Digital finans: endringsbestemmelser knyttet til kryptoverdier og operasjonell sikkerhet (DORA-direktivet)
EØS/EFTA-landenes utkast til EØS-komitebeslutning oversendt til Kommisjonen 18.9.2024
Tidligere
- Europaparlaments- og rådsdirektiv publisert i EU-tidende 27.12.2022
- Høring igangsatt av Finansdepartementet 23.1.2024 med frist 3.4.2024
Bakgrunn
BAKGRUNN (fra departementets EØS-notat, sist oppdatert 10.12.2020)
Sammendrag av innhold
Forslaget er en del av EU-kommisjonens tiltakspakke for digitale finanstjenester, som ble publisert 24. september 2020.
I forslag til direktiv foreslås det bestemmelser som utfyller forslaget til forordning om digital operasjonell motstandsdyktighet (KOM(2020) 595, se eget EØS-notat). Det foreslås endringer i operasjonelle risiko- eller risikostyringskrav i direktiv 2006/43/EC, 2009/65/EC, 2009/138/EU, 2011/61/EU, EU/2013/36, 2014/65/EU, (EU) 2015/2366 og EU/2016/2341, ved å innføre presise krysshenvisninger i disse bestemmelsene.
- I direktiv 2009/65/EF foreslås det endringer om samordning av lover, forskrifter og administrative bestemmelser om foretak for kollektiv investering i omsettelige verdipapirer (UCITS).
- I direktiv 2009/138/EF foreslås det endringer om opptak og virksomhet innen forsikring og reassuranse (Solvens II).
- I direktiv 2011/61/EU foreslås det endringer om alternative investeringsfondforvaltere (AIFMD).
- I direktiv 2014/56/EU foreslås det endringer om lovpålagt revisjon av årsregnskap og konsernregnskap.
- I direktiv EU/2016/2341 foreslås det endringer om virksomhet og tilsyn med institusjoner for tjenestepensjon (IORP).
Formålet med endringene i hvert av disse direktivene er å innføre spesifikke krysshenvisninger til forslag til forordning KOM(2020) 595 (DORA) når det gjelder disse finansforetakenes forvaltning av IKT-systemer og -verktøy, som bør gjøres i samsvar med bestemmelsene i den forordningen.
- I direktiv 2013/36/EU (kapitaldekningsdirektivet, CRD) foreslås det endring i bestemmelser om beredskaps- og forretningskontinuitetsplaner for å inkludere IKT-kontinuitets- og katastrofeplaner utarbeidet i samsvar med bestemmelsene foreslått i KOM(2020) 595 (DORA).
- I direktiv 2014/65/EU om markeder for finansielle instrumenter (MIFID2) foreslås det å legge til kryssreferanser til bestemmelser foreslått i KOM(2020) 595(DORA) og endre bestemmelser om kontinuitet og regelmessighet i utførelsen av investeringstjenester og aktiviteter, motstandsdyktighet og tilstrekkelig kapasitet i handelssystemer, effektive forretningsmessige kontinuitetsplaner og risikostyring.
- I direktiv (EU) 2015/2366 om betalingstjenester i det indre marked (PSD2), mer presist konsesjonsreglene, foreslås det å legge til kryssreferanse til forslaget til forordning KOM(2020) 595 (DORA). I tillegg bør reglene om rapportering av hendelser i direktivet endres slik at de utelukker rapportering av IKT-relatert hendelser, som fullt ut blir harmonisert innen finanssektoren i KOM(2020) 595 (DORA).
Videre foreslås det å klargjøre den juridiske behandlingen av kryptoaktiva som kvalifiserer som finansielle instrumenter. Dette foreslås gjort ved å endre definisjonen av et 'finansielt instrument' i direktiv 2014/65/EU om markeder for finansielle instrumenter for å avklare, slik at det ikke vil være noen juridisk tvil, om at slike instrumenter kan utstedes ved bruk av Distributed Ledger Technology (DLT).
Videre omfatter forslaget til direktiv også utfyllende bestemmelser til forslaget til en forordning om et pilotregime for markedsinfrastrukturer for DLT ved midlertidig å frita markedsinfrastrukturer for DLT fra visse bestemmelser i direktiv 2014/65/EU, for å gjøre det mulig å utvikle løsninger for handel og oppgjør av transaksjoner med krypto-eiendeler som vil kunne betegnes som finansielle instrumenter.
For å sikre en konsekvent bruk av regelverket i forslag til forordning KOM(2020) 595 (DORA) og forslagene i direktivet, som sammen utgjør den nye rammen om digital operativ motstandsdyktighet for finanssektoren, bør medlemsstatene implementere bestemmelsene i nasjonal lovgivning fra den datoen forordningen er gjeldende.
Merknader
Rettslige konsekvenser
Forslaget til direktiv innebærer endringer i en rekke sektorregelverk som er gjennomført enten i lov eller forskrift. Gjennomføring av direktivet dersom det blir vedtatt vil derfor mest sannsynlig kreve endringer i sektorregelverket som gjennomfører de aktuelle direktivenene enten i lov eller forskrift.
Økonomiske og administrative konsekvenser
Forslaget, lest sammen med forslag til forordning om digital motstandsdyktighet, vil forventes ikke å medføre større økonomiske eller administrative konsekvenser for aktørene fordi eksisterende regelverk ligger tett opp mot kravene som stilles i regelverkforslagene.
Sakkyndige instansers merknader
Finanstilsynet har vurdert forslaget som EØS-relevant og akseptabelt.
Vurdering
Dersom forslaget blir vedtatt må endringene til de ulike direktivene gjennomføres i norsk rett ved endring av nasjonalt regelverk som gjennomfører de aktuelle direktivene.
Status
Forslaget er til behandling i Parlamentet og Rådet.