(1) EØS-avtalen vedlegg IX nr. 31q (forordning (EU) 2022/2554) om digital operasjonell motstandsdyktighet i finanssektoren gjelder som lov med de tilpasninger som følger av vedlegg IX, protokoll 1 til avtalen og avtalen for øvrig.

(2) Når det i loven her vises til DORA-forordningen, menes forordningen slik den til enhver tid er gjennomført og endret etter første eller fjerde ledd.

(3) Departementet kan fastsette utfyllende forskrifter til bestemmelsene i første ledd.

(4) Departementet kan i forskrift gjøre endringer i, herunder fastsette unntak fra, bestemmelsene i første ledd til gjennomføring av Norges forpliktelser etter EØS-avtalen.

(1) Departementet kan i forskrift fastsette at bestemmelsene i § 1 helt eller delvis skal gjelde for:

• a. foretak nevnt i DORA-forordningen artikkel 2 nr. 3,

• b. finansieringsforetak,

• c. låneformidlingsforetak,

• d. inkassoforetak,

• e. eiendomsmeglingsforetak,

• f. morselskap i finanskonsern.

(2) Departementet kan i forskrift fastsette forenklede krav for foretak nevnt i første ledd i samsvar med relevante bestemmelser i DORA-forordningen.

(1) Finanstilsynet er nasjonal tilsynsmyndighet etter DORA-forordningen og fører tilsyn med overholdelse av bestemmelser gitt i eller i medhold av denne loven.

(2) Departementet kan i forskrift fastsette utfyllende krav til rapportering, register over IKT-tjenesteavtaler og annen informasjon som foretak omfattet av §§ 1 eller 2 skal gi Finanstilsynet om inngåtte og planlagte avtaler om bruk av tjenester fra IKT-leverandører.

(3) Departementet kan i forskrift fastsette bestemmelser om rapportering av hendelser og deling av informasjon til andre varslingsmottakere enn Finanstilsynet.

(4) Departementet kan i forskrift fastsette bestemmelser om trusselbasert penetrasjonstesting (TLPT), herunder om fordeling av oppgaver og ansvar mellom norske myndighetsorgan i henhold til DORA-forordningen artikkel 26.

(1) Finanstilsynet kan ilegge fysiske personer eller foretak overtredelsesgebyr på inntil 50 millioner kroner ved overtredelse av følgende bestemmelser i DORA-forordningen:

• a. artikkel 5 om forvaltning og organisasjon,

• b. artikkel 6 om rammeverk for IKT-risikostyring,

• c. artikkel 8 om identifisering av IKT-relaterte funksjoner og avhengigheter,

• d. artikkel 9 nr. 4 om retningslinjer for sikkerhet mv. som del av rammeverket for IKT-risikostyring, jf. artikkel 6,

• e. artikkel 11 om respons og gjenoppretting,

• f. artikkel 12 om retningslinjer og prosedyrer for sikkerhetskopiering og gjenoppretting,

• g. artikkel 14 om planer for krisekommunikasjon,

• h. artikkel 16 nr. 1 og 2 om forenklet rammeverk for IKT-risikostyring,

• i. artikkel 17 om prosess for håndtering av IKT-relaterte hendelser,

• j. artikkel 19 nr. 1, 3 og 4 om rapportering av alvorlige IKT-relaterte hendelser,

• k. artikkel 24 om generelle krav til gjennomføringen av testing av digital operasjonell motstandsdyktighet,

• l. artikkel 25 nr. 2 om sårbarhetsvurderinger før bruk av nye systemer i verdipapirsentraler og sentrale motparter,

• m. artikkel 28 om generelle prinsipper for forsvarlig styring av IKT-tredjepartsrisiko,

• n. artikkel 42 nr. 3 annet avsnitt om hensyntaken til risiko avdekket hos IKT-leverandører.

Første punktum gjelder tilsvarende ved overtredelse av forskrifter som gjennomfører tekniske reguleringsstandarder fastsatt etter DORA-forordningen artikkel 15 og artikkel 16 nr. 3.

(2) Medvirkning til overtredelse som nevnt i første ledd, kan sanksjoneres på samme måte.

(3) Fysiske personer kan ilegges overtredelsesgebyr for forsettlige eller uaktsomme overtredelser. Foretak kan ilegges overtredelsesgebyr når foretaket eller noen som har handlet på foretakets vegne, forsettlig eller uaktsomt har begått en overtredelse som nevnt i første eller annet ledd.

