Avgrensing og proporsjonalitet
For å sikre en helhetlig gjennomføring av kravene til finanssektorens styring av IKT-risiko, omfatter den foreslåtte forordningen en rekke foretak regulert på EU-nivå. Forslaget omfatter kredittforetak, betalingsforetak, e-pengeforetak, verdipapirforetak, leverandører av kryptotjenester, verdipapirregister, sentrale motparter, handelsplasser, transaksjonsregister, forvaltere av alternative investeringsfond og forvaltningsselskaper, leverandører av datarapporteringstjenester, forsikrings- og gjenforsikringsforetak, forsikringsformidlere, gjenforsikringsformidlere og tilknyttede forsikringsformidlere, foretak for tjenestepensjonspensjoner, kredittvurderingsbyråer, lovpålagte revisorer og revisjonsselskaper, administratorer av kritiske referanser og tjenesteleverandører for folkefinansiering.

Den brede dekningen av foretak gjør det mulig å få til en homogen og enhetlig anvendelse av kravene til risikostyring på IKT-relaterte områder, samtidig som forslaget ivaretar hensynet til like vilkår for ulike foretak. Ved utarbeidelsen av regelverket er det lagt til grunn at det er betydelige forskjeller mellom foretak når det gjelder størrelse, forretningsprofiler og foretakenes eksponering for digital risiko. Siden større foretak har flere ressurser, er det bare foretak som ikke kategoriseres som mikrovirksomheter, som må etablere opplegg for styring og kontroll, gjennomføre risikovurderinger ved endringer i foretakets tekniske infrastruktur, regelmessig gjennomføre risiko- og sårbarhetsanalyser av eldre IKT-systemer, utvide testingen av beredskapsplaner og ha egne gjenopprettingsplaner for å sikre at kriseløsninger er etablert. Videre er det foreslått at det kun er foretak som vurderes tilstrekkelig viktige, må gjennomføre trusselbasert penetrasjonstesting (Threat Lead Penetration Tests, TLPT).

Krav til styring og kontroll
Forslaget til forordningen er utformet for å gi bedre samsvar mellom foretakenes forretningsstrategier og styringen av IKT-risiko. For å oppnå dette skal foretakets ledelse ha en aktiv rolle knyttet til etablering av rammeverket for styring av IKT-risiko. Et overordnet prinsipp er at foretakets ledelse er ansvarlig for å styre foretakets IKT-risiko. Dette skal nedfelles i spesifikke krav, bl.a. for tildeling av klare roller og ansvar for alle IKT-relaterte funksjoner, kontroll med overvåkingen av IKT-risikostyring og ulike godkjennings- og kontrollprosesser, samt sikre tilstrekkelige midler til IKT-investeringer og opplæring.

Krav til styring av IKT-risiko
Digital operasjonell motstandsdyktighet legger til grunn et sett med hovedprinsipper og krav til rammeverk for styring av IKT-risiko, som er i tråd med retningslinjer utgitt av de europeiske tilsynsmyndighetene på finansområdet (ESAene). Kravene, som er utformet med bakgrunn i relevante internasjonale, nasjonale og bransjefastsatte standarder, retningslinjer og anbefalinger, omhandler funksjoner innen IKT-risikostyring (identifisering, beskyttelse og forebygging, deteksjon, respons og gjenoppretting, læring og utvikling og kommunikasjon).

For å holde tritt med den raske utviklingen av cybertrusler, er foretakene pålagt å etablere og vedlikeholde robuste IKT-systemer og verktøy som minimerer effekten av IKT-risikoene. Videre skal foretakene løpende identifisere IKT-risiko, iverksette beskyttende- og forebyggende tiltak, raskt kunne oppdage uregelmessige aktiviteter, beredskapsplaner og katastrofe- og gjenopprettingsplaner, som del av foretakenes daglige drift. Katastrofe- og gjenopprettingsplaner er viktig for rask gjenoppretting etter IKT-relaterte hendelser, spesielt digitale angrep. Forslaget innfører i seg selv ingen spesifikk standardisering, men bygger på europeiske og internasjonalt anerkjente tekniske standarder og bransjestandarder. Forslaget til forordning omfatter også integriteten, sikkerheten og motstandskraften til foretakets fysiske infrastruktur inkl. tilhørende relevante IKT-relaterte prosesser og personell.

Rapportering av IKT-hendelser
For å oppnå en harmonisert og effektiv rapportering av IKT-relaterte hendelser foreslås det krav om at foretakene skal etablere og implementere prosesser for overvåking og registrering. Videre skal foretakene klassifisere hendelsene basert på kriterier beskrevet i forordningen. Det er bare hendelser som klassifiseres som alvorlige eller kritiske som skal rapporteres til myndighetene. Rapporteringen bør bruke en felles mal og følge en harmonisert prosedyre som skal utarbeides av ESAene. Foretakene bør levere initielle, foreløpige og endelige rapporter. Videre bør foretakene informere sine brukere og kunder om hendelsen har eller kan ha innvirkning på deres økonomiske interesser. Myndighetene bør gi relevant informasjon om hendelsene til andre foretak eller myndigheter, som f.eks. ESAene eller kontaktpunkter utpekt i henhold til direktiv (EU) 2016/1148.

Det foreslås at foretakene ved større IKT-relaterte hendelser skal ha dialog med myndighetene for å minimere konsekvensene og identifisere passende tiltak, og rapportering bør også inneholde tilbakemelding og veiledning fra tilsynsmyndigheten.

Det foreslås også at muligheten for sentralisering av rapportering av IKT-hendelser på EU-nivå bør undersøkes nærmere av ESAene, Den Europeiske Sentralbanken (ECB) og Det europeiske byrå for nett- og informasjonssikkerhet (The European Union Agency for Cybersecurity - ENISA). De skal vurdere muligheten for å etablere et sentralt mottak i EU for rapportering av foretakenes større IKT-relaterte hendelser.

Testing av digital operasjonell motstandsdyktighet
Det foreslås at funksjoner som inngår i foretakenes rammeverk for IKT-risikostyring bør testes regelmessig med hensyn på beredskap, identifisering av svakheter og mangler, samt hvor raskt foretakene kan iverksette korrigerende tiltak. Forordningen åpner for en forholdsmessig anvendelse av krav til testing av motstandsdyktighet i samsvar med foretakenes størrelse, forretningsprofil og risikoprofil. Alle foretak bør gjennomføre testing av IKT-virksomheten men kun foretak som utpekes av myndighetene som signifikante skal utføre avansert testing basert på TLPT. Forordningen inneholder forslag til relevante krav til de som skal gjennomføre testene og hvordan TLPT-resultater kan deles i EU for finansforetak som opererer i flere medlemsstater.

Merknader

Rettslige konsekvenser
Dersom forslaget blir vedtatt i EU og vurdert for innlemmelse i EØS-avtalen er det nærliggende å anta at reglene forslaget legger opp til må implementeres i lov ved henvisning

Økonomiske og administrative konsekvenser
Eksisterende regelverk som idag praktiseres ligger tett opp til kravene som stilles i regelverksforslaget. Det er derfor lite trolig at det vil medføre større økonomiske og administrative kostnader.

Sakkyndige instansers merknader
Finanstilsynet har vurdert regelverkforslaget som EØS-relevant og akseptabelt.

Vurdering
Når regelverket er endelig vedtatt må det vurderes hvorvidt det vil være behov for materielle eller tekniske tilpasninger før rettsakten kan innlemmes i EØS-avtalen.

Status
Forslaget er til behandling i Parlamentet og Rådet.