Digital finans: endringsbestemmelser knyttet til kryptoverdier og operasjonell sikkerhet (DORA-direktivet)
Europaparlaments- og rådsdirektiv (EU) 2022/2556 av 14. desember 2022 om endring av direktiv 2009/65/EC, 2009/138/EC, 2011/61/EU, 2013/36/EU, 2014/59/EU, 2014/65/EU, (EU) 2015/2366 og (EU) 2016/2341 med hensyn til digital operasjonell motstandsdyktighet for finansområdet
Directive (EU) 2022/2556 of 14 December 2022 of the European Parliament and of the Council amending Directives 2009/65/EC, 2009/138/EC, 2011/61/EU, 2013/36/EU, 2014/59/EU, 2014/65/EU, (EU) 2015/2366 and (EU) 2016/2341 as regards digital operational resilience for the financial sector
EØS/EFTA-landenes utkast til EØS-komitebeslutning oversendt til Kommisjonen 18.9.2024
Tidligere
- Europaparlaments- og rådsdirektiv publisert i EU-tidende 27.12.2022
- Høring igangsatt av Finansdepartementet 23.1.2024 med frist 3.4.2024
Bakgrunn
(fra departementets EØS-notat, sist oppdatert 21.1.2025)
Sammendrag av innhold
Forordning (EU) 2022/2554 (DORA) om digital operasjonell motstandsdyktighet i finanssektoren krever tilpasninger i flere direktiver. Tilpasningene fremgår av Direktiv (EU) 2022/2556 (DORA-direktivet). Følgende direktiver endres:
Kortnavn - Referanse
Solvens II - 2009/138/EF
UCITS - 2009/65/EF
AIFMD - 2011/61/EU
CRD - 2013/36/EU
BRRD - 2014/59/EU
MIFID II - 2014/65/EU
PSD II - (EU) 2015/2366
IORP II - (EU) 2016/2341
Merknader
Rettslige konsekvenser
Endringsbestemmelsene i DORA-direktivet innebærer at IKT-risikostyring og kravene som vil gjelde etter (DORA) tas inn i bestemmelser om forsvarlig organisering og drift av virksomheten. Endringene gjelder virksomhetskravene for finansforetak, betalingsforetak, verdipapirforetak, regulerte markeder og forvaltere av verdipapirfond og alternative investeringsfond, samt justeringer i kravene til innhold i gjenopprettings- og krisehåndteringsplaner for kredittinstitusjoner mv. Endringene innebærer i seg selv ingen nye materielle forpliktelser utover de som vil følge av forordningen.
Økonomiske og administrative konsekvenser
DORA introduserer en rekke krav til rapportering, som vil få konsekvenser for den kompetente myndigheten og foretak under tilsyn. Noe rapportering foreligger allerede i dag, blant annet på hendelser og IKT-tjenesteavtaler, men DORA legger i mange tilfeller opp til en mer omfattende rapportering. Rapporteringen vil medføre økt oppfølging fra den kompetente myndighetens side ovenfor foretakene. I tillegg økes rapportering til EU.
DORA er et komplekst regelverk med mange detaljer. Både for foretakene og tilsynsmyndigheten vil regelverket være krevende å forvalte. For tilsynsmyndigheten vil det bety et mer omfattende tilsynsansvar og mulig større behov for veiledning ovenfor foretakene.
Per i dag samarbeider Finanstilsynet med NSM og Datatilsynet. DORA kan medføre at slikt samarbeid må utvides. Dette vil muligens medføre økt ressursbruk i NSM og Datatilsynet også.
Det er noe vanskelig å si hvor krevende det blir å følge opp regelverket praksis, men sannsynligvis vil det bli behov for noe økte ressurser, både i foretakene og hos myndigheter. De regulatoriske tekniske standardene utgjør sammen med DORA et større sett med regler, med et høyere detaljnivå enn dagens regelverk og retningslinjer. Derfor vil de samlet kreve ytterligere ressurser å forvalte. I tillegg forventes det nye regelverket å medføre økt behov for samhandling med andre lands tilsynsmyndigheter. I Norge vil Finanstilsynet hovedsakelig være kompetent myndighet.
Sakkyndige instansers merknader
Finanstilsynet har vurdert saken vurderer rettsakten til å være EØS-relevant og akseptabel.
Vurdering
Endringene innebærer ingen nye materielle forpliktelser utover de som vil følge av DORA.
Status
Direktivet har vært på høring som en del av høringen av DORA.