Hopp til hovedinnholdet

Dette må du vite om det nye DORA-regelverket

20.12.2024

17. januar 2025 trer DORA (Digital Operational Resilience Act for the financial sector) i kraft i EU. Hva innebærer regelverket for de foretakene som er omfattet? Hvordan forholder DORA seg til øvrig finansregulatorisk, sikkerhets- og IKT-regelverk? Det gir våre eksperter innenfor TechReg deg svaret på i denne artikkelen.

Lesetid 14 minutter

DORA (EU 2022/2554) står for Digital Operational Resiliance Act for the financial sector (forordning om digital operasjonell motstandsdyktighet i finanssektoren). Bakgrunnen for regelverket må dels ses i sammenheng med den betydelige teknologiske utviklingen innenfor finanssektoren; dels med utviklingen i regelverket knyttet til «open banking» og «open finance» og dels med de generelle svakhetene ved datasikkerhet og sårbarheten for dataangrep. DORA må også ses i sammenheng med øvrig regelverk, slik som digitalsikkerhetsloven (NIS/NIS 2), cybersikkerhetsforordningen, sikkerhetsloven og reglene om utkontraktering og risikostyring.

Et dataangrep mot en finansiell institusjon vil kunne få omfattende samfunnsmessige og økonomiske konsekvenser. Det gjelder særlig når det er tette bånd mellom de ulike finansielle institusjonene, som kan medføre at en hendelse hos en aktør kan få ringvirkninger for flere.

Disse svakhetene i IKT-nettverkene krever at finansinstitusjonene aktivt tar grep for å gjøre IKT-systemene mer robuste. I tillegg må det foreligge gode beredskapsplaner for hvordan finansinstitusjonene skal håndtere de situasjonene hvor svakhetene materialiserer seg i dataangrep. 

DORA-forordningen har et delt formål. For det første har den som formål å styrke den digitale operasjonelle motstandskraften til foretakene innenfor finanssektoren i EU og EØS. For det andre skal den harmonisere sentrale krav til digital operasjonell motstandskraft for alle finansielle foretak i EU/EØS. Kort oppsummert stiller forordningen krav til datasikkerheten til finansforetakene selv og deres IKT-leverandører med mål om å redusere sannsynligheten for omfattende konsekvenser av et dataangrep. Generelt stiller forordningen omfattende krav til de fleste aktørene innenfor finanssektoren.

I EU trer forordningen i kraft fra 17. januar 2025. Forordningen har foreløpig ingen ikrafttredelsesdato i Norge, men Finanstilsynet uttalte i november 2024 at DORA trolig kan tre i kraft i norsk rett fra sommeren 2025. Finansdepartementet har hatt et forslag til ny lov om digital operasjonell motstandsdyktighet i finanssektoren på høring, som vil gjennomføre DORA-forordningen i norsk rett. Vi forventer at DORA blir tatt inn i EØS-avtalen i løpet av Q1 2025 og at et lovforslag blir lagt frem for Stortinget i tide til at det kan behandles i løpet av vårsesjonen.

Dagens regulering

Dagens regulering av digital motstandsdyktighet i finanssektoren er fragmentert. Det skyldes at hvert enkelt land har vært ansvarlig for å utarbeide sin egen regulering for å imøtegå dataangrep. I den grad det har vært stilt konkrete krav til hvordan foretakene har innrettet IKT-virksomheten, har dette i hovedsak skjedd på nasjonalt nivå. I tillegg har det eksistert enkelte felleseuropeiske tilsynsstandarder som har bidratt til konvergens på enkelte viktige områder. I Norge utgjør IKT-forskriften og EBAs retningslinjer for risikostyring og utkontraktering de sentrale reguleringene i møte med dataangrep, i tillegg til krav og praksis som følge av konkrete IKT-tilsyn fra Finanstilsynet.

