7 Mindre endringer i DORA-loven
7.1 Gjeldende rett
Lov om digital operasjonell motstandsdyktighet i finanssektoren (DORA-loven) gjennomfører forordning (EU) 2022/2554 om digital operasjonell motstandsdyktighet i finanssektoren (DORA-forordningen).
DORA-forordningen gjelder for de fleste foretak i finanssektoren. I tillegg gir DORA-loven § 2 departementet hjemmel til å i forskrift fastsette at forordningen helt eller delvis skal gjelde for foretak nevnt i DORA-forordningen artikkel 2 nr. 3, finansieringsforetak, låneformidlingsforetak, inkassoforetak, eiendomsmeglingsforetak og morselskap i finanskonsern. I dag er finansieringsforetak, eiendomsmeglerforetak og inkassoforetak underlagt IKT-forskriften.
DORA-forordningen stiller bl.a. krav til testing av den digitale operasjonelle motstandsdyktigheten i foretakene, og enkelte foretak skal gjennomføre mer avansert testing i form av trusselbasert penetrasjonstesting («threat-led penetration test», TLPT). Foretakene det gjelder, skal gjennomføre TLPT minst hvert tredje år, eller oftere hvis Finanstilsynet anser det som nødvendig.
Norges Bank og Finanstilsynet har siden 2021 samarbeidet om gjennomføring av TLPT etter det såkalte TIBER-rammeverket, og som omtalt i Prop. 54 LS (2024–2025) Lov om digital operasjonell motstandsdyktighet i finanssektoren, lov om endringer i hvitvaskingsloven (gjennomføring av forordning (EU) 2023/1113) og samtykke til godkjenning av to beslutninger i EØS-komiteen om innlemmelse i EØS-avtalen av forordning (EU) 2022/2554, direktiv (EU) 2022/2556 og forordning (EU) 2023/1113, har Norges Bank og Finanstilsynet begge ansvar og kompetanse som er relevant for utøvelsen av myndighetsoppgaver innen TLPT etter DORA-forordningen.
7.2 Forslaget i høringsbrevet og -notatet
Finanstilsynet foreslår i høringsnotatet at blant annet også Norsk naturskadepool delvis skal følge DORA-loven. Norsk naturskadepool er ikke på listen over foretak som departementet i dag har hjemmel til å helt eller delvis underlegge DORA-loven, jf. DORA-loven § 2, og Finanstilsynet har derfor foreslått at DORA-loven § 2 endres slik at Norsk naturskadepool legges til.
Norske forsikringsselskaper som yter erstatning for naturskader i henhold til naturskadeforsikringsloven § 1, skal være medlemmer av Norsk naturskadepool. Naturskadepoolen er bindeleddet mellom Statens naturskadefond og den norske forsikringsbransjen. Forsikringsselskapene er forsikringsgiver og foretar oppgjør overfor sine kunder. Naturskadepoolen utlikner på sin side naturskadeerstatninger mellom forsikringsselskapene for skader som er definert i naturskadeloven.
Finanstilsynet overtok tilsynsansvaret for naturskadepoolen 1. januar 2026. I høringsnotat datert 24. juni 2024 om ny naturskadeforsikringslov mv. foreslo Justis- og beredskapsdepartementet at Norsk naturskadepool skulle underlegges risikostyringsforskriften og IKT-forskriften. Finanstilsynet foreslår i sitt høringsnotat å oppheve IKT-forskriften. For foretak som i dag er underlagt IKT-forskriften, men ikke DORA-loven, foreslår Finanstilsynet at disse foretakene delvis underlegges DORA-loven, eller i enkelte tilfeller ikke lenger underlegges spesifikke krav til IKT-virksomhet. Når det gjelder Norsk naturskadepool, er Finanstilsynets vurdering at foretakets kompleksitet og risiko, samt betydning for finansiell stabilitet, tilsier at foretakets IKT-virksomhet bør være underlagt enkelte av kravene som følger av DORA-reglene, herunder forenklet rammeverk for risikostyring og krav om rapportering av IKT-hendelser.
I høringsnotatet foreslår Finanstilsynet også at det i forskrift fastsettes en fordeling av myndighetsoppgaver mellom Finanstilsynet og Norges Bank ved TLPT etter DORA-loven. Dette vil innebære en formalisering av det eksisterende samarbeidet, men også at nye oppgaver legges til Norges Bank. I tillegg kan krav om pålagt testing som følge av DORA-loven, innebære en økning i antall tester som skal gjennomføres. Etter anmodning fra Norges Bank foreslår departementet derfor i høringsbrevet en presisering av at forskriftshjemmelen i DORA-loven § 3 også omfatter adgang til å fastsette bestemmelser om innkreving og fordeling av utgifter knyttet til TLPT. Dette kan gi Norges Bank adgang til å kreve inn bidrag til kostnadsdekning for TLPT, slik at banken får mulighet for inndekning av utgiftene ved de nye oppgavene. I tillegg foreslår departementet at det i samme bestemmelse tydeliggjøres at ilagte bidrag er tvangsgrunnlag for utlegg, det vil si at bidraget kan drives inn med makt gjennom rettsapparatet uten forutgående erkjennelse eller stadfestelse av kravet.
7.3 Høringsinstansenes syn
Finans Norge støtter formålet med DORA, og har ikke spesifikke merknader til de foreslåtte endringene, men understreker betydningen av proporsjonalitet og praktisk tilnærming i gjennomføringen.
Finans Norge Forsikringsdrift (FNF), som blant annet er sentral tjenesteleverandør til Norsk naturskadepool, viser til at det å underlegge naturskadepoolen relevante deler av DORA-regelverket vil kunne medføre økte krav, og kreve at FNF tilpasser interne prosesser og samarbeidsflater for å sikre etterlevelse på en kostnadseffektiv og forholdsmessig måte.
Norsk naturskadepool gir i sitt høringssvar uttrykk for at de merker seg forslaget om at naturskadepoolen skal kunne underlegges DORA-regelverket. Naturskadepoolen viser samtidig til viktigheten av at regelverket er hensiktsmessig tilpasset naturskadeforsikringsordningen og ikke pålegger plikter som innebærer for store kostnader.
Norges Bank støtter forslaget og har ingen merknader til ordlyden i forslaget til endringen i DORA-loven § 3.
SMB Norge støtter intensjonen med DORA, men peker bl.a. på at kostnader ved TLPT ikke må bli uforholdsmessig høye.
7.4 Departementets vurdering
Departementet deler Finanstilsynets vurdering av at Norsk naturskadepools betydning tilsier at foretakets IKT-virksomhet bør være underlagt regulering. Dersom IKT-forskriften oppheves, bør det være anledning for departementet til å beslutte i forskrift at DORA-reglene helt eller delvis skal gjelde for naturskadepoolen. Departementet foreslår derfor at DORA-loven § 2 endres i tråd med forslaget i høringsnotatet.
Departementet mener videre at det er hensiktsmessig at det i forskrift kan gis regler om kostnadsdekning i form av bidrag fra foretakene ved gjennomføring av myndighetsoppgaver knyttet til TLPT, også dersom slike oppgaver skal gjennomføres av Norges Bank. Det foreslås derfor at DORA-loven § 3 fjerde ledd presiseres i tråd med forslaget i høringsbrevet. Departementet foreslår tilsvarende at det tydeliggjøres i bestemmelsen at ilagte bidrag er tvangsgrunnlag for utlegg.
Departementet vil i arbeidet med å følge opp forskriftsforslaget som har vært på høring, vurdere hvordan proporsjonalitet og kostnadshensyn kan ivaretas på en hensiktsmessig måte.