DORA trer i kraft i Norge 1. juli 2025:
Slik påvirkes finanssektoren og IKT leverandører
Etter flere års forberedelser trer EUs Digital Operational Resilience Act (DORA) snart i kraft i Norge. Ikrafttredelsen skjer formelt 1. juli 2025, etter at lovforslaget ble sanksjonert i statsråd 27. mai. Med dette får norske finansforetak og deres IKT-leverandører et nytt og forpliktende regelverk for digital operasjonell motstandsdyktighet, på linje med det som fra januar 2025 har vært situasjonen i EU. Forordningen innføres i norsk rett gjennom den nye loven om digital operasjonell motstandsdyktighet i finanssektoren (DORA-loven), som bygger direkte på EUs DORA-forordning.
Et omfattende og detaljert regelverk for hele finanssektoren
DORA er en sentral del av EUs reguleringsrammeverk for finanssektoren og har som formål å styrke den digitale motstandsdyktigheten i hele det indre marked. Lovgivningen omfatter 21 ulike typer finansielle virksomheter, blant annet banker, forsikringsselskaper, kredittinstitusjoner, betalingsforetak, forvaltningsselskaper, tilbydere av kryptotjenester, pensjonsforetak og inkassobyråer. I tillegg omfattes IKT-leverandører som støtter kritiske eller viktige funksjoner i disse virksomhetene. Norske foretak som opererer i EU har allerede måttet forholde seg til DORA fra 17. januar 2025, og med den norske ikrafttredelsen blir regelverket nå også bindende i Norge for hele den finansielle sektoren.
Det sentrale formålet med DORA er å etablere harmoniserte krav til IKT-sikkerhet og operasjonell motstandsdyktighet for finansforetak og deres underleverandører. Regelverket skal motvirke systemrisiko og forbedre sektorens evne til å håndtere alvorlige IKT-hendelser og cyberangrep. I motsetning til mange tidligere regelverk på området, er DORA langt mer detaljert og stiller krav til konkrete prosesser, styringssystemer og dokumentasjonsplikter. Blant annet skal finansforetak utarbeide rammeverk for IKT-risikostyring, gjennomføre regelmessig testing av systemenes robusthet og sørge for at ledelsen har det endelige ansvaret for å sikre etterlevelse. Det innføres også krav til rapportering av alvorlige IKT-hendelser, informasjonsdeling mellom finansforetak, og etablering av exit-strategier ved bruk av tredjepartsleverandører. Se mer om DORA i vårt nyhetsbrev av 12. februar 2024
Strengere krav til IKT-leverandører som støtter regulerte foretak
En av de mest betydningsfulle endringene DORA medfører, gjelder for IKT-leverandører som leverer tjenester til regulerte finansforetak. Leverandører som støtter kritiske eller viktige funksjoner – slik som kjernebanktjenester, betalingsinfrastruktur eller datasentre – vil bli pålagt en rekke krav og kan i noen tilfeller bli klassifisert som kritiske leverandører. Disse vil omfattes av DORAs "Oversight Framework", som gir tilsynsmyndighetene adgang til å føre direkte tilsyn og stille krav om risikostyring, dokumentasjon og varsling.
Videre må kontraktene mellom finansforetakene og IKT-leverandørene må oppfylle detaljerte krav etter artikkel 30 i DORA. Dette inkluderer blant annet:
- ubegrenset revisjonsadgang, både for foretaket selv og for relevante tilsynsmyndigheter
- krav til exit-strategier og business continuity-planer
- rett til å godkjenne eller nekte bruk av underleverandører
- krav om forhåndsvarsling ved vesentlige endringer, herunder bytte av lokasjon for databehandling eller vesentlige endringer i tjenestens karakter
For leverandører som tidligere har vært vant til mer kommersielt pregede kontraktsforhold med begrenset innsyn, innebærer DORA en reell og omfattende regulatorisk inngripen i avtaleforholdene.
For IKT-leverandører som ikke støtter kritiske eller viktige funksjoner vil kravene vil være risikobaserte og fastsettes etter forholdsmessighetsprinsippet, slik at det kan differensieres mellom leverandører basert på tjenestens betydning for foretakets drift og sikkerhet. Dette innebærer at mindre IKT-leverandører fortsatt vil måtte oppfylle en rekke DORA-krav, men i et omfang som i utgangspunktet skal stå i rimelig forhold til risikoen de representerer og ikke på det nivået som kreves av kritiske og viktige IKT-leverandører.