For å unngå denne fragmenteringen, stiller DORA mer presise krav til tiltak, systemtesting, informasjonsdeling, beredskap og krisehåndtering. Det innebærer at medlemsstatene får langt mindre frihet i utformingen av regelverket, men at IKT-sikkerheten blir harmonisert på tvers av landegrensene. Samtidig gir DORA nasjonale myndigheter et omfattende ansvar og jurisdiksjon til å styre finansinstitusjonenes styring og valg av IKT-tredjeparter, samt å overvåke IKT-tredjepartene selv.

Finanstilsynet har i sin risiko- og sårbarhetsanalyse («ROS») fremhevet at Norge i 2023 ikke opplevde noen IKT-hendelser som påvirket den finansielle stabiliteten. Til tross for disse uttalelsene, har Finanstilsynet avdekket enkelte svakheter og sårbarheter ved IKT-sikkerheten som fremheves i ROS-vurderingen. Finanstilsynet anser den finansielle infrastrukturen som solid, men de har slått fast at det digitale trusselbildet konstant er i utvikling og at trusselnivået fortsatt er høyt. Det er også en økning i omfanget av økonomiske tap som følge av svindel. Finanstilsynets ROS viser derfor at behovet for DORA er fremtredende i de norske foretakene under tilsyn, og må forventes å bli fulgt opp fra Finanstilsynet etter ikrafttredelse. 

Hvilke finansinstitusjoner omfattes av DORA?

DORA definerer sitt virkeområde i forordningens artikkel 2, hvor det fremgår at forordningen vil være relevant for de fleste foretak i finanssektoren. I Norge innebærer artikkel 2 at forordningen i hovedsak vil gjelde for alle foretak som er underlagt tilsyn av Finanstilsynet, jf. finanstilsynsloven § 1. 

Forordningen vil ikke få anvendelse for blant annet inkassoforetak og eiendomsmeglerforetak. Finanstilsynet anbefaler likevel at den någjeldende IKT-forskriften skal få anvendelse på disse foretakene. I tillegg har Finanstilsynet foreslått at departementet i forskrift kan fastsette at reglene i DORA også skal gjelde helt eller delvis for eiendomsmeglerforetak og inkassoforetak. IKT-forskriften vil som et utgangspunkt ikke kunne anses presis nok til å dekke kravene til DORA for de øvrige finansforetakene, og forskriften vil derfor kun være anvendelig for foretak som faller utenfor DORAs anvendelsesområde. 

Hvilke plikter pålegges foretakene som er underlagt DORA? 

Generelt

DORA stiller flere krav, og da særlig innenfor fem overordnede nøkkelområder;

Disse fem nøkkelområdene er (i) IKT-risikostyring, (ii) hendelseshåndtering og rapportering, (iii) testing av operasjonell motstandsdyktighet, (iv) risikostyring av IKT-tredjeparter og (v) informasjonsdeling. 

DORA bygger på et proporsjonalitetsprinsipp, jf. forordningens artikkel 4. Det innebærer at det er et forholdsmessighetskrav knyttet til kravene DORA stiller og forholdene ved det enkelte foretaket. Proporsjonalitetsprinsippet innebærer at foretakets størrelse og samlede risikoprofil, samt arten, omfanget av og kompleksiteten i foretakets aktiviteter og drift har betydning for hvilke krav som stilles til foretakets IKT-sikkerhet. Uavhengig av foretakets størrelse og aktiviteter stilles det enkelte minimumskrav som skal sørge for at formålet med DORA-forordningen blir søkt nådd på tvers av foretakene i Europa. 

Se nærmere beskrivelse om hvert enkelt nøkkelområde nedenfor.

IKT-risikostyring

  • DORA stiller krav til virksomhetens ledelse. Styret er ansvarlig for å håndtere risikostyringen for foretaket på et overordnet nivå, og er derfor pålagt å utarbeide retningslinjer for bruk av IKT-tredjepartsleverandører, utarbeide og godkjenne strategien for foretakets IKT-risikostyring og kontinuitetsplaner. Videre må de fastsette en strategi for å oppnå digital operasjonell motstandsdyktighet. Retningslinjene og strategien for IKT-risikostyring må overholde strenge krav til effektivitet og grundighet.
  • Foretakene må også installere og vedlikeholde systemer for IKT som er robuste og begrenser risikoen for og konsekvensene av et dataangrep. 
  • I tillegg må det foreligge klare kriseberedskapsplaner for de tilfellene hvor trusselen materialiserer seg i et dataangrep, og en god sikkerhetskultur med fokus på læring og utvikling av de ansatte i finansforetaket.

