Status: På høring

Høringsfrist: 05.01.2026

Vår ref.: 23/2778

Ny lov om digital operasjonell motstandsdyktighet i finanssektoren (DORA-loven) og den tilhørende DORA-forskriften, trådte i kraft 1. juli 2025.

Departementet sender med dette på høring Finanstilsynets høringsnotat med forslag til endringer i DORA-forskriften. I tillegg har departementet utarbeidet utkast til en bestemmelse i DORA-forskriften som gir Norges Bank mulighet til å ilegge avgift ved utøvelse av myndighetsoppgaver knyttet til trusselbasert penetrasjonstesting (TLPT), utkast til en endring i DORA-loven § 3 som kan tydeliggjøre adgangen til å ilegge en slik avgift, samt en justering av ordlyden i finansforetaksloven § 13-5 første ledd. Vi ber om at høringsinstansene vurderer departementets utkast som del av høringen.

Bakgrunn

Finansdepartementet ba i brev 7. mars 2025 Finanstilsynet om å lage utkast til forskriftsregler som måtte være på plass innen DORA-loven trådte i kraft, og et slikt utkast var på høring til 30. mai 2025 og ble fulgt opp med forskriftsfastsettelse 24. juni 2025. I samme brev ble Finanstilsynet også bedt om å vurdere behovet for forskriftsregler som kunne settes i kraft noe senere enn den nye loven. I brev 13. juni 2025 ba departementet om at Finanstilsynet tok med seg svarene som ble gitt i høringen som ble avsluttet 30. mai, i arbeidet med å vurdere ytterligere forskriftsregler.

Finanstilsynets høringsnotat

I høringsnotatet drøfter Finanstilsynet hvordan IKT-sikkerhet i foretak som i dag ikke er underlagt DORA, bør reguleres fremover, samt hvordan oppgavedelingen mellom Finanstilsynet og Norges Bank knyttet til TLPT bør være.      

Finansieringsforetak, eiendomsmeglingsforetak og inkassoforetak er i dag underlagt IKT-forskriften, og Finanstilsynet foreslår at disse fremover isteden underlegges deler av DORA-forordningen, med visse tilpasninger av hensyn til proporsjonalitet. Norsk naturskadepool foreslås underlagt relevante deler av DORA, herunder forenklet rammeverk for risikostyring, hendelseshåndtering og -rapportering, og regler for styring av IKT-tredjepartsrisiko. Foretak som er unntatt fra DORA-forordningen, samt gjeldsinformasjonsforetak, kredittopplysningsforetak, morselskap i konsern og låneformidlere, foreslås ikke underlagt DORA, men Finanstilsynet legger isteden opp til å gi veiledning om forsvarlig IKT-virksomhet. IKT-forskriften foreslås opphevet.

Finanstilsynet foreslår at tilsynet skal ha ansvar for å utpeke hvilke virksomheter som skal gjennomføre TLPT-tester, og følge opp funn overfor virksomhetene. Oppgaver som berører selve testingen, som ansvar for å godkjenne hvilke funksjoner som skal omfattes av testen og utøvelsen av rollen som «TLPT cyber team» (teamet som gjennomfører testene fra myndighetssiden), foreslås lagt til Norges Bank.

Norges Banks mulighet til å ilegge avgift ved utøvelse av TLPT-myndighetsoppgaver 

Som omtalt i Prop. 54 LS (2024 – 2025), har Norges Bank og Finanstilsynet begge ansvar og kompetanse som er relevant for utøvelsen av myndighetsoppgaver innen TLPT etter DORA-forordningen. Norges Bank og Finanstilsynet har siden 2021 samarbeidet om TLPT etter TIBER-rammeverket. En fordeling av TLPT-relaterte myndighetsoppgaver etter DORA i henhold til Finanstilsynets høringsnotat, vil dermed innebære en formalisering av dette samarbeidet. 

Norges Bank har i sitt svar i høringen som ble avsluttet 30. mai i år, bedt departementet vurdere om det i forskrift kan inntas en bestemmelse som gir Norges Bank mulighet til å ilegge avgift dersom banken skulle bli tillagt myndighetsoppgaver etter DORA. Departementet er enig i at nye oppgaver etter DORA kan gi grunnlag for at Norges Bank bør få mulighet for inndekning av utgiftene ved bankens nye oppgaver. Et alternativ til å fordele de aktuelle myndighetsoppgavene mellom Finanstilsynet og Norges Bank er at Finanstilsynet alene får ansvaret for TLPT. Da ville alle utgifter til gjennomføring av TLPT belastes foretak under tilsyn, i tråd med regelverket for dekningen av utgifter til Finanstilsynets virksomhet, jf. finanstilsynsloven § 6-1. Dersom noen av myndighetsoppgavene legges til Norges Bank, og det kun er utgiftene til Finanstilsynets oppgaver som fordeles på foretakene, innebærer dette i prinsippet at staten bærer kostnader ved testingen. Dette vil innebære et brudd med prinsippene som i hovedsak ligger til grunn for finansieringen av tilsynsoppgaver i finanssektoren.

