DORA-direktivet
Europaparlaments- og rådsdirektiv (EU) 2022/2556 av 14. desember 2022 om endring av direktiv 2009/65/EF, 2009/138/EF, 2011/61/EU, 2013/36/EU, 2014/59/EU, 2014/65/EU, (EU) 2015/2366 og (EU) 2016/2341 med hensyn til digital operasjonell motstandsdyktighet i finanssektoren
Directive (EU) 2022/2556 of 14 December 2022 of the European Parliament and of the Council amending Directives 2009/65/EC, 2009/138/EC, 2011/61/EU, 2013/36/EU, 2014/59/EU, 2014/65/EU, (EU) 2015/2366 and (EU) 2016/2341 as regards digital operational resilience for the financial sector
EØS-notat | 03.03.2025 | EØS-notatbasen
Sakstrinn
- Faktanotat
- Foreløpig posisjonsnotat
- Posisjonsnotat
- Gjennomføringsnotat
Opprettet 20.01.2025
Spesialutvalg: Kapitalbevegelser og finansielle tjenester og Kapitalbevegelser og finansielle tjenester
Dato sist behandlet i spesialutvalg:
Hovedansvarlig(e) departement(er): Finansdepartementet
Vedlegg/protokoll i EØS-avtalen: Vedlegg IX. Finansielle tjenester
Kapittel i EØS-avtalen: V. Bestemmelser som gjelder alle finansielle tjenester
Status
Rettsakten trådte i kraft i EU 17.01.2025 og innlemmet i EØS-avtalen 20.02.2025.
Et høringsforslag utarbeidet av finanstilsynet var på høring våren 2024.
Sammendrag av innhold
Forordning (EU) 2022/2554 (DORA) om digital operasjonell motstandsdyktighet i finanssektoren krever tilpasninger i flere direktiver. Tilpasningene fremgår av Direktiv (EU) 2022/2556 (DORA-direktivet). Følgende direktiver endres:
|
Kortnavn |
Referanse |
|
Solvens II |
2009/138/EF |
|
UCITS |
2009/65/EF |
|
AIFMD |
2011/61/EU |
|
CRD |
2013/36/EU |
|
BRRD |
2014/59/EU |
|
MIFID II |
2014/65/EU |
|
PSD II |
(EU) 2015/2366 |
|
IORP II |
(EU) 2016/2341 |
Merknader
Rettslige konsekvenser
Endringsbestemmelsene i DORA-direktivet innebærer at IKT-risikostyring og kravene som vil gjelde etter (DORA) tas inn i bestemmelser om forsvarlig organisering og drift av virksomheten. Endringene gjelder virksomhetskravene for finansforetak, betalingsforetak, verdipapirforetak, regulerte markeder og forvaltere av verdipapirfond og alternative investeringsfond, samt justeringer i kravene til innhold i gjenopprettings- og krisehåndteringsplaner for kredittinstitusjoner mv. Endringene innebærer i seg selv ingen nye materielle forpliktelser utover de som vil følge av forordningen. Gjennomføringen i norsk rett innebærer endring i de overnevnte direktivene, herunder 2009/138/EF, 2011/61/EU, 2014/65/EU, (EU) 2015/2366 og (EU) 2016/2341, som er gjennomført i lov. Det tas derfor forbehold om Stortingets samtykke etter EØS-avtalens artikkel 103.
Økonomiske og administrative konsekvenser
DORA introduserer en rekke krav til rapportering, som vil få konsekvenser for den kompetente myndigheten og foretak under tilsyn. Noe rapportering foreligger allerede i dag, blant annet på hendelser og IKT-tjenesteavtaler, men DORA legger i mange tilfeller opp til en mer omfattende rapportering. Rapporteringen vil medføre økt oppfølging fra den kompetente myndighetens side ovenfor foretakene. I tillegg økes rapportering til EU.
DORA er et komplekst regelverk med mange detaljer. Både for foretakene og tilsynsmyndigheten vil regelverket være krevende å forvalte. For tilsynsmyndigheten vil det bety et mer omfattende tilsynsansvar og mulig større behov for veiledning ovenfor foretakene.
Per i dag samarbeider Finanstilsynet med NSM og Datatilsynet. DORA kan medføre at slikt samarbeid må utvides. Dette vil muligens medføre økt ressursbruk i NSM og Datatilsynet også.
Det er noe vanskelig å si hvor krevende det blir å følge opp regelverket praksis, men sannsynligvis vil det bli behov for noe økte ressurser, både i foretakene og hos myndigheter. De regulatoriske tekniske standardene utgjør sammen med DORA et større sett med regler, med et høyere detaljnivå enn dagens regelverk og retningslinjer. Derfor vil de samlet kreve ytterligere ressurser å forvalte. I tillegg forventes det nye regelverket å medføre økt behov for samhandling med andre lands tilsynsmyndigheter. I Norge vil Finanstilsynet hovedsakelig være kompetent myndighet.
Sakkyndige instansers merknader
Finanstilsynet har vurdert saken vurderer rettsakten til å være EØS-relevant og akseptabel.
Vurdering
Endringene innebærer ingen nye materielle forpliktelser utover de som vil følge av DORA.
Andre opplysninger
Nøkkelinformasjon
| Institusjon: | Parlament og Råd |
| Type rettsakt: | Direktiv |
| KOM-nr.: | |
| Rettsaktnr.: | (EU) 2022/2556 |
| Basis rettsaktnr.: | (EU) 2022/2554 |
| Celexnr.: | 32022L2556 |
EFTA-prosessen
| Dato mottatt standardskjema: | 23.01.2023 |
| Frist returnering standardskjema: | 15.05.2023 |
| Dato returnert standardskjema: | 23.05.2023 |
| EØS-relevant: | Ja |
| Akseptabelt: | Ja |
| Tekniske tilpasningstekster: | Nei |
| Materielle tilpasningstekster: | Nei |
| Art. 103-forbehold: | Ja |
Norsk regelverk
| Endring av norsk regelverk: | Ja |
| Høringsstart: | |
| Høringsfrist: | 03.04.2024 |
| Frist for gjennomføring: |