Utvalgte hurtiglenker

    Proposisjoner til Stortinget

    Prop. 54 LS (2024–2025)

    Lov om digital operasjonell motstandsdyktighet i finanssektoren, lov om endringer i hvitvaskingsloven (gjennomføring av forordning (EU) 2023/1113) og samtykke til godkjenning av to beslutninger i EØS-komiteen om innlemmelse i EØS-avtalen av forordning (EU) 2022/2554, direktiv (EU) 2022/2556 og forordning (EU) 2023/1113

    Til innholdsfortegnelse
    Neste kapittel
    Forrige kapittel

    5 Merknader til de enkelte bestemmelsene

    5.1 Til lov om digital operasjonell motstandsdyktighet i finanssektoren (DORA-loven)

    Til § 1

    I første ledd gjennomføres DORA-forordningen ved inkorporasjon, og bestemmelsene i forordningen vil etter dette gjelde som lov.

    Annet ledd viser til at med DORA-forordningen menes forordningen slik den er gjennomført i første ledd, det vil si i EØS-tilpasset form, og med eventuelle endringer gjennomført eller henvist til i første ledd, eller gjennomført i forskrift med hjemmel i fjerde ledd.

    Tredje ledd gir departementet hjemmel til å fastsette utfyllende regler i forskrift. Hjemmelen kan bl.a. brukes til å gjennomføre utfyllende EU-rettsakter som er fastsatt i medhold av DORA-forordningen (nivå 2-regelverk), og til å fastsette andre utfyllende regler.

    Fjerde ledd gir hjemmel for departementet til å gjennomføre endringer i forordningen ved forskrift, selv om forordningen er gjennomført i lov. Dette gir mulighet til å gjennomføre endringer i DORA-forordningen som er av en karakter som normalt ville vært gjennomført ved forskrift, i forskrifts form i stedet for ved lovendring. Hjemmelen kan bare brukes til å gjennomføre EØS-forpliktelser. Hvorvidt derogasjonshjemmelen kan anvendes, må bero på en konkret skjønnsmessig vurdering.

    Se nærmere omtale i punkt 2.5.2.3.

    Til § 2

    Første ledd gir departementet forskriftshjemmel til å bestemme at forordningen helt eller delvis skal gjelde for finansieringsforetak, låneformidlingsforetak, inkassoforetak og eiendomsmeglingsforetak, samt for foretak som i forordningen er unntatt fra dens virkeområde. Hjemmelen vil kunne benyttes til å fastsette fullstendige eller forenklede krav for foretak som ikke omfattes av forordningen. Departementet gis også hjemmel til å fastsette regler om i hvilket omfang DORA-forordningen skal gjelde for morselskap i finanskonsern.

    I annet ledd fremgår det at departementet i forskrift bl.a. vil kunne bestemme at foretakene nevnt i første ledd skal underlegges et forenklet regelverk, herunder ved videreføring eller innføring av de plikter som følger av IKT-forskriften.

    Til § 3

    I første ledd slås det fast at Finanstilsynet er nasjonal tilsynsmyndighet etter forordningen og skal føre tilsyn med overholdelse av bestemmelser gitt i eller i medhold av loven. Dette samsvarer med Finanstilsynets myndighet etter de regelverkene som er nevnt i forordningens artikkel 46.

    I annet ledd gis departementet hjemmel til å fastsette utfyllende krav til rapportering og annen informasjon som foretak omfattet av §§ 1 og 2 skal gi Finanstilsynet om inngåtte og planlagte avtaler om bruk av tjenester fra IKT-leverandører. Bestemmelsen er bl.a. ment å legge til rette for regler som er nødvendig for at Finanstilsynet skal kunne gjennomføre et effektivt tilsyn med foretakenes utkontraktering, herunder om hyppighet av rapportering for nye IKT-tjenesteavtaler og meldinger om planlagte IKT-tjenesteavtaler som understøtter kritiske eller viktige funksjoner, og ev. behov for utfyllende regler knyttet til register over IKT-tjenesteavtaler.

    I tredje ledd gis departementet hjemmel til å fastsette regler om hendelsesrapportering og informasjonsdeling til andre varslingsmottakere enn Finanstilsynet. Bestemmelsen er nærmere omtalt i punkt 2.5.5.3.

    I fjerde ledd gis departementet hjemmel til å fastsette nærmere regler om trusselbasert penetrasjonstesting (TLPT), herunder om oppgavefordeling mellom Finanstilsynet og Norges Bank. Det vises til DORA-forordningen artikkel 26 og omtale i punkt 2.5.7.

    Til § 4

    Bestemmelsen gir nærmere regler om overtredelsesgebyr etter DORA-forordningen, jf. omtale i punkt 2.5.8.

