Delegert kommisjonsforordning (EU) 2024/1505 av 22. februar 2024 om utfylling av europaparlaments- og rådsforordning (EU) 2022/2554 ved å fastsette beløpet på tilsynsgebyrene som skal belastes av hovedtilsynsmyndigheten til kritiske IKT-tjenesteleverandører fra tredjeparter og måten disse gebyrene skal betales på
DORA-forordningen: kritisk viktige tredjepartstilbydere av IKT-tjenester, kriterier og gebyrer
Commission Delegated Regulation (EU) 2024/1505 of 22 February 2024 supplementing Regulation (EU) 2022/2554 of the European Parliament and of the Council by determining the amount of the oversight fees to be charged by the Lead Overseer to critical ICT third-party service providers and the way in which those fees are to be paid
EØS-notat offentliggjort 11.12.2024
Tidligere
- Utkast til forordning lagt fram av Kommisjonen 16.11.2023 med tilbakemeldingsfrist 14.12.2023
- Utkast til delegert kommisjonsforordning sendt til Europaparlamentet og Rådet for klarering 22.2.2024
- Kommisjonsforordning publisert i EU-tidende 30.5.2024
Bakgrunn
BAKGRUNN (fra departementets EØS-notat, sist oppdatert 6.12.2024)
Sammendrag av innhold
Rettsakten er en delegert kommisjonsforordning til forordning (EU) 2022/2554 (DORA – Digital Operational Resilience Act) om digital operasjonell motstandsdyktighet i finanssektoren.
Forordningen inneholder utfyllende regler knyttet til beregning av utgifter de europeiske tilsynsorganene har ved overvåking av kritiske IKT-leverandører til EUs finanssektor, hvordan tilsynsgebyret skal beregnes og fordeles mellom utpekte IKT-leverandører og hvordan gebyret skal betales. For de formål som fremgår av forordningen skal all kommunikasjon mellom tilsynsmyndighetene og kritiske IKT-leverandører skje elektronisk.
Merknader
Rettslige konsekvenser
I forslag til lov om digital operasjonell motstandsdyktighet i finanssektoren § 2 framgår det at departementet kan fastsette utfyllende forskrifter. Det antas derfor at den delegerte kommisjonsforordningen vil gjennomføres i norsk rett ved henvisning i forskrift.
Økonomiske og administrative konsekvenser
Etter forordningen er det de utpekte IKT-leverandører som vil bli ilagt tilsynsgebyr fra de europeiske tilsynsmyndighetene. Utover innføring av tilsynsgebyr, vil de kunne oppleve endring i administrative oppgaver idet IKT-leverandørene blir forpliktet til årlig å melde fra om sin omsetning til tilsynsmyndighetene, samt tilhørende økte utgifter knyttet til rapportering av omsetning. På den annen side vil ikke de nasjonale tilsynsmyndigheter lenger kunne gjøre tilsyn med de utpekte IKT-leverandørene, enten gjennom tilsyn med foretakene eller direkte med leverandøren. Dette kan medføre reduserte kostnader og administrative konsekvenser for IKT-leverandørene.
Det ventes ikke at forordningen vil medføre vesentlige økonomiske konsekvenser for finansielle foretak som vil bli omfattet av DORA. Innføring av tilsynsgebyr for kritiske IKT-leverandører kan medføre økte tjenestekostnader for foretak som er omfattet av DORA.
Reglene forventes ikke å få økonomiske eller administrative konsekvenser for norske myndigheter.
Sakkyndige instansers merknader
Finanstilsynet har vurdert rettsakten som EØS-relevant og akseptabel.
Vurdering
Forordningen anses EØS-relevant og akseptabel.
Status
Rettsakten er vedtatt av EU-kommisjonen og vil tre i kraft i EU den 17. januar 2025. Forordningen er til vurdering for innlemmelse i EØS-avtalen.