Hendelseshåndtering og rapportering

  • For det andre stiller DORA krav til at foretakene må opprette systemer og rutiner for hendelseshåndtering og hendelsesrapportering. 
  • Kravene innebærer at foretakene må etablere systemer for å umiddelbart oppdage, klassifisere, varsle, overvåke og rapportere IKT-hendelser. Særlig gjelder dette for «betydelige» IKT-risikoer, slik det er definert i DORA artikkel 3 (13). Nærmere frister for rapportering følger av underrettsaktene utarbeidet av de europeiske tilsynsorganene, jf. pkt. 5 nedenfor.
  • Systemene må være i stand til å rapportere alle stegene fra en risiko oppdages til den avverges. Videre stilles det krav til hvordan finansforetakene konkret skal klassifisere hendelsene, når de skal rapporteres og hvordan de skal rapporteres. 
  • Ytterligere stilles det krav til nasjonale tilsynsmyndigheter og deres oppfølging av rapporteringer om hendelser.

Testing av operasjonell motstandsdyktighet

  • DORA stiller krav til at foretakene minimum årlig må teste systemene for digital operasjonell motstandsdyktighet. 
  • Testingen utføres for å avdekke svakheter og hull i IKT-sikkerheten. Foretakene må raskt implementere korrigerende tiltak ved eventuelle avvik. Foretakene skal etablere, vedlikeholde og gjennomgå et grundig og omfattende program for testing. Dette programmet skal utgjøre en integrert del av rammeverket for IKT-risikostyring nevnt under punkt 1, se punkt 4.1 over.
  • Minimum hvert tredje år må foretak, som blir definert som tilstrekkelig viktige, dessuten foreta en større test. Denne testen kalles «Threat-Led Penetration Testing» og omfatter IKT-tjenestene innenfor virksomhetens kritiske funksjoner. 
  • Testingen må overholde strenge krav til pålitelighet, konfidensialitet og kompetanse.

Risikostyring av IKT-tredjepartsleverandører

  • Det er av betydning å merke seg at DORA ikke bare omhandler utkontraktering av IKT-tjenester, men også selve leveringen av IKT-tjenester. Foretakene må derfor etablere en overvåkning av risikoen knyttet til bruken av IKT-tredjepartsleverandører. 
  • DORA fastsetter spesifikke krav til hvordan foretakene må evaluere IKT-tjenesteavtaler før de inngås, hvordan de skal håndtere avtalene etter inngåelse og hva avtalene må inneholde. Foretakene må sikre at kontraktene med IKT-leverandører inneholder alle nødvendige detaljer for overvåking og tilgjengelighet.
  • Videre må foretakene kontinuerlig samarbeide med tredjeparts IKT-leverandører, for å muliggjøre en helhetlig overvåkning av de leverte IKT-tjenestene.
  • Foretakene må utarbeide og presentere en fullstendig oversikt over de utkontrakterte aktivitetene, inkludert interne tjenester og eventuelle endringer i utkontraktering av kritiske tjenester til IKT-leverandører. 
  • Foretakene må ta hensyn til risikoen forbundet med IKT-konsentrasjon, som oppstår dersom alle IKT-funksjonene er utkontraktert til en enkelt IKT-leverandør, og risikoen som oppstår ved utkontraktering til eventuelle underleverandører.
  • Endelig vil kritiske IKT-leverandører bli underlagt et eget tilsynsrammeverk fra EU. Foretakene må være særlig oppmerksomme på risikoen knyttet til bruk av IKT-tredjepartsleverandører som ikke forholder seg til dette tilsynsrammeverket.
  • Konkret bør alle foretak ta kontakt med sine IKT-tjenestetilbydere for å inngå nye IKT-avtaler som er utarbeidet i samsvar med DORAs krav. 