(4) Adgangen til å ilegge overtredelsesgebyr foreldres fem år etter at overtredelsen er opphørt. Fristen avbrytes ved at Finanstilsynet gir forhåndsvarsel eller fatter vedtak om overtredelsesgebyr.

(5) Departementet kan i forskrift fastsette bestemmelser til utfylling og avgrensning av paragrafen her, og renter ved forsinket betaling av overtredelsesgebyret. Departementet kan i forskrift fastsette at den som forsettlig eller uaktsomt overtrer bestemmelser i forskrift gitt i medhold av loven, kan ilegges overtredelsesgebyr.

(1) Loven gjelder fra den tid Kongen bestemmer. Kongen kan sette i kraft de enkelte bestemmelser til forskjellig tid.

(2) Departementet kan fastsette overgangsregler.

Fra den tid loven trer i kraft gjøres følgende endringer i andre lover:

§ 8-1 første ledd skal lyde:

(1) EØS-avtalen vedlegg IX (forordning (EU) nr. 600/2014) om markeder for finansielle instrumenter (verdipapirmarkedsforordningen) som endret ved forordning (EU) nr. 1033/2016 og forordning (EU) 2022/2554, jf. lov om digital operasjonell motstandsdyktighet i finanssektoren § 1 gjelder som lov med de tilpasninger som følger av vedlegg IX, protokoll 1 til avtalen og avtalen for øvrig.

§ 9-16 første ledd skal lyde:

(1) Verdipapirforetak skal innrette sin virksomhet på følgende måte:

• 1. Foretaket skal ha tilstrekkelige og betryggende retningslinjer, rutiner og kontrollmetoder som skal sikre at foretaket, dets ledere, ansatte og tilknyttede agenter etterlever sine forpliktelser etter lov og forskrifter.

• 2. Foretaket skal være oppbygd og organisert på en slik måte at risikoen for interessekonflikter mellom foretaket og dets kunder, eller foretakets kunder seg imellom, begrenses til et minimum, jf. § 10-2.

• 3. Foretaket skal treffe rimelige tiltak som skal sikre kontinuitet og regelmessighet i investeringstjenestevirksomheten, herunder ha nødvendige systemer, ressurser og prosedyrer, inkludert IKT-systemer satt opp og håndtert i henhold til forordning (EU) 2022/2554 artikkel 7, jf. lov om digital operasjonell motstandsdyktighet i finanssektoren § 1.

• 4. Foretaket skal treffe betryggende tiltak slik at operasjonell risiko begrenses til et minimum når det benytter seg av en tredjepart til å utføre operasjonelle funksjoner, jf. annet ledd.

• 5. Foretaket skal ha gode administrasjons- og regnskapsrutiner, tilfredsstillende interne kontrollordninger og effektive prosedyrer for risikovurdering, samt stillingsinstrukser som særskilt regulerer ansvarsfordelingen mellom daglig leder og andre ledere av virksomheten.

• 6. Foretaket skal ha tilfredsstillende interne retningslinjer, rutiner og kontrollmetoder for personlige transaksjoner som foretas av foretakets ledere, ansatte og tilknyttede agenter.

• 7. Foretaket skal ha systemer som sikrer pålitelig og korrekt informasjonsoverføring, og som sikrer at opplysningene til enhver tid behandles fortrolig, samt reduserer risikoen for dataforfalskning, informasjonslekkasje og annen ulovlig tilgang til informasjonen i henhold til kravene i forordning (EU) 2022/2554, jf. lov om digital operasjonell motstandsdyktighet i finanssektoren § 1.

• 8. Foretaket skal sørge for dokumentasjon av alle investeringstjenester og all investeringsvirksomhet, herunder alle utførte transaksjoner, som skal være minst så fyllestgjørende at Finanstilsynet kan kontrollere om de regler Finanstilsynet har ansvar for, er overholdt. Slik dokumentasjon skal oppbevares i minst fem år, eller lengre tid dersom Finanstilsynet bestemmer det.

• 9. Foretaket skal ha interne instrukser for de ansattes adgang til å være medlem av styre, bedriftsforsamling eller foretaksforsamling eller ha slik innflytelse som nevnt i aksjeloven § 1-3 annet ledd i selskaper. Slike instrukser skal også omfatte styremedlemmer som har slik innflytelse i verdipapirforetaket som nevnt i aksjeloven § 1-3 annet ledd. Tilsvarende instrukser skal utarbeides for tilfeller der det er gitt unntak etter § 10-4 annet ledd.

