(fra departementets EØS-notat, sist oppdatert 7.9.2025)

Sammendrag av innhold

Rettsakten er en delegert kommisjonsforordning til forordning (EU) 2022/2554 (DORA – Digital Operational Resilience Act) om digital operasjonell motstandsdyktighet i finanssektoren.  

De fleste foretak som omfattes av DORA skal rapportere inn alvorlige hendelser til Finanstilsynet. Foretakene kan også rapportere inn vesentlige cybertrusler på frivillig basis.   

For å sikre enhetlig rapportering av alvorlige IKT-hendelser og vesentlige cybertrusler, fastsetter rettsakten detaljerte regler for innholdet i de ulike rapporttypene som skal sendes til Finanstilsynet.  

Ved alvorlige IKT-relaterte hendelser skal foretak sende et innledende varsel, statusrapport(er) og en endelig rapport. Det gjelder ulike krav til innhold for de ulike rapporttypene. Innholdet i et innledende varsel er begrenset til den viktigste informasjonen om hendelsen slik at kompetente myndigheter kan bli varslet om hendelsen så raskt som mulig, mens kravene til innholdet i en endelig rapport er mer omfattede.  

For rapportering av vesentlige cybertrusler gjelder egne krav til innhold i rapportene. 

Rettsakten fastsetter også tidsfrister for innsending av de ulike rapporttypene ved rapportering av alvorlige IKT-relaterte hendelser. Utgangspunktet er at foretakene skal rapportere uavhengig av helg eller helligdager. Fristene i regelverket gjelder uten unntak for innsending av innledende varsel og statusrapporter for kredittinstitusjoner, sentrale motparter, handelsplasser og foretak som er utpekt som vesentlige eller viktige etter NIS2 ((EU) 2022/2555). Kompetente myndigheter kan også bestemme at det samme skal gjelde for foretak som anses som betydelige eller er av systemisk karakter for den finansielle sektoren på nasjonalt nivå eller EU/EØS-nivå. Øvrige foretakstyper har derimot anledning til å sende innledende varsel, statusrapporter og endelig rapport innen kl. 12.00 den første påfølgende virkedagen dersom en frist faller i en helg eller på en helligdag.   

Merknader
Rettslige konsekvenser

I lov om digital operasjonell motstandsdyktighet i finanssektoren § 2 framgår det at departementet kan fastsette utfyllende forskrifter. Den delegerte kommisjonsforordningen har blitt gjennomført i norsk rett ved henvisning i forskrift om digital operasjonell motstandsdyktighet i finanssektoren (DORA-forskriften) § 3.   

Økonomiske og administrative konsekvenser

De fleste foretakene som omfattes av DORA har i dag en rapporteringsplikt etter IKT-forskriften og antas derfor å ha systemer og rutiner som kan videreføres med visse modifikasjoner. Den delegerte kommisjonsforordningen kan medføre økonomiske og administrative konsekvenser for foretak i forbindelse med opprettelse og/eller tilpasning av systemer og rutiner for rapportering av alvorlige IKT-relaterte hendelser og vesentlige cybertrusler. Dette kan inkludere investeringer i teknologiske løsninger, nye rutiner og opplæring av ansatte knyttet til rapportering til Finanstilsynet.   

Forordningen forventes ikke å ha vesentlige økonomiske eller administrative konsekvenser for norske myndigheter til tross for at det må utvikles nye IKT-løsninger for mottak av foretakenes rapportering og videresending av hendelsesrapporter til de europeiske finanstilsynsmyndighetene.   

Sakkyndige instansers merknader

Finanstilsynet har vurdert rettsakten som EØS-relevant og akseptabel. 

Vurdering

Forordningen anses EØS-relevant og akseptabel. 

Status

Rettsakten er vedtatt av EU-kommisjonen og trådte i kraft i EU den 17. januar 2025. Forordningen ble innlemmet i EØS-avtalen den 13. juni 2025.  

Lov om digital operasjonell motstandsdyktighet i finanssektoren (DORA-loven) ble vedtatt av Stortinget i mai 2025 og trådte i kraft 1. juli 2025. Den delegerte kommisjonsforordningen er gjennomført i norsk rett gjennom DORA-forskriften som er hjemlet i DORA-loven. Forskriften trådte i kraft samtidig med DORA-loven, den 1. juli 2025. Rettsakten er gjennomført i DORA-forskriften § 3.