Informasjonsdeling

  • Foretakene må etablere systemer for utveksling og deling av etterretning om trusler mot datasikkerheten. Formålet med informasjonsdelingen er å styrke den digitale operasjonelle motstandsevnen til finansielle enheter, særlig ved å øke bevisstheten knyttet til cybertrusler, begrense eller hindre spredning av cybertrusler, støtte forsvarsevner, teknikker for identifisering av trusler og respons- og gjenopprettingsfaser. 
  • Informasjonsdelingen kan bare skje innenfor betrodde felleskap av finansielle foretak og innenfor informasjonsdelingsordninger som implementeres i virksomheten for å ivareta foretakets konfidensialitet, personopplysninger og konkurranseretten. 
  • Delingen må skje med sikte på en analyse av og reaksjoner på den delte informasjonen. 
  • Delingen skal skje både på tvers av de finansielle foretakene og de relevante myndighetene, og på tvers av landegrensene i EU og EØS. 

Utfyllende regler og retningsliner

I tillegg til innføringen av DORA-forordningen er det vedtatt utfyllende regler og retningslinjer utarbeidet av de europeiske tilsynsmyndighetene. 

Flere av disse ble publisert 25. juni 2024, med virkning i EU fra 17. januar 2025;

  • Delegated Regulation (EU) 2024/1772 containing RTS specifying the criteria for the classification of ICT-related incidents and cyber threats, setting out materiality thresholds, and specifying the details of reports of major incidents;
  • Delegated Regulation (EU) 2024/1773 containing RTS specifying the detailed content of the policy regarding contractual arrangements on the use of ICT services supporting critical or important functions provided by ICT third-party service providers; and
  • Delegated Regulation (EU) 2024/1774 containing RTS specifying ICT risk management tools, methods, processes and policies and the simplified ICT risk management framework.

I tillegg ble kommisjonsforordning (EU) 2024/2956 om en implementeringsteknisk standard for informasjonsregisteret for IKT-tjenesteavtaler vedtatt av EU-kommisjonen den 2. desember 2024. Denne forordningen inneholder relativt oversiktlige maler for utfylling av foretakenes avtaleregister. Rapportering i henhold til forordningen blir antakelig ikke aktuell for norske foretak ved første rapportering våren 2025, som følge av at DORA ikke vil ha trådt i kraft i Norge før senere i 2025.

Konkrete krav til IKT-avtaler

De konkrete kravene til IKT-avtaler som omfattes av DORA, er listet opp i DORA art 30:

  • En tydelig og fullstendig beskrivelse av IKT-tjenestene.
  • Lokasjonen hvorfra tjenestene blir tilbudt fra og hvor data blir behandlet.
  • Bestemmelser om informasjonssikkerhet for å beskytte data, inkludert personopplysninger.
  • Tilgang, retur og gjenoppretting av data i tilfelle av konkurs eller avslutning av IKT-tilbyderens tjenester. 
  • Plikt til samarbeid med kundens tilsynsmyndigheter.
  • Oppsigelsesrett og minimums varslingsperiode.
  • Tjenestenivåavtale (SLA).
  • Forpliktelse til å utarbeide hendelsesrapport til kunden uten kostnad eller til fastsatt kostnad.
  • Vilkår for tredjepartsleverandørers deltakelse I kundens sikkerhetsprogrammer og opplæring i digital motstandsdyktighet.

Kravene stiller minimumskrav til innholdet i IKT-avtaler, men partene står relativt fritt til selv å utforme de nærmere detaljene i bestemmelsene. For IKT-tjenester som støtter kritiske eller viktige tjenester, vil det gjelde ytterligere krav. Merk også det kan foreligge andre krav i øvrig regulatorisk lovgivning, som helt eller delvis overlapper med DORA-kravene (se punkt 8). Elementene ovenfor ligner på EBA Outsourcing Guidelines (EBA/GL/2019/02), men DORA er mer presist og gjelder også avtaler som ikke nødvendigvis er utkontraktering (DORA gjelder generelt for «ICT Services», uavhengig av om det er utkontraktering, og uavhengig av om det er cloud services). 