• 10. Foretaket skal ha retningslinjer og rutiner for beregning og utbetaling av resultatavhengig godtgjørelse.

§ 9-23 første og andre ledd skal lyde:

(1) Verdipapirforetak som utfører algoritmehandel, skal ha effektive systemer og risikokontroller som er egnet for virksomheten, for å sikre at foretakets handelssystemer er robuste og har tilstrekkelig kapasitet i henhold til kravene i forordning (EU) 2022/2554 kapittel II, jf. lov om digital operasjonell motstandsdyktighet i finanssektoren § 1, og er underlagt hensiktsmessige terskler og grenser for handler. Slike systemer og kontroller skal også hindre at det sendes uriktige ordrer eller at systemene skaper eller bidrar til uro i markedet. Verdipapirforetaket skal også ha effektive systemer og risikokontroller som sikrer at handelssystemene ikke kan brukes til formål som er i strid med reglene i kapittel 3 eller med reglene til en handelsplass som foretaket er tilknyttet.

(2) Verdipapirforetak som utfører algoritmehandel, skal ha effektive beredskapsplaner og -systemer i henhold til kravene i forordning (EU) 2022/2554 artikkel 11, jf. lov om digital operasjonell motstandsdyktighet i finanssektoren § 1, for å håndtere en eventuell svikt i dets handelssystemer og skal påse at systemet er fullt testet og tilfredsstillende overvåket slik at det oppfyller kravene i bestemmelsen her og i forordning (EU) 2022/2554 kapittel II og IV, jf. lov om digital operasjonell motstandsdyktighet i finanssektoren § 1.

§ 11-18 første ledd nr. 2 skal lyde:

• 2. identifisering og håndtering av vesentlige risikoer som virksomheten utsettes for, herunder håndtering av risiko knyttet til IKT-systemer i henhold til forordning (EU) 2022/2554 kapittel II, jf. lov om digital operasjonell motstandsdyktighet i finanssektoren § 1,

§ 11-19 første og andre ledd skal lyde:

(1) Et regulert marked skal ha effektive systemer, prosedyrer og ordninger for operasjonell motstandsdyktighet i henhold til forordning (EU) 2022/2554 kapittel II, jf. lov om digital operasjonell motstandsdyktighet i finanssektoren § 1, som til enhver tid sikrer at handelssystemet:

• 1. er robust og har tilstrekkelig kapasitet for å kunne håndtere høye ordre- og meldingsvolum,

• 2. sikrer velordnet handel ved alvorlig markedsuro,

• 3. er fullt gjennomtestet.

(2) Et regulert marked skal ha beredskapsplaner og systemer i henhold til forordning (EU) 2022/2554 artikkel 11, jf. lov om digital operasjonell motstandsdyktighet i finanssektoren § 1, som sikrer kontinuerlig drift ved svikt i handelssystemet.

§ 11-21 fjerde ledd skal lyde:

(4) Et regulert marked skal kreve at medlemmene gjør hensiktsmessige tester av sine algoritmer, og skal stille testmiljøer tilgjengelig for slik testing i henhold til kravene i forordning (EU) 2022/2554 kapittel II og IV, jf. lov om digital operasjonell motstandsdyktighet i finanssektoren § 1.

§ 17-1 første ledd skal lyde:

(1) EØS-avtalen vedlegg IX nr. 31bc (forordning (EU) nr. 648/2012) om OTC-derivater, sentrale motparter og transaksjonsregistre (EMIR), som endret ved direktiv (EU) 2015/849 og forordning (EU) 2022/2554, jf. lov om digital operasjonell motstandsdyktighet i finanssektoren § 1, gjelder som lov med de tilpasninger som følger av vedlegg IX, protokoll 1 til avtalen og avtalen for øvrig.

§ 19-2 første ledd skal lyde:

(1) Verdipapirforetak, sentrale motparter, datarapporteringsforetak og markedsoperatører, samt IKT tredjeparts tjenesteleverandører som referert til i kapittel V i forordning (EU) 2022/2554, jf. lov om digital operasjonell motstandsdyktighet i finanssektoren § 1, plikter å gi Finanstilsynet de opplysninger som kreves om forhold som angår foretakets forretning og virksomhet. Tilsvarende gjelder foretak i samme konsern. Tilsvarende gjelder også for verdipapirforetaks tilknyttede agenter. Foretaket plikter å fremvise, og i tilfelle utlevere til kontroll, dokumentasjon etter § 9-16 første ledd nr. 8, herunder lydopptak og elektronisk kommunikasjon etter § 9-17, og øvrig fysisk og elektronisk dokumentasjon som angår virksomheten.

