Utfyllende bestemmelser til DORA om overvåking av kritiske IKT-tjenesteleverandører og sammensetning i de felles granskningsgruppene
Delegert kommisjonsforordning (EU) 2025/420 av 16. desember 2024 som supplerer forordning (EU) 2022/2554 fra Europaparlamentet og Rådet med hensyn til regulatoriske tekniske standarder for å fastsette kriteriene for sammensetningen av felles granskningsgruppe, for å sikre en balansert deltakelse av ansatte fra de europeiske tilsynsmyndighetene (ESAene) og de relevante kompetente myndighetene, deres utvelgelser, oppgaver og arbeidsordninger
Commission Delegated Regulation (EU) 2025/420 of 16 December 2024 supplementing Regulation (EU) 2022/2554 of the European Parliament and of the Council with regard to regulatory technical standards to specify the criteria for determining the composition of the joint examination team ensuring a balanced participation of staff members from the ESAs and from the relevant competent authorities, their designation, tasks and working arrangements
EØS-notat | 01.02.2026 | EØS-notatbasen
Sakstrinn
- Faktanotat
- Foreløpig posisjonsnotat
- Posisjonsnotat
- Gjennomføringsnotat
Opprettet 13.06.2025
Spesialutvalg: Kapitalbevegelser og finansielle tjenester og Kapitalbevegelser og finansielle tjenester
Dato sist behandlet i spesialutvalg:
Hovedansvarlig(e) departement(er): Finansdepartementet
Vedlegg/protokoll i EØS-avtalen: Vedlegg IX. Finansielle tjenester
Kapittel i EØS-avtalen: V. Bestemmelser som gjelder alle finansielle tjenester
Status
Rettsakten er innlemmet i EØS-avtalen og gjennomført i DORA-forskriften § 3 bokstav h.
Sammendrag av innhold
Rettsakten er en delegert kommisjonsforordning til forordning om digital operasjonell motstandsdyktighet i finanssektoren (EU) 2022/2554 (DORA – Digital Operational Resilience Act) og gir utfyllende regler til DORA om overvåking av kritiske IKT-tjenesteleverandører.
Rettsakten angir nærmere kriterier for å avgjøre sammensetningen i de felles granskningsgruppene (“Joint Examination Teams”) som etableres for hver av de utpekte kritiske IKT-tjenesteleverandørene. Reglene skal sørge for en balansert deltakelse med ansatte fra de europeiske tilsynsmyndighetene (ESAene) og fra relevante kompetente myndigheter. Det er hovedovervåkeren (“Lead Overseer” - EBA, ESMA eller EIOPA eller EFTAs overvåkingsorgan der IKT-tjenesteleverandøren er etablert i et EFTA-land), i samråd med det felles tilsynsnettverket (“Joint Oversight Network”), som bestemmer gruppesammensetningen.
Granskningsgruppene skal bistå hovedovervåkeren i overvåkingsarbeidet. Rettsakten spesifiserer de oppgavene som gruppene skal ha. Den stiller også krav til at gruppene skal jobbe i tråd med instruksjoner og retningslinjer som gis av ESAene og koordinatoren for hovedovervåkingsmyndigheten. Dette gjelder særlig ved utarbeidelse av de årlige overvåkingsplanene for de enkelte kritiske IKT-tjenesteleverandørene.
Rettsakten stiller også visse krav til hva hovedovervåkeren skal ta hensyn til når den beslutter og eventuelt endrer sammensetningen i de felles granskningsgruppene. Kommisjonsforordningen gir også føringer for hva kompetente myndigheter skal ta hensyn til når de skal nominere ansatte som deltakere til felles granskningsgrupper.
Merknader
Rettslige konsekvenser
I henhold til lov om digital operasjonell motstandsdyktighet i finanssektoren (DORA-loven) § 2 kan departementet fastsette utfyllende forskrifter. Forskrift om digital operasjonell motstandsdyktighet i finanssektoren (DORA-forskriften) § 3 gjennomfører nivå 2-regelverk under DORA-forordningen. Den delegerte kommisjonsforordningen vil derfor gjennomføres i norsk rett ved henvisning i DORA-forskriften.
Økonomiske og administrative konsekvenser
Rettsakten forventes ikke å føre til vesentlige økonomiske eller administrative konsekvenser for næringslivet eller offentlige myndigheter. For Finanstilsynet vil DORA og den delegerte kommisjonsforordningen medføre økt ressursbruk da det forventes at alle land (i varierende grad) stiller med ressurser til de felles granskningsgruppene der omfanget av arbeid vil være mer omfattende enn dagens mot IKT-tjenesteleverandører. Omfanget av økt ressursbruk vil være avhengig av antall leverandører som blir underlagt overvåking og hvilken relevans disse har for norske foretak.
Sakkyndige instansers merknader
Finanstilsynet har vurdert rettsakten som EØS-relevant og akseptabel.
Vurdering
Forordningen anses EØS-relevant og akseptabel.
Andre opplysninger
Nøkkelinformasjon
| Institusjon: | Kommisjonen |
| Type rettsakt: | Forordning |
| KOM-nr.: | |
| Rettsaktnr.: | (EU) 2025/420 |
| Basis rettsaktnr.: | (EU) 2022/2554 |
| Celexnr.: | 32025R0420 |
EFTA-prosessen
| Dato mottatt standardskjema: | 14.01.2025 |
| Frist returnering standardskjema: | 06.05.2025 |
| Dato returnert standardskjema: | 30.04.2025 |
| Dato innlemmet i EØS-avtalen: | 05.12.2025 |
| Nummer for EØS-komitebeslutning: | 299/2025 |
| Tekniske tilpasningstekster: | Nei |
| Materielle tilpasningstekster: | Nei |
| Art. 103-forbehold: | Nei |
Norsk regelverk
| Endring av norsk regelverk: | Ja |
| Høringsstart: | |
| Høringsfrist: | |
| Frist for gjennomføring: | |
| Dato for faktisk gjennomføring: | |
| Dato varsling til ESA om gjennomføring: |