DORA-forordningen: klassifisering av IKT-relaterte hendelser og cybertrusler

Delegert kommisjonsforordning (EU) 2024/1772 av 13. mars 2024 om utfylling av europaparlaments- og rådsforordning (EU) 2022/2554 med hensyn til tekniske reguleringsstandarder som spesifiserer kriteriene for klassifisering av IKT-relaterte hendelser og cybertrusler, fastsetter vesentlighetsterskler og spesifiserer detaljene i rapporter om alvorlige hendelser

Commission Delegated Regulation (EU) 2024/1772 of 13 March 2024 supplementing Regulation (EU) 2022/2554 of the European Parliament and of the Council with regard to regulatory technical standards specifying the criteria for the classification of ICT-related incidents and cyber threats, setting out materiality thresholds and specifying the details of reports of major incidents

Finansielle tjenester

Rettsakten på norsk (PDF)

Les i Lovdata Pro

Progresjon

Progresjon
EU-initiativ og -forslag

C(2024) 1519

Initiativ- eller forslagsdato

13.03.2024

Vedtatt rettsakt

32024R1772

Rettsaktens dato

13.03.2024

Anvendelsesdato i EU

15.07.2024
Saksområde

Finansielle tjenester: generelt (EØS-avtalens vedlegg IX.V)

Utkast til EØS-beslutning oversendt EU

28.08.2024

Vedtatt i EØS-komiteen

14.03.2025

EØS-beslutningsnummer

Nr. 77/2025

EØS-beslutningens ikrafttredelse

01.07.2025

Anvendelsesfrist i EØS

01.07.2025

Parlamentsbehandling

Norge (knyttet til forordning (EU) 2022/2554) (fullført)

Informasjon fra EFTA-sekretariatet

EØS-prosessen
Ansvarlig departement

Finansdepartementet

Informasjon fra departementet

EØS-notat

Gjennomført i Norge

FOR 2025-06-24 nr 1296

Gjennomføringsdato

24.06.2025

Anvendes fra i Norge

01.07.2025

Norsk forskrift kunngjort 25.6.2025

Tidligere

Utkast til delegert kommisjonsforordning sendt til Europaparlamentet og Rådet for klarering 13.3.2024
Kommisjonsforordning publisert i EU-tidende 25.6.2024
EØS/EFTA-landenes utkast til EØS-komitebeslutning oversendt til Kommisjonen 28.8.2024
EØS-komitebeslutning 14.3.2025 om innlemmelse i EØS-avtalen
Høring igangsatt av Finansdepartementet 11.4.2025 med frist 30.5.2025
EØS-komitebeslutningen trer i kraft 1.7.2025 som følge av oppfyllelse av forfatningsrettslige krav av EØS-komitebeslutning om tilknyttet rettsakt

Bakgrunn

(fra departementets EØS-notat, sist oppdatert 7.9.2025)

Sammendrag av innhold

Rettsakten er en delegert kommisjonsforordning til forordning (EU) 2022/2554 (DORA – Digital Operational Resilience Act) om digital operasjonell motstandsdyktighet i finanssektoren.

Alle foretak som omfattes av DORA må registrere og klassifisere IKT-relaterte hendelser. De fleste foretak som omfattes skal rapportere inn alvorlige IKT-relaterte hendelser til Finanstilsynet. Foretakene kan også rapportere inn vesentlige cybertrusler på frivillig basis.

Den delegerte kommisjonsforordningen inneholder detaljerte regler for klassifisering av IKT-relaterte hendelser og cybertrusler, samt terskler for vesentlighet og rapporteringskrav for alvorlige IKT-hendelser og vesentlige cybertrusler. Forordningen gir også utfyllende regler knyttet til vurderingen av om en alvorlig hendelse er relevant for andre kompetente myndigheter i EU/EØS og hva slags informasjon som skal deles med disse.

Merknader
Rettslige konsekvenser

I lov om digital operasjonell motstandsdyktighet i finanssektoren § 2 framgår det at departementet kan fastsette utfyllende forskrifter. Den delegerte kommisjonsforordningen har blitt gjennomført i norsk rett ved henvisning i forskrift om digital operasjonell motstandsdyktighet i finanssektoren (DORA-forskriften) § 3.

Økonomiske og administrative konsekvenser

De fleste foretakene som omfattes av DORA har i dag en rapporteringsplikt etter IKT-forskriften og antas derfor å ha systemer og rutiner som kan videreføres med visse modifikasjoner. Den delegerte kommisjonsforordningen kan medføre økonomiske og administrative konsekvenser for foretak i forbindelse med opprettelse og/eller tilpasning av systemer og rutiner for registrering, klassifisering og rapportering av IKT-relaterte hendelser og cybertrusler. Dette kan inkludere investeringer i teknologiske løsninger, nye rutiner og opplæring av ansatte knyttet til rapportering til Finanstilsynet.

Forordningen forventes ikke å ha vesentlige økonomiske eller administrative konsekvenser for norske myndigheter til tross for at det må utvikles nye IKT-løsninger for mottak og videresending av hendelsesrapporter.

Sakkyndige instansers merknader

Finanstilsynet har vurdert rettsakten som EØS-relevant og akseptabel.

Vurdering

Forordningen anses EØS-relevant og akseptabel.

Status

Rettsakten er vedtatt av EU-kommisjonen og trådte i kraft i EU den 17. januar 2025. Forordningen ble innlemmet i EØS-avtalen den 14. mars 2025.

Lov om digital operasjonell motstandsdyktighet i finanssektoren (DORA-loven) ble vedtatt av Stortinget i mai 2025 og trådte i kraft 1. juli 2025. Den delegerte kommisjonsforordningen er gjennomført i norsk rett gjennom DORA-forskriften som er hjemlet i DORA-loven. Forskriften trådte i kraft samtidig med DORA-loven, den 1. juli 2025. Rettsakten er gjennomført i DORA-forskriften § 3.

Progresjon

DORA-forordningen: klassifisering av IKT-relaterte hendelser og cybertrusler

DORA-forordningen: klassifisering av IKT-relaterte hendelser og cybertrusler

Siste nytt

Tidligere

Bakgrunn

Vurdering

Status

Fant du det du lette etter? Hjelp oss å bli bedre!