Delegert kommisjonsforordning (EU) 2025/420 av 16. desember 2024 om utfylling av europaparlaments- og rådsforordning (EU) 2022/2554 med hensyn til tekniske reguleringsstandarder for å fastsette kriteriene for sammensetningen av felles granskningsgruppe, for å sikre en balansert deltakelse av ansatte fra de europeiske tilsynsmyndighetene (ESAene) og de relevante kompetente myndighetene, deres utvelgelser, oppgaver og arbeidsordninger
DORA-forordningen: deltakelse i felles undersøkelsesteam
Commission Delegated Regulation (EU) 2025/420 of 16 December 2024 supplementing Regulation (EU) 2022/2554 of the European Parliament and of the Council with regard to regulatory technical standards to specify the criteria for determining the composition of the joint examination team ensuring a balanced participation of staff members from the ESAs and from the relevant competent authorities, their designation, tasks and working arrangements
EØS/EFTA-landenes utkast til EØS-komitebeslutning oversendt til Kommisjonen 17.9.2025
Tidligere
- Utkast til delegert kommisjonsforordning sendt til Europaparlamentet og Rådet for klarering 16.12.2024
- Kommisjonsforordning publisert i EU-tidende 24.3.2025
Bakgrunn
(fra departementets EØS-notat, sist oppdatert 13.6.2025)
Sammendrag av innhold
Rettsakten er en delegert kommisjonsforordning til forordning om digital operasjonell motstandsdyktighet i finanssektoren (EU) 2022/2554 (DORA – Digital Operational Resilience Act) og gir utfyllende regler til DORA om overvåking av kritiske IKT-tjenesteleverandører.
Rettsakten angir nærmere kriterier for å avgjøre sammensetningen i de felles granskningsgruppene (“Joint Examination Teams”) som etableres for hver av de utpekte kritiske IKT-tjenesteleverandørene. Reglene skal sørge for en balansert deltakelse med ansatte fra de europeiske tilsynsmyndighetene (ESAene) og fra relevante kompetente myndigheter. Det er hovedovervåkeren (“Lead Overseer” - EBA, ESMA eller EIOPA eller EFTAs overvåkingsorgan der IKT-tjenesteleverandøren er etablert i et EFTA-land), i samråd med det felles tilsynsnettverket (“Joint Oversight Network”), som bestemmer gruppesammensetningen.
Granskningsgruppene skal bistå hovedovervåkeren i overvåkingsarbeidet. Rettsakten spesifiserer de oppgavene som gruppene skal ha. Den stiller også krav til at gruppene skal jobbe i tråd med instruksjoner og retningslinjer som gis av ESAene og koordinatoren for hovedovervåkingsmyndigheten. Dette gjelder særlig ved utarbeidelse av de årlige overvåkingsplanene for de enkelte kritiske IKT-tjenesteleverandørene.
Rettsakten stiller også visse krav til hva hovedovervåkeren skal ta hensyn til når den beslutter og eventuelt endrer sammensetningen i de felles granskningsgruppene. Kommisjonsforordningen gir også føringer for hva kompetente myndigheter skal ta hensyn til når de skal nominere ansatte som deltakere til felles granskningsgrupper.
Merknader
Rettslige konsekvenser
Forutsatt at rettsakten innlemmes i EØS-avtalen, må rettsakten implementeres i norsk rett. Lov om digital operasjonell motstandsdyktighet i finanssektoren inneholder bestemmelser for fastsettelse av nivå 2-regelverk i forskrift.
Økonomiske og administrative konsekvenser
Rettsakten forventes ikke å føre til vesentlige økonomiske eller administrative konsekvenser for næringslivet eller offentlige myndigheter. For Finanstilsynet vil DORA og den delegerte kommisjonsforordningen medføre økt ressursbruk da det forventes at alle land (i varierende grad) stiller med ressurser til de felles granskningsgruppene der omfanget av arbeid vil være mer omfattende enn dagens mot IKT-tjenesteleverandører. Omfanget av økt ressursbruk vil være avhengig av antall leverandører som blir underlagt overvåking og hvilken relevans disse har for norske foretak.
Sakkyndige instansers merknader
Finanstilsynet har vurdert rettsakten som EØS-relevant og akseptabel.
Vurdering
Forordningen anses EØS-relevant og akseptabel.
Status
Rettsakten har trådt i kraft i EU. Forordningen er til vurdering for innlemmelse i EØS-avtalen.