Nye krav til finanssektoren for å redusere cybertrusler – DORA forordningen

Ny EU-lovgivning for å styrke finanssektorens digitale operasjonelle motstandsdyktighet (Digital Operational Resilience Act, DORA) vil gjelde fra 16. januar 2025. Finansforetak har dermed i underkant av to år på å innrette seg etter det nye regelverket. Regelverket er vedtatt som en forordning, og skal øke finanssektoren i Europa sin motstandsdyktighet knyttet til cybertrusler. Regelverket er forventet å gjennomføres i norsk rett.

Rear view of programmer working on new project in dark office

Bakgrunnen for forordningen

Bakgrunnen for forordningen er at den økte digitaliseringen i samfunnet har medført en økende risiko knyttet til cybertrusler og IKT-forstyrrelser for nøkkelsektorer, inkludert for finanssektoren. Bruken av IKT har de siste tiårene fått en sentral rolle innen finans, inkludert ved driften av typiske daglige funksjoner slik som betalinger, kredittvurdering, skadebehandling, verdipapiravvikling mv. Videre er det et høyt nivå av sammenkobling på tvers av finansielle enheter, finansmarkeder og finansmarkedsinfrastrukturer. Alvorlige IKT-brudd i finanssektoren kan utløse negative konsekvenser for stabiliteten i Europas finansielle system.

DORA- forordningen er en del av EU-kommisjonens tiltakspakke for digitale finanstjenester.

Hvem er omfattet av regelverket?

DORA retter seg mot en rekke finansforetak («financial entities»), samt kritiske IKT – underleverandører.

Kravene til foretakene varierer ut ifra foretakets størrelse og funksjon. Foretak som kategoriseres som mikrovirksomheter stilles det blant annet færre krav til. Dette er definert som finansforetak (med unntak for handelsplasser, sentrale motparter, transaksjonsregister og verdipapirregister) med færre enn ti ansatte og som har en årlig omsetning og/eller årlig balanse som ikke overstiger to millioner euro.

Nedenfor følger en liste over finansforetak som omfattes av forordningen:

kredittforetak
betalingsforetak
tjenesteleverandør av kontoinformasjon (AISP)
e-pengeforetak
verdipapirforetak
leverandører av kryptotjenester
verdipapirregister
sentrale motparter (CCPs)
handelsplasser (regulert marked e.l.)
transaksjonsregister
forvaltere av alternative investeringsfond og forvaltningsselskaper
leverandører av datarapporteringstjenester
forsikrings- og gjenforsikringsforetak
forsikringsformidlere, gjenforsikringsformidlere og tilknyttede forsikringsformidlere
foretak for tjenestepensjonspensjoner
kredittvurderingsbyråer
administratorer av kritiske referanser
sikringsdepoter, og
tjenesteleverandører for folkefinansiering (crowdfunding).

Hvilke krav stilles til foretakene?

I det følgende beskrives kort de viktigste kravene som DORA-forordningen stiller til finansforetak.

Krav til risikostyring

For det første stiller regelverket krav til finansforetaks risikostyring av informasjons- og kommunikasjonsteknologi (IKT). Kravene til risikostyring følger av forordningens kapittel II. Finansforetak må utarbeide et rammeverk for IKT-risikostyring. Som del av rammeverket, skal finansforetak blant annet identifisere, klassifisere og dokumentere alle IKT-støttede forretningsfunksjoner og roller, og kontinuerlig identifisere alle kilder til IKT-risiko. Klassifiseringen og risikovurderingen skal gjennomgås minimum årlig.

Finansforetak må også blant annet utarbeide retningslinjer og prosedyrer for sikkerhetskopiering. Det stilles også krav til å ha på plass krisekommunikasjonsplaner som muliggjør en ansvarlig avsløring av større IKT-relaterte hendelser eller sårbarheter overfor kunder, motparter og offentligheten.

Kravet til risikostyring følger proporsjonalitetsprinsippet. Det innebærer at finansforetakenes risikostyring skal samsvare med foretakets størrelse, samlede risikoprofil, og arten og omfanget og kompleksiteten til deres tjenester, aktiviteter og operasjoner.

Krav til hendelseshåndtering

For det andre inneholder DORA-forordningen krav til at finansforetak skal etablere og implementere en IKT-relatert hendelseshåndteringsprosess for å oppdage, administrerte og varsle IKT-relaterte hendelser (forordningen kapittel III). Dette innebærer at finansforetak blant annet må registrere alle IKT-relaterte hendelser og betydelige cybertrusler. Videre må foretakene etablere prosedyrer og prosesser for å sikre en konsistent og integrert overvåking, håndtering og oppfølging av IKT-relaterte hendelser, for å sikre at underliggende årsaker identifiseres, dokumenteres og adresseres for å forhindre at slike hendelser oppstår.

Finansforetakene plikter å klassifisere alle IKT-hendelser og fastsette deres innvirkning basert på en rekke kriterier, blant annet varigheten av hendelsen og den geografiske spredningen med hensyn til områder som hendelsen berører. Videre skal finansforetakene rapportere større IKT-relaterte hendelser til kompetente myndigheter. Kunder skal også informeres om slike større IKT-hendelser, uten ugrunnet opphold, dersom hendelsen har innvirkning på kundenes økonomiske interesser.

Krav til testing

For det tredje inneholder DORA regler om testing av digital operasjonell motstandskraft (kapittel IV). Finansforetak, med unntak av mikrovirksomheter, plikter å etablere et forsvarlig og omfattende test-program som en del av rammeverket for IKT-risikostyring. Test-programmet skal omfatte en rekke vurderinger, tester, metoder, praksiser og verktøy.

Test-programmet skal følge en risikobasert tilnærming, ved å blant annet ta hensyn til virksomhetens spesifikke risikoer. Testene skal gjennomføres av uavhengige parter, enten interne eller eksterne. Videre skal finansforetakene etablere prosedyrer og retningslinjer for å prioritere, klassifisere og avhjelpe alle problemer som blir avslørt under gjennomføringen av testene. Testene skal utføres minimum årlig på alle IKT-systemer og applikasjoner som støtter kritiske eller viktige funksjoner.

Håndtering av risiko knyttet til IKT-leverandører

For det fjerde stilles det krav til at finansforetakene iverksetter tiltak for forsvarlig håndtering av risiko knyttet til IKT-tjeneste leverandører (kapittel V). Risiko knyttet til IKT-leverandører skal vurderes som en del av finansforetakets risikovurdering. Videre skal finansforetak vedta og regelmessig gjennomgå en strategi for IKT-leverandørenes risiko. Strategien skal inneholde en policy for bruk av IKT-tjenester som støtter kritiske eller viktige funksjoner levert av IKT-leverandører.

Hva er konsekvensen av regelbrudd?

Forordningen gir kompetente myndigheter adgang til å kreve midlertidig eller permanent opphør av enhver praksis i strid med regelverket. Videre gis kompetente myndigheter adgang til å vedta en hvilken som helst type tiltak, inkludert av økonomisk art. Det er ikke fastsatt noen retningslinjer når det gjelder størrelsen på eventuelle overtredelsesgebyr.

Cookie	Varighet	Beskrivelse
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.