    I første ledd fastsettes det at Finanstilsynet kan ilegge fysiske personer eller foretak overtredelsesgebyr på inntil 50 millioner kroner ved overtredelse av nærmere angitte bestemmelser i DORA-forordningen.

    Det følger av annet ledd at også medvirkning til overtredelse av de bestemmelsene i DORA-forordningen som er nevnt i første ledd, kan sanksjoneres med overtredelsesgebyr på opptil 50 millioner kroner.

    Tredje ledd gir nærmere regler om hvilket skyldkrav som gjelder for ileggelse av overtredelsesgebyr. Fysiske personer kan ilegges overtredelsesgebyr for forsettlige eller uaktsomme overtredelser, mens foretak kan ilegges overtredelsesgebyr når foretaket eller noen som har handlet på foretakets vegne, forsettlig eller uaktsomt har begått en overtredelse.

    Fjerde ledd første punktum bestemmer at adgangen til å ilegge overtredelsesgebyr foreldes fem år etter at overtredelsen er opphørt. Det fremgår av annet punktum at foreldelsesfristen avbrytes ved at Finanstilsynet gir forhåndsvarsel eller fatter vedtak om overtredelsesgebyr.

    I femte ledd gis det forskriftshjemler til departementet til å fastsette utfyllende bestemmelser om overtredelsesgebyr og renter ved forsinket betaling, herunder hjemmel til å fastsette i forskrift at den som forsettlig eller uaktsomt overtrer bestemmelser i forskrift gitt i medhold av loven, kan ilegges overtredelsesgebyr.

    Til § 5

    Bestemmelsen regulerer lovens ikrafttredelse.

    Første ledd fastsetter at loven gjelder fra den tid Kongen bestemmer. Kongen kan sette i kraft de enkelte bestemmelser til forskjellig tid.

    Annet ledd gir departementet hjemmel til å fastsette overgangsregler.

    Til § 6

    Forordnings- og direktivendringene som er omtalt i punkt 2.4, krever endringer i flere lover på finansmarkedsområdet. Endringene innebærer i hovedsak at det i bestemmelser om forsvarlig organisering og drift av virksomheten tas inn henvisninger til IKT-risikostyring og kravene som vil følge av forordning (EU) 2022/2554 (DORA-forordningen), i tillegg til endringer for å sikre konsistens med kravene og begrepsbruken i forordningen. Det foreslås slike tilpasninger i:

    • verdipapirhandelloven § 8-1 første ledd, § 9-16 første ledd, § 9-23 første og annet ledd, § 11-18 første ledd nr. 2, § 11-19 første og annet ledd, § 11-21 fjerde ledd, § 17-1 første ledd og § 19-2 første ledd,

    • verdipapirfondloven § 2-11 første ledd nr. 1,

    • lov om forvaltning av alternative investeringsfond § 3-1 første ledd bokstav b,

    • lov om kredittvurderingsbyråer § 1,

    • finansforetaksloven § 13-5 første ledd og § 20-6 a tredje ledd bokstav g,

    • referanseverdiloven § 1 første ledd, og

    • verdipapirsentralloven § 1-1 første ledd.

    I tillegg foreslås en endring i finanstilsynsloven § 4-6 for å sørge for klarhet om forholdet mellom rapporteringsforpliktelsene som gjelder etter lov om digital motstandsdyktighet i finanssektoren og finanstilsynsloven § 4-6, se omtale i punkt 2.5.6.

    5.2 Til endringer i hvitvaskingsloven (TFR II)

    Til § 2

    Paragrafen inneholder hvitvaskingslovens definisjoner.

    I bokstav i nr. 2 oppdateres definisjonen av korrespondentforbindelse til å inkludere kryptoeiendelstjenesteytere gjennom en henvisning til ny § 4 første ledd bokstav p som definerer kryptoeiendelstjenesteytere. I tillegg tilføyes kryptooverføringer til opplistingen av tjenester som foranlediger en korrespondentforbindelse. Forslaget retter dessuten en inkurie, slik at bokstav i nr. 2 nå også refererer til rapporteringspliktige som nevnt i § 4 første ledd bokstav a.

    I ny bokstav l kommer det inn en definisjon av kryptoeiendeler. Det vises til definisjonen i MiCA, med noen begrensninger. MiCA artikkel 3 nr. 1 punkt 5 definerer kryptoeiendeler som en digital representasjon av en verdi eller en rettighet som kan overføres og oppbevares elektronisk ved bruk av distribuert registerteknologi eller lignende teknologi. Unntatt fra definisjonen av kryptoeiendeler er en rekke type verdier som opplistet i MiCA artikkel 2 nr. 2 til 4, samt betalingsmidler som definert i TFR II artikkel 3 nr. 8.

