Delegert kommisjonsforordning (EU) 2024/1772 av 13. mars 2024 om utfylling av europaparlaments- og rådsforordning (EU) 2022/2554 med hensyn til tekniske reguleringsstandarder som spesifiserer kriteriene for klassifisering av IKT-relaterte hendelser og cybertrusler, med angivelse av vesentlighetsterskelen og spesifisering av detaljene i rapporter om større hendelser
DORA-forordningen: klassifisering av IKT-relaterte hendelser og cybertrusler
Commission Delegated Regulation (EU) 2024/1772 of 13 March 2024 supplementing Regulation (EU) 2022/2554 of the European Parliament and of the Council with regard to regulatory technical standards specifying the criteria for the classification of ICT-related incidents and cyber threats, setting out materiality thresholds and specifying the details of reports of major incidents
EØS-notat offentliggjort 11.12.2024
Tidligere
- Utkast til delegert kommisjonsforordning sendt til Europaparlamentet og Rådet for klarering 13.3.2024
- Kommisjonsforordning publisert i EU-tidende 25.6.2024
- EØS/EFTA-landenes utkast til EØS-komitebeslutning oversendt til Kommisjonen 28.8.2024
Bakgrunn
BAKGRUNN (fra departementets EØS-notat, sist oppdatert 6.12.2024)
Sammendrag av innhold
Rettsakten er en delegert kommisjonsforordning til forordning (EU) 2022/2554 (DORA – Digital Operational Resilience Act) om digital operasjonell motstandsdyktighet i finanssektoren.
Alle foretak som omfattes av DORA må registrere og klassifisere IKT-relaterte hendelser. De fleste foretak som omfattes skal rapportere inn alvorlige hendelser til Finanstilsynet. Foretakene kan også rapportere inn vesentlige cybertrusler på frivillig basis.
Den delegerte kommisjonsforordningen inneholder detaljerte regler for klassifisering av IKT-relaterte hendelser og cybertrusler, samt terskler for vesentlighet og rapporteringskrav for alvorlige IKT-hendelser og vesentlige cybertrusler. Forordningen gir også utfyllende regler knyttet til vurderingen av om en alvorlig hendelse er relevant for andre kompetente myndigheter i EU/EØS og hva slags informasjon som skal deles med disse.
Merknader
Rettslige konsekvenser
I forslag til lov om digital operasjonell motstandsdyktighet i finanssektoren § 2 framgår det at departementet kan fastsette utfyllende forskrifter. Det antas derfor at den delegerte kommisjonsforordningen vil gjennomføres i norsk rett ved henvisning i forskrift. Forordningen vil gi mer detaljerte regler enn de som følger av dagens regelverk for hendelsesrapportering innen IKT, herunder IKT-forskriften og annet sektorregelverk, samt rundskriv nr. 15/2009.
Økonomiske og administrative konsekvenser
De fleste foretakene som omfattes av DORA har i dag en rapporteringsplikt etter IKT-forskriften og antas derfor å ha systemer og rutiner som kan videreføres med visse modifikasjoner. Den delegerte kommisjonsforordningen kan medføre økonomiske og administrative konsekvenser for foretak i forbindelse med opprettelse og/eller tilpasning av systemer og rutiner for registrering, klassifisering og rapportering av IKT-relaterte hendelser og cybertrusler. Dette kan inkludere investeringer i teknologiske løsninger, nye rutiner og opplæring av ansatte knyttet til rapportering til Finanstilsynet.
Forordningen forventes ikke å ha vesentlige økonomiske eller administrative konsekvenser for norske myndigheter til tross for at det må utvikles nye IKT-løsninger for mottak og videresending av hendelsesrapporter.
Sakkyndige instansers merknader
Finanstilsynet har vurdert rettsakten som EØS-relevant og akseptabel.
Vurdering
Forordningen anses EØS-relevant og akseptabel.
Status
Rettsakten er vedtatt av EU-kommisjonen og vil tre i kraft i EU den 17. januar 2025. Forordningen er til vurdering for innlemmelse i EØS-avtalen.