.

Etter lov 25. november 2011 nr. 44 om verdipapirfond (verdipapirfondloven) § 2-11 skal forvaltningsselskap for verdipapirfond innrette sin virksomhet slik at det bl.a. har gode administrasjons- og regnskapsrutiner og kontroll- og sikkerhetsordninger. Tilsvarende gjelder for forvaltere av alternative investeringsfond etter lov 20. juni 2014 nr. 28 om forvaltning av alternative investeringsfond § 3-1. Departementet kan i forskrift gi utfyllende regler til de ulike bestemmelsene.

I tillegg til det ovennevnte er det regler om håndtering av operasjonell risiko mv. i kredittvurderingsbyråforordningen (CRA), forordningen om OTC-derivater, sentrale motparter og transaksjonsregistre (EMIR), verdipapirsentralforordningen (CSDR), verdipapirmarkedsforordningen (MiFIR) og referanseverdiforordningen (BMR), som er gjennomført i henholdsvis lov 20. juni 2014 nr. 30 om kredittvurderingsbyråer § 1, verdipapirhandelloven § 17-1, lov 15. mars 2019 nr. 6 om verdipapirsentraler og verdipapiroppgjør mv. (verdipapirsentralloven) § 1-1, verdipapirhandelloven § 8-1 og lov 4. desember 2015 nr. 95 om fastsettelse av finansielle referanseverdier (referanseverdiloven) § 1.

Forskrift 22. september 2008 nr. 1080 om risikostyring og internkontroll gir nærmere regler om risikostyring og internkontroll for regulerte markeder, verdipapirforetak, forvaltningsselskaper for verdipapirfond, betalingsforetak og opplysningsfullmektiger, e-pengeforetak, forsikringsformidlingsvirksomhet, eiendomsmeglingsforetak, inkassoforetak, regnskapsforetak, gjeldsinformasjonsforetak, låneformidlingsvirksomhet (unntatt aksessorisk låneformidling) og revisjonsforetak.

2.3.4 Finanstilsynsloven

Etter lov 7. desember 1956 nr. 1 om tilsynet med finansforetak mv. (finanstilsynsloven) § 4 kan Finanstilsynet gi visse pålegg og bestemmelser som skal gjelde for foretak under tilsyn, bl.a. knyttet til innretningen av internkontrollen. Etter § 4 c første ledd skal foretakene melde fra til Finanstilsynet ved inngåelse av avtale om utkontraktering av virksomhet, ved senere endring av slik avtale og ved bytte av oppdragstaker. Meldingen skal gis minst 60 dager før iverksettelsen av avtalen, avtaleendringen eller byttet av oppdragstaker. Finanstilsynet kan etter § 4 c annet ledd sette vilkår for utkontrakteringen eller gi foretaket pålegg om ikke å iverksette eller om å avslutte oppdraget, dersom tilsynet finner at utkontraktering skjer i et omfang eller på en måte som ikke kan anses som forsvarlig, vanskeliggjør tilsynet med den utkontrakterte virksomhet eller med foretakets samlede virksomhet, eller er i strid med bestemmelser gitt i eller i medhold av lov. Det følger av § 4 c tredje ledd at Finanstilsynet kan ved forskrift eller enkeltvedtak fastsette krav til melding etter første ledd og kan gjøre unntak fra meldeplikten. I forskrift 15. september 2021 nr. 2777 om meldeplikt ved utkontraktering av virksomhet mv. er det bl.a. angitt at meldeplikten gjelder avtaler om utkontraktering av virksomhet som er kritisk eller viktig for foretaket, og at meldeplikten ikke gjelder for forvaltere for verdipapirfond og alternative investeringsfond, regnskapsførerforetak, revisjonsforetak, eiendomsmeglingsforetak, advokater som driver eiendomsmegling, inkassoforetak, låneformidlere og forsikringsformidlere.

Lov 21. juni 2024 nr. 41 om Finanstilsynet (den nye finanstilsynsloven) har ennå ikke blitt satt i kraft, men det tas sikte på ikrafttredelse våren 2025. Loven vil da erstatte gjeldende finanstilsynslov. Den nye loven viderefører i hovedsak gjeldende finanstilsynslov §§ 4 og 4 c, herunder i den nye lovens § 4-6 om utkontraktering.

2.3.5 IKT-forskriften

2.3.5.1 Virkeområde

Forskrift 21. mai 2003 nr. 630 om bruk av informasjons- og kommunikasjonsteknologi (IKT) (IKT-forskriften) er fastsatt av Finanstilsynet i medhold av betalingssystemloven § 3-3, finanstilsynsloven § 4 og verdipapirhandelloven § 11-11 (tidligere børsloven § 11). IKT-forskriften gjelder etter § 1 første ledd for norske:

1. banker,

2. kredittforetak,

3. finansieringsforetak,

4. forsikringsforetak,

5. private, kommunale og fylkeskommunale pensjonskasser og pensjonsfond,

6. børser og autoriserte markedsplasser,

7. verdipapirforetak,

8. forvaltningsselskaper for verdipapirfond,

9. inkassoforetak,

10. eiendomsmeglerforetak,

11. betalingsforetak og opplysningsfullmektiger,

12. e-pengeforetak, og

13. systemer for betalingstjenester.

Etter § 1 annet ledd omfatter forskriften IKT-systemer som er av betydning for foretakets virksomhet, og for eksterne brukere av foretakets IKT-systemer skal det foreligge avtaler som sikrer at forskriftens krav til sikkerhet og dokumentasjon ivaretas.

Etter forskrift 31. oktober 2017 nr. 1691 om virksomhet etter gjeldsinformasjonsloven (gjeldsinformasjonsforskriften) § 8 gjelder IKT-forskriften tilsvarende for gjeldsinformasjonsforetak og kredittopplysningsforetak.

2.3.5.2 Risikostyring

IKT-forskriften § 2 gjelder planlegging og organisering av IKT-virksomheten. Det skal fastsettes overordnede mål, strategier og sikkerhetskrav, og foreligge beskrivelse av den enkelte prosess og hvordan ansvaret for administrasjon, anskaffelse, utvikling, drift, systemvedlikehold, sikring av informasjon og avvikling utføres på en betryggende måte. For de ulike delene av IKT-virksomheten skal det oppnevnes ansvarlige funksjoner eller stillinger. Det er også regler om utkontraktering, se punkt 2.3.5.4.

Etter forskriften § 3 skal foretaket fastsette kriterier for akseptabel risiko og ha en dokumentert prosess for risikoanalyser av IKT-virksomheten. Foretaket skal minst årlig gjennomføre risikoanalyser for å påse at risiko styres innenfor akseptable grenser. Etter § 4 skal foretaket fastsette kvalitetsmål for de enkelte deler av IKT-virksomheten og ha dokumenterte prosedyrer for oppfølging av målene. Etter § 5 skal foretaket ha prosedyrer for beskyttelse av utstyr, systemer og informasjon mot skader, misbruk, uautorisert adgang og endring, samt hærverk. Prosedyrene skal omfatte tildeling, endring, sletting og kontroll med autorisasjon for tilgang til systemene.

Foretaket skal etter forskriften § 6 ha prosedyrer for anskaffelse, utvikling, videreutvikling og testing av IKT-systemer, og skal etter § 7 sikre at systemene vedlikeholdes og forvaltes på en måte som gir en stabil, planlagt og forutsigbar drift. Driften skal etter § 8 være basert på dokumenterte prosedyrer som sikrer fullstendig, rettidig og korrekt behandling og oppbevaring av data, samt en tilgjengelighet i tråd med foretakets dokumenterte krav. Det skal gjennomføres regelmessige analyser og tiltak for å motvirke avvik, og foretaket skal teste og dokumentere at driften fungerer i henhold til foretakets dokumenterte krav.

Etter forskriften § 11 skal foretaket ha en dokumentert kriseplan som skal iverksettes dersom IKT-driften ikke kan opprettholdes som følge av en krise. Med krise menes hendelser som forårsaker driftsavbrudd slik at foretakets IKT-drift ikke kan fortsette med normalt tilgjengelige ressurser. Kriseplanen skal bl.a. omfatte beskrivelse og kriterier for oppstart av en kriseløsning, prosedyrer for å gjenopprette IKT-driften og informasjon til ansatte, leverandører, kunder, myndigheter og media. Det skal minst én gang årlig gjennomføres opplæring, øvelse og testing av at kriseløsningen virker som forutsatt, og resultatet av testen skal dokumenteres.

Etter forskriften § 13 skal det foreligge en samlet oppdatert oversikt over organisasjon, utstyr, IKT-systemer og vesentlige forhold i IKT-virksomheten. Det skal foreligge oppdatert dokumentasjon av det enkelte IKT-system som er av betydning for foretakets virksomhet og som dokumenterer at forskriftens krav er oppfylt til enhver tid.

2.3.5.3 Hendelseshåndtering

Etter IKT-forskriften § 9 skal foretaket ha prosedyrer for avviks- og endringshåndtering og sikre at disse følges. Prosedyrene for avvikshåndtering skal etter annet ledd omfatte alle avvik som oppstår i driften av IKT-systemene, og ha som formål å gjenopprette normal tilstand. De skal også inneholde retningslinjer for eskalering. Avviksbehandlingen skal identifisere årsak, hindre gjentagelser og sikre forsvarlig og formell behandling og dokumentering av avviket. Prosedyrene for endringshåndtering skal etter fjerde ledd omfatte alle endringer som kan påvirke IKT-systemene, og skal sikre forsvarlig, formell behandling og dokumentering av endringene. Foretaket skal sikre at prosedyrene for endringshåndtering gir en stabil, planlagt og forutsigbar drift.

Operasjonelle hendelser eller sikkerhetshendelser som medfører vesentlig reduksjon i funksjonalitet som følge av brudd på konfidensialitet (beskyttelse av data), integritet (sikring mot uautoriserte endringer) eller tilgjengelighet til IKT-systemer og/eller data, skal etter § 9 tredje ledd uten ugrunnet opphold rapporteres til Finanstilsynet. Rapporteringen skal normalt omfatte hendelser som foretaket kategoriserer som svært alvorlig eller kritisk, men kan også omfatte andre avvik dersom disse avdekker spesielle sårbarheter i applikasjon, arkitektur, infrastruktur eller forsvarsverk. Eiendomsmeglingsforetak omfattes ikke av kravet til hendelsesrapportering.

2.3.5.4 IKT-leverandører

Etter IKT-forskriften § 12 har foretaket ansvar for at IKT-virksomheten oppfyller alle krav i forskriften, også når hele eller deler av IKT-virksomheten er utkontraktert, og det skal i tilfelle foreligge en skriftlig avtale som sikrer dette. Avtalen må sikre at foretak under tilsyn også gis rett til å kontrollere, herunder revidere, de av leverandørens aktiviteter som er knyttet til avtalen. Avtalen skal også sikre håndtering av taushetsbelagt informasjon. Avtalen skal videre sikre at Finanstilsynet gis tilgang til opplysninger fra og tilsyn hos IKT-leverandøren, der Finanstilsynet finner det nødvendig som et ledd i tilsynet med foretaket. Foretaket skal sikre, i egen regi eller gjennom et formalisert samarbeid med andre foretak enn IKT-leverandøren, at organisasjonen besitter tilstrekkelig kompetanse til å forvalte utkontrakteringsavtalen.

Etter § 2 fjerde ledd skal avtaler om utkontraktering av IKT-virksomhet behandles av styret, som skal forelegges planer for utkontrakteringen, med risikovurdering, og en beskrivelse av hvordan foretaket skal sikre leveransen. Foretaket skal også ha retningslinjer som skal sikre at utkontraktert IKT-virksomhet oppfyller forskriftens krav.

2.4 EØS-rett

2.4.1 Innledning

Forordning (EU) 2022/2554 om digital operasjonell motstandsdyktighet i finanssektoren ble vedtatt i EU 14. desember 2022, og skal etter artikkel 64 gjelde der fra 17. januar 2025. Samtidig med forordningen ble direktiv (EU) 2022/2556 vedtatt for å gjøre nødvendige tilpasninger i ulike direktiver på finansmarkedsområdet. Rettsaktene omtales samlet som DORA («Digital Operational Resilience Act») og ble tatt inn i EØS-avtalen 20. februar 2025 ved EØS-komiteens beslutning nr. 40/2025, med forbehold om Stortingets samtykke, jf. Grunnloven § 26 annet ledd. Innholdet i forordningen og direktivet omtales nærmere nedenfor. De EØS-tilpasningene som er gjort til innholdet i forordningen ved EØS-komiteens beslutning, bl.a. når det gjelder ordningen med hovedovervåker, er beskrevet i punkt 2.6.3.

2.4.2 Forordning (EU) 2022/2554

2.4.2.1 Formål og virkeområde

Forordning (EU) 2022/2554 kapittel I omfatter generelle bestemmelser. Formålet er etter artikkel 1 å oppnå et høyt felles nivå av digital operasjonell motstandsdyktighet gjennom like krav til sikkerheten i nettverks- og informasjonssystemer som understøtter virksomheten i finansielle foretak. Det stilles krav til foretakene, utkontrakteringsavtaler, felleseuropeisk overvåking av kritiske IKT-leverandører og tilsyn og tilsynssamarbeid. Artikkel 1 sier også at forordningen skal regnes som et sektorspesifikt regelverk med krav som minst tilsvarer de generelle kravene til sikkerhet i nettverks- og informasjonssystemer i direktiv (EU) 2022/2555 (NIS2-direktivet). Det vil si at finansielle foretak unntas fra kravene i NIS2-direktivet, som i utgangspunktet gjelder alle tilbydere av samfunnsviktige tjenester.

Kravene i forordningen skal etter artikkel 2 nr. 1 gjelde følgende foretak:

1. kredittinstitusjoner,

2. betalingsforetak, inkludert betalingsforetak som er unntatt i henhold til direktiv (EU) 2015/2366,

3. opplysningsfullmektiger,

4. e-pengeforetak, inkludert e-pengeforetak som er unntatt i henhold til direktiv 2009/110/EF,

5. verdipapirforetak,

6. tilbydere av tjenester knyttet til kryptoverdier,

7. verdipapirsentraler,

8. sentrale motparter,

9. handelsplasser,

10. transaksjonsregistre,

11. forvaltere av alternative investeringsfond,

12. forvaltningsselskaper,

13. leverandører av datarapporteringstjenester,

14. forsikrings- og gjenforsikringsforetak,

15. forsikringsformidlere, gjenforsikringsformidlere og tilknyttede forsikringsformidlere,

16. pensjonsforetak,

17. kredittvurderingsbyråer,

18. administratorer av kritiske referanseverdier,

19. tjenesteleverandører for folkefinansiering,

20. verdipapiriseringsregistre, og

21. tredjepartstilbydere av IKT-tjenester.

Med unntak av tredjepartstilbydere av IKT-tjenester, som nevnt i bokstav u, brukes samlebetegnelsen «finansielle foretak» om de som omfattes av forordningen, se artikkel 2 nr. 2. Etter artikkel 2 nr. 3 er følgende foretak unntatt fra forordningskravene:

1. forvaltere av alternative investeringsfond som nevnt i direktiv 2011/61/EU artikkel 3 nr. 2,

2. forsikrings- og gjenforsikringsforetak som nevnt i direktiv 2009/138/EF artikkel 4,

3. pensjonsforetak som forvalter ordninger som til sammen ikke har flere enn 15 medlemmer,

4. fysiske og juridiske personer som er unntatt i henhold til direktiv 2014/65/EU artikkel 2 og 3,

5. forsikringsformidlere, gjenforsikringsformidlere og tilknyttede forsikringsformidlere som er mikroforetak eller små eller mellomstore foretak, og

6. postgiroinstitusjoner som nevnt i direktiv 2013/36/EU artikkel 2 nr. 5 (3).

Medlemsstatene kan dessuten etter artikkel 2 nr. 4 unnta foretak som nevnt i direktiv 2013/36/EU artikkel 2 nr. 5 punkt 4 til 23 (navngitte enkeltforetak).

Forordningen artikkel 3 inneholder definisjoner.

Etter forordningen artikkel 4 skal foretakene gjennomføre forordningsreglene om risikostyring i samsvar med proporsjonalitetsprinsippet, og da ta hensyn til foretakets størrelse og samlede risikoprofil, samt virksomhetens type, omfang og kompleksitet. Anvendelsen av øvrige forordningsregler skal dessuten stå i et rimelig forhold til foretakets størrelse og samlede risikoprofil, samt virksomhetens type, omfang og kompleksitet, i tråd med spesifikke bestemmelser om dette i de ulike delene av forordningen. Tilsynsmyndigheten skal ta hensyn til proporsjonalitet i oppfølgingen av foretakene.

2.4.2.2 Risikostyring

Forordningen kapittel II inneholder krav til risikostyring. Etter artikkel 5 nr. 1 skal foretakene ha et overordnet rammeverk for styring og kontroll som sikrer en effektiv og forsvarlig styring av IKT-risiko for å oppnå et høyt nivå av digital operasjonell motstandsdyktighet. Rammeverket for IKT-risikostyringen skal etter nr. 2 fastsettes, godkjennes og overvåkes av foretakets ledelsesorgan. Ledelsesorganet er definert i artikkel 3 nr. 30 ved henvisninger til annet regelverk, hovedsakelig slik at det vises til organet som har ansvaret for å utarbeide foretakets strategi og overordnede mål, og overvåke ledelsens beslutninger. Dette vil i norsk sammenheng være styret. Enkelte plikter som pålegges «ledelsesorganet» etter DORA-forordningen er imidlertid av en slik art at de etter norsk rett vil falle inn under det som vanligvis er daglig leders plikter. Den nærmere grensedragningen mellom styret og daglig leder omtales i punkt 2.5.4.3. Her fremgår det at departementet mener at det ved eventuell uklarhet om hvilket selskapsorgan som skal anses som ansvarlig etter DORA-regelverket, påhviler styret i norske foretak å avklare ansvarsfordelingen mellom styret og daglig leder.

Ledelsesorganet skal bl.a. innføre retningslinjer for beskyttelse og tilgjengelighet av data, fastsette roller og ansvarsområder, fastsette en overordnet strategi og nivå for risikotoleranse, godkjenne ulike planverk, fastsette et passende budsjett og godkjenne og jevnlig revidere retningslinjer for bruk av IKT-leverandører. Ledelsesorganet skal også etablere rapporteringskanaler for å holde seg orientert om bruken av IKT-leverandører, planlagte endringer og den potensielle innvirkningen av disse på foretakets kritiske og viktige funksjoner. Med unntak av mikroforetak skal foretakene etter artikkel 5 nr. 3 også ha en funksjon for overvåking av leveranser fra IKT-leverandører, alternativt utpeke et medlem av ledelsen som skal ha ansvar for å følge opp risikoeksponering og dokumentasjon forbundet med leveransen. Medlemmene av ledelsesorganet skal dessuten etter nr. 4 holde seg oppdatert med tilstrekkelig kunnskap og ferdigheter for å kunne forstå og vurdere IKT-risikoen og dens betydning for virksomheten, herunder gjennom jevnlig deltakelse på kurs.

Artikkel 6 stiller nærmere krav til rammeverket for IKT-risikostyringen, som skal sette foretaket i stand til å håndtere IKT-risiko raskt, effektivt og helhetlig. Det stilles bl.a. krav til strategier, retningslinjer og prosedyrer foretakene skal ha for forskjellige deler av IKT-virksomheten, hvor ofte rammeverket skal gjennomgås og krav til internrevisjon. Artikkel 7 stiller krav til IKT-systemer og verktøy foretaket skal bruke for å håndtere risiko, bl.a. at de skal være tilpasset virksomheten, være pålitelige og ha tilstrekkelig kapasitet. Artikkel 8 gir regler om hvordan foretaket skal identifisere, klassifisere og dokumentere IKT-relaterte funksjoner og avhengigheter, og løpende identifisere alle kilder til IKT-risiko. Etter artikkel 9 skal foretaket løpende overvåke sikkerheten og virkemåten til IKT-systemene, og ha på plass passende sikkerhetsverktøy, retningslinjer og prosedyrer for å beskytte systemene og kunne respondere med nødvendige tiltak. Etter artikkel 10 skal foretaket ha mekanismer for raskt å oppdage unormal aktivitet, herunder ytelsesproblemer og IKT-hendelser, samt avdekke vesentlige kritiske punkter («single points of failure»).

