(fra departementets EØS-notat, sist oppdatert 3.4.2025)

Sammendrag av innhold

Rettsakten er en delegert kommisjonsforordning til forordning (EU) 2022/2554 (DORA – Digital Operational Resilience Act) om digital operasjonell motstandsdyktighet i finanssektoren.  

De fleste foretak som omfattes av DORA skal rapportere inn alvorlige hendelser til Finanstilsynet. Foretakene kan også rapportere inn vesentlige cybertrusler på frivillig basis.   

For å sikre enhetlig rapportering av alvorlige IKT-hendelser og vesentlige cybertrusler, fastsetter rettsakten detaljerte regler for innholdet i de ulike rapporttypene som skal sendes til Finanstilsynet.  

Ved alvorlige IKT-relaterte hendelser skal foretak sende et innledende varsel, statusrapport(er) og en endelig rapport. Det gjelder ulike krav til innhold for de ulike rapporttypene. Innholdet i et innledende varsel er begrenset til den viktigste informasjonen om hendelsen slik at kompetente myndigheter kan bli varslet om hendelsen så raskt som mulig, mens kravene til innholdet i en endelig rapport er mer omfattede.  

For rapportering av vesentlige cyberhendelser gjelder egne krav til innhold i rapportene. 

Rettsakten fastsetter også tidsfrister for innsending av de ulike rapporttypene ved rapportering av alvorlige IKT-relaterte hendelser. Utgangspunktet er at foretakene skal rapportere uavhengig av helg eller helligdager. Fristene i regelverket gjelder uten unntak for innsending av innledende varsel og statusrapporter for kredittinstitusjoner, sentrale motparter, handelsplasser og foretak som er utpekt som vesentlige eller viktige etter NIS2 ((EU) 2022/2555). Kompetente myndigheter kan også bestemme at det samme skal gjelde for foretak som anses som betydelige eller er av systemisk karakter for den finansielle sektoren på nasjonalt nivå eller EU/EØS-nivå. Øvrige foretakstyper har derimot anledning til å sende innledende varsel, statusrapporter og endelig rapport innen kl. 12.00 den første påfølgende virkedagen dersom en frist faller i en helg eller på en helligdag.   

Merknader
Rettslige konsekvenser

I forslag til lov om digital operasjonell motstandsdyktighet i finanssektoren (DORA-loven) § 1 framgår det at departementet kan fastsette utfyllende forskrifter. Det antas derfor at den delegerte kommisjonsforordningen vil gjennomføres i norsk rett ved henvisning i forskrift. Rettsakten inneholder mer detaljerte krav til rapporteringspliktige foretak enn de som følger av dagens regelverk for hendelsesrapportering innen IKT, herunder IKT-forskriften og annet sektorregelverk, samt rundskriv nr. 15/2009. 

Økonomiske og administrative konsekvenser

De fleste foretakene som omfattes av DORA har i dag en rapporteringsplikt etter IKT-forskriften og antas derfor å ha systemer og rutiner som kan videreføres med visse modifikasjoner. Den delegerte kommisjonsforordningen kan medføre økonomiske og administrative konsekvenser for foretak i forbindelse med opprettelse og/eller tilpasning av systemer og rutiner for rapportering av alvorlige IKT-relaterte hendelser og vesentlige cybertrusler. Dette kan inkludere investeringer i teknologiske løsninger, nye rutiner og opplæring av ansatte knyttet til rapportering til Finanstilsynet.   

Forordningen forventes ikke å ha vesentlige økonomiske eller administrative konsekvenser for norske myndigheter til tross for at det må utvikles nye IKT-løsninger for mottak av foretakenes rapportering og videresending av hendelsesrapporter til de europeiske finanstilsynsmyndighetene.   

Sakkyndige instansers merknader

Finanstilsynet har vurdert rettsakten som EØS-relevant og akseptabel. 

Vurdering

Forordningen anses EØS-relevant og akseptabel. 

Status

Rettsakten har trådt i kraft i EU og er til vurdering for innlemmelse i EØS-avtalen.