Utfyllende bestemmelser til DORA om krav til og maler for rapportering av alvorlige IKT-relaterte hendelser og frivillig rapportering av vesentlige cybertrusler
Kommisjonens gjennomføringsforordning (EU) 2025/295 av 23. oktober 2024 om fastsettelse av gjennomføringstekniske standarder for anvendelsen av (EU) 2022/2554 fra Europaparlamentet og Rådet med hensyn til standardiserte skjemaer, maler og prosedyrer for finansielle enheter for å rapportere om en alvorlig IKT-relatert hendelse og for å varsle om en vesentlig cybertrussel
Commission Implementing Regulation (EU) 2025/302 of 23 October 2024 laying down implementing technical standards for the application of Regulation (EU) 2022/2554 of the European Parliament and of the Council with regard to the standard forms, templates, and procedures for financial entities to report a major ICT-related incident and to notify a significant cyber threat
EØS-notat | 13.06.2025 | EØS-notatbasen
Sakstrinn
- Faktanotat
- Foreløpig posisjonsnotat
- Posisjonsnotat
- Gjennomføringsnotat
Opprettet 13.06.2025
Spesialutvalg: Kapitalbevegelser og finansielle tjenester
Dato sist behandlet i spesialutvalg:
Hovedansvarlig(e) departement(er): Finansdepartementet
Vedlegg/protokoll i EØS-avtalen: Vedlegg IX. Finansielle tjenester
Kapittel i EØS-avtalen: V. Bestemmelser som gjelder alle finansielle tjenester
Status
Rettsakten har trådt i kraft i EU. Forordningen er til vurdering for innlemmelse i EØS-avtalen.
I DORA-loven § 1 framgår det at departementet kan fastsette utfyllende forskrifter. I forslag til forskrift til DORA-loven (DORA-forskriften) er det foreslått at gjennomføringsforordningen skal tas inn i norsk rett gjennom DORA-forskriften og tre i kraft samtidig med DORA-loven 1. juli 2025. Forslaget har vært på høring og høringsfristen var 30. mai 2025.
Sammendrag av innhold
Rettsakten er en gjennomføringsforordning til forordning (EU) 2022/2554 om digital operasjonell motstandsdyktighet i finanssektoren (DORA – Digital Operational Resilience Act) og gir utfyllende regler til DORA om rapportering av alvorlige IKT-relaterte hendelser og vesentlige cybertrusler.
For at hendelsesrapporteringen fra foretak skal skje i samme format på tvers av landene i EU/EØS, inneholder gjennomføringsforordningen krav til og maler for rapportering av alvorlige IKT-relaterte hendelser og frivillig rapportering av vesentlige cybertrusler.
Rettsakten stiller blant annet krav om at rapportering av alvorlige IKT-relaterte hendelser skal gjøres i sikre kanaler. Dersom et foretak utkontrakterer rapporteringsplikten til en tredjepartsleverandør, stiller rettsakten krav til at den kompetente myndigheten skal informeres om dette. En tredjepartsleverandør som har fått utkontraktert rapporteringsplikten til seg, har på visse vilkår anledning til å rapportere om hendelser på vegne av flere foretak.
Dersom et foretak står overfor tilbakevendende IKT-relaterte hendelser som samlet kan klassifiseres som en alvorlig hendelse, skal foretakene rapportere om hendelsene samlet. Foretak som tidligere har rapportert om en hendelse som senere viser seg ikke å kunne klassifiseres som alvorlig, plikter å varsle kompetente myndigheter om dette.
Ved rapportering av alvorlige IKT-relaterte hendelser, åpner rettsakten for muligheten til å sende inn to eller alle rapporttypene (initiell rapport, statusrapport og endelig rapport) samtidig.
Merknader
Rettslige konsekvenser
Forutsatt at rettsakten innlemmes i EØS-avtalen, må rettsakten implementeres i norsk rett. Lov om digital operasjonell motstandsdyktighet i finanssektoren (DORA-loven) inneholder bestemmelser for fastsettelse av nivå 2-regelverk i forskrift.
Økonomiske og administrative konsekvenser
De fleste foretak som omfattes av DORA er underlagt krav til rapportering etter dagens regelverk. Gjennomføringsrettsakten medfører at foretakene må innrette sine prosedyrer og rapportering til Finanstilsynet i samsvar med de mer detaljerte kravene som følger av DORA-forordningen, se omtale i EØS-notatet for forordningen. Selv om gjennomføringsforordningen gir mer spesifikke krav til formatet på rapporteringen, forventes det ikke at de økonomiske og administrative konsekvensene vil bli vesentlige for foretakene.
For myndighetssiden antas det at de detaljerte kravene vil medføre mindre eller moderate konsekvenser. De nye kravene til å motta og lagre hendelsesrapportering fra foretakene og videresende disse til de europeiske finanstilsynsmyndighetene vil blant annet kreve utvikling av tekniske løsninger som muliggjør dette. Det vil også være et behov for opplæring av ansatte i Finanstilsynet i nye rutiner.
Samlet sett forventes ikke reglene å medføre vesentlige økonomiske eller administrative konsekvenser for næringslivet eller offentlige myndigheter.
Sakkyndige instansers merknader
Finanstilsynet har vurdert rettsakten som EØS-relevant og akseptabel.
Vurdering
Forordningen anses EØS-relevant og akseptabel.
Andre opplysninger
Nøkkelinformasjon
| Institusjon: | Kommisjonen |
| Type rettsakt: | Forordning |
| KOM-nr.: | |
| Rettsaktnr.: | (EU) 2025/302 |
| Basis rettsaktnr.: | (EU) 2022/2554 |
| Celexnr.: | 32025R0302 |
EFTA-prosessen
| Dato mottatt standardskjema: | 20.02.2025 |
| Frist returnering standardskjema: | 21.07.2025 |
| Dato returnert standardskjema: | |
| EØS-relevant: | Ja |
| Akseptabelt: | Ja |
| Tekniske tilpasningstekster: | Nei |
| Materielle tilpasningstekster: | Nei |
| Art. 103-forbehold: | Nei |
Norsk regelverk
| Endring av norsk regelverk: | Ja |
| Høringsstart: | |
| Høringsfrist: | |
| Frist for gjennomføring: |