    I ny bokstav m defineres kryptoeiendelstjenesteyter. Det vises til definisjonen i MiCA artikkel 3 nr. 1 punkt 5 som definerer kryptoeiendelstjenesteytere som juridiske personer eller andre foretak som har tillatelse til å drive virksomhet med å tilby kryptoeiendelstjenester til kunder på profesjonell basis. Bokstav m presiserer at kryptoeiendelstjenesteytere ikke omfattes av kravene i TFR II når de kun yter rådgivning og ikke yter tjenestene som er listet opp i MiCA artikkel 3 nr. 1 punkt 16.

    I ny bokstav n defineres frittstående adresse. Det vises til definisjonen i TFR II artikkel 3 nr. 1 punkt 20 som definerer frittstående adresse («self-hosted address») som en adresse på en distribuert registerteknologi som ikke er knyttet til en tilbyder av konsesjonspliktige tjenester.

    Til § 4

    I ny bokstav p tilføyes kryptoeiendelstjenesteytere til listen over rapporteringspliktige.

    Femte ledd oppdateres ved å fjerne delen om vekslingsplattformer og oppbevaringstjenester for virtuell valuta. Heretter vil forskriftshjemmelen i femte ledd dermed gjelde å gi loven anvendelse for foretak som formidler finansiering ved donasjon.

    Til § 10

    Første ledd bokstav d er ny, og bestemmer at kundetiltak skal gjennomføres når og i den grad det er påkrevd av TFR II. Hvilke opplysninger som ved behov må innhentes og bekreftes, vil være avhengig av reglene i TFR II om opplysninger som skal følge pengeoverføringer og overføringer av kryptoeiendelstjenester. Bestemmelsen er nærmere omtalt i punkt 3.3.5.

    Til § 17a

    Paragrafen er ny, og reflekterer kravene til forsterkede kundetiltak for overføringer til og fra frittstående adresse. Kryptoeiendelstjenesteytere må først foreta en konkret risikovurdering av overføringen som gjennomføres. Tjenesteyterne må gjennomføre minst ett av de forsterkede kundetiltakene som er opplistet i bokstav a til e. Basert på risikovurderingen må tjenesteytere gjennomføre flere kundetiltak der det er nødvendig for å håndtere risikoen for hvitvasking, terrorfinansiering eller oppfølgning av økonomiske sanksjoner.

    Til § 19

    Første ledd oppdateres for å inkludere en henvisning til ny bokstav p i lovens § 4, slik at kryptoeiendelstjenesteytere blir omfattet av kretsen av rapporteringspliktige som bestemmelsen gjelder for.

    Annet ledd justeres slik at konto for kryptoeiendeler inngår i definisjonen av oppgjørskonto.

    Tredje ledd tilføyer at kryptoeiendelstjenesteytere som avslutter en korrespondentforbindelse på grunn av egne rutiner, skal dokumentere begrunnelsen for beslutningen. Avslutning av korrespondentforbindelser kan eksempelvis være aktuelt der en korresponderende kryptoeiendelstjenesteyter gjentatte ganger bryter informasjonspliktene i TFR II, jf. forordningens artikkel 8 nr. 2 bokstav b og artikkel 12 nr. 2 bokstav b.

    Til § 49

    Første ledd første punktum oppdateres til å inkludere en henvisning til oppdatert § 52, slik at inkorporeringsbestemmelsen til TFR II blir med i opplistingen av regler hvis overtredelse kan medføre overtredelsesgebyr fra tilsynsmyndigheten.

    Femte ledd første og annet punktum oppdateres til å inkludere en henvisning til § 4 bokstav p, slik at kryptoeiendelstjenesteytere, samt styremedlemmer, ledere, ansatte og andre som utfører oppdrag på vegne av kryptoeiendelstjenesteyteren, kan ilegges overtredelsesgebyr på inntil 44 millioner kroner.

    Til § 52

    Første ledd oppdateres med en henvisning til TFR II i EØS-avtalen, og angir at TFR II gjelder som lov med tilpasningene som følger av vedlegg IX, protokoll 1 til avtalen og avtalen for øvrig.

    Nytt annet ledd inneholder en forskriftshjemmel til å gi nærmere bestemmelser om forlengelse av lagringstid av personopplysninger utover fem år, men ikke i mer enn til sammen ti år. Forskriftshjemmelen reflekterer det nasjonale valget i TFR II artikkel 26 nr. 2 som åpner for at stater kan gi regler om utvidet lagringstid for personopplysninger der det er nødvendig og proporsjonalt for å forebygge, avdekke eller etterforske hvitvasking eller terrorfinansiering.

    Neste kapittel
    Forrige kapittel
    Neste kapittel
    Forrige kapittel
    Til forsiden
    Til toppen