Etter artikkel 11 skal foretaket ha helhetlige retningslinjer for IKT-driftsstabilitet, og i tråd med disse ha passende og veldokumenterte ordninger, planer, prosedyrer og mekanismer. Herunder skal foretaket ha, vedlikeholde og jevnlig teste kontinuitetsplaner for IKT-virksomheten, særlig for kritiske eller viktige funksjoner som er utkontraktert til IKT-leverandører. Det skal foretas en konsekvensanalyse for virksomheten av alvorlige driftsforstyrrelser på basis av relevante data og scenarioanalyser, og denne skal ligge til grunn bl.a. for sikring av redundans i alle kritiske komponenter. Verdipapirsentraler skal oversende resultatene av kontinuitetstesting til tilsynsmyndigheten. Alle foretak (bortsett fra mikroforetak) skal på forespørsel fra tilsynsmyndigheten innrapportere et anslag på årlige kostnader og tap som følge av alvorlige IKT-hendelser.

Etter artikkel 12 skal foretaket ha retningslinjer, prosedyrer og metoder for gjenoppretting av IKT-systemer og data etter en hendelse. Gjenopprettingen skal skje med minimal nedetid og begrensede forstyrrelser og tap. Det er nærmere bestemmelser om prosedyrer for hvordan gjenoppretting skal skje og hvilke krav som stilles til løsninger, og for verdipapirsentraler stilles det bl.a. krav til minst ett sekundært datasenter som må tilfredsstille flere kriterier.

Etter artikkel 13 skal foretaket ha ressurser og ansatte for å samle informasjon om sårbarheter, cybertrusler og IKT-hendelser, og analysere hvordan de kan påvirke foretakets digitale operasjonelle motstandsdyktighet. Videre skal foretakene evaluere større IKT-hendelser ved å analysere årsaker og identifisere nødvendige forbedringer i IKT-driften eller kontinuitetsplaner, og på forespørsel fra tilsynsmyndigheten skal foretakene (bortsett fra mikroforetak) innrapportere gjennomførte endringer. Erfaringer fra tester, virkelige hendelser og andre læringspunkter skal inntas i foretakets risikovurderingsprosess, og IKT-ledelsen skal minst årlig rapportere til ledelsesorganet om funn og anbefalinger. Det er også krav om overvåking av effektiviteten til strategien for digital motstandsdyktighet, intern opplæring for ansatte og vurdering av teknologiutviklingen.

Etter artikkel 14 skal foretaket ha planer for krisekommunikasjon, med rutiner for hvordan kommunikasjonen skal foregå, både internt og eksternt.

Artikkel 15 gir hjemler for EU-kommisjonen til å fastsette tekniske standarder for å harmonisere verktøy, metoder, prosesser og retningslinjer for IKT-risikostyring.

Etter artikkel 16 gjelder ikke reglene om risikostyring i artikkel 5 til 15 for

1. små og ikke-sammenkoblede verdipapirforetak,

2. betalingsforetak som er unntatt i henhold til direktiv (EU) 2015/2366,

3. foretak som nevnt i direktiv 2013/36/EU artikkel 2 nr. 5 punkt 4 til 23 og som medlemsstatene ikke har unntatt etter forordningen artikkel 2 nr. 4,

4. e-pengeforetak som er unntatt i henhold til direktiv 2009/110/EF, og

5. små pensjonsforetak.

Disse foretakene skal isteden følge regler i artikkel 16 om et forenklet rammeverk for IKT-risikostyring.

2.4.2.3 IKT-relatert hendelseshåndtering, klassifisering og rapportering

Forordningen kapittel III inneholder krav til håndtering, klassifisering og rapportering av IKT-hendelser. Etter artikkel 17 skal foretakene etablere en prosess for å avdekke, håndtere og varsle om IKT-hendelser. Foretakene skal loggføre alle IKT-hendelser og alvorlige cybertrusler, samt ha prosedyrer for overvåkning, håndtering og oppfølging, slik at rotårsaken identifiseres, dokumenteres og håndteres for å forhindre at det gjentar seg. Det er nærmere regler om håndteringsprosessen, bl.a. om å ha tidligvarslingsindikatorer, kommunikasjonsplaner og tiltak for å dempe virkninger og sikre rask gjenoppretting. Hendelser skal klassifiseres etter nærmere kriterier i artikkel 18, bl.a. basert på antall berørte kunder mv., varighet, datatap, kritikaliteten til berørte tjenester og økonomiske konsekvenser.

Artikkel 19 nr. 1 til 5 gjelder foretakets rapportering av om hendelser. Foretaket skal etter nr. 1 rapportere til tilsynsmyndigheten om alle alvorlige IKT-hendelser, som i artikkel 3 nr. 10 er definert som hendelser med stor negativ innvirkning på nettverks- og informasjonssystemer som understøtter foretakets kritiske eller viktige funksjoner. Foretaket skal i henhold til artikkel 19 nr. 4 først gi en innledende rapport, så én eller flere foreløpige rapporter når hendelsen eller håndteringen av den endrer seg vesentlig, eller tilsynsmyndigheten ber om en oppdatering, og til slutt en endelig rapport når rotårsaksanalysen og data for faktiske virkninger foreligger. Rapportene skal inneholde alle opplysninger som er nødvendige for at tilsynsmyndigheten skal kunne vurdere betydningen av hendelsen og mulige grenseoverskridende virkninger. Når det oppstår alvorlige hendelser som påvirker kundenes finansielle interesser, skal foretaket uten unødig opphold dessuten informere kundene om hendelsen og iverksatte tiltak, jf. artikkelen nr. 3. Etter nr. 5 kan foretakene innenfor relevant EØS-regelverk og nasjonal lovgivning utkontraktere rapporteringsforpliktelsene til en tjenesteleverandør, men foretaket vil likevel være ansvarlig for etterlevelsen av forpliktelsene.

Etter artikkel 19 nr. 1 sjette ledd kan medlemsstatene fastsette at noen eller alle finansielle foretak også skal rapportere til nasjonale tilsynsmyndigheter eller responsmiljøer (CSIRT-enheter) utpekt etter NIS2-direktivet. Etter nr. 2 kan dessuten foretakene på frivillig basis innrapportere til finanstilsynsmyndigheten vesentlige cybertrusler som foretaket mener er relevante for finanssystemet, tjenestebrukere eller kunder, og medlemsstatene kan fastsette at slik rapportering også skal gå til responsmiljøer utpekt etter NIS2-direktivet.

Når finanstilsynsmyndigheten mottar rapporter om alvorlige IKT-hendelser, skal den informere relevante europeiske myndigheter, jf. artikkel 19 nr. 6, herunder den relevante felleseuropeiske finanstilsynsmyndigheten, nasjonale tilsynsmyndigheter eller responsmiljøer utpekt etter NIS2-direktivet, og ev. nasjonale krisehåndteringsmyndigheter. Myndighetene skal deretter etter nr. 7 vurdere om hendelsen er relevant for tilsynsmyndigheter i andre medlemsstater, og i tilfelle informere de aktuelle myndighetene slik at de kan treffe nødvendige tiltak for å beskytte den finansielle stabiliteten. For hendelser i verdipapirsentraler skal tilsynsmyndigheten umiddelbart informere tilsynsmyndigheter bl.a. i land der sentralen har vesentlig aktivitet, jf. nr. 8.

Artikkel 20 gir hjemler for EU-kommisjonen til å fastsette tekniske standarder for å harmonisere rapporteringen av IKT-hendelser. Etter artikkel 21 skal de felleseuropeiske finanstilsynsmyndighetene, etter konsultasjon med Den europeiske sentralbanken (ESB) og Det europeiske byrået for nettverks- og informasjonssikkerhet (ENISA), utarbeide en rapport med vurdering av mulighetene for ytterligere sentralisering av foretakenes hendelsesrapportering gjennom å opprette et felleseuropeisk innsamlingspunkt.

Etter artikkel 22 skal tilsynsmyndigheten følge opp innrapporterte hendelser med mottaksbekreftelse, samt gi forholdsmessig tilbakemelding og ev. veiledning om relevante tiltak og hvordan virkningene i resten av sektoren kan minimeres.

Etter artikkel 23 gjelder forordningen kapittel III om hendelsesrapportering også for betalingsrelaterte operasjonelle eller sikkerhetsmessige hendelser hos kredittinstitusjoner, betalingsforetak, opplysningsfullmektiger og e-pengeforetak.

2.4.2.4 Testing av digital operasjonell motstandsdyktighet

Forordningen kapittel IV inneholder krav til testing av den digitale operasjonelle motstandsdyktigheten i foretakene. Etter artikkel 24 skal foretakene (bortsett fra mikroforetak) ha et helhetlig program for risikobaserte tester som en del av rammeverket for IKT-risikostyringen. Formålet er å vurdere beredskapen for håndtering av IKT-hendelser og avdekke svakheter, mangler og avvik i den digitale motstandsdyktigheten, samt gi grunnlag for raskt å gjennomføre forbedringstiltak. Testene skal gjennomføres av uavhengige parter, enten interne eller eksterne, og foretaket skal ha prosedyrer og rutiner for å prioritere, klassifisere og rette avdekkede feil, samt metoder for intern validering for å sikre at alle avdekkede svakheter, mangler og avvik følges opp. IKT-systemer og applikasjoner som understøtter kritiske eller viktige funksjoner, skal testes minst årlig.

Etter artikkel 25 skal testprogrammet legge til rette for hensiktsmessige tester, så som sårbarhetsvurderinger og -skanninger, «open source»-analyser, nettverkssikkerhetsvurderinger, mangelanalyser, fysiske sikkerhetsgjennomganger, spørreskjemaer og skanningsprogramvareløsninger, gjennomgang av kildekode, scenariobaserte tester, kompatibilitetstester, ytelsestester, ende-til-ende-tester og penetrasjonstester. For verdipapirsentraler og sentrale motparter er det et eget krav om å gjennomføre sårbarhetsvurderinger før applikasjoner og infrastrukturkomponenter tas i bruk, samt før bruk av IKT-tjenester som understøtter kritiske eller viktige funksjoner. Mikroforetak skal også gjennomføre hensiktsmessige tester, og da ved å kombinere en risikobasert tilnærming med strategisk planlegging av IKT-tester, samt balansere ressursbruken mot risikobildet.

Etter artikkel 26 nr. 8 tredje ledd skal tilsynsmyndigheten identifisere hvilke foretak som skal ha krav om å gjennomføre mer avansert testing i form av trusselbasert penetrasjonstesting («threat-led penetration test», TLPT). I tillegg til å ta hensyn til proporsjonalitet skal tilsynsmyndigheten basere sin vurdering på foretakets betydning for finanssektoren og finansiell stabilitet på nasjonalt og europeisk nivå, samt foretakets IKT-risikoprofil. Foretakene som identifiseres, skal gjennomføre TLPT minst hvert tredje år, eller oftere hvis tilsynsmyndigheten vurderer det som nødvendig, jf. artikkel 26 nr. 1. Hver TLPT skal etter nr. 2 dekke flere eller alle kritiske eller viktige funksjoner, og foretaket skal gjøre en kartlegging for å fastsette det konkrete omfanget, som skal valideres av tilsynsmyndigheten. Artikkel 26 nr. 3 og 4 gir nærmere regler om IKT-leverandørers deltakelse i testingen, og åpner også for at IKT-leverandøren etter avtale gjennomfører en samlet TLPT for leveranser til flere foretak. Testingen skal uansett skje med tilstrekkelige risikostyringstiltak for å dempe risikoen for skadevirkninger, jf. nr. 5. Når en TLPT er gjennomført, skal foretaket oversende sammendrag av funn, forbedringsplaner og dokumentasjon til den ansvarlige myndigheten, som deretter skal gi en attest på at testen er korrekt gjennomført, jf. nr. 6 og 7. Attesten skal gi grunnlag for gjensidig anerkjennelse av testen mellom ulike tilsynsmyndigheter. Den ansvarlige myndigheten for TLPT er tilsynsmyndigheten, med mindre det bestemmes noe annet nasjonalt, jf. nr. 9 og 10. Artikkel 26 nr. 11 gir hjemler for EU-kommisjonen til å fastsette tekniske standarder for TLPT i samsvar med TIBER-rammeverket fra Den europeiske sentralbanken (ESB).

2.4.2.5 Håndtering av tredjeparts IKT-risiko

Forordningen kapittel V del I inneholder regler om foretakenes håndtering av risiko forbundet med bruk av tjenester fra IKT-leverandører. Etter artikkel 28 nr. 1 skal slik leverandørstyring inngå som en del av rammeverket for IKT-risikostyring, basert på prinsipper om proporsjonalitet og foretakets ansvar uavhengig av utkontraktering. Bortsett fra mikroforetak skal alle foretak ha en strategi for leverandørrisiko som oppfyller nærmere krav, jf. nr. 2. Etter nr. 3 skal alle foretak ha et register med oversikt over bruk av tjenester fra IKT-leverandører og hvilke av tjenestene som understøtter kritiske eller viktige funksjoner, og på forespørsel gjøre registeret tilgjengelig for tilsynsmyndigheten. Foretakene skal minst årlig rapportere til tilsynsmyndigheten om nye avtaler som er inngått, og i tillegg informere myndigheten i rimelig tid om planlagte avtaler om IKT-tjenester som vil understøtte kritiske eller viktige funksjoner, samt når en funksjon har blitt kritisk eller viktig.

Før et foretak inngår avtale med en IKT-leverandør, må foretaket ha gjort en rekke vurderinger og undersøkelser knyttet til leverandøren, og det kan bare inngås avtaler med leverandører som etterlever hensiktsmessige informasjonssikkerhetsstandarder, jf. artikkel 28 nr. 4 og 5. Foretakene skal ha en risikobasert tilnærming til bruk av tilgang, inspeksjon og revisjon hos leverandøren, hvor hyppigheten av revisjoner og inspeksjoner, samt hvilke områder som skal revideres, skal være forhåndsdefinert, jf. nr. 6. Når avtalen innebærer en høy teknisk kompleksitet, er det særlige krav til revisjonen. Foretaket skal i visse definerte tilfeller kunne si opp avtalen med leverandøren, og for avtaler om tjenester som understøtter kritiske eller viktige funksjoner, skal foretaket ha en uttredelsesstrategi som sikrer at det kan si opp avtalen uten at det gir forstyrrelser i virksomheten, jf. nr. 7 og 8. Artikkel 28 nr. 9 og 10 gir hjemler for EU-kommisjonen til å fastsette tekniske standarder med nærmere krav.

Før et foretak inngår en avtale om IKT-tjenester som vil understøtte kritiske eller viktige funksjoner, skal foretaket etter artikkel 29 vurdere om IKT-leverandøren vil være vanskelig å erstatte, eller om flere av leveransene til foretaket vil bli konsentrert hos samme leverandør (eller samarbeidende leverandører). Foretakene skal også gjøre en kost-nytte-vurdering av alternative løsninger, så som bruk av andre leverandører. Dersom det er mulig at leverandøren videreutkontrakterer leveranser, skal foretaket gjøre en fordels- og risiko-vurdering, særlig når det gjelder underleverandører i tredjeland, samt ta stilling til om avtalen innebærer lange eller komplekse verdikjeder som kan svekke mulighetene for overvåking og tilsyn. Foretaket skal også vurdere betydningen av regelverk for insolvens og databeskyttelse som gjelder for leverandøren.

Artikkel 30 stiller krav til utforming av avtaler med IKT-leverandører, bl.a. knyttet til fullstendige beskrivelser av leveransene, krav til tjenestekvalitet, samarbeid med tilsynsmyndigheten, overvåking, oppsigelse og rapporteringskrav. For tjenester som vil understøtte kritiske eller viktige funksjoner, er det særlige krav til utforming av avtalen. I kontraktsforhandlingene skal foretaket vurdere bruk av standard kontraktsbestemmelser utarbeidet av offentlige myndigheter. EU-kommisjonen har hjemler til å fastsette tekniske standarder med nærmere krav til avtalene.

2.4.2.6 Overvåkning av IKT-leverandører

Forordningen kapittel V del II inneholder regler om myndighetsovervåking av kritiske IKT-leverandører. Etter artikkel 31 nr. 1 skal de tre felleseuropeiske tilsynsmyndighetene (EBA, EIOPA og ESMA) sammen utpeke IKT-leverandører som er kritiske for finansielle foretak, og for hver av dem oppnevne en av de felleseuropeiske tilsynsmyndighetene som hovedovervåker, basert på hvilken finanssektor som i størst grad benytter seg av leverandørens tjenester. Kritiske IKT-leverandører skal utpekes på grunnlag av anbefalinger fra et overvåkingsforum som skal etableres etter artikkel 32 (se nedenfor), og i tråd med følgende kriterier i artikkel 31 nr. 2:

1. de systemiske konsekvensene for stabilitet, kontinuitet eller kvalitet i den finansielle tjenesteytingen ved en større operasjonell svikt hos IKT-leverandøren,

2. den systemiske karakteren eller viktigheten av de finansielle foretakene som er avhengige av IKT-leverandøren, vurdert bl.a. ut fra antall systemviktige finansforetak som er avhengig av leveransene,

3. finansielle foretaks avhengighet av IKT-leverandøren i produksjonen av kritiske eller viktige funksjoner, og

4. i hvilken grad IKT-leverandøren kan erstattes, herunder som følge av mangel på reelle alternativer og vanskeligheter med å flytte data og produksjon til en ny IKT-leverandør.

IKT-leverandører som inngår i konsern, skal vurderes ut fra konsernets betydning, og slike ev. kritiske leverandører skal ha ett kontaktpunkt for kommunikasjonen med hovedovervåkeren, jf. nr. 3 og 4. Etter artikkel 31 nr. 5 skal hovedovervåkeren varsle en IKT-leverandør som vurderes som kritisk, og leverandøren kan innen seks uker oversende en erklæring med alle relevante opplysninger for vurderingen. Hovedovervåkeren kan deretter be om ytterligere opplysninger innen 30 dager. Når en kritisk IKT-leverandør er utpekt, skal de felleseuropeiske tilsynsmyndighetene varsle leverandøren om utpekingen og virkningsdatoen for overvåkingen, mens leverandøren skal varsle de aktuelle foretakene. EU-kommisjonen skal etter artikkel 31 nr. 6 fastsette nærmere kriterier for utpeking av kritiske IKT-leverandører innen 17. juli 2024, og etter nr. 7 skal ingen utpekes før dette er gjort. Etter artikkel 31 nr. 8 kan visse IKT-leverandører ikke utpekes som kritiske, bl.a. konserninterne IKT-leverandører og IKT-leverandører som bare leverer tjenester til foretak i én medlemsstat. De felleseuropeiske tilsynsmyndighetene skal etter artikkel 31 nr. 9 årlig publisere en liste over kritiske IKT-leverandører, mens nasjonale tilsynsmyndigheter etter nr. 10 skal avgi en årlig rapport til overvåkingsforumet om foretakenes IKT-avhengigheter. IKT-leverandører som ikke utpekes som kritiske, kan imidlertid etter artikkel 31 nr. 11 søke om å bli det. Etter artikkel 31 nr. 12 kan foretak bare fortsette å bruke kritiske IKT-leverandører etablert i tredjeland hvis leverandøren innen 12 måneder etablerer et datterforetak i EU, og slike leverandører skal dessuten etter artikkel 31 nr. 13 varsle hovedovervåkeren om ev. endringer i ledelsesstrukturen i datterforetaket.

Overvåkingsforumet skal etter artikkel 32 nr. 1 etableres av de felleseuropeiske tilsynsmyndighetene for å støtte arbeidet med IKT-leverandørrisiko på tvers av finanssektorer, og ha i oppgave å forberede vedtak og drøfte utviklingstrekk. Forumet skal etter artikkel 32 nr. 2 også gjøre en felles årlig vurdering av overvåkingsaktivitetene, bidra til koordinering, god håndtering av konsentrasjonsrisiko og utforsking av tiltak mot risikosmitte på tvers av sektorer, samt etter nr. 3 foreslå helhetlige referanseverdier for kritiske IKT-leverandører. Overvåkingsforumet skal etter artikkel 32 nr. 4 bestå av styrelederne for de tre felleseuropeiske tilsynsmyndighetene og en representant på høyt nivå fra hver av de nasjonale tilsynsmyndighetene. Direktørene for de tre felleseuropeiske tilsynsmyndighetene, samt representanter fra EU-kommisjonen, Det europeiske systemrisikorådet (ESRB), ESB og Det europeiske byrået for nettverks- og informasjonssikkerhet (ENISA), skal være observatører. Artikkel 32 nr. 5 til 9 omhandler oppnevninger, bruk av eksperter, arbeidsdeling mellom myndigheter mv.