Samtidig må en eventuell mulighet til å ilegge avgift avgrenses på en hensiktsmessig og forutsigbar måte, og knyttes til Norges Banks faktiske utgifter med testingen. Departementet har utarbeidet utkast til en forskriftshjemmel som gir Norges Bank adgang til å kreve inn en avgift for TLPT, utformet etter modell av finanstilsynsloven § 6-1. Utkastet åpner imidlertid for at Norges Bank vurderer hva som er en hensiktsmessig modell for utgiftsdekning. En forutsetning bør uansett være at utgiftene som belastes det enkelte foretak, så langt som mulig samsvarer med Norges Banks relative ressursbruk.

Norges Bank har opplyst at det i dag er avsatt 2,5 årsverk til «TLPT cyber team» i banken. Ettersom TLPT tidligere har vært frivillig, mens det nå blir flere foretak som får krav til å gjennomføre slik testing, er det rimelig å anta at antallet tester kan øke. Dette kan gjøre det nødvendig for Norges Bank å øke ressursbruken noe.

Det følger av DORA-loven § 3 fjerde ledd at departementet i forskrift kan «fastsette bestemmelser om trusselbasert penetrasjonstesting (TLPT), herunder om fordeling av oppgaver og ansvar mellom norske myndighetsorgan i henhold til DORA-forordningen artikkel 26». Finanstilsynets utgifter knyttet til TLPT vil, som nevnt, kunne fordeles på foretak under tilsyn i medhold av finanstilsynsloven § 6-1. Tilsvarende bestemmelse finnes imidlertid ikke i sentralbankloven eller annet relevant regelverk. Departementet har derfor utarbeidet utkast til en justering i DORA-loven, slik at det presiseres i § 3 fjerde ledd at forskriftshjemmelen også omfatter adgang til å fastsette bestemmelser om innkreving og fordeling av utgifter knyttet til TLPT. Adgangen til å kreve inn avgift ved TLPT avgrenses til foretak som pekes ut til slik testing etter DORA-loven.

I tillegg ser departementet behov for å presisere i samme bestemmelse at ilagte bidrag er tvangsgrunnlag for utlegg, jf. tvangsfullbyrdelsesloven § 7-2 første ledd bokstav e.

Presisering i finansforetaksloven § 13-5 første ledd

I finansforetaksloven § 13-5 første ledd tredje punktum vises det til at foretak skal ha nettverks- og informasjonssystemer i samsvar med DORA-forordningen. Den nåværende ordlyden i bestemmelsen kan leses som at den gjelder alle foretak som er underlagt finansforetaksloven. Dette kan bl.a. berøre holdingselskaper i finanskonsern og finansieringsforetak, som er underlagt finansforetaksloven etter loven § 1-3 bokstav c og f, men som ikke er del av virkeområdet til DORA-forordningen. Hensikten med å innta en henvisning til DORA i finansforetaksloven § 13-5 var å endre lovgivningen slik at den ble i tråd med DORA-tilpasninger i EU-direktiver, blant annet 2013/36/EU (kapitalkravsdirektivet, CRD). For å unngå uklarheter foreslås det at ordlyden i finansforetaksloven § 13-5 første ledd tredje punktum endres.

Departementets utkast til endringer i lov og forskrift (supplerer Finanstilsynets utkast)

DORA-loven § 3 fjerde ledd skal lyde:

(4) Departementet kan i forskrift fastsette bestemmelser om trusselbasert penetrasjonstesting (TLPT), herunder om fordeling av oppgaver og ansvar mellom norske myndighetsorgan i henhold til DORA-forordningen artikkel 26, samt bestemmelser om fordeling av myndighetsorganers utgifter knyttet til TLPT mellom foretak som pålegges å gjennomføre slik testing, herunder bestemmelser om innkreving og betaling. Ilagte bidrag er tvangsgrunnlag for utlegg.

