Utfyllende bestemmelser til DORA om kriterier for utpeking av IKT-tjenesteleverandører som kritiske for foretak i finanssektoren i EU
Delegert kommisjonsforordning (EU) 2024/1502 av 22. februar 2024 som supplerer forordning (EU) 2022/2554 fra Europaparlamentet og Rådet ved å spesifisere kriteriene for utpeking av IKT-tredjepartstjenesteleverandører som kritiske for finansielle enheter
Commission Delegated Regulation (EU) 2024/1502 of 22 February 2024 supplementing Regulation (EU) 2022/2554 of the European Parliament and of the Council by specifying the criteria for the designation of ICT third-party service providers as critical for financial entities
EØS-notat | 15.09.2025 | EØS-notatbasen
Sakstrinn
- Faktanotat
- Foreløpig posisjonsnotat
- Posisjonsnotat
- Gjennomføringsnotat
Opprettet 06.12.2024
Spesialutvalg: Kapitalbevegelser og finansielle tjenester
Dato sist behandlet i spesialutvalg:
Hovedansvarlig(e) departement(er): Finansdepartementet
Vedlegg/protokoll i EØS-avtalen: Vedlegg IX. Finansielle tjenester
Kapittel i EØS-avtalen: V. Bestemmelser som gjelder alle finansielle tjenester
Status
Rettsakten er vedtatt av EU-kommisjonen og har trådt i kraft i EU. Forordningen er til vurdering for innlemmelse i EØS-avtalen.
Sammendrag av innhold
Rettsakten er en utfyllende forordning til forordning (EU) 2022/2554 (DORA – Digital Operational Resilience Act) om digital operasjonell motstandsdyktighet i finanssektoren.
Forordningen spesifiserer nærmere kriteriene for å peke ut IKT-tjenesteleverandører som kritiske for foretak i finanssektoren i EU. Ved vurderingen skal det legges vekt på leverandørens systemiske påvirkning på stabilitet, kontinuitet og ytelse av finansielle tjenester. Videre skal leverandørens systemiske karakter og viktigheten av IKT-tjenestene den leverer til foretak i finanssektoren vektlegges. Vurderingene skal gjøres etter nærmere angitte kriterier i forordningen. Som grunnlag for vurderingene skal det ses hen til sammenstilt oversikt over IKT-tjenesteleverandører basert på data fra foretakenes IKT-tjenesteavtaleregister, se DORA-forordningen art. 28 nr. 3.
Dersom norske IKT-tjenesteleverandører oppfyller kriteriene i forordningen kan de bli pekt ut som kritiske IKT-tjenesteleverandører og bli gjenstand for overvåkning. De samme reglene vil gjelde for foretak som frivillig melder seg til å være gjenstand for overvåkning.
Merknader
Rettslige konsekvenser
I lov om digital operasjonell motstandsdyktighet i finanssektoren (DORA-loven) § 1 framgår det at departementet kan fastsette utfyllende forskrifter. Det antas at den delegerte kommisjonsforordningen vil gjennomføres i norsk rett ved henvisning i forskrift om digital operasjonell motstandsdyktighet i finanssektoren (DORA-forskriften).
Økonomiske og administrative konsekvenser
Forordningen antas ikke å medføre vesentlige økonomiske eller administrative konsekvenser. Utpekte IKT-leverandører vil bli gjenstand for overvåkning og ilagt tilsynsgebyr. I tillegg vil de kunne oppleve endringer i administrative oppgaver idet IKT-leverandørene blir forpliktet til årlig å melde fra om sin omsetning til tilsynsmyndighetene, samt tilhørende økte utgifter knyttet til rapportering av omsetning. På den annen side vil ikke de nasjonale tilsynsmyndigheter lenger kunne gjøre tilsyn med de utpekte IKT-leverandørene, enten gjennom tilsyn med foretakene eller direkte. Dette kan medføre reduserte kostnader og administrative konsekvenser.
Det ventes ikke at forordningen vil medføre vesentlige økonomiske konsekvenser for finansielle foretak som vil bli omfattet av DORA. Innføring av tilsynsgebyr for kritiske IKT-leverandører kan medføre økte tjenestekostnader for foretak som er omfattet av DORA.
Reglene forventes ikke å få økonomiske eller administrative konsekvenser for norske myndigheter.
Sakkyndige instansers merknader
Finanstilsynet har vurdert rettsakten som EØS-relevant og akseptabel.
Vurdering
Forordningen anses EØS-relevant og akseptabel.
Andre opplysninger
Nøkkelinformasjon
| Institusjon: | Kommisjonen |
| Type rettsakt: | Forordning |
| KOM-nr.: | |
| Rettsaktnr.: | (EU) 2024/1502 |
| Basis rettsaktnr.: | (EU) 2022/2554 |
| Celexnr.: | 32024R1502 |
EFTA-prosessen
| Dato mottatt standardskjema: | 07.03.2024 |
| Frist returnering standardskjema: | |
| Dato returnert standardskjema: | |
| EØS-relevant: | Ja |
| Akseptabelt: | Ja |
| Tekniske tilpasningstekster: | Nei |
| Materielle tilpasningstekster: | Nei |
| Art. 103-forbehold: | Nei |
Norsk regelverk
| Endring av norsk regelverk: | Ja |
| Høringsstart: | |
| Høringsfrist: | |
| Frist for gjennomføring: |