Etter artikkel 33 skal hovedovervåkeren vurdere om den kritiske IKT-leverandøren har helhetlige, forsvarlige og effektive regler, prosedyrer, mekanismer og ordninger for å håndtere IKT-risikoen som de kan utsette finansielle foretak for. Hovedovervåkeren skal på grunnlag av denne vurderingen fastsette en klar, detaljert og begrunnet individuell overvåkingsplan, som beskriver årlige mål og planlagte tiltak. Når IKT-leverandøren har mottatt utkast til en slik plan, kan den innen 15 dager sende inn en erklæring som dokumenterer forventet virkning på ikke-finansielle kunder, og ev. utarbeide løsninger for å dempe risikoen. Etter artikkel 34 skal de felleseuropeiske tilsynsmyndighetene samarbeide og koordinere utøvelsen av rollen som hovedovervåker.

Etter artikkel 35 nr. 1 skal hovedovervåkeren ha myndighet til å:

1. kreve at IKT-leverandøren legger frem all informasjon som er nødvendig for at hovedovervåkeren skal kunne ivareta sine oppgaver etter forordningen, herunder forretningsdokumenter eller operasjonelle dokumenter, kontrakter, retningslinjer, dokumentasjon, revisjonsrapporter, hendelsesrapporter og informasjon knyttet til parter som IKT-leverandøren har utkontraktert funksjoner eller aktiviteter til, jf. nærmere regler i artikkel 37,

2. gjennomføre generelle undersøkelser og inspeksjoner hos IKT-leverandøren etter nærmere regler i artikkel 38 til 40,

3. kreve rapporter fra IKT-leverandøren om oppfølging av anbefalinger, jf. under, og

4. gi anbefalinger til IKT-leverandøren, særlig om sikkerhetskrav og -prosesser, betingelser og vilkår for leveransen av tjenester til finansielle foretak, planlagt utkontraktering og ev. anbefaling om å avstå fra utkontraktering i visse tilfeller.

Artikkel 35 nr. 2 til 5 gjelder koordinering og informasjon mellom myndigheter, IKT-leverandørens rett til å legge frem en konsekvensanalyse for ikke-finansielle kunder og IKT-leverandørens plikt til å samarbeide med hovedovervåkeren. Etter artikkel 35 nr. 6 til 11 skal hovedovervåkeren gi IKT-leverandøren dagbøter ved manglende eller delvis manglende etterlevelse av krav om informasjon, rapporter eller tilrettelegging for undersøkelser og inspeksjoner, dersom forholdene ikke er rettet innen 30 dager etter at det er gitt pålegg om retting. Nivået på dagbøtene skal fastsettes ut fra alvorlighetsgrad og opptil et beløp tilsvarende 1 pst. av gjennomsnittlig daglig omsetning i foregående år, og kan kreves i opptil seks måneder. Artikkel 36 gjelder de felleseuropeiske tilsynsmyndighetenes mulighet for å utøve myndighet i tredjeland, i den grad en kritisk IKT-leverandør har virksomhet der for å levere tjenester i EU.

De nærmere reglene om undersøkelser og inspeksjoner i artikkel 38 til 40 angir bl.a. hva og hvem hovedovervåkeren skal ha tilgang til hos IKT-leverandøren, herunder informasjon, representanter og lokaler, samt krav om at hovedovervåkeren skal varsle IKT-leverandøren og relevante tilsynsmyndigheter. Ved undersøkelser og inspeksjoner skal hovedovervåkeren bistås av en felles undersøkelsesgruppe som skal opprettes for hver kritiske IKT-leverandør. Gruppen skal bestå av medarbeidere fra de felleseuropeiske tilsynsmyndighetene og de nasjonale tilsynsmyndighetene som fører tilsyn med finansielle foretak som benytter seg av leverandøren. I tillegg kan en nasjonal finanstilsynsmyndighet i landet der IKT-leverandøren er etablert, samt den nasjonale tilsynsmyndigheten etablert etter NIS2-direktivet i samme land, delta på frivillig basis. Hovedovervåkeren skal innen tre måneder etter en undersøkelse eller inspeksjon gi anbefalinger til IKT-leverandøren. Artikkel 41 gir hjemmel for EU-kommisjonen til å fastsette tekniske standarder for informasjon fra IKT-leverandører, sammensetning av felles undersøkelsesgrupper og nasjonale tilsynsmyndigheters vurdering av IKT-leverandørers oppfølging av anbefalinger, jf. artikkel 42.

Artikkel 42 gjelder i hovedsak de nasjonale tilsynsmyndighetenes oppfølging av finansielle foretak. Innen 60 dager etter å ha mottatt anbefalinger fra hovedovervåkeren skal IKT-leverandøren etter artikkel 42 nr. 1 bekrefte at den vil følge anbefalingene eller forklare hvorfor den ikke vil følge dem, og hovedovervåkeren skal videreformidle denne informasjonen til de nasjonale tilsynsmyndighetene for de berørte finansielle foretakene. Dersom tilsynsmyndigheten i sin løpende oppfølging av et foretak vurderer at det ikke i tilstrekkelig grad håndterer risikoen som er identifisert i anbefalinger til IKT-leverandøren, skal tilsynsmyndigheten varsle foretaket om det. Dersom foretaket ikke treffer nødvendige tiltak innen 60 dager, kan tilsynsmyndigheten etter artikkel 42 nr. 6 pålegge foretaket å suspendere eller si opp hele eller deler av avtalen med IKT-leverandøren, men skal etter nr. 8 gi foretaket nok tid til å tilpasse avtalen eller iverksette uttredelsesstrategien eller overgangsplaner. Etter artikkel 42 nr. 2 skal hovedovervåkeren offentliggjøre informasjon om IKT-leverandører med mangelfulle svar på anbefalinger, og dersom en IKT-leverandør avviker fra anbefalingene på en måte som kan ha betydelige skadevirkninger for finansiell stabilitet, kan hovedovervåkeren etter nr. 7 gi ikke-bindende og ikke-offentlige uttalelser til nasjonale tilsynsmyndigheter for å bidra til konsistente og konvergerende tiltak overfor foretakene.

Etter artikkel 43 skal hovedovervåkeren innkreve en overvåkingsavgift fra kritiske IKT-leverandører. Avgiften skal dekke alle utgifter knyttet til overvåkingen, og EU-kommisjonen skal fastsette nærmere regler om størrelsen på avgiften og hvordan den skal betales.

Etter artikkel 44 kan de felleseuropeiske tilsynsmyndighetene etablere samarbeid med myndigheter i tredjeland, bl.a. om praksis for IKT-risikohåndtering, tiltak og hendelseshåndtering.

Ordningen med hovedovervåker er tilpasset EFTA-pilaren gjennom EØS-komiteens beslutning, slik at EFTAs overvåkningsorgan fungerer som hovedovervåker overfor fysiske og juridiske personer når disse er etablert i en EØS/EFTA-stat eller i et tredjeland, men med et datterforetak i en EØS/EFTA-stat, se nærmere omtale i punkt 2.6.3.

2.4.2.7 Informasjonsdeling mellom foretak

Etter forordningen kapittel VI (artikkel 45) kan finansielle foretak utveksle informasjon og etterretning om cybertrusler, forutsatt at utvekslingen:

1. har som mål å forbedre foretakenes motstandsdyktighet, særlig ved å øke bevisstheten om cybertrusler, begrense eller hindre spredning av trusler og understøtte forsvarskapasitet, deteksjonsteknikker, tiltaksstrategier eller innsats- og gjenoppretningsfaser,

2. foregår innenfor et betrodd fellesskap av finansielle foretak, og

3. gjennomføres i ordninger som beskytter potensielt sensitiv informasjon og er omfattet av regler om forretningsmessig konfidensialitet, beskyttelse av personopplysninger og retningslinjer for konkurransepolitikk.

Slike informasjonsutvekslingsordninger skal ha bestemmelser om deltakelse fra finansielle foretak og ev. også fra myndigheter og IKT-leverandører mv. Finansielle foretak skal informere tilsynsmyndigheten om deltakelse i slike ordninger.

2.4.2.8 Tilsyn, myndighetssamarbeid og sanksjoner

Forordningen kapittel VII gjelder nasjonale tilsynsmyndigheter på finansmarkedsområdet, samt samarbeid mellom myndigheter på europeisk nivå.

Artikkel 46 angir hvilke tilsynsmyndigheter som i samsvar med annet EU/EØS-regelverk skal ha ansvar for tilsynet med de ulike foretakstypenes etterlevelse av forordningen. Etter artikkel 50 skal tilsynsmyndigheten ha alle nødvendige hjemler for å kunne føre tilsyn med foretakenes etterlevelse av forordningen, herunder myndighet til å få utlevert dokumentasjon, foreta stedlig tilsyn og kreve korrigerende og gjenopprettende tiltak for avdekkede regelbrudd. Tilsynsmyndigheten skal også kunne ilegge administrative sanksjoner, som skal være effektive, proporsjonale og avskrekkende. Som et minimum skal tilsynsmyndigheten kunne gi pålegg om retting eller stans av atferd eller praksis, ilegge overtredelsesgebyr, kreve utlevering av datatrafikklogger og publisere vedtak der identiteten til foretaket og regelbruddets karakter fremgår. Etter artikkel 51 skal tilsynsmyndigheten ilegge administrative sanksjoner i henhold til nasjonal lovgivning, og i valget av type og nivå ta hensyn til om bruddet var forsettlig eller skyldes uaktsomhet. Det skal også legges vekt på bl.a. bruddets alvorlighetsgrad, graden av ansvar for bruddet, foretakets finansielle styrke, gevinster og tap hos foretaket og tredjeparter, graden av samarbeid med tilsynsmyndigheten og tidligere brudd. Etter artikkel 52 kan medlemsstatene velge å ikke ha regler om administrative sanksjoner for regelverksbrudd som er gjenstand for straffesanksjoner. Tilsynsmyndigheten skal etter artikkel 54 publisere vedtak om administrative reaksjoner, inkludert identiteten til foretaket og informasjon om regelbruddet. Dersom publisering av identiteten vil være uforholdsmessig og ha skadevirkninger, kan myndigheten utsette publisering, anonymisere eller avstå fra å publisere (på visse vilkår). Artikkel 55 og 56 gjelder taushetsplikt og behandling av persondata. Nasjonalt regelverk som gjennomfører forordningen kapittel VII, skal etter artikkel 53 notifiseres til EU-kommisjonen og de felleseuropeiske tilsynsmyndighetene.

For å fremme samarbeid og muliggjøre tilsynsmessig utveksling med myndigheter på nettverks- og informasjonssikkerhetsområdet kan de felleseuropeiske og nasjonale finanstilsynsmyndighetene etter artikkel 47 delta i den såkalte samarbeidsgruppen etablert etter NIS2-direktivet. Finanstilsynsmyndighetene skal kunne delta i gruppens aktiviteter som berører spørsmål av relevans for tilsynet med finansielle foretak, og kan også be om å få delta i aktiviteter relatert til kritiske IKT-leverandører. Nasjonale finanstilsynsmyndigheter kan dessuten rådføre seg og dele informasjon med sentrale kontaktpunkter og responsmiljøer etablert etter NIS2-direktivet, samt be om tekniske råd og bistand fra tilsynsmyndigheter utpekt etter det direktivet. Disse tilsynsmyndighetene kan også etablere samarbeidsordninger seg imellom for å legge til rette for rask og effektiv koordinering.

Nasjonale finanstilsynsmyndigheter skal etter artikkel 48 samarbeide tett med hverandre og hovedovervåkeren (når det er relevant), herunder ved å utveksle all relevant informasjon om kritiske IKT-leverandører. Etter artikkel 49 kan de felleseuropeiske tilsynsmyndighetene, nasjonale tilsynsmyndigheter og krisehåndteringsmyndigheter, ESB, krisehåndteringsmyndigheten i eurosonen (SRB), ESRB og ENISA etablere ordninger for erfaringsutveksling for å forbedre situasjonsbevisstheten og identifisere felles cybersårbarheter og risiko. De skal også kunne utvikle kriseøvelser som omfatter cyberangrep, med sikte på å utvikle kommunikasjonskanaler og evne til koordinert innsats ved en grensekryssende IKT-hendelse eller -trussel som kan ha systemiske virkninger i den europeiske finanssektoren. I tråd med dette har ESRB anbefalt å etablere et europeisk rammeverk for koordinering ved systemiske cyberhendelser (EU-SCICF).

2.4.2.9 Endringer i andre forordninger

Forordningen artikkel 59 til 63 endrer en rekke andre forordninger på finansmarkedsområdet, i hovedsak ved at det tas inn henvisninger til at ulike typer foretak skal etterleve krav til risikostyring mv. i forordningen. Endringene gjøres i:

1. forordning (EF) 1060/2009 (kredittvurderingsbyråforordningen, CRA),

2. forordning (EU) 648/2012 (forordningen om OTC-derivater, sentrale motparter og transaksjonsregistre, EMIR),

3. forordning (EU) 909/2014 (verdipapirsentralforordningen, CSDR),

4. forordning (EU) 600/2014 (verdipapirmarkedsforordningen, MiFIR) og

5. forordning (EU) 2016/1011 (referanseverdiforordningen, BMR).

2.4.2.10 Avsluttende bestemmelser

Forordningen artikkel 57 gjelder EU-kommisjonens myndighet til å fastsette utfyllende regelverk. Etter artikkel 58 nr. 1 skal EU-kommisjonen innen 17. januar 2028 avgi en rapport til Parlamentet og Rådet med en revisjon av forordningen, ev. ledsaget av forslag til regelverksendringer. Kommisjonen skal herunder vurdere om forsikringsformidlere som er unntatt etter artikkel 2 nr. 3 bokstav e, og som benytter automatiske salgssystemer, bør omfattes av forordningen. Som et ledd i revisjonen av direktiv (EU) 2015/2366 (betalingstjenestedirektivet, PSDII) skal EU-kommisjonen også vurdere om flere av foretakene som er omfattet av det direktivet, bør omfattes av forordningen, jf. artikkel 58 nr. 2. Etter artikkel 58 nr. 3 skal EU-kommisjonen innen januar 2026 vurdere om revisorer og revisjonsselskaper bør omfattes av forordningen eller tilsvarende krav i direktiv 2006/43/EF (revisjonsdirektivet).

Forordningen skal etter artikkel 64 gjelde fra 17. januar 2025 i EU.

2.4.3 Direktiv (EU) 2022/2556

Direktiv (EU) 2022/2556 endrer følgende direktiver på finansmarkedsområdet:

1. direktiv 2009/65/EF (direktivet om kollektive investeringsfond, UCITS),

2. direktiv 2009/138/EF (forsikringsdirektivet, Solvens II),

3. direktiv 2011/61/EU (direktivet om forvaltning av alternative investeringsfond, AIFMD),

4. direktiv 2013/36/EU (kapitalkravsdirektivet, CRD),

5. direktiv 2014/59/EU (krisehåndteringsdirektivet, BRRD),

6. direktiv 2014/65/EU (verdipapirmarkedsdirektivet, MiFID II),

7. direktiv (EU) 2015/2366 (betalingstjenestedirektivet, PSD II) og

8. direktiv (EU) 2016/2341 (tjenestepensjonsdirektivet, IORP).

Endringene innebærer i hovedsak at det i bestemmelser om forsvarlig organisering og drift av virksomheten tas inn henvisninger til IKT-risikostyring og kravene som vil gjelde etter forordning (EU) 2022/2554 (DORA-forordningen), i tillegg til endringer for å sikre konsistens med kravene og begrepsbruken i DORA-forordningen. Endringene gjelder virksomhetskravene for kredittinstitusjoner, betalingsforetak, verdipapirforetak, regulerte markeder og forvaltere av verdipapirfond og alternative investeringsfond, samt justeringer i kravene til innhold i gjenopprettings- og krisehåndteringsplaner for kredittinstitusjoner mv. Direktivendringene innebærer i seg selv ingen nye materielle forpliktelser utover de som vil følge av forordningen.

Ovennevnte direktiver er gjennomført i sektorlovgivningen og forutsetter endringer i finansforetaksloven, verdipapirhandelloven, verdipapirfondloven, lov om forvaltning av alternative investeringsfond, pensjonsforetaksforskriften og finansforetaksforskriften.

Endringene som følge av DORA-direktivet er av teknisk karakter. Endringsbestemmelsene innebærer at forpliktelsene etter DORA-forordningen også forankres i sektorlovgivningen. Endringene i sektorlovgivningen innebærer, som nevnt, i seg selv ingen nye materielle forpliktelser for de foretakene det gjelder. De konkrete forpliktelsene fremgår av DORA-forordningen.

2.5 Gjennomføring i norsk rett

2.5.1 Oversikt

Utkastet til norsk gjennomføring av forordning (EU) 2022/2554 og direktiv (EU) 2022/2556 (DORA-forordningen og -direktivet) fikk generelt støtte i høringen, samtidig som høringsinstansene ønsket alternative løsninger og avklaringer på en del områder. Departementet vil i det følgende presentere høringsutkastet og høringsinstansenes merknader, og foreslår en ny lov som gjennomfører DORA-forordningen, samt konsekvenstilpasninger i annet lovverk.

2.5.2 Regelverksstruktur

2.5.2.1 Høringsutkastet

I høringsnotatet foreslo departementet at DORA-forordningen gjennomføres ved inkorporasjon i en ny lov om digital operasjonell motstandsdyktighet i finanssektoren. Det vil si at forordningen skal gjelde i sin helhet som norsk lov. Denne gjennomføringsmåten er benyttet for flere andre EØS-regelverk, bl.a. kredittvurderingsbyråforordningen, verdipapirsentralforordningen og referanseverdiforordningen. Utkastet i høringsnotatet til ny lov inneholdt i § 1 første ledd inkorporasjonsbestemmelsen, mens § 1 annet ledd gir departementet hjemmel for å fastsette utfyllende forskrifter.

2.5.2.2 Høringsinstansenes syn

Norges Bank uttaler at «en innføring av regelverket vil styrke den digitale motstandskraften i finanssektoren», og at nye regler for oppfølging av IKT-leverandører som er sentrale på europeisk nivå «vil være et viktig bidrag til oppfølging av IKT-risiko på tvers av landegrenser».

Finans Norge uttrykker også støtte til «departementets forslag om å implementere de felleseuropeiske reglene som følger av DORA gjennom en ny lov om digital operasjonell motstandsdyktighet i finanssektoren».

Oslo Børs ASA støtter «Finansdepartementets forslag til og begrunnelse for gjennomføring av DORA-regelverket i ny lov om digital operasjonell motstandsdyktighet i finanssektoren, samt ved endringer i verdipapirhandelloven og enkelte andre relevante lover».

2.5.2.3 Departementets vurdering

Departementet foreslår at DORA-forordningen inkorporeres i norsk lov, i tråd med høringsutkastet. Gjennomføringen vil innebære at kravene til foretakene i den norske finanssektoren styrkes. Selv om dagens IKT-forskrift og Finanstilsynets oppfølging bygger på felleseuropeiske retningslinjer som også gjenspeiles i DORA, vil det nye regelverket gi vesentlig mer omfattende og detaljerte krav til norske foretaks risikostyring, hendelseshåndtering og bruk av IKT-leverandører. Dette kan bidra til å fremme robusthet, finansiell stabilitet, trygghet for kundene og ivaretakelse av kritiske samfunnsfunksjoner. Gjennomføring av godt kjente, felleseuropeiske krav kan også ha betydning for tilliten i internasjonale markeder til norske foretaks risikostyring og norske myndigheters oppfølging av finanssektoren.

