Utvalgte hurtiglenker

    Proposisjoner til Stortinget

    Prop. 54 LS (2024–2025)

    Lov om digital operasjonell motstandsdyktighet i finanssektoren, lov om endringer i hvitvaskingsloven (gjennomføring av forordning (EU) 2023/1113) og samtykke til godkjenning av to beslutninger i EØS-komiteen om innlemmelse i EØS-avtalen av forordning (EU) 2022/2554, direktiv (EU) 2022/2556 og forordning (EU) 2023/1113

    Til innholdsfortegnelse
    Neste kapittel
    Forrige kapittel

    4 Økonomiske og administrative konsekvenser

    4.1 Lov om digital operasjonell motstandsdyktighet i finanssektoren (DORA-loven)

    4.1.1 Innledning

    Forslaget om gjennomføring av forordning (EU) 2022/2554 (DORA) innebærer harmonisering av krav til sikkerheten i nettverks- og informasjonssystemer som understøtter virksomheten i foretak i finanssektoren. Det stilles krav til foretakenes risikostyring, avtaler om bruk av IKT-tjenester, felleseuropeisk overvåking av kritiske IKT-leverandører, og tilsyn og tilsynssamarbeid. Regelverket skal øke tilliten til det finansielle systemet, opprettholde stabilitet og unngå store kostnader for økonomien ved å minimere konsekvenser og kostnader ved IKT-forstyrrelser.

    4.1.2 Konsekvenser for foretak i finanssektoren

    Gjennomføring av forordningen vil innebære at kravene til foretakene i finanssektoren styrkes, selv om dagens norske regelverk og tilsynsmessige oppfølging bygger på de samme prinsippene som de nye kravene. I den grad de nye kravene fører til bedre styring og lavere risiko for skadelige IKT-hendelser, kan det gi besparelser for foretakene. Det samme kan ev. lavere risiko for hendelser hos IKT-leverandører som foretakene direkte eller indirekte benytter seg av, samt hos utenlandske finansielle foretak som norske foretak samhandler med eller kan bli påvirket av. Mer analyse og informasjonsutveksling på tvers av foretak, myndigheter og land kan gjøre det lettere for foretakene å forsvare seg mot trusler. I EU-kommisjonens konsekvensanalyse er det anslått at økt digital motstandsdyktighet som følge av det nye regelverket kan redusere kostnadene forbundet med IKT-hendelser i finanssektoren i EU med 10 pst., se vedlegg 5 i EU-kommisjonens konsekvensanalyse 24. september 2020 (SWD (2020) 198). Dagens kostnader forbundet med hendelser er en usikker størrelse, og EU-kommisjonen anslo i 2020 årlige besparelser i sektoren på mellom 0,2 og 2,7 mrd. euro. EU-kommisjonen anslo også at tilpasning til nye IKT-risikostyringskrav kunne kreve en økning av EU-foretakenes cybersikkerhetsbudsjett med om lag 10 pst.

    Siden norske foretak lenge har vært underlagt krav som langt på vei tilsvarer forordningen, kan det antas at tilpasning til nye sikkerhetskrav mv. isolert sett vil innebære lavere kostnader og gevinster sammenlignet med foretak i land som har hatt et mindre utviklet regelverk. Forordningen vil imidlertid gi et mer detaljert regelverk, også i form av tekniske standarder som skal fastsettes av EU-kommisjonen. Videre vil rapporteringskrav, både internt og eksternt, bli mer omfattende enn i dag, og det blir krav til oppfølging av rapporteringen. Foretakene må påregne vesentlig innsats særlig i overgangen til nytt regelverk, bl.a. knyttet til gjennomgang av systemer, avtaler og dokumentasjon, opplæring av ansatte mv. Kravene til trusselbasert penetrasjonstesting (TLPT-testing) vil medføre egne behov for administrasjon og oppfølging i de foretakene som omfattes. På den annen side kan den europeiske harmoniseringen av regelverk og rapportering gi forenklinger og besparelser, spesielt for foretak som har virksomhet i flere land. For mindre foretak kan anvendelsen av proporsjonalitetsprinsippet få vesentlig betydning, samtidig som de fleste generelt må forholde seg til forordningens konkrete minstekrav på forskjellige områder. Reglene for avtaler om IKT-tjenester kan styrke foretakenes posisjon overfor IKT-leverandører, både gjennom reguleringen av avtaler og myndighetsovervåking av kritiske leverandører.