I tillegg til ovennevnte bør det også inntas bestemmelser om:

  • Exit assistance 
  • Taushetsplikt
  • Interessekonflikter
  • Ansvarsbestemmelser
  • Forsikring
  • Dataportabilitet
  • Kunstig intelligens 
  • Bruk av kundedata for egne formål

Forholdet til IKT-forskriften og EBAs retningslinjer for risikostyring

Ved vedtakelsen av DORA vil tilfellet for de fleste foretakene være at IKT-forskriften og EBAs retningslinjer for risikostyring blir erstattet. Årsaken er at DORAs krav er mer presise og omfattende. I den någjeldende IKT-forskriften er det stilt krav om at det skal fastsettes «overordnede mål, strategier og sikkerhetskrav for IKT-virksomheten». Videre overlater IKT-forskriften det til det enkelte foretaket selv å fastsette kriterier for hva som kan anses som «akseptabel risiko» og etablere en dokumentert prosess for gjennomføring av risikoanalyser. Videre gir IKT-forskriften foretaket selv myndigheten til å utarbeide prosedyrer for beskyttelse av utstyr, systemer og informasjon.

Det regelverket som til nå har gitt foretakene rom for å utarbeide sine egne IKT-systemer, vil bli strammet inn. Ved å stille presise krav til hva foretakene må utarbeide, vil det ved en adekvat implementering av DORA medføre en mer gjennomført og harmonisert IKT-praksis. Ved å stille disse kravene vil virksomhetene måtte overholde systemer som er like i utforming, og dermed gi en mer standardisert og velutviklet IKT-sikkerhet. Denne praksisen vil etter formålet på sikt bidra til at foretakene blir mer motstandsdyktige mot dataangrep.

Forholdet til annet regelverk

Generelt

For de fleste finansielle foretak vil DORA ikke være uttømmende for hvilke krav og bestemmelser som må inntas i IKT-avtaler, da annen lovgivning kan stille supplerende og/eller dels overlappende krav. Finansielle foretak bør derfor gjøre grundige vurderinger og kartlegginger av hvordan relevante regelverk spiller sammen, og hvordan man kan samordne etterlevelsen i praksis. På den måten kan man effektivisere prosessen og unngå unødvendig dobbeltarbeid. 

Digitalsikkerhetsloven og NIS1/NIS2-direktivet

DORA inneholder henvisninger til NIS2-direktivet (EU 2022/2555). NIS2-direktivet erstatter det tidligere NIS-direktivet (EU 2016/1148) (ofte kalt NIS1) og vil bli gjennomført ved endring av den norske digitalsikkerhetsloven når NIS2 blir tatt inn i EØS-avtalen. Det er foreløpig uklart når det vil skje. Digitalsikkerhetsloven ble vedtatt desember 2023, men har imidlertid ikke trådt i kraft i skrivende stund i påvente av den tilhørende digitalsikkerhetsforskriften. Digitalsikkerhetsloven og digitalsikkerhetsforskriften implementerer i første omgang NIS1, men digitalsikkerhetsforskriften har tatt høyde for bl.a. varslingsreglene i NIS2. NIS2 omfatter flere sektorer og virksomheter enn NIS1. Dette har betydning bl.a. innenfor finansbransjen, se høringsnotatet til digitalsikkerhetsforskriften punkt 4.2.2.11. Det kan også for norske virksomheter være fornuftig å starte forberedelsene til NIS2 allerede nå. 

NIS2-direktivet omhandler datasikkerhet mot cyberangrep, og omfatter viktige og nødvendige kredittforetak, handelsplasser og sentrale motparter. Direktivet inneholder kriterier for hvilke foretak som omfattes, og stiller krav til at disse foretakene skal foreta risikovurderinger og en rapporteringsplikt overfor relevante myndigheter ved signifikante cybersikkerhetshendelser (24-timersfrist). Særlig er det verdt å merke seg at NIS2-direktivet stiller en rekke krav til hvilke informasjonssikkerhetstiltak foretakene må iverksette. 