Innføringen av DORA i Europa er et viktig tiltak for å styrke IKT-sikkerheten i et internasjonalt marked der ulike leverandører av IKT-tjenester leverer tjenester til foretak under tilsyn i flere europeiske land. Felleseuropeiske krav til bl.a. foretakenes oppfølging av og kontroll med IKT-leverandører, kan bidra til økt sikkerhet i viktige betalingssystemer og gjennom det bidra til finansiell stabilitet. Forordningen legger også til rette for tettere samarbeid mellom myndighetene, både strategisk og operativt, som kan ha stor betydning for foretakenes evne til å forsvare seg. Myndighetene skal bl.a. bidra til identifisering av felles cybersårbarheter og rask informasjonsutveksling og koordinering ved alvorlige IKT-hendelser.

Forordningen foreslås gjennomført i Norge i en ny lov om digital operasjonell motstandsdyktighet i finanssektoren (DORA-loven). Etter lovforslaget § 1 første ledd skal forordningen gjelde som norsk lov med de tilpasninger som følger av EØS-avtalen, se punkt 2.6.

Lovforslaget § 1 annet ledd viser til at med DORA-forordningen menes forordningen slik den er gjennomført i første ledd, det vil si i EØS-tilpasset form, og med eventuelle endringer gjennomført eller henvist til i første ledd, eller gjennomført i forskrift med hjemmel i fjerde ledd.

Videre foreslås det en hjemmel for departementet til å kunne fastsette utfyllende regler i forskrift, se lovforslaget § 1 tredje ledd. Forslaget skal for det første gi departementet hjemmel til å gjennomføre utfyllende kommisjonsrettsakter fastsatt med hjemmel i DORA-forordningen, så som tekniske standarder og andre utfyllende regler. Forslaget skal også legge til rette for at departementet midlertidig kan fastsette denne typen utfyllende regler før de er tatt inn i EØS-avtalen, slik at norsk regelverk kan holdes oppdatert med det som gjelder i EU. EU-kommisjonen har fastsatt kommisjonsrettsakter med utfyllende regler til DORA, men enkelte regler er fortsatt under utarbeidelse. Generelt vil en måtte påregne at utfyllende kommisjonsrettsakter vedtas og trer i kraft i EU før de innlemmes i EØS-avtalen. Det vil kunne være uheldig for norske foretak og vil kunne svekke effekten av DORA-regelverket dersom disse får virkning i Norge vesentlig senere enn i EU på grunn av forsinkelser i EØS-prosessen, da de utfyllende kommisjonsrettsaktene regulerer den praktiske gjennomføringen av bestemmelser i forordningen. Eksempler på dette er rettsaktene knyttet til rapportering av IKT-hendelser og rapportering av register over IKT-tjenesteavtaler.

Etter lovforslaget § 1 fjerde ledd kan departementet i forskrift gjøre endringer i, herunder fastsette unntak fra, bestemmelsene gjennomført i § 1 første ledd til gjennomføring av Norges forpliktelser etter EØS-avtalen. Hjemmelen skal sikre at departementet kan gjennomføre mindre endringer i DORA-forordningen i forskrifts form, selv om forordningen er gjennomført i lov. Dette er samme type derogasjonshjemmel som er gitt i annen lovgivning på finansmarkedsområdet som gjennomfører EØS-regler som svarer til EU-forordninger. Se for eksempel lov om EØS-finanstilsyn § 6 annet ledd og verdipapirhandelloven § 7-1 tredje ledd.

2.5.3 Virkeområde, nasjonale krav og proporsjonalitet

2.5.3.1 Høringsutkastet

Departementet viste i høringsnotatet til at kravene i forordningen vil gjelde de aller fleste foretakstypene i finanssektoren, dog ikke forvaltere av alternative investeringsfond med forvaltningskapital under visse terskler, små forsikrings- og pensjonsforetak, fysiske og juridiske personer som er unntatt fra virkeområdet til verdipapirmarkedsdirektivet, forsikringsformidlere, gjenforsikringsformidlere og tilknyttede forsikringsformidlere som er mikroforetak eller små eller mellomstore foretak, og såkalte postgiroinstitusjoner. Inkassoforetak, eiendomsmeglingsforetak og systemer for betalingstjenester er ikke nevnt i forordningen, men omfattes i dag av IKT-forskriftens virkeområde. Systemer for betalingstjenester kan imidlertid bare tilbys av foretak som omfattes av forordningen, og vil derfor måtte omfattes av forordningskravene.

Departementet la til grunn at det er rom for å ha nasjonale regler om IKT-risikostyring mv. for foretak som er unntatt fra eller ikke omfattes av forordningen, f.eks. ved at IKT-forskriften videreføres som forenklede krav for foretak som i dag er omfattet av forskriften. Departementet påpekte at kravene i så fall bør gjennomgås for å sikre konsistens med de mer omfattende forordningskravene, og uttalte at det alternativt kunne vurderes å fastsette at forordningskravene skal gjelde helt eller delvis for de unntatte foretakene. Departementet antok at slike forenklede krav kunne være aktuelt bl.a. for små forsikrings- og pensjonsforetak samt inkassoforetak og eiendomsmeglingsforetak, siden disse i dag følger IKT-forskriften. I utkastet til lov om digital operasjonell motstandsdyktighet i finanssektoren § 2 var det derfor tatt inn en hjemmel for departementet til å fastsette at bestemmelsene i forordningen helt eller delvis skal gjelde for unntatte foretak, inkassoforetak og eiendomsmeglingsforetak, og herunder fastsette forenklede krav for slike foretak i samsvar med relevante bestemmelser i forordningen. Departementet antok at også gjeldsinformasjonsforetak og kredittopplysningsforetak fortsatt skal ha krav om IKT-risikostyring mv., noe som ev. kan kreve tilpasning av gjeldsinformasjonsforskriften.

I høringsnotatet uttrykte departementet at den foreløpige vurderingen var at det ikke er annet regelverk enn IKT-forskriften (og ev. deler av finanstilsynsloven § 4 c, jf. omtalen av forholdet til utkontraktering generelt nedenfor) som kan overlappe eller være i strid med forordningen, og dermed må endres eller oppheves for de som omfattes av forordningen. Departementet bemerket også at det ikke syntes å være behov for å gi utfyllende regler på områder som ikke er dekket av forordningen, annet enn hjemmelen for forenklede krav for unntatte foretak etter lovutkastet § 2.

Departementet pekte dessuten på at foretakenes anvendelse av kravene i forordningen skal være proporsjonale, og at dette særlig gjelder reglene om risikostyring, men i noen grad også for andre deler av forordningen. Videre ble det bemerket at det er strengere krav til de mest betydningsfulle foretakene, bl.a. krav om mer avansert testing, og at tilsynsmyndigheten skal ta hensyn til proporsjonalitet i oppfølgingen av foretakene.

2.5.3.2 Høringsinstansenes syn

Finans Norge forstår høringsnotatet «dithen at IKT-forskriften skal videreføres, og at både DORA og IKT-forskriften skal være gjeldende samtidig i Norge». Finans Norge uttaler videre:

«DORA vil i denne sammenheng erstatte IKT-forskriften for de finansforetakene som er omfattet av DORA. Selv om DORA bygger på et proporsjonalitetsprinsipp, er det ikke redegjort for hvilke deler av DORA som skal gjelde for de ulike finansforetakene. Det er ikke klargjort hvilke finansforetak som vil få minimumskrav, og hvilke som eventuelt vil få utvidede krav.

Vedrørende IKT-forskriften, ser det ut som (…) at departementet foreslår at IKT-forskriften fortsatt skal være gjeldende overfor enkelte kategorier av finansforetak som er unntatt fra DORA etter art. 2 nr. 3. Det fremgår ikke nærmere hvilke finansforetak dette er ment å gjelde.

Flere av finansforetakene som er unntatt fra DORA, er i dag også unntatt fra IKT-forskriften. Å innta nye finansforetak i virkeområdet for IKT-forskriften, forutsetter en vurdering av hvorvidt IKT-forskriften er et egnet rammeverk for slik virksomhet. Etter Finans Norges syn, er for eksempel IKT-forskriften lite egnet for forsikringsformidlingsforetak med lav omsetning. Slike forsikringsformidlingsforetak er unntatt fra DORA etter art. 2 nr. 3 og etter art. 3 nr. 64. Det kreves en nærmere begrunnelse for å tilordne denne kategorien av finansforetak til virkeområdet for IKT-forskriften. Dette er ofte finansforetak som i liten grad er tilpasset standardene som IKT-forskriften legger opp til. Proporsjonalitetsprinsippet tilsier derfor at slike finansforetak bør holdes utenfor IKT-forskriften.

Finans Norge vil påpeke behovet for en redaksjonell opprydning, med hensikt om å avklare virkeområdet til både DORA og IKT-forskriften.»

Advokatforeningen mener at det bør «tydeliggjøres hva som skal gjelde for finansieringsforetak, som ikke synes å være omfattet av forslagene i høringsnotatet», mens Finansforbundet uttaler at det er behov for å «avklare virkeområdet til DORA når det gjelder bl.a. morselskap i finanskonsern. Morselskap er å anse som finansforetak, men det fremgår ikke av listen i høringsnotatet (…) om hvorvidt de også omfattes av virkeområdet for DORA».

Pensjonskasseforeningen uttaler bl.a. følgende om behovet for proporsjonal anvendelse av regelverket:

«Forordningen unntar små pensjonsforetak med mindre enn 15 medlemmer fra regelverket, og det gjør også et skille ved at små pensjonsforetak med mindre enn 100 medlemmer har betydelig forenklede krav. Finansdepartementet skriver i høringsnotatet at det for disse kan være aktuelt og enten opprettholde dagens IKT-forskrift som et styrket, forenklet krav for disse, men at denne gjennomgås for å sikre konsistens med det mer omfattende regelverket. Alternativt vises det til muligheten at det ved innføringen av forordningen i det norske regelverket uten unntak [sic]. I begge tilfellene vil dette bety betydelig økte krav for de minste pensjonskassene sammenlignet med kravene i forordningen og i strid med dens bakenforliggende intensjon. De økte kravene vil pålegge de minste pensjonskassene økte kostnader i utførelsen av kravene, som igjen kan være vanskelig å forsvare. Alle pensjonskassene, også de minste følger i dag IKT-forskriften. Pensjonskasseforeningen stiller spørsmål ved hva som er hensikten med å pålegge også de minste foretakene et så omfattende regelverk som kommer i tillegg til andre særnorske regelverk for disse pensjonskassene.

I Norge er det Finanstilsynet som fører tilsyn med norske pensjonskasser, og med det er ansvarlige for å kontrollere at pensjonskassene etterlever regelverket. For pensjonskassene oppleves det at EU og det felleseuropeiske forsikringstilsynet EIOPA i større grad enn det norske Finanstilsynet har et reelt og materielt fokus på proporsjonalitet, og med det skiller mellom livselskap og pensjonskasser, samt skiller pensjonskasser ut fra størrelse. Livselskapene er normalt store innretninger. Krav og forventninger som stilles til slike, kan ikke være sammenfallende til hva man oppstiller for langt mindre pensjonskasser. Mindre innretninger representer også langt mindre systemkritiske forhold.»

Verdipapirforetakenes Forbund (VPFF) «påpeker viktigheten av klarhet i DORA-forordningens virkeområde, spesielt med tanke på forholdet til eksisterende nasjonalt regelverk som IKT-forskriften og finanstilsynsloven», og uttaler videre bl.a. at:

«Det fremkommer i høringsnotatet at enkelte foretak er unntatt fra DORA, men likevel forblir underlagt IKT-forskriften. I hvilken grad hele eller deler av IKT-forskriften også vil gjelde foretak som er underlagt DORA kommer ikke klart frem. Etter vår oppfatning bør man unngå overlapping mellom nasjonalt regelverk og DORA for foretak som er underlagt DORA. (…)

For å oppnå en smidig implementering av DORA, er det essensielt at det tas hensyn til de ulike virksomhetstyper og ulik størrelse på foretakene i den norske finanssektoren. Proporsjonalitetsprinsippet bør ligge til grunn for alle krav som stilles, slik at både store og små virksomheter kan oppfylle de nye kravene uten uforholdsmessig belastning.»

Verdipapirfondenes forening – næringspolitikk (VFFN) uttaler følgende:

«Mens forvaltere av alternative investeringsfond med forvaltningskapital som er lavere enn fastsatte terskelverdier i AIF-loven (i praksis AIF-forvaltere som kun er registreringspliktige hos Finanstilsynet) er unntatt forordningskravene, er forvaltningsselskap for verdipapirfond som sådan omfattet av forordningen. Videre følger det at blant annet små og ikke-sammenkoplede verdipapirforetak, samt små pensjonsforetak, skal følge regler om et forenklet rammeverk for IKT-risikostyring. At forvaltningsselskap for verdipapirfond som sådan er omfattet av forordningskravene, uavhengig av virksomhetens omfang mv., gjør en fornuftig og tilstrekkelig bruk av proporsjonalitetsprinsippet desto viktigere i Finanstilsynets oppfølging av forvaltningsselskapene for verdipapirfond.

VFFN vil følgelig understreke betydningen av at hensynet til proporsjonalitet i den tilsynsmessige oppfølgingen av forvaltningsselskap for verdipapirfond blir gjennomgående og fornuftig ivaretatt etter implementeringen av DORA.»

Oslo Børs ASA mener at «innlemmingen av DORA nødvendiggjør store endringer i IKT-forskriften», og uttaler videre:

«Vi savner derfor at utredningen inneholder vurderinger på forholdet mellom de to regelsettene – især når departementet konkluderer med at det er rom for å ha nasjonale regler for IKT-risikostyring mv. parallelt med DORA. Det er uheldig at høringsnotatet ikke nærmere begrunner hvordan relevante konsekvenstilpasninger i IKT-forskriften bør utformes, og hvordan IKT-forskriften kan opprettholdes uten å kompromittere Norges EØS-rettslige forpliktelser. Vi minner om at formålet med DORA er å introdusere et harmonisert og omfattende felles europeisk regelverk for å håndtere IKT-risiko i sektoren.

Oslo Børs er av den oppfatning at IKT-forskriften bør oppheves helt for de foretak som omfattes av DORA. Dette er nødvendig både for å oppnå det uttalte formålet om felles europeisk regelverk og Norges EØS forpliktelser som følger med rettsaktene.»

Finansforbundet uttaler følgende om proporsjonalitet:

«Basert på høringsnotatet er det utfordrende å ta stilling til hvordan proporsjonalitetsprinsippet er tenkt å fungere i praksis. Slik vi oppfatter det, er det ikke klargjort hvilke deler av forordningen som gjelder for ulike aktører. Finansforbundet mener proporsjonalitetsprinsippet må implementeres og håndheves med aktsomhet med tanke på påvirkning av konkurransesituasjon for små og mellomstore aktører. Disse strever allerede med høyere kapitalkrav og omfattende compliance- og rapporteringskrav. Det er en styrke for norsk økonomi og næringsliv at finansmarkedet i Norge består av både internasjonale og nasjonale aktører, både stor og små.»

Finansforbundet kommenterer også forholdet til digitalsikkerhetsloven:

«Finansforbundet er kjent med at ettersom tidspunkt for ikrafttredelse for DORA og Digitalsikkerhetslov ikke er avklart, er det en utfordring for finansnæringen å vite hvilket lovverk man skal forholde seg til. Det kan f.eks. være et spørsmål om man først må ivareta digitalsikkehetsloven og så DORA. I implementeringen av DORA og Digitalsikkerhetsloven bør det derfor komme klart fram hvordan finansnæringen skal håndtere overgangen til nytt lovverk.»

Regelrådet uttaler bl.a. følgende om proporsjonalitet:

«Departementet viser at forordningens nyttevirkninger trolig er større enn kostnadsvirkningene. Vi mener imidlertid at utredningen har svakheter i beskrivelsen av berørt næringsliv og beskrivelsen av kostnadsvirkningene for næringslivet. Finanssektoren og IKT-sektoren er identifisert som berørte av forslaget, men det er ikke gitt en beskrivelse av sektorene. Hele forordningen hviler på et proporsjonalitetsprinsipp, men det er ikke klargjort hvilke deler av forordningen som gjelder for de ulike aktørene i norsk næringsliv. Videre gir departementet en overordnet beskrivelse av de nye kravene som forordningen stiller til næringslivet. Fraværet av en beskrivelse av hvordan proporsjonalitetsprinsippet skal håndheves i praksis gjør det imidlertid utfordrende å vurdere hvilke konsekvenser dette vil ha for individuelle norske bedrifter.

På grunn av den manglende beskrivelse av den norske konteksten for regelverket er det vanskelig å si på dette stadiet hva kostnadene for næringslivet vil bli. En vellykket gjennomføring er avhengige av at departement og tilsyn håndterer regelverket på en effektiv måte.»

2.5.3.3 Departementets vurdering

Foretak i den norske finanssektoren har lenge vært underlagt krav etter IKT-forskriften som langt på vei tilsvarer kravene etter DORA-forordningen. Virkeområdet til DORA-forordningen omfatter kredittinstitusjoner, betalingsforetak, opplysningsfullmektiger, e-pengeforetak, verdipapirforetak, tilbydere av tjenester knyttet til kryptoverdier, verdipapirsentraler, sentrale motparter, handelsplasser, transaksjonsregistre, forvaltere av alternative investeringsfond, forvaltningsselskaper, leverandører av datarapporteringstjenester, forsikrings- og gjenforsikringsforetak, forsikringsformidlere, gjenforsikringsformidlere og tilknyttede forsikringsformidlere, pensjonsforetak, kredittvurderingsbyråer, administratorer av kritiske referanseverdier, tjenesteleverandører for folkefinansiering, verdipapiriseringsregistre og tredjepartstilbydere av IKT-tjenester, jf. omtalen av forordningen artikkel 2 nr. 1 i punkt 2.4.2.1. Forordningens virkeområde omfatter dermed i utgangspunktet alle foretakene som omfattes av IKT-forskriften, unntatt finansieringsforetak, inkassoforetak og eiendomsmeglingsforetak. I tillegg er små forsikrings- og pensjonsforetak underlagt IKT-forskriften, men unntatt fra forordningen etter artikkel 2 nr. 3.

Departementet antok derfor i høringsnotatet at det særlig kunne være aktuelt å fastsette nasjonale regler om IKT-risikostyring mv. for inkassoforetak, eiendomsmeglingsforetak og små forsikrings- og pensjonsforetak. Finansieringsforetak og låneformidlingsforetak ble i denne sammenheng ikke særskilt omtalt i høringsnotatet, men nasjonale regler vil kunne være aktuelt også for disse foretakene, jf. bl.a. at finansieringsforetak er underlagt IKT-forskriften i dag. Basert på høringsinnspillene antar departementet at det også kan vise seg å være hensiktsmessig med hjemmel til å fastsette i forskrift i hvilket omfang morselskap i finanskonsern skal være omfattet av DORA-forordningen. Utkastet til hjemmel for å fastsette slike regler omfattet imidlertid også andre foretak som er unntatt fra forordningen etter artikkel 2 nr. 3, det vil si forvaltere av alternative investeringsfond med forvaltningskapital under visse terskler, fysiske og juridiske personer som er unntatt fra virkeområdet til verdipapirmarkedsdirektivet, forsikringsformidlere, gjenforsikringsformidlere og tilknyttede forsikringsformidlere som er mikroforetak eller små eller mellomstore foretak, og såkalte postgiroinstitusjoner. Selv om departementet ikke nå ser at det er behov for å fastsette nasjonale regler om IKT-risikostyring mv. for foretak som verken omfattes av DORA-forordningen eller er underlagt IKT-forskriften, kan markeds- og risikoutviklingen gjøre slike regler nødvendige senere.

Departementet foreslår derfor en forskriftshjemmel som gir mulighet for å fastsette nasjonale regler om IKT-risikostyring mv. for foretak som er nevnt i forordningen artikkel 2 nr. 3, finansieringsforetak, låneformidlingsforetak, inkassoforetak, eiendomsmeglingsforetak og morselskap i finanskonsern. Det vises til lovforslaget § 2.

