Utfyllende bestemmelser til DORA om krav til foretakenes retningslinjer for IKT-tjenesteavtaler som støtter kritiske og viktige funksjoner
Delegert kommisjonsforordning (EU) 2024/1773 av 13. mars 2024 som supplerer forordning (EU) 2022/2554 fra Europaparlamentet og Rådet med hensyn til regulatoriske tekniske standarder som spesifiserer det detaljerte innholdet i retningslinjene angående kontraktsmessige ordninger om bruk av IKT-tjenester som støtter kritiske eller viktige funksjoner levert av tredjeparts IKT-tjenesteleverandører
Commission Delegated Regulation (EU) 2024/1773 of 13 March 2024 supplementing Regulation (EU) 2022/2554 of the European Parliament and of the Council with regard to regulatory technical standards specifying the detailed content of the policy regarding contractual arrangements on the use of ICT services supporting critical or important functions provided by ICT third-party service providers
EØS-notat | 07.09.2025 | EØS-notatbasen
Sakstrinn
- Faktanotat
- Foreløpig posisjonsnotat
- Posisjonsnotat
- Gjennomføringsnotat
Opprettet 06.12.2024
Spesialutvalg: Kapitalbevegelser og finansielle tjenester
Dato sist behandlet i spesialutvalg:
Hovedansvarlig(e) departement(er): Finansdepartementet
Vedlegg/protokoll i EØS-avtalen: Vedlegg IX. Finansielle tjenester
Kapittel i EØS-avtalen: V. Bestemmelser som gjelder alle finansielle tjenester
Status
Rettsakten er vedtatt av EU-kommisjonen og trådte i kraft i EU den 17. januar 2025. Forordningen ble innlemmet i EØS-avtalen den 14. mars 2025.
Lov om digital operasjonell motstandsdyktighet i finanssektoren (DORA-loven) ble vedtatt av Stortinget i mai 2025 og trådte i kraft 1. juli 2025. Den delegerte kommisjonsforordningen er gjennomført i norsk rett gjennom DORA-forskriften som er hjemlet i DORA-loven. Forskriften trådte i kraft samtidig med DORA-loven, den 1. juli 2025. Rettsakten er gjennomført i DORA-forskriften § 3.
Sammendrag av innhold
Rettsakten er en utfyllende forordning til forordning (EU) 2022/2554 (DORA – Digital Operational Resilience Act) om digital operasjonell motstandsdyktighet i finanssektoren. Forordningen angir nærmere krav til foretakenes retningslinjer for IKT-tjenesteavtaler som støtter kritiske og viktige funksjoner.
Foretakene skal ha en risikobasert tilnærming ved valg av leverandør. I vurderingen skal det legges vekt på flere forhold ved leverandøren, eksempelvis hva slags tjeneste det er tale om, hvor leverandøren er lokalisert og hva slags data som deles med leverandøren. Der foretakene er del av et konsern, skal morforetaket sørge for at retningslinjene er implementert likt i alle datterforetakene.
Forordningen inneholder flere krav til forvaltning av retningslinjene, blant annet hvor ofte den skal gjennomgås og hvem som er ansvarlig for godkjenning, oppfølging, kontroll og dokumentasjon av avtalene. Retningslinjene skal også samsvare med andre retningslinjer utarbeidet i medhold av DORA-forordningen. Videre skal retningslinjene spesifisere krav til hvert stadium i en kontraktsyklus. Visse minimumskrav skal være omfattet.
Retningslinjene skal stille krav til at foretaket skal definere leverandørbehovet før en avtale inngås. Videre skal foretaket gjøre en risikovurdering i forkant av avtaleinngåelsen og det stilles nærmere krav til elementer som risikovurderingen må inneholde. Retningslinjene skal også inneholde krav til due dilligence, som skal være adekvat og proporsjonal. Forordningen stiller i denne sammenheng flere krav til elementer foretaket skal undersøke hos leverandøren i forkant av avtaleinngåelse. I tillegg skal retningslinjene inneholde adekvate tiltak for å forhindre interessekonflikter.
Retningslinjene skal inneholde krav til kontraktsvilkår. Kravene til kontraktsvilkårene som følger av DORA-forordningen art. 30 nr. 2 og nr. 3 skal også framgå. Kravene er i tillegg ytterligere spesifisert i denne forordningen. Videre skal retningslinjene inneholde krav til overvåkning av avtaleforholdet, for å påse at leverandøren yter tjenester i henhold til avtalen, og krav til exit-plan i forskjellige situasjoner
Merknader
Rettslige konsekvenser
I lov om digital operasjonell motstandsdyktighet i finanssektoren § 2 framgår det at departementet kan fastsette utfyllende forskrifter. Den delegerte kommisjonsforordningen har blitt gjennomført i norsk rett ved henvisning i forskrift om digital operasjonell motstandsdyktighet i finanssektoren (DORA-forskriften) § 3.
Økonomiske og administrative konsekvenser
Forordningen vil medføre noe økt administrativ og økonomisk byrde for foretak som er omfattet. Byrden vil avhenge av hvilke rutiner og retningslinjer foretaket har hatt knyttet til IKT-tjenesteavtaler.
Sakkyndige instansers merknader
Finanstilsynet har vurdert rettsakten som EØS-relevant og akseptabel.
Vurdering
Forordningen anses EØS-relevant og akseptabel.
Andre opplysninger
Nøkkelinformasjon
| Institusjon: | Kommisjonen |
| Type rettsakt: | Forordning |
| KOM-nr.: | |
| Rettsaktnr.: | (EU) 2024/1773 |
| Basis rettsaktnr.: | (EU) 2022/2554 |
| Celexnr.: | 32024R1773 |
EFTA-prosessen
| Dato mottatt standardskjema: | 20.03.2024 |
| Frist returnering standardskjema: | |
| Dato returnert standardskjema: | |
| Dato innlemmet i EØS-avtalen: | 14.03.2025 |
| Nummer for EØS-komitebeslutning: | 077/2025 |
| Tekniske tilpasningstekster: | Nei |
| Materielle tilpasningstekster: | Nei |
| Art. 103-forbehold: | Nei |
Norsk regelverk
| Endring av norsk regelverk: | Ja |
| Høringsstart: | |
| Høringsfrist: | |
| Frist for gjennomføring: | |
| Dato for faktisk gjennomføring: | |
| Dato varsling til ESA om gjennomføring: |