Delegert kommisjonsforordning (EU) 2024/1774 av 13. mars 2024 om utfylling av europaparlaments- og rådsforordning (EU) 2022/2554 med hensyn til tekniske reguleringsstandarder som spesifiserer verktøy, metoder, prosesser og retningslinjer for IKT-risikostyring og forenklet rammeverk for IKT-risikostyring
DORA-forordningen: utfyllende bestemmelser om retningslinjer for IKT-risikostyring
Commission Delegated Regulation (EU) 2024/1774 of 13 March 2024 supplementing Regulation (EU) 2022/2554 of the European Parliament and of the Council with regard to regulatory technical standards specifying ICT risk management tools, methods, processes, and policies and the simplified ICT risk management framework
EØS-notat offentliggjort 11.12.2024
Tidligere
- Utkast til delegert kommisjonsforordning sendt til Europaparlamentet og Rådet for klarering 13.3.2024
- Kommisjonsforordning publisert i EU-tidende 25.6.2024
- EØS/EFTA-landenes utkast til EØS-komitebeslutning oversendt til Kommisjonen 28.8.2024
Bakgrunn
BAKGRUNN (fra departementets EØS-notat, sist oppdatert 6.12.2024)
Sammendrag av innhold
Rettsakten er en delegert kommisjonsforordning til forordning (EU) 2022/2554 (DORA – Digital Operational Resilience Act) om digital operasjonell motstandsdyktighet i finanssektoren.
Den delegerte kommisjonsforordningen inneholder regler som skal styrke foretakenes oppfølging av IKT-risiko. Det stilles detaljerte krav til utarbeidelse, dokumentering og implementering av retningslinjer, rutiner, protokoller og verktøy knyttet til IKT-risiko og –sikkerhet som skal inngå i foretakets IKT-risikostyringsrammeverk. Alle foretak som er omfattet av DORA skal blant annet ha et IKT-risikostyringsrammeverk som inneholder retningslinjer for informasjonssikkerhet og for IKT-prosjektstyring, fysiske sikkerhetstiltak, IKT-beredskapsplaner og testeregime av disse.
For foretak som faller inn under definisjonen i DORA artikkel 16 (1), vil et forenklet IKT-risikostyringsrammeverk være tilstrekkelig.
Ved utarbeidelse og implementering av retningslinjer, prosedyrer mv., skal foretakene ta hensyn til foretakets størrelse og overordnet risikoprofil, samt arten, omfanget og elementene av økt eller redusert kompleksitet av dens tjenester, aktiviteter og drift.
Merknader
Rettslige konsekvenser
I forslag til lov om digital operasjonell motstandsdyktighet i finanssektoren § 2 framgår det at departementet kan fastsette utfyllende forskrifter. Det antas derfor at den delegerte kommisjonsforordningen vil gjennomføres i norsk rett ved henvisning i forskrift. Forordningen vil gi mer detaljerte regler enn de som følger av dagens regelverk for IKT-risikostyring, herunder IKT-forskriften og annet sektorregelverk.
Økonomiske og administrative konsekvenser
De fleste foretakene som omfattes av DORA er underlagt regler om styring og kontroll av IKT-risiko etter IKT-forskriften, annet sektorregelverk og retningslinjer fra de europeiske tilsynsmyndighetene. Foretakene antas derfor å ha utarbeidet, dokumentert og implementert en rekke av de retningslinjer, prosedyrer og protokoller for styring av IKT-risiko som kreves etter den delegerte kommisjonsforordningen som i hovedtrekk kan videreføres med visse modifikasjoner. Den økonomiske og administrative byrden vil avhenge av i hvilken grad foretaket har etterlevd gjeldende regelverk og retningslinjer.
Forordningen stiller mer omfattende og detaljerte krav enn eksisterende regelverk. Det er likevel ikke forventet at Finanstilsynet eller andre offentlige myndigheter vil få en betydelig økt arbeidsmengde på bakgrunn av forordningen. Det vises til at Finanstilsynet i tilsynsvirksomheten har lagt til grunn etterlevelse av gjeldende retningslinjer fra de europeiske tilsynsmyndighetene.
Sakkyndige instansers merknader
Finanstilsynet har vurdert rettsakten som EØS-relevant og akseptabel.
Vurdering
Rettsakten er EØS-relevant og akseptabel.
Status
Rettsakten er vedtatt av EU-kommisjonen og vil tre i kraft i EU den 17. januar 2025. Forordningen er til vurdering for innlemmelse i EØS-avtalen.