Videre er spørsmålet hvilke nasjonale krav som skal kunne fastsettes for foretak som ikke omfattes av forordningen. Etter høringsutkastet kan det fastsettes at bestemmelsene i forordningen helt eller delvis skal gjelde for de aktuelle foretakene, herunder at foretakene skal få forenklede krav i samsvar med relevante bestemmelser i forordningen. Departementet pekte i høringsnotatet på at én mulighet kan være at IKT-forskriften videreføres som forenklede krav, dog etter en gjennomgang for å sikre konsistens med forordningen, og at en annen mulighet kan være å fastsette at forordningskravene skal gjelde helt eller delvis. Som bl.a. Finans Norge, Oslo Børs og Verdipapirforetakenes Forbund har pekt på, er det ikke nærmere utredet i høringsnotatet hvordan nasjonale forskriftskrav konkret bør utformes. Departementet har imidlertid bedt Finanstilsynet utrede dette i et nytt høringsnotat, som vil bli sendt på høring. Det vil uansett ikke være aktuelt å gi nasjonale krav for foretak som omfattes av forordningen, jf. også at lovforslaget § 2 ikke åpner for dette.

Foretakene som ikke omfattes av forordningen, har generelt virksomhet av begrenset omfang og kompleksitet, noe som tilsier at nasjonale forskriftskrav om IKT-risikostyring mv. bør være vesentlig enklere enn forordningskravene. Samtidig bør nasjonale krav så langt som mulig samsvare med forordningskravenes formål og innretning, slik at arbeidet med IKT-risikostyring mv. blir konsistent på tvers av finanssektoren. Departementet legger uansett til grunn at de nye forskriftskravene i utgangspunktet ikke bør være mer omfattende enn det som følger av dagens IKT-forskrift, og utelukker ikke at det kan være behov for ytterligere forenklinger. Departementet er enig med Finans Norge i at dersom det skulle være aktuelt å fastsette krav for foretak som i dag ikke er underlagt IKT-forskriften, må det foretas en særskilt vurdering av om slike regler er et egnet rammeverk for virksomhetenes begrensede omfang og kompleksitet. Departementet vil som nevnt sende på høring utkast til nasjonale forskriftsregler om IKT-risikostyring mv. for foretak som ikke omfattes av forordningen.

Flere av høringsinstansene har pekt på behovet for en proporsjonal anvendelse av kravene i forordningen. Dette følger for det første i noen grad direkte av forordningen, der det er angitt at foretakene selv skal bruke visse regler proporsjonalt, basert på vurderinger av foretakets størrelse og samlede risikoprofil, samt virksomhetens type, omfang og kompleksitet. Dette gir grunnlag for at enklere virksomheter kan ha en enklere tilnærming til bl.a. risikostyringskravene. I tillegg er det noen regler, som krav om avansert testing, som ikke vil være relevante for enklere virksomheter. For det andre skal Finanstilsynet legge proporsjonalitetsprinsippet til grunn for tilsyn og annen oppfølging av det nye regelverket. Dette er angitt konkret i forordningen, og samsvarer også med Finanstilsynets risikobaserte oppfølging av foretak generelt.

Når det kommer til forholdet mellom ikrafttredelse av digitalsikkerhetsloven og DORA, viser departementet til digitalsikkerhetsloven § 5, som sier at dersom det stilles krav om sikkerhet og varsling i annen lov eller forskrift som minst tilsvarer kravene etter digitalsikkerhetsloven, skal kravene etter denne andre loven eller forskriften benyttes. I Prop. 109 LS (2022–2023) s. 24 er bank- og finansmarkedsinfrastruktur nevnt som eksempler på sektorer som har sikkerhets- og varslingskrav som tilsvarer kravene i digitalsikkerhetsloven, gjennom IKT-forskriften. DORA har mer omfattende krav enn IKT-forskriften, og vil derfor benyttes fremfor digitalsikkerhetsloven. Fordi foretak i finanssektoren som blir omfattet av digitalsikkerhetslovens virkeområde uansett skal etterleve kravene i sektorregelverket fremfor kravene i digitalsikkerhetsloven og -forskriften, er det departementets oppfatning at tidspunkt for ikrafttredelse av digitalsikkerhetsloven vil ha liten praktisk betydning for foretak i finanssektoren.

2.5.4 Styret og daglig leders ansvar

2.5.4.1 Høringsutkastet

Departementet viste i høringsnotatet bl.a. til at foretakene etter forordningen artikkel 5 nr. 1 skal ha et overordnet rammeverk for IKT-risikostyring, og at rammeverket etter nr. 2 skal fastsettes, godkjennes og overvåkes av foretakets ledelsesorgan («management body» på engelsk), jf. også omtale i punkt 2.4.2.2. Ledelsesorganet er definert i forordningen artikkel 3 nr. 30 ved henvisninger til annet regelverk, hovedsakelig slik at det vises til organet som har ansvaret for å utarbeide foretakets strategi og overordnede mål og overvåke ledelsens beslutninger. Departementet bemerket at dette organet i norsk kontekst vil være styret.

I høringsnotatet ble det videre pekt på at styret (ledelsesorganet) etter forordningen artikkel 5 nr. 2 bl.a. skal innføre retningslinjer for beskyttelse og tilgjengelighet av data, fastsette roller og ansvarsområder, fastsette en overordnet strategi og nivå for risikotoleranse, godkjenne ulike planverk, fastsette et passende budsjett og godkjenne og jevnlig revidere retningslinjer for bruk av IKT-leverandører. Styret (ledelsesorganet) skal etter bestemmelsen også etablere rapporteringskanaler for å holde seg orientert om bruken av IKT-leverandører, planlagte endringer og den potensielle innvirkningen av disse på foretakets kritiske og viktige funksjoner.

Det ble videre vist til at medlemmene av styret (ledelsesorganet) etter artikkel 5 nr. 4 skal holde seg oppdatert med tilstrekkelig kunnskap og ferdigheter for å kunne forstå og vurdere IKT-risikoen og dens betydning for virksomheten, herunder gjennom jevnlig deltakelse på kurs. Det ble også vist til at IKT-ledelsen etter artikkel 13 bl.a. skal rapportere til styret (ledelsesorganet) minst årlig om funn og anbefalinger.

2.5.4.2 Høringsinstansenes syn

Advokatforeningen mener at «høringsnotatets omtale av ‘management body’ [bør] nyanseres for å reflektere kompetansedelingen mellom styret og daglig leder etter norsk rett». Advokatforeningen uttaler videre bl.a. følgende:

«Som påpekt i høringsnotatet henviser DORA art. 3 (30) til nærmere definisjoner i sektorreglene for blant annet kredittinstitusjoner (direktiv 2013/36, CRD IV) og verdipapirforetak (direktiv 2014/65, MiFID II). Deretter avsluttes DORA art. 3 (30) med følgende oppsamlingskategori for de tilfeller som ikke fanges opp av foregående henvisninger:

‘(…) or the equivalent persons who effectively run the entity or have key functions in accordance with relevant Union or national law.’

Etter norsk selskapsrett er det daglig leder, og ikke styret, som ‘effectively run the entity.’ Det fremgår også av forarbeidene til gjennomføringen av CRD IV og MiFID II at daglig leder i noen sammenhenger er å regne som ‘management body.’ I Prop. 77 L (2017–2018) om gjennomføringen av MiFID II i norsk rett er forholdet mellom management body og norske selskapsorganer grundig behandlet, se særlig punkt 5.2.3.5:

‘Departementet er enig i utvalgets vurdering av at ledelsesorgan (eng. management body) som definert i MiFID II (jf. artikkel 4 nr. 1 punkt 36) etter norsk rett må forstås enten som styret eller styret og daglig leder eller styret, daglig leder og faktisk ledelse, og at det må angis hvilket organ eller person i et verdipapirforetak det enkelte krav retter seg mot når bestemmelsen i MiFID II gjennomføres i verdipapirhandelloven. Departementet bemerker imidlertid at når MiFID II artikkel 9 (jf. CRD IV artikkel 88) om styringsordninger (eng. governance arrangements) gjennomføres i bestemmelse om styrets oppgaver og ansvar (jf. forslag til § 9-11), vil bestemmelsen utfylles av aksjelovenes generelle regler om henholdsvis styrets og daglig leders ansvar og oppgaver.’

Videre er følgende uttalt i Prop. 125 L (2013–2014) om norsk gjennomføring CRD IV, se punkt 5.4.4:

‘Til FNOs merknad om at det kan være uklart hva som menes med «faktisk ledelse,» viser departementet til at dette begrepet svarer til uttrykket «persons who effectively run the undertaking,» jf. bla. Solvens II-direktivet artikkel 42 nr. 1, og at uttrykket må forstås på samme måte. Departementet viser i denne forbindelse også til definisjon av «management body» i CRD IV artikkel 3 nr. 1 (7), som lyder: «management body means an institution’s body or bodies, which are appointed in accordance with national law, which are empowered to set the institution’s strategy, objectives and overall direction, and which oversee and monitor management decision-making, and include the persons who effectively direct the business of the institution.’

Også her er det tydelig at ‘management body’ ikke er ensbetydende med styret, ettersom ‘faktisk ledelse’ regnes inn i begrepet.

Disse uttalelsene i forarbeidene må ses i sammenheng med at både CRD IV og MiFID II uttrykkelig forutsetter og hensyntar at det er ulik regulering av kompetansefordelingen mellom selskapsorganene i de ulike medlemslandenes selskapsrett:

MiFID II, fortalens punkt 55:

‘Different governance structures are used across Member States. In most cases a unitary or a dual board structure is used. The definitions used in this Directive are intended to embrace all existing structures without advocating any particular structure. They are purely functional for the purpose of setting out rules aiming to achieve a particular outcome irrespective of the national company law applicable to an institution in each Member State. The definitions should therefore not interfere with the general allocation of competences in accordance with national company law.’

CRD IV, fortalens punkt 56:

‘A management body should be understood to have executive and supervisory functions. The competence and structure of management bodies differ across Member States. In Member States where management bodies have a one-tier structure, a single board usually performs management and supervisory tasks. In Member States with a two-tier system, the supervisory function is performed by a separate supervisory board which has no executive functions and the executive function is performed by a separate management board which is responsible and accountable for the day-to-day management of the undertaking. Accordingly, separate tasks are assigned to the different entities within the management body.’

I norsk rett er selskapsledelsen fordelt mellom styret og daglig leder, hvor utførende ansvar for den operative virksomheten ligger hos daglig leder, mens styret skal sørge for forsvarlig organisering og føre tilsyn med selskapets virksomhet. Dette henger sammen med at det vil være en lite hensiktsmessig ansvarsfordeling og forstyrrende for styrets kjerneoppgaver om styret også skal ha en sentral rolle i den operative virksomheten. Ser man hen til de konkrete oppgavene som i DORA tillegges ‘management body,’ vil det etter Advokatforeningens oppfatning kunne være naturlig å legge følgende ansvarsområder under daglig leder:

DORA art. 5 (1)

‘The management body of the financial entity shall define, approve, oversee and be responsible for the implementation of all arrangements related to the ICT risk management framework referred to in Article 6(1).’

DORA art. 5 (2) (g)

‘allocate and periodically review the appropriate budget to fulfil the financial entity’s digital operational resilience needs in respect of all types of resources, including relevant ICT security awareness programmes and digital operational resilience training referred to in Article 13(6), and ICT skills for all staff’

DORA art. (4)

‘Members of the management body of the financial entity shall actively keep up to date with sufficient knowledge and skills to understand and assess ICT risk and its impact on the operations of the financial entity, including by following specific training on a regular basis, commensurate to the ICT risk being managed.’

Videre kan ytterligere oppgaver og ansvar bli tillagt ‘management body’ i delegerte kommisjonsforordninger eller gjennom utfyllende veiledning fra europeiske tilsynsmyndigheter, som det kan tenkes å være naturlig å legge under daglig leder etter norsk rett.

Etter Advokatforeningens oppfatning bør forarbeidene tydeliggjøre at ansvaret som påhviler ‘management body’ etter DORA i noen sammenhenger vil falle inn under ansvarsområdet til daglig leder, gitt kompetansefordelingen mellom styret og daglig leder etter norsk rett. Dette vil etter Advokatforeningens oppfatning være i samsvar med den norske implementeringen av CRD IV og MiFID II.»

2.5.4.3 Departementets vurdering

Departementet er enig i at de kravene som DORA stiller til «ledelsesorganet» bør tillegges henholdsvis styret og daglig leder i foretaket, i tråd med den alminnelige selskapsrettslige ansvarsfordelingen mellom disse organene i norsk rett. Etter departementets vurdering betyr dette at utførende ansvar for den operative virksomheten normalt ligger hos daglig leder, mens styret på sin side skal sørge for forsvarlig organisering og føre tilsyn med selskapets virksomhet, jf. eksempelvis finansforetaksloven § 8-6.

I DORA-forordningen er «ledelsesorgan» («management body») nevnt i artikkel 5, 13, 17, 28 og 50.

Artikkel 5 gjelder styring, organisering og kontroll av foretakets IKT-risiko. Departementet har en noe annen vurdering enn Advokatforeningen når det kommer til hvilket organ som bør gis plikter etter artikkel 5 i en norskrettslig kontekst. Etter departementets vurdering omfatter ansvaret etter artikkel 5 oppgaver som naturlig faller inn under styrets «påse-plikt». Dette utelukker naturligvis ikke at daglig leder eller andre i foretaket kan bistå styret med å utarbeide retningslinjer mv. De kompetansekravene som artikkel 5 nr. 4 stiller til medlemmene av den finansielle enhetens ledelsesorgan bør etter departementets syn anses å gjelde både for styret og daglig leder, men slik at kravene som stilles i noen grad kan tilpasses organenes rolle, herunder at det vil kunne sees hen til styrets samlede kompetanse.

Artikkel 13 gjelder læring og utvikling. Det følger av artikkel 13 nr. 5 at ledende IKT-ansatte minst én gang i året skal rapportere til ledelsesorganet om resultater fra tester mv. Etter departementets vurdering er dette en rapportering som i norskrettslig kontekst bør gis til styret, mens det vil være naturlig at daglig leder er løpende orientert om tester, resultater mv.

Artikkel 17 stiller krav om at foretakene har en prosess for håndtering av IKT-relaterte hendelser. Etter departementets vurdering er dette oppgaver som i norskrettslig kontekst naturlig tilligger både styret og daglig leder, men slik at styret normalt vil ha en «påse-plikt» mens daglig leder har det utførende ansvaret.

Artikkel 28 oppstiller generelle prinsipper for IKT-risikostyring. Etter departementets vurdering er dette prinsipper som vil gjelde for både styret og daglig leders arbeid når de utfører sine oppgaver i tråd med den selskapsrettslige ansvarsfordelingen.

Artikkel 50 gjelder administrative sanksjoner og avhjelpende tiltak. Etter artikkel 50 nr. 5 kan administrative sanksjoner anvendes på «medlemmer av ledelsesorganet og andre personer som i henhold til nasjonal rett er ansvarlige for overtredelsen». Etter departementets vurdering ville dette kunne være relevant å ilegge både styret og daglig leder, jf. også forslaget til regler om overtredelsesgebyr omtalt i punkt 2.5.8 og lovforslaget § 4.

Oppsummert mener departementet at pliktene etter DORA må tolkes inn i ansvarsfordelingen mellom styret og daglig leder etter sektorregelverket og norsk selskapsrett. Der hvor det er usikkerhet om ansvarsfordelingen, påhviler det styret i det enkelte foretak å sørge for en avklaring om hva som er eller skal være styrets ansvar og hva som skal være ledelsens (daglig leders) ansvar.

2.5.5 Hendelsesrapportering, informasjonsdeling og testing av motstandsdyktighet

2.5.5.1 Høringsutkastet

Departementet viste i høringsnotatet til at forordningen har en rekke krav til håndtering, klassifisering og rapportering av IKT-hendelser, bl.a. krav etter artikkel 19 om at foretakene skal rapportere til tilsynsmyndigheten om alle alvorlige IKT-hendelser. Nasjonale myndigheter kan fastsette at denne hendelsesrapporteringen (og ev. frivillig innrapportering av vesentlige cybertrusler) også skal gå til tilsynsmyndigheter eller responsmiljøer utpekt etter NIS2-direktivet, jf. punkt 2.4.2.3 over. I høringsnotatet ble det samtidig vist til at det i den norske gjennomføringen av NIS1-direktivet (digitalsikkerhetsloven) er lagt opp til å benytte eksisterende strukturer i størst mulig grad, slik at Finanstilsynet uansett antas å være mottaker av slik ev. rapportering fra foretakene i finanssektoren. Departementet bemerket at dersom det i NIS1-gjennomføringen, eller den senere NIS2-gjennomføringen, utpekes andre tilsynsmyndigheter eller responsmiljøer som det vil være hensiktsmessig at foretakene i finanssektoren rapporterer direkte til, bør det gjøres en ny vurdering av disse foretakenes plikter, og at ev. plikter for foretak i finanssektoren etter digitalsikkerhetsloven uansett bør samordnes med pliktene etter DORA-forordningen.

I høringsnotatet ble det vist til at foretakene etter forordningen artikkel 45 på visse vilkår kan utveksle informasjon og etterretning om cybertrusler. Blant kravene er at foretakene skal informere tilsynsmyndigheten om deltakelse i slike informasjonsutvekslingsordninger.

Departementet pekte også på at foretakene etter forordningen artikkel 24 skal ha et helhetlig program for risikobaserte tester gjennomført av uavhengige parter. Etter artikkel 26 skal de mest betydningsfulle foretakene gjennomføre mer avansert testing i form av trusselbasert penetrasjonstesting («threat-led penetration test», TLPT).

2.5.5.2 Høringsinstansenes syn

Nordic Financial CERT (NFCERT) uttaler følgende om informasjonsdeling:

«DORA-reguleringens artikkel 45 kan gi et godt grunnlag for at NFCERT og våre medlemmer kan fortsette det viktige arbeidet med samarbeid og informasjonsdeling for å hindre og motstå cyberangrep.

Det er sentralt at myndighetene også bidrar. I det nye globale risikobildet, trenger næringen god informasjon og støtte til å forstå trusselbildet også fra myndigheter med kunnskap om det.»

Norges Bank uttaler følgende om trusselbasert testing:

«Finanstilsynet og Norges Bank har allerede innført en metode for avansert trusselbasert testing av kritiske funksjoner i finanssektoren. Metoden er basert på et rammeverk fra den europeiske sentralbanken kalt TIBER-EU og er innført i alle de nordiske landene og flere land i Europa. Testingen etter TIBER-NO er frivillig.

Norges Bank har etablert et TIBER Cyber Team (TCT-NO) som veileder banker og andre finansforetak i gjennomføringen av testing etter TIBER-NO. TCT-NO deltar også i grensekryssende tester i regi av andre sentralbanker og har tett samarbeid med de andre nordiske sentralbankene som også har innført TIBER. Det er også etablert et forum (TIBER-NO Forum) hvor alle foretakene som skal teste etter TIBER-NO deltar. Formålet er å diskutere erfaringer med testing og lære av hverandre.

Kapittel 4 i DORA omhandler blant annet avansert sikkerhetstesting, TLPT (Threat-led penetration testing) som er basert på TIBER-EU-rammeverket. TIBER-rammeverket anerkjennes også i DORA, blant annet i fortalens avsnitt 58 (…).»

Nordic Financial CERT (NFCERT) uttaler seg også om slik testing:

«Reguleringen inneholder også krav om såkalt trusselbasert penetrasjonstesting (TLPT) for enkelte virksomheter. NFCERT fyller i dag behovet for ekstern trusselinformasjon for TIBER-NO testene, som foregår i regi av Norges Bank og Finanstilsynet. Vi håper at de gode ordningene som er etablert for samarbeid i forbindelse med TIBER-NO testene også kan videreføres for TLPT-tester etter DORA.»

2.5.5.3 Departementets vurdering

Foretakene som underlegges krav om hendelsesrapportering etter DORA-forordningen, skal rapportere om alvorlige hendelser til Finanstilsynet (jf. omtalen av tilsynsmyndighet nedenfor). Selv om konkrete krav, format mv. kan endres med innføringen av forordningen, innebærer rapporteringen i all hovedsak en videreføring av det som følger av dagens regler og praksis.