Forholdet mellom NIS2-direktivet og DORA er løst i forordningenes prioritetsrekkefølge. Det fremgår av NIS2-direktivet at sektorspesifikke regler har forrang. I DORA-forordningens artikkel 1 nr. 3 er det bestemt at forordningen utgjør en sektorspesifikk regulering, og følgelig vil DORA få forrang dersom det oppstår motstrid mellom NIS2-direktivet og DORA-forordningen.

Sikkerhetsloven

Sikkerhetsloven gjelder for en virksomhet dersom relevant departement eller Nasjonal sikkerhetsmyndighet (NSM) treffer vedtak om det. Myndighetene kan bestemme om loven skal gjelde helt eller delvis.  En rekke foretak i finansiell sektor er allerede underlagt deler av sikkerhetsloven (kapittel 4, 5 og 10 om hhv. Sikkerhetsorganisasjon, ivaretakelse av informasjonssikkerhet og eierskapskontroll). Disse kravene vil gjelde i tillegg til DORA. 

Utkontrakteringsreglene

Det store flertallet av foretak i finansiell sektor er underlagt både generelle og sektorspesifikke regler om utkontraktering. Innføringen av DORA vil sannsynligvis medføre endringer i allerede meldte avtaler om utkontraktering, og det må tas stilling til om de såkalte DORA-addendumene skal meldes før de trer i kraft. Som nevnt over under punkt 6, er det ikke samsvar mellom virkeområdet for reglene om utkontraktering og DORA, selv om det vil være betydelig overlapp.

Personvernforordningen (GDPR)

De aller fleste finansielle foretak behandler personopplysninger, det vil si alle opplysninger som direkte eller indirekte kan knyttes tilbake til en fysisk person. Behandling av personopplysninger reguleres av GDPR, som har vært norsk lov siden 2018. 

GDPR stiller en rekke krav som både kan overlappe og supplere kravene etter DORA. Blant annet stiller GDPR krav til informasjonssikkerhet, bruk av databehandlere (kvalitetssikring og databehandleravtaler), kartlegging av leverandørkjeder (inkludert full oversikt over databehandlere), dokumentasjon på overføringer av personopplysninger til tredjeland, utvikling i henhold til innebygd personvern, og personvern som standardinnstilling. 

Forenklet regime for enkelte finansielle foretak

DORA artikkel 16 innebærer et forenklet regime for enkelte finansielle foretak. Det forenklede regimet gjelder rammeverket for risikostyring og gjelder i hovedsak for (i) mindre og ikke-interkonnektede verdipapirforetak (som definert i Investment Firm Regulation (EU) 2019/2033 artikkel 12 (1), , dvs. verdipapirforetak som ikke oppbevarer klientmidler eller driver egenhandel og som opererer under visse terskelverdier), (ii) unntatte betalingsforetak, (iii) unntatte kredittinstitusjoner, (iv) unntatte e-pengeforetak og (v) små pensjonskasser.

For disse foretakene stilles det krav til at (i) foretaket har et dokumentert rammeverk for effektiv håndtering av IKT-risiko, (ii) kontinuerlig overvåking av sikkerheten og funksjonen til IKT-systemene, (iii) reduksjon av IKT-risiko ved å benytte oppdaterte og robuste IKT-systemer for å beskytte data og sikre tilgjengelighet, integritet og konfidensialitet, (iv) rask identifikasjon og håndtering av IKT-relaterte hendelser, (v) identifikasjon av tredjepartsavhengighet, (vi) regelmessig utvikling og testing av kontinuitetsplaner og gjenopprettingstiltak, og (vii) bruk av resultater fra tester og hendelsesanalyser for å forbedre IKT-risikovurderinger. 

Rammeverket skal dokumenteres og gjennomgås jevnlig, særlig etter store IKT-hendelser. En rapport om gjennomgangen skal leveres til nasjonal tilsynsmyndighet på forespørsel.

