Utvalgte hurtiglenker

    EØS-notatbasen

    Forslag til forordning om digital operasjonell motstandsdyktighet i finanssektoren

    Forslag til europaparlaments- og rådsforordning om digital operasjonell motstandsdyktighet i finanssektoren og om endring av Forordning (EF) Nr. 1060/2009, (EU) Nr. 600/2014 og (EU) Nr. 909/2014

    Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on digital operational resilience for the financial sector and amending Regulations (EC) No 1060/2009, (EU) No 648/2012, (EU) No 600/2014 and (EU) No 909/2014

    EØS-notat | 10.12.2020 | EØS-notatbasen

    Sakstrinn

    1. Faktanotat
    2. Foreløpig posisjonsnotat
    3. Posisjonsnotat
    4. Gjennomføringsnotat

    Opprettet 10.12.2020

    Spesialutvalg: Kapitalbevegelser og finansielle tjenester

    Dato sist behandlet i spesialutvalg:

    Hovedansvarlig(e) departement(er): Finansdepartementet

    Vedlegg/protokoll i EØS-avtalen: Vedlegg IX. Finansielle tjenester

    Kapittel i EØS-avtalen: V. Bestemmelser som gjelder alle finansielle tjenester

    Status

    Forslaget er til behandling i Parlamentet og Rådet.

    Sammendrag av innhold

    Forslaget er en del av EU-kommisjonens tiltakspakke for digitale finanstjenester, som ble publisert 24. september 2020.

    Innledning
    Teknologiselskaper blir stadig viktigere innen finanssektoren, både som IT-leverandører for finansforetak og som leverandører av finansielle tjenester. EU-kommisjonens forslag til ny lovgivning for digital operasjonell motstandsdyktighet (Digital Operational Resilience Act, DORA) skal sikre at alle deltakere i det finansielle systemet har de nødvendige tiltak på plass for å redusere cyberangrep og andre risikoer. Den foreslåtte lovgivningen vil kreve at alle foretak skal kunne håndtere alle typer informasjons- og kommunikasjonsteknologi (IKT) - relaterte forstyrrelser og trusler. Forslaget introduserer også et tilsynsrammeverk for IKT-leverandører, for eksempel leverandører av skytjenester.

    Avgrensing og proporsjonalitet
    For å sikre en helhetlig gjennomføring av kravene til finanssektorens styring av IKT-risiko, omfatter den foreslåtte forordningen en rekke foretak regulert på EU-nivå. Forslaget omfatter kredittforetak, betalingsforetak, e-pengeforetak, verdipapirforetak, leverandører av kryptotjenester, verdipapirregister, sentrale motparter, handelsplasser, transaksjonsregister, forvaltere av alternative investeringsfond og forvaltningsselskaper, leverandører av datarapporteringstjenester, forsikrings- og gjenforsikringsforetak, forsikringsformidlere, gjenforsikringsformidlere og tilknyttede forsikringsformidlere, foretak for tjenestepensjonspensjoner, kredittvurderingsbyråer, lovpålagte revisorer og revisjonsselskaper, administratorer av kritiske referanser og tjenesteleverandører for folkefinansiering.

    Den brede dekningen av foretak gjør det mulig å få til en homogen og enhetlig anvendelse av kravene til risikostyring på IKT-relaterte områder, samtidig som forslaget ivaretar hensynet til like vilkår for ulike foretak. Ved utarbeidelsen av regelverket er det lagt til grunn at det er betydelige forskjeller mellom foretak når det gjelder størrelse, forretningsprofiler og foretakenes eksponering for digital risiko. Siden større foretak har flere ressurser, er det bare foretak som ikke kategoriseres som mikrovirksomheter, som må etablere opplegg for styring og kontroll, gjennomføre risikovurderinger ved endringer i foretakets tekniske infrastruktur, regelmessig gjennomføre risiko- og sårbarhetsanalyser av eldre IKT-systemer, utvide testingen av beredskapsplaner og ha egne gjenopprettingsplaner for å sikre at kriseløsninger er etablert. Videre er det foreslått at det kun er foretak som vurderes tilstrekkelig viktige, må gjennomføre trusselbasert penetrasjonstesting (Threat Lead Penetration Tests, TLPT).

    Krav til styring og kontroll
    Forslaget til forordningen er utformet for å gi bedre samsvar mellom foretakenes forretningsstrategier og styringen av IKT-risiko. For å oppnå dette skal foretakets ledelse ha en aktiv rolle knyttet til etablering av rammeverket for styring av IKT-risiko. Et overordnet prinsipp er at foretakets ledelse er ansvarlig for å styre foretakets IKT-risiko. Dette skal nedfelles i spesifikke krav, bl.a. for tildeling av klare roller og ansvar for alle IKT-relaterte funksjoner, kontroll med overvåkingen av IKT-risikostyring og ulike godkjennings- og kontrollprosesser, samt sikre tilstrekkelige midler til IKT-investeringer og opplæring.