Som omtalt i høringsnotatet åpner forordningen for at nasjonale myndigheter kan fastsette at hendelsesrapportering også skal gå til kompetente myndigheter eller responsmiljøer (CSIRT-enheter) utpekt etter direktiv (EU) 2022/2555 om tiltak for å sikre et høyt felles nivå for sikkerhet i nettverks- og informasjonssystemer i hele Unionen (NIS2-direktivet), og at frivillig rapportering fra foretakene om vesentlige cybertrusler også skal gå til slike responsmiljøer. Formålet med dette er å sikre god informasjonsflyt også mellom finansforetakene og relevante myndighetsaktører utenfor finansiell sektor, f.eks. slik at foretakene i finanssektoren raskt kan få tilgang til relevante tekniske innspill, oppfølging mv., fra disse aktørene.

I Norge skal NIS1-direktivet gjennomføres i digitalsikkerhetsloven med forskrifter. NIS2-direktivet opphever NIS1-direktivet i EU, men en del bestemmelser er i stor grad videreført, herunder utpeking av kompetente myndigheter og CSIRT-enhet. Digitalsikkerhetsloven er foreløpig ikke trådt i kraft. Dersom det på sikt viser seg å være hensiktsmessig at foretak i finanssektoren rapporterer direkte også til myndighetsaktører utpekt etter nasjonalt regelverk som gjennomfører NIS1-direktivet og på sikt NIS2-direktivet, bør hjemmel til å beslutte dette fremgå av lov om digital operasjonell motstandsdyktighet i finanssektoren.

Departementet foreslår derfor i lovforslaget § 3 tredje ledd en forskriftshjemmel som åpner for at departementet kan fastsette bestemmelser om hendelsesrapportering til, og informasjonsdeling med, andre varslingsmottakere enn Finanstilsynet. Dersom det blir aktuelt å rapportere om hendelser også til andre myndigheter, legger departementet til grunn at rapporteringspliktene bør samordnes.

Forordningen legger etter departementets vurdering godt til rette for at norske foretak kan fortsette å dele informasjon og etterretning knyttet til cybertrusler og sårbarheter, slik mange norske foretak allerede gjør gjennom samhandlingen med Nordic Financial CERT. Regelverket legger også til rette for å bygge videre på arbeidet som er lagt ned i utviklingen av TIBER-NO for avansert trusselbasert testing av foretakenes motstandsdyktighet.

2.5.6 Forholdet til utkontraktering generelt

2.5.6.1 Høringsutkastet

Departementet viste i høringsnotatet til at det etter forordningen artikkel 28 bl.a. er krav om at foretakene skal ha et register over bruk av tjenester fra IKT-leverandører, og minst årlig rapportere til tilsynsmyndigheten. Dersom den avtalte tjenesteleveransen ikke møter kravene i forordningen, skal foretaket stanse den på ordnet måte, og tilsynsmyndigheten skal om nødvendig gi pålegg om retting eller stans. Det ble videre vist til at det etter finanstilsynsloven § 4 c er meldeplikt ved utkontraktering generelt, og at Finanstilsynet om nødvendig kan gripe inn med pålegg. Departementet kommenterte at denne meldeplikten ikke er begrenset til avtaler om IKT-tjenester, og i utgangspunktet derfor bør kunne videreføres. Departementet uttalte likevel at det er et spørsmål om finanstilsynsloven § 4 c bør endres slik at bestemmelsen bare gjelder annen utkontraktering enn det som omfattes av utkastet til lov om digital operasjonell motstandsdyktighet i finanssektoren, siden bestemmelsen ellers kan tenkes å være i strid med forordningsreglene og skape uklarhet for foretakene. Departementet hadde ikke inntatt dette i lovutkastet, men uttalte at en ville vurdere det i lys av høringssvarene.

2.5.6.2 Høringsinstansenes syn

Advokatforeningen, Finans Norge og Verdipapirforetakenes Forbund (VPFF) mener at bestemmelsen i finanstilsynsloven bør endres slik at den bare gjelder annen utkontraktering enn det som omfattes av forordningen. Finans Norge uttaler bl.a. følgende:

«Finans Norge støtter endringer i finanstilsynsloven § 4 c, slik at denne bestemmelsen kun gjelder annen utkontraktering enn det som omfattes av utkastet til ny lov om digital operasjonell motstandsdyktighet i finanssektoren.

Etter Finans Norges syn, er det uhensiktsmessig at finansforetakene pålegges å melde utkontraktering til Finanstilsynet i to ulike kanaler. Finans Norge ser med fordel at departementet samordner meldeplikten ved utkontraktering. En slik samordning vil sikre konsistens og klarhet i regelverket, samt forhindre at finansforetakene dobbelreguleres på dette punkt.

Vi foreslår at finanstilsynsloven § 4 c første ledd endres til følgende:

§ 4 c.

Foretak som nevnt i § 1 [og som ikke er omfattet av lov om digital operasjonell motstandsdyktighet i finanssektoren] skal melde fra til Finanstilsynet ved inngåelse av avtale om utkontraktering av virksomhet, ved senere [vesentlig] endring av slik avtale og ved bytte av oppdragstaker. Meldingen skal gis minst 60 [20] virkedager før iverksettelsen av avtalen, avtaleendringen eller byttet av oppdragstaker.

Finans Norge foreslår at kravet til meldeplikt ved endringer av avtale, bare bør gjelde ved ‘vesentlig’ endring. Utkontrakteringsavtaler vil ofte endres løpende som følge av revisjon av standardvilkår og prisendringer mv. Dette er endringer som ikke innebærer noen reell eller vesentlig endring av risikoprofil for den utkontrakterte virksomhet.

Videre foreslås det at fristen for meldeplikt, reduseres fra 60 virkedager til 20 virkedager. Dagens frist på 60 virkedager er uhensiktsmessig lang og lite praktisk anvendelig. Ofte har finansforetakene behov for å gjøre endringer på kort tid som følge av eksterne forhold utenfor deres kontroll.»

Oslo Børs ASA mener at bestemmelsen i finanstilsynsloven ikke kan beholdes i sin nåværende form, da dette ville innebære nasjonale regler i overlapp med en forordning i strid med Norges EØS-forpliktelser, og uttaler bl.a. følgende:

«I dag [har] finanstilsynsloven § 4 c i praksis størst betydning for utkontraktering av IKT-tjenester. Etter nødvendige konsekvenstilpasninger for å sikre at bestemmelsen ikke lengre overlapper med DORA, herunder sikre at utkontraktering av IKT-tjenester ikke omfattes, vil det praktiske anvendelsesområdet være svært begrenset. Bestemmelsen legger også opp til et annet regime for transparens (meldeplikt i forkant) enn det DORA legger opp til (årlig rapportering). Å opprettholde finanstilsynsloven § 4 c om meldeplikt for annen utkontraktering vil derfor medføre en regel av begrenset praktisk betydning, som dertil fragmenterer systematiseringen av meldeplikt ved utkontraktering.

Oslo Børs er av den oppfatning at en slik upraktisk og fragmenterende regel er uhensiktsmessig og uheldig. Når det først er aktuelt å endre finanstilsynsloven, bør anledningen derfor benyttes til å oppheve § 4 c i sin helhet for de foretak som omfattes av DORA. Dersom det for spesifikke avgrensede områder skulle være behov for særregulering av utkontraktering må det gjøres gjennom særlovgivningen og ikke gjennom generell tilsynslovgivning. Reglen om utkontraktering i finanstilsynsloven § 4 c har et uavklart forhold til flere sektorspesifikke EØS-rettsakter. Etterlevelse av Norges EØS-forpliktelser tilsier at et forhold som utkontraktering reguleres i samme nasjonale sektorlovgivning som tilhørende EØS rettsakt. En slik tilnærming vil legge til rette for at de nødvendige forhold utredes opp mot relevante EØS rettsaker.»

Finansforbundet uttaler følgende:

«Finansforbundet har tidligere kritisert utflagging av tjenester, blant annet grunnet tap av kompetanse. Utfordringen med å ha for lite kompetanse er at vi mister verdifull bestiller-, innkjøps- og kontrollkompetanse, noe Finansmarkedsmeldingen også belyser. Finansforbundet har videre merket seg at totalberedskapskommisjonen mener det er avgjørende at finansnæringen har et bevisst forhold til hvilken kompetanse som ikke bør utkontrakteres. Vi vil understreke at det er avgjørende med god oppfølging når det gjelder dette området. Det er positivt at Finanstilsynet har vedtatt forskrift om meldeplikt ved utkontraktering av virksomhet og utarbeidet et eget rundskriv om utkontraktering. Vi mener videre det er grunnlag for å undersøke nærmere hvilke erfaringer næringen har gjort seg med det å legge IKT-funksjoner til land utenfor Norge, for å kartlegge hvilke konsekvenser dette har med hensyn til å kunne ivareta kritisk kompetanse i Norge.»

2.5.6.3 Departementets vurdering

DORA-forordningen har omfattende krav til foretakenes avtaler om bruk av tjenester fra IKT-leverandører, herunder hvordan tilsynsmyndigheten skal informeres om avtaler og planlagte avtaler. Dersom foretaket ikke innretter seg etter forordningens krav, kan tilsynsmyndigheten gripe inn med pålegg om retting eller stans. Finanstilsynsloven § 4 c har regler om bl.a. meldeplikt og inngripsmulighet før utkontraktering som ikke synes å samsvare med forordningens system. Videreføring av lovbestemmelsen kan derfor være i strid med Norges forpliktelser etter EØS-avtalen. Selv om et viktig formål med finanstilsynsloven § 4 c er kontroll med utkontraktering av virksomhet som omfattes av forordningen, gjelder den imidlertid også annen type utkontraktering som Finanstilsynet bør få informasjon om og ha mulighet for å gripe inn overfor. Departementet foreslår derfor, som nevnt i høringsnotatet, at finanstilsynsloven § 4 c endres slik at bestemmelsen bare gjelder annen utkontraktering enn det som omfattes av forordningen. Siden bestemmelsen er vedtatt videreført i ny finanstilsynslov, innebærer lovforslaget endring av lov 21. juni 2024 nr. 41 om Finanstilsynet § 4-6.

Etter DORA-forordningen artikkel 28 skal foretakene ha et register med oversikt over bruk av tjenester fra IKT-leverandører, som på forespørsel skal gjøres tilgjengelig for tilsynsmyndigheten. Foretakene skal dessuten minst årlig rapportere til tilsynsmyndigheten om nye avtaler som er inngått, og i tillegg informere myndigheten i rimelig tid om planlagte avtaler om IKT-tjenester som vil understøtte kritiske eller viktige funksjoner, samt når en funksjon har blitt kritisk eller viktig. EU-kommisjonen kan fastsette nærmere regler om informasjonen som skal inngå i det nevnte registeret, men når det gjelder hyppighet, format mv. for annen informasjon om inngåtte og planlagte avtaler som etter forordningen skal nå tilsynsmyndigheten, vil det være hensiktsmessig at tilsynsmyndigheten utarbeider en veiledning. Hvilken informasjon tilsynsmyndigheten forventer å motta om inngåtte og planlagte avtaler, samt tilsynsmyndighetens behandling av informasjonen, vil da være forutsigbar for foretakene. Det samme gjelder tilsynsmyndighetens forventninger til informasjonens format og hyppighet. En veiledning vil også medføre en standardisering/forenkling for foretakene og en forenkling av tilsynsmyndighetens saksbehandling. Selv om tilsynsmyndigheten utarbeider en veiledning, kan det bli behov for at departementet gir nasjonale regler. Departementet foreslår derfor en forskriftshjemmel som gir mulighet for å fastsette utfyllende krav til rapporteringen og annen informasjon som skal gis Finanstilsynet om inngåtte og planlagte avtaler om bruk av tjenester fra IKT-leverandører. Det vises til lovforslaget § 3 annet ledd.

2.5.7 Tilsyn mv.

2.5.7.1 Høringsutkastet

Departementet viste i høringsnotatet til at Finanstilsynet er tilsynsmyndighet for foretakene som omfattes av forordningen (unntatt IKT-leverandører), og i utkastet til lov om digital operasjonell motstandsdyktighet i finanssektoren § 3 ble det skissert en bestemmelse som slår fast at Finanstilsynet er nasjonal tilsynsmyndighet etter forordningen og skal føre tilsyn med overholdelse av bestemmelser gitt i eller i medhold av den nye loven. Dette samsvarer med Finanstilsynets rolle i de regelverkene som er nevnt i forordningen artikkel 46. Departementet la til grunn at finanstilsynsloven dekker de hjemlene tilsynsmyndigheten skal ha etter forordningen artikkel 50, herunder opplysningsplikt, stedlige tilsyn og pålegg om retting.

For IKT-leverandører bemerket departementet at forordningen innfører et rammeverk for overvåking på europeisk nivå, der de felleseuropeiske tilsynsmyndighetene (EBA, EIOPA og ESMA) skal utpeke IKT-leverandører som er kritiske for finanssektoren i EU. Avhengig av hvilken del av finanssektoren IKT-leverandøren har størst betydning for, skal en av de felleseuropeiske tilsynsmyndighetene følge opp leverandøren gjennom rollen som hovedovervåker. Departementet viste til at det etter innlemmelse av forordningen i EØS-avtalen kan antas at det er IKT-leverandører som er kritiske for finanssektoren også i resten av EØS, som skal utpekes, og at det vil være et EØS/EFTA-organ som skal ha rollen som hovedovervåker overfor ev. kritiske IKT-leverandører som er etablert i et EØS/EFTA-land. Departementet viste i den forbindelse til at et av prinsippene for EØS-tilpasninger er at bindende vedtak som de felleseuropeiske tilsynsmyndighetene etter regelverket skal kunne fatte i EU, skal fattes av EFTAs overvåkingsorgan i EØS/EFTA-landene. Departementet antok deretter at Finanstilsynets rolle som nasjonal tilsynsmyndighet vil være å delta i det generelle overvåkingsforumet som skal etableres etter forordningen artikkel 32, og ev. også i undersøkelsesgrupper som etableres for undersøkelser og inspeksjoner hos den enkelte IKT-leverandør. Finanstilsynet ble også antatt å få i oppgave å følge opp de norske finansielle foretakenes håndtering av risiko som identifiseres i anbefalinger til IKT-leverandører.

Departementet pekte i høringsnotatet på at tilsynsmyndigheten etter forordningen artikkel 26 nr. 8 skal identifisere hvilke foretak som skal ha krav om å gjennomføre avansert testing i form av trusselbasert penetrasjonstesting («threat-led penetration test», TLPT). Videre ble det vist til at den ansvarlige myndigheten for TLPT er tilsynsmyndigheten, med mindre det bestemmes noe annet nasjonalt etter artikkel 26 nr. 9 og 10.

2.5.7.2 Høringsinstansenes syn

Norges Bank uttaler bl.a. følgende om den ansvarlige myndigheten for TLPT:

«Vi forstår [artikkel 26] nr. 9 slik at landene kan peke ut en myndighet som skal ha ansvar for TLPT på nasjonalt nivå. Det følger av nr. 10 at dersom det ikke skjer en utpeking av myndighet med ansvar for TLPT etter nr. 9 kan den kompetente myndigheten delegere noen eller alle oppgavene som følger av artikkel 26 og artikkel 27 til en annen nasjonal myndighet i finanssektoren. Kompetent myndighet for DORA (Finanstilsynet) vil ha tilgang til resultatene fra en test som en del av tilsynsvirksomheten.»

Norges Bank viser til at det i Danmark er planlagt å utpeke sentralbanken som TLPT-myndighet, og at dette er omtalt bl.a. slik i et dansk lovforslag:

«Det er forventningen, at bemyndigelsen vil blive udnyttet til at fastsætte regler, der udpeger Danmarks Nationalbank som ansvarlig myndighed i henhold til DORA-forordningens artikel 26, stk. 9. Såfremt Danmarks Nationalbank udpeges som ansvarlig myndighed vil de være ansvarlig for TLPT-relaterede anliggender for alle virksomheder, der skal gennemføre TLPT, hvilket også omfatter at udpege de virksomheder, der skal pålægges at gennemføre TLPT, herunder operatører af finansiel digital infrastruktur ().»

Norges Bank mener at «det bør innføres en mulighet for å eksplisitt kunne utpeke TLPT-myndighet etter artikkel 26 nr. 9 i Norge». Dette vil ifølge Norges Bank gi «en fleksibilitet som er i tråd med intensjonene i DORA for hvordan organiseringen av TLPT Cyber Team (TCT) skal være». Norges Bank foreslår derfor at Finansdepartementet vurderer om det er behov for å gjøre tilpasninger i norsk lovtekst for å kunne utpeke TLPT-myndighet etter DORA-forordningen artikkel 26 nr. 9.

2.5.7.3 Departementets vurdering

Som det ble vist til i høringsnotatet er Finanstilsynet tilsynsmyndighet for foretakene som omfattes av forordningen (unntatt IKT-leverandører), og skal derfor også være nasjonal tilsynsmyndighet etter forordningen. Dette foreslås angitt uttrykkelig i loven. Foruten å føre tilsyn med foretakenes overholdelse av bestemmelser i forordningen, innebærer dette bl.a. at Finanstilsynet skal delta i det generelle overvåkingsforumet som skal etableres etter forordningen artikkel 32, og ev. også i undersøkelsesgrupper som etableres for undersøkelser og inspeksjoner hos den enkelte IKT-leverandør. Det vises til lovforslaget § 3 første ledd.

Departementet viste i høringsnotatet til at det etter innlemmelse av forordningen i EØS-avtalen antas at det er IKT-leverandører som er kritiske for finanssektoren også i resten av EØS, som skal utpekes, og at det vil være et EØS/EFTA-organ som skal ha rollen som hovedovervåker overfor ev. kritiske IKT-leverandører som er etablert i et EØS/EFTA-land. Som omtalt i punkt 2.6 skal EFTAs overvåkingsorgan (ESA) ha denne rollen i EØS/EFTA-landene.

Som Norges Bank viser til i sitt høringssvar, kan det etter forordningen artikkel 26 nr. 9 pekes ut en myndighet som skal ha ansvar for trusselbasert penetrasjonstesting («threat-led penetration test», TLPT) på nasjonalt nivå, og denne myndigheten må i tilfelle gis all vedtakskompetanse og alle oppgaver som er nødvendig for å ivareta en slik funksjon. Dersom det ikke utpekes en slik myndighet, er det tilsynsmyndigheten som skal ivareta funksjonen som TLPT-myndighet, men tilsynsmyndigheten kan da delegere noen av eller alle oppgavene til en annen myndighet i finanssektoren. En slik delegasjonsløsning vil imidlertid ikke være anvendelig mellom Finanstilsynet og Norges Bank.

TLPT-myndighetens oppgaver og myndighet følger av forordningen artikkel 26 og 27. Når en TLPT er gjennomført, skal foretaket etter artikkel 26 nr. 6 oversende sammendrag av funn, forbedringsplaner og dokumentasjon til TLPT-myndigheten. Etter artikkel 26 nr. 7 er det angitt at «myndigheter» deretter skal gi en attest på at testen er korrekt gjennomført. Siden det er TLPT-myndigheten som etter nr. 6 skal motta den relevante informasjonen fra foretaket, forstår departementet «myndigheter» i nr. 7 som TLPT-myndigheten. Etter artikkel 27 nr. 2 bokstav a må TLPT-myndigheten godkjenne ev. bruk av interne testere. Etter artikkel 26 nr. 11 kan EU-kommisjonen fastsette tekniske standarder for TLPT i samsvar med TIBER-rammeverket fra Den europeiske sentralbanken (ESB). I et forslag til tekniske standarder oversendt fra de felleseuropeiske tilsynsmyndighetene til EU-kommisjonen 17. juli 2024 er det angitt en rekke oppgaver for TLPT-myndigheten, herunder at denne myndigheten skal avgjøre hvilke foretak som skal pålegges å gjennomføre TLPT, hvilket kan synes å stride med DORA-forordningen artikkel 26 nr. 8, som angir at tilsynsmyndigheten skal ha denne myndigheten. I det danske lovforslaget sitert av Norges Bank legges det på den annen side også til grunn at det er TLPT-myndigheten som skal avgjøre dette. Det danske lovforslaget ble for øvrig vedtatt som foreslått i mai 2024. De felleseuropeiske tilsynsmyndighetenes forslag til tekniske standarder innebærer videre at TLPT-myndigheten bl.a. skal delta i alle stadier av testingen, godkjenne en del av forutsetningene for testingen og samarbeide med andre lands TLPT-myndigheter (bl.a. om testing av foretak med virksomhet i flere land).