Sanksjoner ved overtredelse

Ved brudd på DORA-forordningen er relevante myndigheter autorisert til å kreve at tiltak blir iverksatt. De vil også kunne utstede administrative sanksjoner og/eller kreve opphør av enhver praksis som er i strid med forordningen. I Norge vil Finanstilsynet utgjøre relevant myndighet med kompetanse til å forfølge og sanksjonere ethvert brudd på forordningen.

Fordeler og ulemper med en harmonisert regulering

Fordelen med implementeringen av DORA er at det blir en mer ensartet og sikker IKT-håndtering på tvers av finansinstitusjonene i Europa. Dessuten vil datasikkerheten da forhåpentligvis bli bedre ivaretatt ved at alle institusjonene innehar lik grad av sikkerhet og prosedyrer for å bekjempe, og i verste fall avverge dataangrep. Ytterligere vil informasjonsdelingsaspektet på tvers av foretakene, og relevante myndigheter på tvers av landegrensene, kunne være med på å løfte opp og frem trusler som tidligere har ligget skjult i de enkelte foretakene. 

Overgangen til en mer standardisert måte å håndtere og rapportere hendelser på kan imidlertid være utfordrende avhengig av selskapets nåværende prosess for hendelseshåndtering. Har virksomheten ikke tilfredsstilt DORAs nye og mer presise krav, innebærer det at virksomheten må omstille seg og etablere nye systemer. Det kan både medføre utfordringer både tidsmessig og økonomisk grunnet kompleksiteten i kravene forordningen stiller.

En annen mulig fordel med DORA, er at det vil bli lettere å inkorporere sikkerhetstiltak i avtaler med tjenestetilbydere som ellers ville vært vanskelig å forhandle frem.

Finanstilsynets temaside om DORA

For mer informasjon om DORA og løpende informasjon om forordningen og dens ikrafttredelse, publiserer Finanstilsynet informasjon på en egen temaside. Denne temasiden tar for seg de overordnede kravene til DORA og inneholder henvisninger til de sentrale rettsaktene. 

Veien videre og ikraftsettelse 

Så snart DORAs ikrafttredelsesdato er avklart i Norge vil foretakene måtte begynne å tilpasse seg kravene forordningen stiller. Per nå er det sentrale steget i prosessen mot vedtakelsen av DORA en høring knyttet til en norsk gjennomføringslov av forordningen. Som nevnt forventer vi at DORA blir tatt inn i EØS-avtalen i løpet av Q1 2025 og at et lovforslag blir lagt frem for Stortinget i tide til at det kan behandles i løpet av vårsesjonen.

Kravene DORA stiller er omfattende, og det er derfor fornuftig å begynne implementeringen av IKT-kravene så snart som mulig. Kravene stiller både krav til teknisk og juridisk kompetanse. Vi kan derfor anbefale alle relevante foretak å starte tilpasningen allerede nå. Dette innebærer å (i) etablere en DORA arbeidsgruppe, (ii) foreta en GAP-analyse mot eksisterende rammeverk, og (iii) gjennomgang av IKT-avtaler, inkl. risikovurdering.

Wikborg Reins finansregulatoriske team og teknologiteam er oppdaterte på de gjeldende kravene og kan bistå med implementeringen av eller opplæringen i DORA, herunder utarbeide rutineverk, «DORA-addendum» til nye og eksisterende IKT-avtaler og prosess-dokumentasjon. Vi kan også bistå med å vurdere hvorvidt og i hvilken utstrekning et foretak omfattes av DORA-forordningens og andre relevante regelverks virkeområde. 

Forfattere
Profile image of Ole Andenæs
Ole Andenæs
Partner
Profile image of Arne Byberg
Arne Byberg
Partner
Profile image of Rolf Riisnæs
Rolf Riisnæs
Of Counsel, dr. juris
Profile image of Wegard Kyoo Bergli
Wegard Kyoo Bergli
Senioradvokat
Profile image of Jens Christian Werring-Westly
Jens Christian Werring-Westly
Advokatfullmektig / spesialrådgiver

Abonner på nyhetsbrev og invitasjoner