• 1. gode administrasjons- og regnskapsrutiner og kontroll- og sikkerhetsordninger for elektronisk databehandling, herunder for nettverk og systemer som er etablert og håndtert etter forordning (EU) 2022/2554, jf. lov om digital operasjonell motstandsdyktighet i finanssektoren § 1,

• a. gode administrasjons- og regnskapsrutiner, kontroll- og sikkerhetsordninger for elektronisk databehandling, herunder for nettverk og systemer som er etablert og håndtert etter forordning (EU) 2022/2554, jf. lov om digital operasjonell motstandsdyktighet i finanssektoren § 1, og regler for ansattes personlige transaksjoner,

EØS-avtalen vedlegg IX nr. 31eb (forordning (EF) nr. 1060/2009) om kredittvurderingsbyråer (kredittvurderingsbyråforordningen), som endret ved forordning (EU) nr. 513/2011, direktiv 2011/61/EU, forordning (EU) nr. 462/2013 og forordning (EU) 2022/2554, jf. lov om digital operasjonell motstandsdyktighet i finanssektoren § 1, gjelder som lov med de tilpasninger som følger av vedlegg IX, protokoll 1 til avtalen og avtalen for øvrig.

§ 13-5 første ledd skal lyde:

(1) Et finansforetak skal organiseres og drives på en forsvarlig måte. Foretaket skal ha en klar organisasjonsstruktur og ansvarsfordeling samt klare og hensiktsmessige styrings- og kontrollordninger. Foretaket skal ha hensiktsmessige retningslinjer og rutiner for å identifisere, styre, overvåke og rapportere risiko foretaket er, eller kan bli, eksponert for. Foretaket skal ha nettverks- og informasjonssystemer i samsvar med forordning (EU) 2022/2554, jf. lov om digital operasjonell motstandsdyktighet i finanssektoren § 1. Foretaket skal også ha hensiktsmessige retningslinjer og rutiner for gjennomføring, overvåkning og regelmessig vurdering av godtgjørelsesordninger.

§ 20-6 a tredje ledd bokstav g skal lyde:

• g. å forenkle strukturen i foretaket eller konsernet for å sikre at kritiske funksjoner kan skilles ut juridisk og operasjonelt fra øvrig virksomhet for å sikre kontinuitet og digital operasjonell motstandsdyktighet,

(1) EØS-avtalen vedlegg IX (forordning (EU) 2016/1011) om indekser brukt som referanseverdier i finansielle instrumenter og finansielle kontrakter eller for å måle resultatet i investeringsfond (referanseverdiforordningen), som endret ved forordning (EU) 2022/2554, jf. lov om digital operasjonell motstandsdyktighet i finanssektoren § 1, gjelder som lov med de tilpasninger som følger av vedlegg IX, protokoll 1 til avtalen og avtalen for øvrig.

EØS-avtalen vedlegg IX forordning (EU) nr. 909/2014 (om forbedring av verdipapiroppgjør i Den europeiske union og om verdipapirsentraler samt om endring av direktiv 98/26/EF og 2014/65/EU og forordning (EU) nr. 236/2012 (verdipapirsentralforordningen)) som endret ved forordning (EU) 2022/2554, jf. lov om digital operasjonell motstandsdyktighet i finanssektoren § 1, gjelder som lov med de tilpasninger som følger av vedlegg IX til avtalen, protokoll 1 til avtalen og avtalen for øvrig.

(1) Med unntak av avtaler om bruk av tjenester fra IKT-leverandører som nevnt i forordning (EU) 2022/2554 kapittel V, jf. lov om digital operasjonell motstandsdyktighet i finanssektoren §§ 1 og 2, skal foretak under tilsyn melde fra til Finanstilsynet ved inngåelse av avtale om utkontraktering av virksomhet som er kritisk eller viktig for foretaket, og ved endringer av slike avtaler. Meldingen skal gis minst 60 dager før iverksettelsen av avtalen eller avtaleendringen.