Delegert kommisjonsforordning (EU) 2025/301 av 23. oktober 2024 om utfylling av europaparlaments- og rådsforordning (EU) 2022/2554 med hensyn til tekniske reguleringsstandarder som spesifiserer innholdet og tidsfrister for den første varslingen av, og foreløpig og endelig rapport om store IKT-relaterte hendelser, og innholdet i den frivillige varslingen om betydelige cybertrusler
DORA-forordningen: utfyllende bestemmelser om varsling av og rapport om IKT-relaterte hendelser og cybertrusler
Høring igangsatt av Finansdepartementet 11.4.2025 med frist 30.5.2025
Tidligere
- Utkast til delegert kommisjonsforordning sendt til Europaparlamentet og Rådet for klarering 23.10.2024
- Kommisjonsforordning publisert i EU-tidende 20.2.2025
- EØS/EFTA-landenes utkast til EØS-komitebeslutning oversendt til Kommisjonen 2.4.2025
Redaksjonens kommentar
Forordningen er foreløpig ikke tatt inn i EØS-avtalen. Finansdepartementet uttaler i sitt høringsnotat at viktigheten av innrapportering og videreformidling av alvorlige IKT-hendelser tilsier at rettsakten bør implementeres samtidig som DORA-loven trer i kraft, selv om dette medfører en førtidig ikrafttredelse.
Bakgrunn
(fra departementets EØS-notat, sist oppdatert 3.4.2025)
Sammendrag av innhold
Rettsakten er en delegert kommisjonsforordning til forordning (EU) 2022/2554 (DORA – Digital Operational Resilience Act) om digital operasjonell motstandsdyktighet i finanssektoren.
De fleste foretak som omfattes av DORA skal rapportere inn alvorlige hendelser til Finanstilsynet. Foretakene kan også rapportere inn vesentlige cybertrusler på frivillig basis.
For å sikre enhetlig rapportering av alvorlige IKT-hendelser og vesentlige cybertrusler, fastsetter rettsakten detaljerte regler for innholdet i de ulike rapporttypene som skal sendes til Finanstilsynet.
Ved alvorlige IKT-relaterte hendelser skal foretak sende et innledende varsel, statusrapport(er) og en endelig rapport. Det gjelder ulike krav til innhold for de ulike rapporttypene. Innholdet i et innledende varsel er begrenset til den viktigste informasjonen om hendelsen slik at kompetente myndigheter kan bli varslet om hendelsen så raskt som mulig, mens kravene til innholdet i en endelig rapport er mer omfattede.
For rapportering av vesentlige cyberhendelser gjelder egne krav til innhold i rapportene.
Rettsakten fastsetter også tidsfrister for innsending av de ulike rapporttypene ved rapportering av alvorlige IKT-relaterte hendelser. Utgangspunktet er at foretakene skal rapportere uavhengig av helg eller helligdager. Fristene i regelverket gjelder uten unntak for innsending av innledende varsel og statusrapporter for kredittinstitusjoner, sentrale motparter, handelsplasser og foretak som er utpekt som vesentlige eller viktige etter NIS2 ((EU) 2022/2555). Kompetente myndigheter kan også bestemme at det samme skal gjelde for foretak som anses som betydelige eller er av systemisk karakter for den finansielle sektoren på nasjonalt nivå eller EU/EØS-nivå. Øvrige foretakstyper har derimot anledning til å sende innledende varsel, statusrapporter og endelig rapport innen kl. 12.00 den første påfølgende virkedagen dersom en frist faller i en helg eller på en helligdag.
Merknader
Rettslige konsekvenser
I forslag til lov om digital operasjonell motstandsdyktighet i finanssektoren (DORA-loven) § 1 framgår det at departementet kan fastsette utfyllende forskrifter. Det antas derfor at den delegerte kommisjonsforordningen vil gjennomføres i norsk rett ved henvisning i forskrift. Rettsakten inneholder mer detaljerte krav til rapporteringspliktige foretak enn de som følger av dagens regelverk for hendelsesrapportering innen IKT, herunder IKT-forskriften og annet sektorregelverk, samt rundskriv nr. 15/2009.
Økonomiske og administrative konsekvenser
De fleste foretakene som omfattes av DORA har i dag en rapporteringsplikt etter IKT-forskriften og antas derfor å ha systemer og rutiner som kan videreføres med visse modifikasjoner. Den delegerte kommisjonsforordningen kan medføre økonomiske og administrative konsekvenser for foretak i forbindelse med opprettelse og/eller tilpasning av systemer og rutiner for rapportering av alvorlige IKT-relaterte hendelser og vesentlige cybertrusler. Dette kan inkludere investeringer i teknologiske løsninger, nye rutiner og opplæring av ansatte knyttet til rapportering til Finanstilsynet.
Forordningen forventes ikke å ha vesentlige økonomiske eller administrative konsekvenser for norske myndigheter til tross for at det må utvikles nye IKT-løsninger for mottak av foretakenes rapportering og videresending av hendelsesrapporter til de europeiske finanstilsynsmyndighetene.
Sakkyndige instansers merknader
Finanstilsynet har vurdert rettsakten som EØS-relevant og akseptabel.
Vurdering
Forordningen anses EØS-relevant og akseptabel.
Status
Rettsakten har trådt i kraft i EU og er til vurdering for innlemmelse i EØS-avtalen.