Delegert kommisjonsforordning (EU) 2024/1773 av 13. mars 2024 om utfylling av europaparlaments- og rådsforordning (EU) 2022/2554 med hensyn til tekniske reguleringsstandarder som spesifiserer det detaljerte innholdet i retningslinjer for kontraktsmessige ordninger for bruk av IKT-tjenester som støtter kritiske eller viktige funksjoner levert av tredjeparts IKT-tjenesteleverandører
DORA-forordningen: utfyllende bestemmelser om retningslinjer for tredjeparts IKT-tjenesteleverandører
Commission Delegated Regulation (EU) 2024/1773 of 13 March 2024 supplementing Regulation (EU) 2022/2554 of the European Parliament and of the Council with regard to regulatory technical standards specifying the detailed content of the policy regarding contractual arrangements on the use of ICT services supporting critical or important functions provided by ICT third-party service providers
EØS-notat offentliggjort 11.12.2024
Tidligere
- Utkast til delegert kommisjonsforordning sendt til Europaparlamentet og Rådet for klarering 13.3.2024
- Kommisjonsforordning publisert i EU-tidende 25.6.2024
- EØS/EFTA-landenes utkast til EØS-komitebeslutning oversendt til Kommisjonen 28.8.2024
Bakgrunn
BAKGRUNN (fra departementets EØS-notat, sist oppdatert 6.12.2024)
Sammendrag av innhold
Rettsakten er en utfyllende forordning til forordning (EU) 2022/2554 (DORA – Digital Operational Resilience Act) om digital operasjonell motstandsdyktighet i finanssektoren. Forordningen angir nærmere krav til foretakenes retningslinjer for IKT-tjenesteavtaler som støtter kritiske og viktige funksjoner.
Foretakene skal ha en risikobasert tilnærming ved valg av leverandør. I vurderingen skal det legges vekt på flere forhold ved leverandøren, eksempelvis hva slags tjeneste det er tale om, hvor leverandøren er lokalisert og hva slags data som deles med leverandøren. Der foretakene er del av et konsern/en gruppe, skal morforetaket sørge for at retningslinjene er implementert likt i alle datterforetakene.
Forordningen inneholder flere krav til forvaltning av retningslinjene, blant annet hvor ofte den skal gjennomgås og hvem som er ansvarlig for godkjenning, oppfølging, kontroll og dokumentasjon av avtalene. Retningslinjene skal også samsvare med andre retningslinjer utarbeidet i medhold av DORA-forordningen. Videre skal retningslinjene spesifisere krav til hvert stadium i en kontraktsyklus. Visse minimumskrav skal være omfattet.
Retningslinjene skal stille krav til at foretaket skal definere leverandørbehovet før en avtale inngås. Videre skal foretaket gjøre en risikovurdering i forkant av avtaleinngåelsen og det stilles nærmere krav til elementer som risikovurderingen må inneholde. Retningslinjene skal også inneholde krav til due dilligence, som skal være adekvat og proporsjonal. Forordningen stiller i denne sammenheng flere krav til elementer foretaket skal undersøke hos leverandøren i forkant av avtaleinngåelse. I tillegg skal retningslinjene inneholde adekvate tiltak for å forhindre interessekonflikter.
Retningslinjene skal inneholde krav til kontraktsvilkår. Kravene til kontraktsvilkårene som følger av DORA-forordningen art. 30 (2) og (3) skal også framgå. Kravene er i tillegg ytterligere spesifisert i denne forordningen. Videre skal retningslinjene inneholde krav til overvåkning av avtaleforholdet, for å påse at leverandøren yter tjenester i henhold til avtalen, og krav til exit-plan i forskjellige situasjoner
Merknader
Rettslige konsekvenser
Ingen nevneverdige.
Økonomiske og administrative konsekvenser
Forordningen vil medføre noe økt administrativ og økonomisk byrde for foretak som er omfattet. Byrden vil avhenge av hvilke rutiner og retningslinjer foretaket har hatt knyttet til IKT-tjenesteavtaler.
Sakkyndige instansers merknader
Finanstilsynet har vurdert rettsakten som EØS-relevant og akseptabel.
Vurdering
Forordningen anses EØS-relevant og akseptabel.
Status
Rettsakten er vedtatt av EU-kommisjonen og vil tre i kraft i EU den 17. januar 2025. Forordningen er til vurdering for innlemmelse i EØS-avtalen.