Uavhengig av om det utpekes en TLPT-myndighet, har tilsynsmyndigheten en rekke oppgaver relatert til TLPT. Som nevnt følger det av forordningen artikkel 26 nr. 8 at tilsynsmyndigheten skal identifisere hvilke foretak som skal pålegges å gjennomføre TLPT, i tillegg til at tilsynsmyndigheten etter artikkel 26 nr. 2 skal validere hvilke kritiske eller viktige funksjoner som skal omfattes av TLPT, og etter artikkel 27 nr. 2 verifisere at et foretak som ønsker å bruke interne testere, setter av tilstrekkelige ressurser og innretter testingen på en måte som unngår interessekonflikter. Etter det nevnte forslaget til tekniske standarder skal tilsynsmyndigheten bl.a. motta en tiltaksplan fra foretaket etter testen, og det er angitt at tilsynsmyndigheten og TLPT-myndigheten skal dele all relevant informasjon med hverandre.

Norges Bank og Finanstilsynet har begge ansvar og kompetanse som er relevant for utøvelsen av myndighetsoppgaver innen TLPT etter DORA-forordningen. Begge skal fremme stabilitet i det finansielle systemet og har tung kompetanse innen vurderinger av system- og cyberrisiko. Norges Bank skal også fremme et effektivt og sikkert betalingssystem. Finanstilsynet fører tilsyn med hele bredden av foretak i finanssektoren, herunder med foretakenes bruk av IKT og ytelse av betalingstjenester, og har som tilsynsmyndighet tilgang til omfattende og detaljert informasjon om foretakene. Finanstilsynet og Norges Bank har i dag et etablert samarbeid om TLPT etter TIBER-NO-rammeverket. Etter departementets vurdering er det viktig at Norges Bank og Finanstilsynet etablerer et godt samarbeid om TLPT etter DORA-forordningen for foretak i den norske finanssektoren, jf. at vurderingen av hvilke foretak som skal pålegges testing, bl.a. skal baseres på foretakets betydning for finanssektoren og finansiell stabilitet på nasjonalt og europeisk nivå, samt foretakets IKT-risikoprofil. Departementet antar at slike vurderinger må bygge på informasjon og vurderinger bl.a. fra det løpende tilsynet (og ev. ses i sammenheng med annen tilsynsmessig oppfølging) og analyser på systemnivå. For å legge til rette for at samarbeidet og oppgavedelingen mellom Finanstilsynet og Norges Bank i tilknytning til TLPT-testing etter DORA-forordningen kan formaliseres, foreslår departementet at det tas inn en forskriftshjemmel om dette i lovforslaget § 3 fjerde ledd.

2.5.8 Sanksjoner

2.5.8.1 Høringsutkastet

Departementet viste i høringsnotatet til at Finanstilsynet vil måtte kunne ilegge administrative sanksjoner ved overtredelser av det nye regelverket, jf. forordningen artikkel 51. Departementet la foreløpig til grunn at det bare ville være aktuelt med overtredelsesgebyr, og at andre sanksjoner som f.eks. ledelseskarantene ikke vil være relevant ved brudd på forordningskravene. Departementet uttalte deretter at innretningen på forordningskravene, bl.a. kravene til foretakenes styring og kontroll av IKT-risiko og håndtering og rapportering av IKT-hendelser, kan tilsi at overtredelser sanksjoneres på samme måte som overtredelse av bl.a. de generelle kravene til organisering av verdipapirforetakenes virksomhet etter verdipapirhandelloven.

I lovutkastet ble det derfor foreslått at Finanstilsynet kan ilegge overtredelsesgebyr ved overtredelse av bestemmelser gitt i eller medhold av loven, jf. at forvaltningsorganer etter forvaltningsloven § 44 første ledd kan ilegge overtredelsesgebyr når det er fastsatt i lov. Etter forvaltningsloven § 44 annet ledd kan overtredelsesgebyr ilegges etter faste satser eller utmåles i det enkelte tilfelle (individuell utmåling) innenfor en øvre ramme som må fastsettes i eller i medhold av lov. Forordningen har ikke bestemmelser om størrelsen på overtredelsesgebyr. På grunnlag av et forslag fra Finanstilsynet i 2019 om overtredelsesgebyr på ulike områder, inntok departementet i lovutkastet en foreløpig grense for overtredelsesgebyr på inntil 50 millioner kroner både for foretak og enkeltpersoner. Det ble kommentert at utmålingen av gebyrer innenfor en slik ev. grense må baseres på relevante kriterier i forvaltningsloven og forordningen, samt andre norske myndigheters praksis for bruk av overtredelsesgebyr, og videre at:

«Etter forvaltningsloven § 46 annet ledd skal det ved avgjørelsen av om et foretak skal ilegges administrativ sanksjon, og ved individuell utmåling av sanksjonen, bl.a. tas hensyn til sanksjonens preventive virkning, overtredelsens grovhet, om foretaket kunne ha forebygget overtredelsen, om overtredelsen er begått for å fremme foretakets interesser, om foretaket har hatt eller kunne oppnådd noen fordel ved overtredelsen, om det foreligger gjentakelse, foretakets økonomiske evne, om andre reaksjoner som følge av lovbruddet blir ilagt foretaket eller noen som har handlet på vegne av det, og om overenskomst med fremmed stat eller internasjonal organisasjon forutsetter bruk av administrativ foretakssanksjon eller foretaksstraff. Disse kriteriene samsvarer i stor grad med forordningen artikkel 51.»

Departementet viste til at når det er fastsatt i lov at det kan ilegges administrativ sanksjon overfor et foretak, er skyldkravet uaktsomhet med mindre noe annet er bestemt, jf. forvaltningsloven § 46 første ledd. Etter lovutkastet kan fysiske personer ilegges overtredelsesgebyr for forsettlige eller uaktsomme overtredelser, mens foretak kan ilegges overtredelsesgebyr når foretaket eller noen som har handlet på foretakets vegne, forsettlig eller uaktsomt har begått en overtredelse. Departementet uttalte følgende om hva slags overtredelser som skal kunne sanksjoneres:

«Det bør fremgå tilstrekkelig tydelig i loven hvilke handlinger eller unnlatelser som kan føre til ileggelse av overtredelsesgebyr. Siden bestemmelsene om sanksjoner i forordningen artikkel 50 og 51 er nokså generelt utformet uten konkret angivelse av hva slags overtredelser som skal kunne sanksjoneres med administrative sanksjoner, er det ikke gitt hvordan og i hvilken grad dette bør konkretiseres i norsk lov. Forordningen inneholder både overordnede krav til forsvarlig virksomhet og mer tekniske og detaljerte krav. Hvilke handlingsnormer som vil være egnet for håndtering av overtredelser, vil kunne komme klarere frem etter hvert som myndigheter og foretak får erfaring med det nye regelverket, samtidig som rammene for dette i utgangspunktet må være konkrete og fremgå av regelverket. Departementet vil vurdere nærmere hvilke bestemmelser i forordningen som det særlig bør være aktuelt å sanksjonere med overtredelsesgebyr, samt hvilken beløpsgrense som bør gjelde for konkrete overtredelser.»

I lovutkastet ble det foreløpig foreslått at overtredelse av følgende bestemmelser i forordningen kan medføre overtredelsesgebyr:

• artikkel 5 om forvaltning og organisasjon,

• artikkel 6 om rammeverk for IKT-risikostyring,

• artikkel 11 om respons og gjenoppretting,

• artikkel 12 om retningslinjer og prosedyrer for sikkerhetskopiering og gjenoppretting,

• artikkel 17 om prosess for håndtering av IKT-relaterte hendelser,

• artikkel 19 nr. 1, 3 og 4 om rapportering av alvorlige IKT-relaterte hendelser,

• artikkel 24 om generelle krav til gjennomføringen av testing av digital operasjonell motstandsdyktighet, og

• artikkel 28 om generelle prinsipper for forsvarlig styring av IKT-tredjepartsrisiko.

Departementet ba om innspill fra høringsinstansene til disse vurderingene.

2.5.8.2 Høringsinstansenes syn

Finans Norge mener den øvre rammen for overtredelsesgebyr er for høy, og at det tydelig bør angis hvilke handlinger eller unnlatelser som kan føre til ileggelse av overtredelsesgebyr, bl.a. med henvisning til at overtredelsesgebyr etter EMK er å anse som straff. Finans Norge skriver videre bl.a. at:

«Finans Norge er av den oppfatning at overtredelsesgebyr på inntil 50 millioner kroner er for høy. Generelt gir en høy øvre ramme signaler om at gebyrenes størrelse er lite gjennomtenkt. En høy øvre ramme skaper også en forventning om at rammene skal benyttes av Finanstilsynet, med den konsekvens at Finanstilsynets rom for skjønnsutøvelse blir videre enn nødvendig. Dette bidrar til å svekke finansforetakenes rettssikkerhet og forutberegnelighet. Finans Norge ber derfor om at den øvre rammen på overtredelsesgebyrene reduseres.

Med hensyn til foreldelse, bør reglene harmoniseres med tilsvarende bestemmelser i tilstøtende regelverk. Vi foreslår at adgangen til å ilegge overtredelsesgebyr foreldes fem år etter at overtredelsen er opphørt, og at fristen avbrytes ved at Finanstilsynet gir forhåndsvarsel eller fatter vedtak om overtredelsesgebyr. (…)

For Finans Norge er det viktig at finansforetakenes rettssikkerhet og forutberegnelighet blir ivaretatt ved ileggelse av overtredelsesgebyr. For eksempel må finansforetakene gis en reell mulighet til å klage på vedtak om overtredelsesgebyr, og vedtaket må kunne overprøves av domstolene. Finans Norges forutsetter at EMKs krav til ‘rettferdig rettergang’ etterleves ved ileggelse av overtredelsesgebyr. Vi viser særlig til behandlingen av administrative sanksjoner og forholdet til EMK i Prop. 62 L (2015–2016).

Avslutningsvis, ønsker Finans Norge å påpeke at det er uheldig at Finanstilsynet som offentlig myndighet fungerer som utreder av nytt regelverk eller etter fullmakt fastsetter nytt regelverk, tolker det samme regelverket, kontrollerer at regelverket etterleves, og skal ilegge finansforetakene overtredelsesgebyr ved eventuelle brudd på etterlevelsen av regelverket. (…)»

Advokatforeningen viser til at flere av bestemmelsene hvis overtredelse etter høringsutkastet skal kunne sanksjoneres med overtredelsesgebyr, er generelle og konkretiseres i andre bestemmelser, og at det i høringsnotatet står at «hensynet til klarhet og forutberegnelighet kan tilsi at også de bestemmelsene som utdyper de overordnede bestemmelsene angis særskilt i loven». Advokatforeningen støtter denne vurderingen, og mener at det vil være hensiktsmessig å inkludere også de utdypende bestemmelsene slik at det ikke er tvil om hvilke bestemmelser som kan utløse overtredelsesgebyr ved brudd.

Advokatforeningen skriver også at den ikke har innvendinger til administrative sanksjoner som sådan, men «minner om at å ilegge administrative sanksjoner er å regne som straff etter EMK», og «savner derfor en grundigere vurdering av de rettssikkerhetsmessige aspektene ved innføringen og bruken av denne type hjemler». Advokatforeningen ber dessuten om at det «vurderes nærmere hvorvidt dagens saksbehandlingsordning, herunder klagesaksbehandlingstiden, er i samsvar med kravene til en forsvarlig saksbehandling».

Oslo Børs ASA mener det vil gi økt klarhet, og derfor være mer pedagogisk hensiktsmessig, å «gi presise henvisninger også der overordnede handlingsnormer (slik som artikkel 6) utfylles av konkretiserende regler i andre bestemmelser (artikkel 7-10)». Klare henvisninger er ifølge Oslo Børs «særlig av betydning dersom dokumentinterne henvisninger fremgår mer implisitt enn eksplisitt».

Verdipapirforetakenes Forbund (VPFF) uttaler følgende:

«Etter VPFFs oppfatning er det svært viktig at det er tydelighet rundt sanksjoner og kriteriene for når bøter kan ilegges for brudd på bestemmelser i DORA. Frem til nå har Finanstilsynets bruk av gebyr i stor grad vært knyttet til overtredelse av regelverk på verdipapirområdet og overtredelse av foretakenes plikter etter hvitvaskingsreglene.

Når det nå skal kunne ilegges overtredelsesgebyr på inntil 50 millioner kroner på et ‘nytt område,’ er transparens og forutsigbarhet essensielt.

VPFF mener det klart bør fremgå hvilke bestemmelser i forordningen som vil kunne sanksjoneres med overtredelsesgebyr, grad av skyld som kreves, samt hvilke beløpsgrenser som gjelder for de konkrete overtredelsene av ulike bestemmelser.»

Næringslivets Hovedorganisasjon (NHO) uttaler bl.a. følgende:

«Det er foreslått at ‘medvirkning’ til overtredelse skal kunne sanksjoneres ‘på samme måte’ som overtredelse. Medvirkning er derfor uttrykkelig en annen handling eller unnlatelse enn dem som er regnet opp i første ledd. Det gjelder da krav til klarhet og forutberegnelighet også når det gjelder innholdet i medvirkning.

Vi er enig i at det må være tydelig hvilke handlinger og unnlatelser som kan føre til ileggelse av overtredelsesgebyr. Det er positivt at det er fremhevet i høringsnotatet. Flere av forordningskravene er ganske overordnede. Det gjør det temmelig vanskelig for dem som skal etterleve kravene å vite hvilke overtredelser som er sanksjonerbare. Den forskriftshjemmelen som er foreslått, bør derfor utformes slik at det er mulig å både tydeliggjøre og innskrenke sanksjonsadgangen i første ledd.»

Finansforbundet uttaler følgende:

«Finansforbundet vil påpeke at det allerede er et omfattende lovverk som muliggjør sanksjoner knyttet til digital sikkerhet, herunder digitalsikkerhetsloven, finansforetaksloven og finanssikkerhetsloven. Slik vi forstår det vil dette kunne innebære at finansvirksomheter kan få ilagt sanksjoner for samme overtredelse i henhold til flere lovverk. Det bør foretas en gjennomgang av sanksjonsordningene i de ulike lovverkene med henblikk på at de innskrenkes for ikke å overlappe. Vi understreker at det særlig for små aktører er hensiktsmessig med forutsigbarhet med hensyn til hvilke regler som vil gjelde for ulike overtredelser.»

2.5.8.3 Departementets vurdering

Departementet foreslår at overtredelser av nærmere angitte bestemmelser i forordningen skal kunne sanksjoneres med overtredelsesgebyr. Departementet viste i høringsnotatet til at en ville vurdere nærmere hvilke bestemmelser i forordningen som det særlig bør være aktuelt å sanksjonere med overtredelsesgebyr, samt hvilken beløpsgrense som bør gjelde for konkrete overtredelser.

I høringen har flere instanser pekt på viktigheten av at det tydelig fremgår hvilke overtredelser som kan gi grunnlag for overtredelsesgebyr, og at det kan være nødvendig at også utdypende forordningsbestemmelser angis i loven. Departementet har derfor foretatt en ny vurdering av hvilke bestemmelser som bør omfattes av en hjemmel for Finanstilsynet til å ilegge overtredelsesgebyr. Foruten bestemmelsene som er nevnt i høringsutkastet, mener departementet at overtredelse av følgende bestemmelser potensielt kan ha store negative konsekvenser, og derfor bør kunne sanksjoneres med overtredelsesgebyr:

• artikkel 8 om identifisering av IKT-relaterte funksjoner og avhengigheter,

• artikkel 9 nr. 4 om retningslinjer for sikkerhet mv. som del av rammeverket for IKT-risikostyring, jf. artikkel 6,

• artikkel 14 om planer for krisekommunikasjon,

• artikkel 16 om forenklet rammeverk for IKT-risikostyring,

• artikkel 25 nr. 2 om sårbarhetsvurderinger før bruk av nye systemer i verdipapirsentraler og sentrale motparter,

• artikkel 42 nr. 3 annet avsnitt om hensyntaken til risiko avdekket hos IKT-leverandører, og

• tekniske reguleringsstandarder (nivå 2-regelverk) fastsatt med hjemmel i artikkel 15 og artikkel 16 nr. 3.

I tråd med forslaget i høringsutkastet foreslås det at fysiske personer kan ilegges overtredelsesgebyr for forsettlige eller uaktsomme overtredelser, mens foretak kan ilegges overtredelsesgebyr når foretaket eller noen som har handlet på foretakets vegne, forsettlig eller uaktsomt har begått en overtredelse. Det foreslås videre at medvirkning til overtredelser som nevnt ovenfor, kan sanksjoneres på samme måte.

Når det gjelder hvilken beløpsgrense som bør gjelde for gebyr ved overtredelse av de nevnte bestemmelsene, baserte departementet seg i høringsnotatet på et forslag fra Finanstilsynet i 2019 om overtredelsesgebyr på ulike områder, og inntok en foreløpig gebyrgrense på 50 mill. kroner for foretak og fysiske personer. Finans Norge mener at denne grensen er for høy. Etter departementets vurdering er det imidlertid viktig at Finanstilsynet får mulighet for å ilegge gebyr av en størrelse som kan bidra til god etterlevelse av et viktig regelverk. De nye reglene som innføres med forordningen, blir svært viktige for å bidra til forsvarlig innretning og drift av systemer av avgjørende betydning for stabiliteten i tilgangen på finansielle tjenester. Departementet mener derfor at Finanstilsynet bør kunne ilegge forholdsvis høye gebyrer. Departementet har sett hen til bl.a. rammene for gebyr ved overtredelse av kravene til organisering av verdipapirforetakenes virksomhet etter verdipapirhandelloven. Etter verdipapirhandelloven § 21-5 kan det for foretak fastsettes overtredelsesgebyr på inntil 43 mill., eller opptil 10 pst. av den samlede årsomsetningen etter siste godkjente årsregnskap, og for fysiske personer inntil 43 mill. kroner. Gebyret kan dessuten fastsettes til inntil to ganger oppnådd fortjeneste eller unngått tap som følge av overtredelsen, dersom dette gir høyere gebyr.

Departementet foreslår at adgangen til å ilegge overtredelsesgebyr foreldes fem år etter at overtredelsen er opphørt. Fristen avbrytes ved at Finanstilsynet gir forhåndsvarsel eller fatter vedtak om overtredelsesgebyr.

Departementet foreslår videre en hjemmel for departementet til å fastsette forskrift til utfylling og avgrensning av paragrafen om overtredelsesgebyr, herunder om renter ved forsinket betaling. Det foreslås også en hjemmel for departementet til å fastsette i forskrift at overtredelse av forskriftsbestemmelser gitt i medhold av loven, kan ilegges overtredelsesgebyr.

Det vises til lovforslaget § 4.

2.5.9 Andre spørsmål

Finansforbundet har i sitt høringssvar etterlyst nye regler for behandling av personopplysninger i arbeidslivet, og anført at personvernforordningen åpner for å fastsette nærmere regler for behandling av arbeidstakeres personopplysninger i ansettelsesforhold. Finansforbundet har også tatt opp at ansatte som skal følge opp etterlevelse av regelverket bør tilbys tilstrekkelig kompetanseheving, og pekt på tilrettelegging hos finansinstitusjonene og utvikling av kompetansetilbud fra utdanningsinstitusjonene. Departementet ser at dette er spørsmål av betydning for ansatte i finanssektoren, samtidig som det ikke er grunnlag for oppfølging av innspillene i den foreliggende lovsaken.

2.5.10 Tilpasninger i annet regelverk

2.5.10.1 Høringsutkastet

Forordnings- og direktivendringene som er omtalt i punkt 2.4, krever endringer i flere lover på finansmarkedsområdet. Endringene innebærer i hovedsak at det i bestemmelser om forsvarlig organisering og drift av virksomheten tas inn henvisninger til IKT-risikostyring og kravene som vil gjelde etter forordning (EU) 2022/2554 (DORA-forordningen), i tillegg til endringer for å sikre konsistens med kravene og begrepsbruken i forordningen. Departementets utkast til endringslov i høringsnotatet innebar slike tilpasninger i verdipapirhandelloven, verdipapirfondloven, lov om forvaltning av alternative investeringsfond, lov om kredittvurderingsbyråer, finansforetaksloven, referanseverdiloven og verdipapirsentralloven.

