(fra departementets EØS-notat, sist oppdatert 13.6.2025)

Sammendrag av innhold

Rettsakten er en gjennomføringsforordning til forordning (EU) 2022/2554 om digital operasjonell motstandsdyktighet i finanssektoren (DORA – Digital Operational Resilience Act) og gir utfyllende regler til DORA om rapportering av alvorlige IKT-relaterte hendelser og vesentlige cybertrusler.  

For at hendelsesrapporteringen fra foretak skal skje i samme format på tvers av landene i EU/EØS, inneholder gjennomføringsforordningen krav til og maler for rapportering av alvorlige IKT-relaterte hendelser og frivillig rapportering av vesentlige cybertrusler.   

Rettsakten stiller blant annet krav om at rapportering av alvorlige IKT-relaterte hendelser skal gjøres i sikre kanaler. Dersom et foretak utkontrakterer rapporteringsplikten til en tredjepartsleverandør, stiller rettsakten krav til at den kompetente myndigheten skal informeres om dette. En tredjepartsleverandør som har fått utkontraktert rapporteringsplikten til seg, har på visse vilkår anledning til å rapportere om hendelser på vegne av flere foretak.  

Dersom et foretak står overfor tilbakevendende IKT-relaterte hendelser som samlet kan klassifiseres som en alvorlig hendelse, skal foretakene rapportere om hendelsene samlet. Foretak som tidligere har rapportert om en hendelse som senere viser seg ikke å kunne klassifiseres som alvorlig, plikter å varsle kompetente myndigheter om dette.  

Ved rapportering av alvorlige IKT-relaterte hendelser, åpner rettsakten for muligheten til å sende inn to eller alle rapporttypene (initiell rapport, statusrapport og endelig rapport) samtidig. 
 

Merknader
Rettslige konsekvenser

Forutsatt at rettsakten innlemmes i EØS-avtalen, må rettsakten implementeres i norsk rett. Lov om digital operasjonell motstandsdyktighet i finanssektoren (DORA-loven) inneholder bestemmelser for fastsettelse av nivå 2-regelverk i forskrift. 

Økonomiske og administrative konsekvenser

De fleste foretak som omfattes av DORA er underlagt krav til rapportering etter dagens regelverk. Gjennomføringsrettsakten medfører at foretakene må innrette sine prosedyrer og rapportering til Finanstilsynet i samsvar med de mer detaljerte kravene som følger av DORA-forordningen, se omtale i EØS-notatet for forordningen. Selv om gjennomføringsforordningen gir mer spesifikke krav til formatet på rapporteringen, forventes det ikke at de økonomiske og administrative konsekvensene vil bli vesentlige for foretakene. 

For myndighetssiden antas det at de detaljerte kravene vil medføre mindre eller moderate konsekvenser. De nye kravene til å motta og lagre hendelsesrapportering fra foretakene og videresende disse til de europeiske finanstilsynsmyndighetene vil blant annet kreve utvikling av tekniske løsninger som muliggjør dette. Det vil også være et behov for opplæring av ansatte i Finanstilsynet i nye rutiner. 

Samlet sett forventes ikke reglene å medføre vesentlige økonomiske eller administrative konsekvenser for næringslivet eller offentlige myndigheter. 

Sakkyndige instansers merknader

Finanstilsynet har vurdert rettsakten som EØS-relevant og akseptabel. 

Vurdering

Forordningen anses EØS-relevant og akseptabel. 

Status

Rettsakten har trådt i kraft i EU. Forordningen er til vurdering for innlemmelse i EØS-avtalen.  

I DORA-loven § 1 framgår det at departementet kan fastsette utfyllende forskrifter. I forslag til forskrift til DORA-loven (DORA-forskriften) er det foreslått at gjennomføringsforordningen skal tas inn i norsk rett gjennom DORA-forskriften og tre i kraft samtidig med DORA-loven 1. juli 2025. Forslaget har vært på høring og høringsfristen var 30. mai 2025.