Utfyllende bestemmelser til DORA om tidsfrister og innhold for rapporter om alvorlige IKT-hendelser og vesentlige cybertrusler
Delegert kommisjonsforordning (EU) 2025/301 av 23. oktober 2024 som supplerer forordning (EU) 2022/2554 Europaparlamentet og Rådet med hensyn til regulatoriske tekniske standarder som spesifiserer innholdet og fristene for den innledende varslingen av, og statusrapport og endelig rapport om, alvorlige IKT-relaterte hendelser, og innholdet i den frivillige varslingen av vesentlige cybertrusler
Commission Delegated Regulation (EU) 2025/301 of 23 October 2024 supplementing Regulation (EU) 2022/2554 of the European Parliament and of the Council with regard to regulatory technical standards specifying the content and time limits for the initial notification of, and intermediate and final report on, major ICT-related incidents, and the content of the voluntary notification for significant cyber threats
EØS-notat | 03.04.2025 | EØS-notatbasen
Sakstrinn
- Faktanotat
- Foreløpig posisjonsnotat
- Posisjonsnotat
- Gjennomføringsnotat
Opprettet 05.03.2025
Spesialutvalg: Kapitalbevegelser og finansielle tjenester
Dato sist behandlet i spesialutvalg:
Hovedansvarlig(e) departement(er): Finansdepartementet
Vedlegg/protokoll i EØS-avtalen: Vedlegg IX. Finansielle tjenester
Kapittel i EØS-avtalen: V. Bestemmelser som gjelder alle finansielle tjenester
Status
Rettsakten har trådt i kraft i EU og er til vurdering for innlemmelse i EØS-avtalen.
Sammendrag av innhold
Rettsakten er en delegert kommisjonsforordning til forordning (EU) 2022/2554 (DORA – Digital Operational Resilience Act) om digital operasjonell motstandsdyktighet i finanssektoren.
De fleste foretak som omfattes av DORA skal rapportere inn alvorlige hendelser til Finanstilsynet. Foretakene kan også rapportere inn vesentlige cybertrusler på frivillig basis.
For å sikre enhetlig rapportering av alvorlige IKT-hendelser og vesentlige cybertrusler, fastsetter rettsakten detaljerte regler for innholdet i de ulike rapporttypene som skal sendes til Finanstilsynet.
Ved alvorlige IKT-relaterte hendelser skal foretak sende et innledende varsel, statusrapport(er) og en endelig rapport. Det gjelder ulike krav til innhold for de ulike rapporttypene. Innholdet i et innledende varsel er begrenset til den viktigste informasjonen om hendelsen slik at kompetente myndigheter kan bli varslet om hendelsen så raskt som mulig, mens kravene til innholdet i en endelig rapport er mer omfattede.
For rapportering av vesentlige cyberhendelser gjelder egne krav til innhold i rapportene.
Rettsakten fastsetter også tidsfrister for innsending av de ulike rapporttypene ved rapportering av alvorlige IKT-relaterte hendelser. Utgangspunktet er at foretakene skal rapportere uavhengig av helg eller helligdager. Fristene i regelverket gjelder uten unntak for innsending av innledende varsel og statusrapporter for kredittinstitusjoner, sentrale motparter, handelsplasser og foretak som er utpekt som vesentlige eller viktige etter NIS2 ((EU) 2022/2555). Kompetente myndigheter kan også bestemme at det samme skal gjelde for foretak som anses som betydelige eller er av systemisk karakter for den finansielle sektoren på nasjonalt nivå eller EU/EØS-nivå. Øvrige foretakstyper har derimot anledning til å sende innledende varsel, statusrapporter og endelig rapport innen kl. 12.00 den første påfølgende virkedagen dersom en frist faller i en helg eller på en helligdag.
Merknader
Rettslige konsekvenser
I forslag til lov om digital operasjonell motstandsdyktighet i finanssektoren (DORA-loven) § 1 framgår det at departementet kan fastsette utfyllende forskrifter. Det antas derfor at den delegerte kommisjonsforordningen vil gjennomføres i norsk rett ved henvisning i forskrift. Rettsakten inneholder mer detaljerte krav til rapporteringspliktige foretak enn de som følger av dagens regelverk for hendelsesrapportering innen IKT, herunder IKT-forskriften og annet sektorregelverk, samt rundskriv nr. 15/2009.
Økonomiske og administrative konsekvenser
De fleste foretakene som omfattes av DORA har i dag en rapporteringsplikt etter IKT-forskriften og antas derfor å ha systemer og rutiner som kan videreføres med visse modifikasjoner. Den delegerte kommisjonsforordningen kan medføre økonomiske og administrative konsekvenser for foretak i forbindelse med opprettelse og/eller tilpasning av systemer og rutiner for rapportering av alvorlige IKT-relaterte hendelser og vesentlige cybertrusler. Dette kan inkludere investeringer i teknologiske løsninger, nye rutiner og opplæring av ansatte knyttet til rapportering til Finanstilsynet.
Forordningen forventes ikke å ha vesentlige økonomiske eller administrative konsekvenser for norske myndigheter til tross for at det må utvikles nye IKT-løsninger for mottak av foretakenes rapportering og videresending av hendelsesrapporter til de europeiske finanstilsynsmyndighetene.
Sakkyndige instansers merknader
Finanstilsynet har vurdert rettsakten som EØS-relevant og akseptabel.
Vurdering
Forordningen anses EØS-relevant og akseptabel.
Andre opplysninger
Nøkkelinformasjon
| Institusjon: | Kommisjonen |
| Type rettsakt: | Forordning |
| KOM-nr.: | |
| Rettsaktnr.: | (EU) 2025/301 |
| Basis rettsaktnr.: | (EU) 2022/2554 |
| Celexnr.: | 32025R0301 |
EFTA-prosessen
| Dato mottatt standardskjema: | 25.10.2024 |
| Frist returnering standardskjema: | |
| Dato returnert standardskjema: | |
| EØS-relevant: | Ja |
| Akseptabelt: | Ja |
| Tekniske tilpasningstekster: | Nei |
| Materielle tilpasningstekster: | Nei |
| Art. 103-forbehold: | Nei |
Norsk regelverk
| Endring av norsk regelverk: | Ja |
| Høringsstart: | |
| Høringsfrist: | |
| Frist for gjennomføring: |