Delegert kommisjonsforordning (EU) 2024/1502 av 22. februar 2024 om utfylling av europaparlaments- og rådsforordning (EU) 2022/2554 ved å spesifisere kriteriene for utpeking av tredjeparts IKT-tjenesteleverandører som kritiske for finansielle enheter
DORA-forordningen: kriterier for utpeking av tredjeparts IKT-tjenesteleverandører som kritiske for finansielle enheter
Commission Delegated Regulation (EU) 2024/1502 of 22 February 2024 supplementing Regulation (EU) 2022/2554 of the European Parliament and of the Council by specifying the criteria for the designation of ICT third-party service providers as critical for financial entities
EØS-notat offentliggjort 11.12.2024
Tidligere
- Utkast til delegert kommisjonsforordning sendt til Europaparlamentet og Rådet for klarering 22.2.2024
- Kommisjonsforordning publisert i EU-tidende 30.5.2024
Bakgrunn
BAKGRUNN (fra departementets EØS-notat, sist oppdatert 6.12.2024)
Sammendrag av innhold
Rettsakten er en utfyllende forordning til forordning (EU) 2022/2554 (DORA – Digital Operational Resilience Act) om digital operasjonell motstandsdyktighet i finanssektoren.
Forordningen spesifiserer nærmere kriteriene for å peke ut IKT-tjenesteleverandører som kritiske for foretak i finanssektoren i EU. Ved vurderingen skal det legges vekt på leverandørens systemiske påvirkning på stabilitet, kontinuitet og ytelse av finansielle tjenester. Videre skal leverandørens systemiske karakter og viktigheten av IKT-tjenestene den leverer til foretak i finanssektoren vektlegges. Vurderingene skal gjøres etter nærmere angitte kriterier i forordningen. Som grunnlag for vurderingene skal det ses hen til sammenstilt oversikt over IKT-tjenesteleverandører basert på data fra foretakenes IKT-tjenesteavtaleregister, se DORA-forordningen art. 28(3).
Merknader
Rettslige konsekvenser
Dersom norske IKT-tjenesteleverandører oppfyller kriteriene i forordningen kan de bli pekt ut som kritiske IKT-tjenesteleverandører og bli gjenstand for overvåkning. De samme reglene vil gjelde for foretak som frivillig melder seg til å være gjenstand for overvåkning.
Økonomiske og administrative konsekvenser
Forordningen antas ikke å medføre vesentlige økonomiske eller administrative konsekvenser. Utpekte IKT-leverandører vil bli gjenstand for overvåkning og ilagt tilsynsgebyr. I tillegg vil de kunne oppleve endringer i administrative oppgaver idet IKT-leverandørene blir forpliktet til årlig å melde fra om sin omsetning til tilsynsmyndighetene, samt tilhørende økte utgifter knyttet til rapportering av omsetning. På den annen side vil ikke de nasjonale tilsynsmyndigheter lenger kunne gjøre tilsyn med de utpekte IKT-leverandørene, enten gjennom tilsyn med foretakene eller direkte. Dette kan medføre reduserte kostnader og administrative konsekvenser.
Det ventes ikke at forordningen vil medføre vesentlige økonomiske konsekvenser for finansielle foretak som vil bli omfattet av DORA. Innføring av tilsynsgebyr for kritiske IKT-leverandører kan medføre økte tjenestekostnader for foretak som er omfattet av DORA.
Reglene forventes ikke å få økonomiske eller administrative konsekvenser for norske myndigheter.
Sakkyndige instansers merknader
Ingen merknader.
Vurdering
Forordningen anses EØS-relevant og akseptabel.
Status
Rettsakten er vedtatt av EU-kommisjonen og vil tre i kraft i EU den 17. januar 2025. Forordningen er til vurdering for innlemmelse i EØS-avtalen.