    Krav til styring av IKT-risiko
    Digital operasjonell motstandsdyktighet legger til grunn et sett med hovedprinsipper og krav til rammeverk for styring av IKT-risiko, som er i tråd med retningslinjer utgitt av de europeiske tilsynsmyndighetene på finansområdet (ESAene). Kravene, som er utformet med bakgrunn i relevante internasjonale, nasjonale og bransjefastsatte standarder, retningslinjer og anbefalinger, omhandler funksjoner innen IKT-risikostyring (identifisering, beskyttelse og forebygging, deteksjon, respons og gjenoppretting, læring og utvikling og kommunikasjon).

    For å holde tritt med den raske utviklingen av cybertrusler, er foretakene pålagt å etablere og vedlikeholde robuste IKT-systemer og verktøy som minimerer effekten av IKT-risikoene. Videre skal foretakene løpende identifisere IKT-risiko, iverksette beskyttende- og forebyggende tiltak, raskt kunne oppdage uregelmessige aktiviteter, beredskapsplaner og katastrofe- og gjenopprettingsplaner, som del av foretakenes daglige drift. Katastrofe- og gjenopprettingsplaner er viktig for rask gjenoppretting etter IKT-relaterte hendelser, spesielt digitale angrep. Forslaget innfører i seg selv ingen spesifikk standardisering, men bygger på europeiske og internasjonalt anerkjente tekniske standarder og bransjestandarder. Forslaget til forordning omfatter også integriteten, sikkerheten og motstandskraften til foretakets fysiske infrastruktur inkl. tilhørende relevante IKT-relaterte prosesser og personell.

    Rapportering av IKT-hendelser
    For å oppnå en harmonisert og effektiv rapportering av IKT-relaterte hendelser foreslås det krav om at foretakene skal etablere og implementere prosesser for overvåking og registrering. Videre skal foretakene klassifisere hendelsene basert på kriterier beskrevet i forordningen. Det er bare hendelser som klassifiseres som alvorlige eller kritiske som skal rapporteres til myndighetene. Rapporteringen bør bruke en felles mal og følge en harmonisert prosedyre som skal utarbeides av ESAene. Foretakene bør levere initielle, foreløpige og endelige rapporter. Videre bør foretakene informere sine brukere og kunder om hendelsen har eller kan ha innvirkning på deres økonomiske interesser. Myndighetene bør gi relevant informasjon om hendelsene til andre foretak eller myndigheter, som f.eks. ESAene eller kontaktpunkter utpekt i henhold til direktiv (EU) 2016/1148.

    Det foreslås at foretakene ved større IKT-relaterte hendelser skal ha dialog med myndighetene for å minimere konsekvensene og identifisere passende tiltak, og rapportering bør også inneholde tilbakemelding og veiledning fra tilsynsmyndigheten.

    Det foreslås også at muligheten for sentralisering av rapportering av IKT-hendelser på EU-nivå bør undersøkes nærmere av ESAene, Den Europeiske Sentralbanken (ECB) og Det europeiske byrå for nett- og informasjonssikkerhet (The European Union Agency for Cybersecurity - ENISA). De skal vurdere muligheten for å etablere et sentralt mottak i EU for rapportering av foretakenes større IKT-relaterte hendelser.

    Testing av digital operasjonell motstandsdyktighet
    Det foreslås at funksjoner som inngår i foretakenes rammeverk for IKT-risikostyring bør testes regelmessig med hensyn på beredskap, identifisering av svakheter og mangler, samt hvor raskt foretakene kan iverksette korrigerende tiltak. Forordningen åpner for en forholdsmessig anvendelse av krav til testing av motstandsdyktighet i samsvar med foretakenes størrelse, forretningsprofil og risikoprofil. Alle foretak bør gjennomføre testing av IKT-virksomheten men kun foretak som utpekes av myndighetene som signifikante skal utføre avansert testing basert på TLPT. Forordningen inneholder forslag til relevante krav til de som skal gjennomføre testene og hvordan TLPT-resultater kan deles i EU for finansforetak som opererer i flere medlemsstater.

    Merknader
    Rettslige konsekvenser

    Dersom forslaget blir vedtatt i EU og vurdert for innlemmelse i EØS-avtalen er det nærliggende å anta at reglene forslaget legger opp til må implementeres i lov ved henvisning

    Økonomiske og administrative konsekvenser

    Eksisterende regelverk som idag praktiseres ligger tett opp til kravene som stilles i regelverksforslaget. Det er derfor lite trolig at det vil medføre større økonomiske og administrative kostnader. 

    Sakkyndige instansers merknader

    Finanstilsynet har vurdert regelverkforslaget som EØS-relevant og akseptabelt. 

    Vurdering

    Når regelverket er endelig vedtatt må det vurderes hvorvidt det vil være behov for materielle eller tekniske tilpasninger før rettsakten kan innlemmes i EØS-avtalen. 

    Andre opplysninger

    Nøkkelinformasjon

    Institusjon: Parlament og Råd
    Type rettsakt: Forordning
    KOM-nr.: KOM(2020)595
    Basis rettsaktnr.:

    Norsk regelverk

    Høringsstart:
    Høringsfrist:
    Frist for gjennomføring:

    Lenker

    Til toppen