Finansforetaksloven § 13-5 første ledd tredje punktum skal lyde:

Foretaket skal, så fremt lov om digital operasjonell motstandsdyktighet i finanssektoren kommer til anvendelse for foretakets virksomhet, ha nettverks- og informasjonssystemer i samsvar med forordning (EU) 2022/2554, jf. lov om digital operasjonell motstandsdyktighet i finanssektoren § 1.

DORA-forskriften § X skal lyde:

§ X. Fordeling av Norges Banks utgifter til TLPT 

Norges Banks utgifter ved gjennomføring av myndighetsoppgavene som er pålagt banken i denne forskrift skal fordeles på foretakene som pålegges å gjennomføre TLPT etter DORA-loven. Utgiftene skal fordeles basert på Norges Banks relative ressursbruk. Norges Bank treffer vedtak om slik utgiftsfordeling.

Norges Bank kan gi forskrift om den nærmere utgiftsfordelingen.

Høringsfrist mv.

Høringsfristen er 5. januar 2026. For å avgi høringsuttalelse, gå til høringen på www.regjeringen.no og bruk den digitale løsningen for høringsuttalelse ved å klikke på «Send inn høringssvar». Alle kan avgi høringsuttalelse. Den enkelte høringsinstans bes vurdere om saken bør sendes til underliggende etater eller virksomhet, tilknyttet virksomhet, medlemsorganisasjoner eller lignende. Merk at høringsuttalelser er offentlige etter offentleglova og vil bli publisert sammen med øvrige høringsuttalelser på våre nettsider.

 

Med hilsen

Marius Østli (e.f.)
avdelingsdirektør

                                                                                                Maren Børslien
                                                                                                fagsjef

 

Høringnotat DORA-forskriften.pdf

Finanstilsynets oversendelsesbrev.pdf

Alle departementene
Advokattilsynet
Akademikerne
Aksjonærforeningen
Arbeidsgiverforeningen Spekter
Bankenes sikringsfond
Brønnøysundregistrene
Datatilsynet
Den norske advokatforening
Den Norske Aktuarforening
Den norske Revisorforening
Direktoratet for forvaltning og økonomistyring
Eiendom Norge
Experian Gjeldsregister AS
Finans Norge
Finansforbundet
Finansieringsselskapenes forening
Finansmarkedsfondet
Finanstilsynet
Finanstilsynsklagenemnda
Fintech Norway
Folketrygdfondet
Forbrukerrådet
Forbrukertilsynet
Forening for finansfag
Fornybar Norge
Gjeldsregisteret AS
Handelshøgskolen ved Nord universitet
Handelshøyskolen BI
Havtrygd Gjensidig Forsikring
Hovedorganisasjonen for universitets- og høyskoleutdannede
Hovedorganisasjonen Virke
Huseierne
Klagenemndssekretariatet
Kommunalbanken AS
Konkurransetilsynet
KS
Landsorganisasjonen i Norge
Likestillings- og diskrimineringsombudet
Lotteri- og stiftelsestilsynet
Nasdaq OMX Oslo ASA
NMBU - Norges miljø- og biovitenskapelige universitet
Nordic Trustee
NOREXECO ASA
Norges Bank
Norges eiendomsmeglerforbund
Norges handelshøyskole
Norges Kommunerevisorforbund
Norges Rederiforbund
Norsk Crowdfunding Forening
Norsk Gjeldsinformasjon AS
Norsk Kapitalforvalterforening
Norsk Naturskadepool
Norsk Presseforbund
Norsk Venturekapitalforening
Norsk Økrimforening
Norske Boligbyggelags Landsforbund SA
Norske Forsikringsmegleres Forening
Næringslivets Hovedorganisasjon
Oslo Børs
Pensjonskasseforeningen
Personskadeforbundet LTN
Regelrådet
Regjeringsadvokaten
Regnskap Norge
Riksadvokaten
Riksrevisjonen
Sivilombudet
SIX x-clear AG Norway
Skattedirektoratet
Skatteforsk – Centre for Tax Research
SMB Norge
Sparebankforeningen i Norge
Statens pensjonskasse
Statistisk sentralbyrå
Stiftelsesforeningen
Stø as
Tax Justice Norge
The Nordic Association of Electricity Traders
The Nordic Association of Marine Insurers (CEFOR)
Universitetet i Agder
Universitetet i Bergen
Universitetet i Oslo
Universitetet i Sørøst-Norge
Universitetet i Tromsø - Norges arktiske universitet
Verdipapirfondenes forening
Verdipapirforetakenes Forbund
Verdipapirsentralen ASA
Yrkesorganisasjonenes Sentralforbund
ØKOKRIM
Økonomiforbundet

Send inn høringssvar