Utfyllende bestemmelser til DORA om klassifisering og rapportering av IKT-relaterte hendelser og cybertrusler
Delegert kommisjonsforordning (EU) 2024/1772 av 13. mars 2024 som supplerer forordning (EU) 2022/2554 fra Europaparlamentet og Rådet med hensyn til regulatoriske tekniske standarder som spesifiserer kriteriene for klassifisering av IKT-relaterte hendelser og cybertrusler, fastsetter vesentlighetsterskler og spesifiserer detaljene i rapporter om alvorlige hendelser.
Commission Delegated Regulation (EU) 2024/1772 of 13 March 2024 supplementing Regulation (EU) 2022/2554 of the European Parliament and of the Council with regard to regulatory technical standards specifying the criteria for the classification of ICT-related incidents and cyber threats, setting out materiality thresholds and specifying the details of reports of major incidents
EØS-notat | 07.09.2025 | EØS-notatbasen
Sakstrinn
- Faktanotat
- Foreløpig posisjonsnotat
- Posisjonsnotat
- Gjennomføringsnotat
Opprettet 05.12.2024
Spesialutvalg: Kapitalbevegelser og finansielle tjenester
Dato sist behandlet i spesialutvalg:
Hovedansvarlig(e) departement(er): Finansdepartementet
Vedlegg/protokoll i EØS-avtalen: Vedlegg IX. Finansielle tjenester
Kapittel i EØS-avtalen: V. Bestemmelser som gjelder alle finansielle tjenester
Status
Rettsakten er vedtatt av EU-kommisjonen og trådte i kraft i EU den 17. januar 2025. Forordningen ble innlemmet i EØS-avtalen den 14. mars 2025.
Lov om digital operasjonell motstandsdyktighet i finanssektoren (DORA-loven) ble vedtatt av Stortinget i mai 2025 og trådte i kraft 1. juli 2025. Den delegerte kommisjonsforordningen er gjennomført i norsk rett gjennom DORA-forskriften som er hjemlet i DORA-loven. Forskriften trådte i kraft samtidig med DORA-loven, den 1. juli 2025. Rettsakten er gjennomført i DORA-forskriften § 3.
Sammendrag av innhold
Rettsakten er en delegert kommisjonsforordning til forordning (EU) 2022/2554 (DORA – Digital Operational Resilience Act) om digital operasjonell motstandsdyktighet i finanssektoren.
Alle foretak som omfattes av DORA må registrere og klassifisere IKT-relaterte hendelser. De fleste foretak som omfattes skal rapportere inn alvorlige IKT-relaterte hendelser til Finanstilsynet. Foretakene kan også rapportere inn vesentlige cybertrusler på frivillig basis.
Den delegerte kommisjonsforordningen inneholder detaljerte regler for klassifisering av IKT-relaterte hendelser og cybertrusler, samt terskler for vesentlighet og rapporteringskrav for alvorlige IKT-hendelser og vesentlige cybertrusler. Forordningen gir også utfyllende regler knyttet til vurderingen av om en alvorlig hendelse er relevant for andre kompetente myndigheter i EU/EØS og hva slags informasjon som skal deles med disse.
Merknader
Rettslige konsekvenser
I lov om digital operasjonell motstandsdyktighet i finanssektoren § 2 framgår det at departementet kan fastsette utfyllende forskrifter. Den delegerte kommisjonsforordningen har blitt gjennomført i norsk rett ved henvisning i forskrift om digital operasjonell motstandsdyktighet i finanssektoren (DORA-forskriften) § 3.
Økonomiske og administrative konsekvenser
De fleste foretakene som omfattes av DORA har i dag en rapporteringsplikt etter IKT-forskriften og antas derfor å ha systemer og rutiner som kan videreføres med visse modifikasjoner. Den delegerte kommisjonsforordningen kan medføre økonomiske og administrative konsekvenser for foretak i forbindelse med opprettelse og/eller tilpasning av systemer og rutiner for registrering, klassifisering og rapportering av IKT-relaterte hendelser og cybertrusler. Dette kan inkludere investeringer i teknologiske løsninger, nye rutiner og opplæring av ansatte knyttet til rapportering til Finanstilsynet.
Forordningen forventes ikke å ha vesentlige økonomiske eller administrative konsekvenser for norske myndigheter til tross for at det må utvikles nye IKT-løsninger for mottak og videresending av hendelsesrapporter.
Sakkyndige instansers merknader
Finanstilsynet har vurdert rettsakten som EØS-relevant og akseptabel.
Vurdering
Forordningen anses EØS-relevant og akseptabel.
Andre opplysninger
Nøkkelinformasjon
| Institusjon: | Kommisjonen |
| Type rettsakt: | Forordning |
| KOM-nr.: | |
| Rettsaktnr.: | (EU) 2024/1772 |
| Basis rettsaktnr.: | (EU) 2022/2554 |
| Celexnr.: | 32024R1772 |
EFTA-prosessen
| Dato mottatt standardskjema: | 20.03.2024 |
| Frist returnering standardskjema: | |
| Dato returnert standardskjema: | |
| Dato innlemmet i EØS-avtalen: | 14.03.2025 |
| Nummer for EØS-komitebeslutning: | 077/2025 |
| Tekniske tilpasningstekster: | Nei |
| Materielle tilpasningstekster: | Nei |
| Art. 103-forbehold: | Nei |
Norsk regelverk
| Endring av norsk regelverk: | Ja |
| Høringsstart: | |
| Høringsfrist: | |
| Frist for gjennomføring: | |
| Dato for faktisk gjennomføring: | |
| Dato varsling til ESA om gjennomføring: |