Delegert kommisjonsforordning (EU) 2025/295 av 24. oktober 2024 om utfylling av europaparlaments- og rådsforordning (EU) 2022/2554 med hensyn til tekniske reguleringsstandarder om harmonisering av vilkår for mulig gjennomføring av tilsynsvirksomhet
DORA-forordningen: utfyllende bestemmelser om tilsynsvirksomhet
EØS-notat offentliggjort 27.5.2025
Tidligere
- Utkast til delegert kommisjonsforordning sendt til Europaparlamentet og Rådet for klarering 24.10.2024
- Kommisjonsforordning publisert i EU-tidende 13.2.2025
- EØS/EFTA-landenes utkast til EØS-komitebeslutning oversendt til Kommisjonen 2.4.2025
Bakgrunn
(fra departementets EØS-notat, sist oppdatert 26.5.2025)
Sammendrag av innhold
Den delegerte kommisjonsforordningen til forordning (EU) 2022/2554 (DORA – Digital Operational Resilience Act) om digital operasjonell motstandsdyktighet i finanssektoren gir utfyllende regler om overvåking av kritiske IKT-tjenesteleverandører.
Etter DORA kan IKT-tjenesteleverandører bli gjenstand for overvåking dersom de blir utpekt som kritiske av overvåkingsmyndigheten (ESA/ESMA/EIOPA eller EFTA for leverandører etablert i hhv. EU-land eller EØS-land). En IKT-tjenesteleverandør kan også selv søke om å bli utpekt som kritisk. Den delegerte rettsakten stiller krav til hvilken informasjon IKT-tjenesteleverandører må oppgi ved en eventuell søknad.
For at overvåkingsmyndigheten effektivt skal kunne utføre sine oppgaver, stiller rettsakten også krav til hvilken informasjon, samt format og struktur på informasjon som kritiske IKT-tjenesteleverandører skal oppgi til overvåkingsmyndigheten.
Overvåkingsmyndigheten skal følge opp kritiske IKT-tjenesteleverandører og gi dem anbefalinger i tråd med DORA artikkel 35(1)(d). På bakgrunn av anbefalingene stiller rettsakten krav til at leverandøren sender rapporter om dens etterfølgende tiltaksarbeid til overvåkingsmyndigheten. Rettsakten stiller også krav til struktur og format knyttet til informasjon som sendes fra leverandøren til overvåkingsmyndigheten.
Kritiske IKT-tjenesteleverandører som blir pålagt å dele informasjon om bruk av underleverandører med overvåkingsmyndigheten, skal gjøre dette ved å benytte en mal som følger av rettsakten.
Rettsakten stiller også krav til kompetente myndigheter, herunder momenter den kompetente myndigheten skal hensynta i sine vurderinger av virkningen av tiltak som kritiske IKT-tjenesteleverandører gjennomfører på bakgrunn av overvåkingsmyndighetens anbefalinger. Vurderingen skal deles med relevant overvåkingsmyndighet dersom denne ber om det. Den kompetente myndigheten plikter å be om informasjon fra finansielle enheter dersom dette er relevant.
Merknader
Rettslige konsekvenser
I forslag til lov om digital operasjonell motstandsdyktighet i finanssektoren (DORA-loven) § 1 framgår det at departementet kan fastsette utfyllende forskrifter. Det antas derfor at den delegerte kommisjonsforordningen vil gjennomføres i norsk rett ved henvisning i forskrift.
Økonomiske og administrative konsekvenser
Den delegerte kommisjonsforordningen forventes ikke å føre til vesentlige økonomiske eller administrative konsekvenser for næringslivet eller offentlige myndigheter.
Sakkyndige instansers merknader
Finanstilsynet har vurdert rettsakten som EØS-relevant og akseptabel.
Vurdering
Forordningen anses EØS-relevant og akseptabel.
Status
Rettsakten har trådt i kraft i EU. EØS-komiteen har vedtatt at rettsakten skal innlemmes i EØS-avtalen.