2.5.10.2 Høringsinstansenes syn

Ingen av høringsinstansene har hatt merknader til denne delen av høringsutkastet.

2.5.10.3 Departementets vurdering

Departementet foreslår endringer i verdipapirhandelloven, verdipapirfondloven, lov om forvaltning av alternative investeringsfond, lov om kredittvurderingsbyråer, finansforetaksloven, referanseverdiloven og verdipapirsentralloven i tråd med høringsutkastet. I tillegg foreslås en endring i ny finanstilsynslov § 4-6, jf. omtale i punkt 2.5.6.3.

2.5.11 Ikrafttredelse

DORA-forordningen har vært gjeldende i EU siden 17. januar 2025. I Norge kan forordningen tidligst tre i kraft når EØS-komitébeslutningen om innlemmelse trer i kraft, se punkt 2.6.

2.6 Samtykke til godkjenning av EØS-komiteens beslutning nr. 40/2025 om innlemmelse av DORA i EØS-avtalen

2.6.1 Bakgrunn

EØS-komiteen traff 20. februar 2025 beslutning om å endre EØS-avtalens vedlegg IX ved innlemmelse av Europaparlaments- og rådsforordning (EU) 2022/2554 av 14. desember 2022 om digital operasjonell motstandsdyktighet for finansområdet og endring av forordning (EF) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 og (EU) 2016/1011 og europaparlaments- og rådsdirektiv (EU) 2022/2556 av 14. desember 2022 om endring av direktiv 2009/65/EC, 2009/138/EC, 2011/61/EU, 2013/36/EU, 2014/59/EU, (EU) 2015/2366 og (EU) 2016/2341 (DORA), jf. EØS-komitébeslutning nr. 40/2025.

Det kreves lovendringer i norsk rett for å gjennomføre forordning (EU) 2022/2554 (DORA-forordningen) og direktiv (EU) 2022/2556 (endringsdirektiv). Stortingets samtykke til godkjennelse av EØS-komiteens beslutning er derfor nødvendig etter Grunnloven § 26 annet ledd. Forslag til lovendringer som gjennomfører forordning (EU) 2022/2554 og direktiv (EU) 2022/2556 følger av denne proposisjonen.

Forordning (EU) 2022/2554 og direktiv (EU) 2022/2556 er nærmere omtalt i punkt 2.2 ovenfor. Forordningene og EØS-komitébeslutningen i uoffisiell norsk oversettelse følger vedlagt.

2.6.2 Overordnet omtale av EØS-komiteens beslutning

EØS-komiteens beslutning nr. 40/2025 av 20. februar 2025 om innlemmelse av DORA-forordningen og endringsdirektivet inneholder en fortale og fire artikler.

Artikkel 1 fastsetter at forordning (EU) 2022/2554 og direktiv (EU) 2022/2556 innlemmes i EØS-avtalen vedlegg IX med enkelte tilpasninger.

Artikkelen fastsetter enkelte tekniske EØS-tilpasninger til forordningen, bl.a. slik at EFTAs overvåkningsorgan (ESA) gis kompetanse der de europeiske tilsynsmyndighetene (det vil si Den europeiske banktilsynsmyndigheten (EBA), Den europeiske tilsynsmyndigheten for forsikring og tjenestepensjon (ESMA) og Den europeiske verdipapir- og markedstilsynsmyndigheten (ESMA), heretter samlet omtalt som «EUs tilsynsmyndigheter» eller «EU-tilsynsmyndigheter») etter forordningen er gitt kompetanse overfor EUs medlemsstater. Som nevnt i punkt 2.5.7 innfører DORA-forordningen et rammeverk for overvåkning på EU-nivå av IKT-leverandører som anses som kritiske iht. forordningen, jf. omtale i avsnitt 2.4.2.6 og 2.5.7. EØS-komitébeslutningen slår fast at ESA skal ha kompetanse som i forordningen er gitt til EUs tilsynsmyndigheter overfor kritiske IKT-leverandører som er etablert i en EØS/EFTA-stat eller som er etablert i et tredjeland, men har et datterforetak i en EØS/EFTA-stat, i tråd med EØS-tilpasningen til EUs finanstilsynsbyråstruktur, som Stortinget samtykket til 13. juni 2016 i tråd med forslag i Prop. 100 S (2015–2016). Dette er nærmere omtalt i punkt 2.6.4.

Artikkel 2 fastslår at den islandske og den norske språkversjonen av forordningene skal være offisielle språkversjoner og kunngjøres i EØS-tillegget til Den europeiske unions tidende, jf. EØS-avtalen artikkel 129 nr. 1.

Artikkel 3 fastsetter at EØS-komitébeslutningen skal tre i kraft 21. februar 2025, forutsatt at konstitusjonelle forbehold etter artikkel 103 nr. 1 i EØS-avtalen er hevet.

Av artikkel 4 følger det at beslutningen skal kunngjøres i EØS-avdelingen og i EØS-tillegget til Den europeiske unions tidende.

2.6.3 Tilpasninger til overvåkingsrammeverket for kritiske IKT-foretak

I DORA-forordningen gis de tre felleseuropeiske tilsynsmyndighetene (EBA, ESMA og EIOPA) myndighet til å bl.a. utpeke, overvåke og pålegge administrative sanksjoner for kritiske IKT-leverandører. Gjennom tilpasningene i EØS-komitébeslutningen artikkel 1 nr. 3 er myndigheten som legges til EUs tilsynsmyndigheter overfor fysiske og juridiske personer i EUs medlemsstater, gitt til EFTAs overvåkningsorgan (ESA) når disse er etablert i en EØS/EFTA-stat eller i et tredjeland, men med et datterforetak i en EØS/EFTA-stat. Rammeverket og de ulike myndighetene som gjennom EØS-komitébeslutningen legges til ESA, er nærmere beskrevet i det følgende.

Etter DORA-forordningen artikkel 31 nr. 1 skal de felleseuropeiske tilsynsmyndighetene, gjennom EU-tilsynsmyndighetenes felles komité, utpeke IKT-leverandørene som er kritiske for finansielle foretak, etter anbefaling fra et overvåkingsforum bestående av representanter fra de felleseuropeiske tilsynsmyndighetene, relevante nasjonale tilsynsmyndigheter fra alle medlemsstatene, observatører fra EU-kommisjonen, ESRB, ESB, ENISA og, der relevant, observatører fra nasjonale tilsynsmyndigheter utpekt i henhold til direktiv (EU) 2022/2555 (NIS2-direktivet), jf. forordningen artikkel 32 nr. 4. Vurderingen av hvilke IKT-leverandører som skal anses som kritiske skal baseres på kriterier som fremgår av forordningen artikkel 31 nr. 2, se nærmere omtale i proposisjonens punkt 2.4.2.6. Videre skal de felleseuropeiske tilsynsmyndighetene, gjennom EU-tilsynsmyndighetenes felles komité og etter anbefaling fra overvåkingsforumet, utpeke den av de felleseuropeiske tilsynsmyndighetene som skal følge opp hver kritiske IKT-leverandør i rollen som hovedovervåker, avhengig av hvilken del av finanssektoren IKT-leverandøren har størst betydning for. DORA-forordningen artikkel 31 nr. 3 spesifiserer at når en IKT-leverandør inngår i konsern, skal vurderingen av om leverandøren oppfyller kravene for å anses som kritisk, ses i sammenheng med IKT-tjenestene som leveres av konsernet som helhet. Kritiske IKT-leverandører som er del av konsern, skal etter forordningen artikkel 31 nr. 4 utpeke en juridisk person for kontakt med hovedovervåker.

EØS-komitébeslutningen artikkel 1 nr. 3 (i) slår fast at ESA skal ha ansvar for å utpeke kritiske IKT-leverandører dersom disse er etablert i en EØS/EFTA-stat eller i et tredjeland, men med et datterforetak i en EØS/EFTA-stat. Utpekingen skal skje etter anbefaling fra overvåkningsforumet og på grunnlag av utkast forberedt av den ansvarlige EU-tilsynsmyndigheten. For IKT-leverandører som inngår i konsern som består av enheter som har aktivitet i både en EU-stat og i en EØS/EFTA-stat, skal ESA, i tråd med dette og i henhold til systemet for tilpasninger til topilarsystemet i EØS-avtalen, være kompetent myndighet dersom den juridiske personen som er utpekt etter DORA-forordningen artikkel 31 nr. 4, er etablert i en EØS/EFTA-stat.

Videre slår EØS-komitébeslutningen artikkel 1 nr. 3 bokstav i punkt (ii) fast at ESA skal være hovedovervåker for hver kritiske IKT-leverandør som er etablert i en EØS/EFTA-stat eller er etablert i et tredjeland, så lenge leverandøren har et datterforetak etablert i en EØS/EFTA-stat. De felleseuropeiske tilsynsmyndighetene, gjennom sin felles komité, skal utpeke hvilken av de felleseuropeiske tilsynsmyndighetene som skal assistere ESA i utøvelsen av sin rolle under forordningen, inkludert gjennom å forberede utkast. EØS-komitébeslutningen slår videre fast at ESA skal notifisere kritiske IKT-leverandører som faller inn under sitt ansvarsområde (jf. artikkel 1 nr. 3 bokstav j).

I henhold til DORA-forordningen artikkel 31 nr. 11 kan IKT-leverandører som ikke er utpekt som kritiske av de felleseuropeiske tilsynsmyndighetene, søke om å bli utpekt som kritiske. EØS-komitébeslutningen artikkel 1 nr. 3 bokstav l slår fast at IKT-leverandører som er etablert i en EØS/EFTA-stat, skal sende slik søknad til ESA. Beslutningen om å utpeke IKT-leverandører som kritiske etter forespørsel iht. DORA-forordningen artikkel 31 nr. 11, skal tas av ESA på basis av utkast forberedt av den ansvarlige EU-tilsynsmyndigheten.

Noen IKT-leverandører er unntatt DORA-forordningens regler om kritiske IKT-leverandører. Dette gjelder bl.a. leverandører som er konserninterne, eller leverandører som tilbyr IKT-tjenester i kun én medlemsstat til finansielle foretak som kun er aktive i denne medlemsstaten. Også IKT-leverandører som allerede er underlagt et overvåkningsrammeverk fordi de understøtter grunnleggende oppgaver som tilligger Det europeiske system av sentralbanker (ESSB) etter Traktaten om Den europeiske unions funksjonsmåte (TFEU) artikkel 127 nr. 2, er unntatt. Disse oppgavene er å utforme og gjennomføre EUs pengepolitikk, å foreta transaksjoner i utenlandsk valuta i samsvar med bestemmelsene i TFEU 219, å besitte og forvalte medlemsstatenes offisielle valutabeholdninger, og å fremme et godt fungerende betalingssystem. Tilsvarende unntak skal gjelde for IKT-leverandører som er etablert i en EØS/EFTA-stat som utfører de samme oppgavene som omtalt i artikkel 127(2) TFEU, jf. EØS-komitébeslutningen artikkel 1 nr. 3 bokstav k.

Som nevnt skal et overvåkningsforum gi anbefalinger om utpeking av kritiske IKT-leverandører til de felleseuropeiske tilsynsmyndighetene og ESA. Det følger av EØS-komitébeslutningen artikkel 1 nr. 3 bokstav m at nasjonale tilsynsmyndigheter i EØS/EFTA-statene skal ha alle de samme rettigheter og plikter som tilsynsmyndighetene i EUs medlemsstater til å delta i overvåkingsforumet. ESA har rett til å utpeke to representanter til overvåkningsforumet.

I henhold til DORA-forordningen artikkel 34 nr. 1 skal hovedovervåkerne utpekt i henhold til DORA-forordningen artikkel 31 nr. 1 bokstav b etablere et felles overvåkningsnettverk for å koordinere gjennomføring av overvåkningsaktiviteter. EØS-komitébeslutningen artikkel 1 nr. 3 bokstav o slår fast at ESA skal delta i felles overvåkningsnettverk med alle de samme rettighetene og pliktene som EUs tilsynsmyndigheter.

Etter DORA-forordningen artikkel 35 gis den relevante EU-tilsynsmyndigheten, i rollen som hovedovervåker, myndighet overfor kritiske IKT-leverandører til å be om informasjon, gjennomføre generelle undersøkelser og inspeksjon, utstede anbefalinger og kreve rapporter fra IKT-leverandøren om oppfølging av anbefalinger. I tillegg kan hovedovervåkeren utstede dagbøter overfor kritiske IKT-leverandører som velger å ikke følge opp en anbefaling. Hovedovervåkerens myndighet overfor kritiske IKT-leverandører er nærmere beskrevet i punkt 2.4.2.6 over. Håndheving av betalingen av dagbøter skal for øvrig falle inn under reglene som gjelder for sivilprosessreglene som er gjeldende i medlemsstaten der inspeksjoner og tilgang skal foretas. Det er domstolene i den berørte medlemsstaten som skal ha jurisdiksjon over klager knyttet til urettmessig håndheving.

Gjennom EØS-komitébeslutningen legges myndigheten overfor kritiske IKT-leverandører til ESA for foretak som er etablert i en EØS/EFTA-stat eller i tredjeland, med datterforetak i en EØS/EFTA-stat. ESAs utøvelse av myndighet overfor et foretak etablert i EØS/EFTA skal skje på basis av utkast fra den ansvarlige EU-tilsynsmyndigheten. EFTAs faste komité skal etter EØS-komitébeslutningen ha ansvaret for fordelingen av eventuelle overtredelsesgebyr som inndrives av ESA. For EUs medlemsstater skal gebyrene, jf. DORA-forordningen artikkel 35 nr. 9, tildeles EUs generelle budsjett.

Før hovedovervåker utsteder overtredelsesgebyr etter DORA-forordningen artikkel 35 nr. 11, skal den gi representanter for den kritiske IKT-leverandøren rett til å bli hørt om funnene som ligger til grunn for beslutningen. I lys av at de tekniske elementene i beslutningen om å utstede overtredelsesgebyr vil bli forberedt av den ansvarlige EU-tilsynsmyndigheten, og for å sikre samme rettigheter på tvers av det indre marked, slår EØS-komitébeslutningen artikkel 1 nr. 3 bokstav r fast at det er den ansvarlige EU-tilsynsmyndigheten som skal gi rett til å bli hørt også for kritiske IKT-leverandører som faller inn under ESAs myndighet.

Før utstedelse av en anbefaling etter DORA-forordningen artikkel 35 nr. 1 bokstav d skal hovedovervåkeren gi IKT-leverandøren mulighet til å gi relevant informasjon. Siden første utkast av anbefalingen vil bli utarbeidet av den ansvarlige EU-tilsynsmyndigheten, slår tilpasningen i EØS-komitébeslutningen artikkel 1 nr. 3 bokstav p fast at den ansvarlige EU-tilsynsmyndigheten skal gi kritiske IKT-leverandører som faller under ESAs myndighet muligheten til å gi denne informasjonen før utarbeidelse av utkast til ESA.

2.6.4 Vurdering

Under DORA-forordningen har den relevante EU-tilsynsmyndigheten myndighet til å fastsette bindende tiltak i henhold til artikkel 31, 33, 35 til 39, 42 og 43 for fysiske og juridiske personer etablert i EU. Kompetansen til å utøve samme myndighet overfor fysiske og juridiske personer etablert i EØS/EFTA-statene legges gjennom EØS-komitébeslutningen til EFTAs overvåkningsorgan (ESA). Denne tilpasningen er i tråd med EØS-tilpasningen til EUs finanstilsynsbyråstruktur, som Stortinget samtykket til 13. juni 2016 i tråd med forslag i Prop. 100 S (2015–2016). En slik tilpasning vil gi ESA myndighet til å fatte rettslig bindende vedtak med virkning for norske rettssubjekter, dersom det utpekes kritiske IKT-leverandører som er etablert i Norge. ESAs vedtak kan prøves for EFTA-domstolen.

Ettersom Grunnloven bygger på en forutsetning om at statsmaktenes kompetanse skal utøves av nasjonale statsorganer, er overføringen av myndighet til ESA vurdert opp mot Grunnloven. Etter sikker konstitusjonell praksis kan Stortinget etter Grunnlovens § 26 annet ledd med alminnelig flertall samtykke til myndighetsoverføring som er «lite inngripende».

Kriteriene for å anses som en kritisk IKT-leverandør etter DORA-forordningen er omfattende, og er innrettet mot leverandører som kan anses som systemkritiske for EUs finanssektor. Blant annet må IKT-leverandørens kunder utgjøre minst 10 prosent av foretakene i minst én kategori av foretak i finanssektoren i EU, f.eks. 10 prosent av alle kredittinstitusjoner, investeringsforetak osv., og den samlede verdien av eiendelene til disse foretakene må utgjøre minst 10 prosent av den totale verdien av alle eiendeler til sammenlignbare foretak i EU, jf. delegert kommisjonsforordning (EU) 2024/1502. Videre må IKT-leverandøren benyttes av et visst antall globalt systemviktige (G-SIIs) eller andre systemviktige (O-SIIs) foretak eller foretak som anses som systemisk viktige av kompetente myndigheter. Tjenestene som leveres, må være av en kritisk art for foretakene, og det må være krevende å erstatte IKT-leverandøren, enten på grunn av mangel på alternativer eller fordi flytting til ny leverandør vil være vanskelig. For IKT-leverandører som er etablert i EØS/EFTA-statene, antas det at kriteriene for å bli ansett som kritisk vil være de samme som for leverandører i EU, men slik at det er leverandørens betydning for finanssektoren i EØS som skal vurderes.

Departementet er ikke kjent med at det finnes norske IKT-leverandører som leverer tjenester til finanssektoren i EU/EØS av en slik karakter og utbredelse at leverandøren vil kunne anses som kritisk etter kriteriene i DORA-forordningen. Norsk finanssektor har i betydelig grad utkontraktert IKT-drift til IKT-leverandører, og benytter seg i økende grad av internasjonale IKT-leverandører som er del av store konsern. Disse har hovedkontor utenfor Norge, men kan ha datterforetak i Norge. Som beskrevet i punkt 2.4.2.6 skal IKT-leverandører som inngår i konsern, vurderes ut fra konsernets betydning, og skal ha ett kontaktpunkt for kommunikasjonen med hovedovervåkeren. Det fremgår ikke av DORA-forordningen om det er morselskapet i et konsern som vil være den juridiske personen som blir utpekt som kritisk. Det er dermed en mulighet for at et datterforetak i Norge kan utpekes som kritisk IKT-leverandør, slik at ESA etter DORA-forordningen vil kunne be om informasjon, gjennomføre undersøkelser og inspeksjon, utstede anbefalinger og be om informasjon fra foretaket om hvordan anbefalingene er fulgt opp, samt utstede dagbøter dersom en kritisk IKT-leverandør ikke følger opp ESAs anbefalinger. Departementet anser det imidlertid som lite sannsynlig at norske foretak vil oppfylle vilkårene for å bli utpekt som kritisk IKT-leverandør etter forordningen.

Oppfølgingen av foretak i den norske finanssektoren sin bruk av IKT-leverandører skal, som nevnt i punkt 2.5.7, uansett ligge til Finanstilsynet.

Myndighetsoverføringen i DORA-forordningen har altså et begrenset saklig virkeområde. Det er usikkert om myndigheten som tillegges ESA etter forordningen vil bli benyttet overfor norske aktører. Den praktiske betydningen av myndighetsoverføringen vurderes derfor som liten.

Myndighetsoverføringen til ESA anses etter dette å være av en så begrenset og reelt sett lite praktisk karakter at den vurderes for å være «lite inngripende». Departementets vurdering er derfor at Stortingets samtykke kan innhentes etter Grunnlovens § 26 annet ledd.

2.6.5 Tilrådning

Forordningen og direktivet er EØS-relevante, og Finansdepartementet anbefaler at Stortinget samtykker til innlemmelse av forordningen og direktivet med tilpasningstekster i EØS-avtalen.