    4.1.3 Konsekvenser for IKT-leverandører

    Leverandører av IKT-tjenester til foretak i finanssektoren må forholde seg til de mer omfattende kravene som stilles til foretakenes bruk av IKT-leverandører, bl.a. til oppfølging og innholdet i avtaler. Dette antas likevel ikke å ha større økonomiske eller administrative konsekvenser for IKT-leverandørene, jf. dagens krav i IKT-forskriften. IKT-leverandører som utpekes som kritiske for finanssektoren i EU/EØS, vil bli gjenstand for myndighetsovervåking, herunder undersøkelser og inspeksjoner, og kan måtte tilpasse seg myndighetsanbefalinger for å kunne opprettholde leveranser til finansielle foretak. Dette kan ha vesentlig betydning for IKT-leverandørenes drift og kostnader, herunder administrative kostnader forbundet med etterlevelse av regelverket og oppfølging av overvåkingen. I tillegg skal de kritiske IKT-leverandørene betale en overvåkingsavgift. Finanstilsynet har opplyst at det legger til grunn at det ikke er norske tjenestetilbydere som i dag har virksomhet som tilsier at de kan bli utpekt som kritiske IKT-leverandører.

    4.1.4 Konsekvenser for kunder og norsk økonomi

    Formålet med forordningen er å redusere sannsynligheten for skadelige IKT-hendelser i den europeiske finanssektoren. Det kan gi grunnlag for økt trygghet og tillit til finanssektoren også i Norge, selv om den finansielle infrastrukturen i Norge vurderes som robust. Siden IKT-hendelser som forstyrrer betalingsformidlingen eller ødelegger finansielle data kan ha store samfunnsøkonomiske kostnader, kan selv små forbedringer i sikkerhet og beredskap ha stor betydning for foretakenes kunder og økonomien som helhet. Norske foretaks tilpasning til det nye regelverket antas ikke å ha vesentlig betydning for prisingen av finansielle tjenester.

    4.1.5 Konsekvenser for myndigheter

    I tillegg til tilsyn med etterlevelsen av et mer omfattende regelverk, innebærer forordningen enkelte nye oppgaver som trolig vil kreve noe økt ressursbruk i Finanstilsynet. Finanstilsynet skal bl.a. informere relevante europeiske myndigheter om IKT-hendelser i Norge og håndtere tilsvarende informasjon fra andre land, delta i IKT-overvåkingsforumet og ev. undersøkelsesgrupper, og følge opp anbefalinger til IKT-leverandører. I tillegg vil det være behov for å følge opp regelverkets krav om trusselbasert penetrasjonstesting (TLPT) i samarbeid med Norges Bank, samt økt samhandling med andre norske myndigheter, som Nasjonal sikkerhetsmyndighet og Datatilsynet. Siden Finanstilsynet fører risikobasert tilsyn, er dagens oppfølging av IKT-risikostyring mv. i tråd med proporsjonalitetsprinsippet. Arbeidet som Finanstilsynet og Norges Bank har lagt ned i utviklingen av TIBER-NO, antas å redusere behovet for økt ressursbruk for å følge opp TLPT-kravene.

    4.2 Endringer i hvitvaskingsloven om opplysninger som skal følge overføringer av penger og visse kryptoeiendeler (TFR II)

    4.2.1 Innledning

    I dag har kryptoeiendelstjenesteytere begrensede plikter etter hvitvaskingsregelverket. TFR II gir, sammen med MiCA, nye forpliktelser for tjenesteytere som driver virksomhet med kryptoeiendeler. Ved gjennomføring i norsk rett av TFR II vil både tilsynsmyndigheter og tjenesteytere som foretar overføringer få mer omfattende forpliktelser etter hvitvaskingsregelverket. De nye kravene, herunder utvidelsen av kretsen av rapporteringspliktige, ventes å styrke arbeidet mot hvitvasking og terrorfinansiering og legge til rette for en ordnet utvikling og bruk av kryptoeiendeler.

    4.2.2 Konsekvenser for foretak

    TFR II fastsetter at samtlige kryptoeiendelstjenesteytere vil være rapporteringspliktige etter hvitvaskingsregelverket. Dette forventes å gi økte kostnader for markedsaktører som nå blir underlagt hvitvaskingsregelverket og må utarbeide rutiner og treffe tiltak for å etterleve det. De nye kravene om opplysninger som skal følge med overføringer av kryptoeiendeler vil også gi flere forpliktelser knyttet til systemer og rutiner. Det antas imidlertid at de fleste registrerte tjenesteyterne av vekslings- og oppbevaringstjenester allerede har begynt å tilpasse seg de nye informasjonskravene etter TFR II, mens andre foretak kan måtte legge en større innsats i å tilpasse seg.

    4.2.3 Konsekvenser for myndigheter

    TFR II innebærer at flere foretak blir rapporteringspliktige etter hvitvaskingsregelverket. Dette kan medføre noe økt aktivitet hos Finanstilsynet og Enheten for finansiell etterretning (EFE) i Økokrim. For Finanstilsynet forventer departementet at gjennomføringen av TFR II ikke i seg selv vil gi vesentlige økonomiske og administrative konsekvenser. Etter finanstilsynsloven skal kostnader ved tilsyn med aktørene i kryptoeiendelsmarkedet utliknes på aktørene. De nærmere reglene må fastsettes i forskrift. For EFE kan det bli en økning i innrapportering av mistenkelige transaksjoner som må håndteres tidsnært.

    Neste kapittel
    Forrige kapittel
    Neste kapittel
    Forrige kapittel
    Til forsiden
    Til toppen