Utfyllende regelverk på EU-nivå stiller ytterligere krav
For å sikre en effektiv og enhetlig gjennomføring av DORA er det vedtatt en rekke Nivå 2-regelverk i EU. Dette inkluderer detaljerte krav til blant annet utpeking av kritiske IKT-leverandører, krav til retningslinjer for kontraktsvilkår ved bruk av tredjepartstilbydere av IKT-tjenester som støtter kritiske eller viktige funksjoner, klassifisering av IKT-hendelser og spesifisering av rammeverket for IKT-risiko, inkludert forenklet rammeverk. Regelverkene gir konkrete føringer for hvordan foretakene skal innrette seg i praksis og stiller krav til både struktur, innhold og metode i virksomhetenes styringssystemer.
I artikkel 4 i DORA fremgår det at kravene i DORA skal anvendes i tråd med forholdsmessighetsprinsippet, og det presiseres at virksomhetenes størrelse, forretningsmodell, kompleksitet og eksponering for risiko skal hensyntas ved vurderingen av hvilke tiltak som er nødvendige. DORA fastsetter en rekke krav som bare gjelder for større foretak. Mikroforetak - virksomheter med færre enn ti ansatte og under to millioner euro i omsetning – er eksplisitt unntatt fra flere detaljerte krav, blant annet til etablering av egne kontrollfunksjoner, revisjonsrutiner, testing og krisehåndtering. De skal likevel oppfylle de grunnleggende kravene i regelverket, men dette skjer på en risikobasert og proporsjonal måte tilpasset deres virksomhet.
Finanstilsynet blir tilsynsmyndighet i Norge
I gjennomføringen av DORA i norsk rett har regjeringen lagt opp til at Finanstilsynet skal ha tilsynsansvaret. Dette er i tråd med prinsippet om sektorspesifikke myndigheter, som også legges til grunn i den fremtidige gjennomføringen av NIS2 og annet cybersikkerhetsregelverk. I og med at det ikke er lagt opp til å etablere én nasjonal tilsynsmyndighet for digital sikkerhet på tvers av omfattede virksomheter, forventes det at Finanstilsynet vil få en sentral rolle i veiledning og kontroll knyttet til DORA fremover.
DORA krever bred kompetanse og tett tverrfaglig samarbeid
For finansforetak som ennå ikke har gjennomført fullstendige tilpasninger til DORA, er tiden nå knapp. Etterlevelse forutsetter både etablering av formelle styringssystemer, dokumentasjon av rammeverk, planer og strategier, vurdering av eksisterende IKT-leveransers kritikalitet, revisjon av kontrakter og organisering av testing og rapportering. Dette krever tett samarbeid mellom juridiske, tekniske og operasjonelle funksjoner i virksomhetene.
Også IKT-leverandører som leverer tjenester til finanssektoren må belage seg på å gjøre omfattende endringer i sine tjenesteleveranser, kontraktsstrukturer og etterlevelsesrutiner. I praksis betyr dette at leverandører må kunne:
- dokumentere sikkerhetsmekanismer og rutiner for kontinuitet og hendelseshåndtering
- akseptere utvidede tilsynsrettigheter for kundens og myndighetenes del
- gjennomføre grundige vurderinger av underleverandører og deres lokasjon og sikkerhetsnivå
- sikre at egne underleverandører pålegges de samme kravene gjennom avtalemessig regulering
Hvordan vi kan hjelpe?
Vi i Arntzen har opparbeidet oss solid erfaring og spesialisert kompetanse på DORA-regelverket, med særlig fokus på utkontraktering og hvilke forpliktelser som gjelder for IKT-leverandører til regulerte virksomheter.
I tiden fremover vil vi publisere flere nyhetsbrev som går dypere inn i særskilte problemstillinger – blant annet hvordan DORA griper inn i utkontrakteringsforhold, hvordan man vurderer hva som er en kritisk eller viktig funksjon, og hva som kreves av kontrakter, revisjonsadgang og exit-strategier.
Ta gjerne kontakt dersom dere ønsker en vurdering av hvordan DORA påvirker deres virksomhet, behov for kontraktstilpasninger eller strategisk rådgivning i møte med de nye kravene.
