RTS for bruk av underleverandører for IKT-tjenester som støtter kritiske eller viktige funksjoner
Delegert kommisjonsforordning (EU) 2025/532 av 24. mars 2025 om tekniske reguleringsstandarder med utfyllende regler om elementer finansielle enheter må fastsette og vurdere ved bruk av underleverandører for IKT-tjenester som støtter kritiske eller viktige funksjoner
Commission Delegated Regulation (EU) 2025/532 of 24 March 2025 supplementing Regulation (EU) 2022/2554 of the European Parliament and of the Council with regard to regulatory technical standards specifying the elements that a financial entity has to determine and assess when subcontracting ICT services supporting critical or important functions
EØS-notat | 17.11.2025 | EØS-notatbasen
Sakstrinn
- Faktanotat
- Foreløpig posisjonsnotat
- Posisjonsnotat
- Gjennomføringsnotat
Opprettet 14.11.2025
Spesialutvalg: Kapitalbevegelser og finansielle tjenester
Dato sist behandlet i spesialutvalg:
Hovedansvarlig(e) departement(er): Finansdepartementet
Vedlegg/protokoll i EØS-avtalen: Vedlegg IX. Finansielle tjenester
Kapittel i EØS-avtalen:
Status
Rettsakten er vedtatt i EU og til vurdering for innlemmelse i EØS-avtalen.
Sammendrag av innhold
Forordning (EU) 2025/532 er en delegert kommisjonsforordning som gir utfyllende regler om bruk av underleverandører ved inngåelse av IKT-tjenesteavtaler.
Det stilles krav til at foretakene må ta i betraktning egen størrelse, risikoprofil og kompleksitet knyttet til foretakets tjenester, aktiviteter og drift ved inngåelse av en avtale med bruk av underleverandører. Videre skal foretaket vurdere hvilke IKT-tjenester som støtter opp om kritiske eller viktige funksjoner, for hvilke IKT-tjenester leverandøren benytter underleverandører, den geografiske plasseringen til underleverandører som støtter foretakets kritiske eller viktige funksjoner og leverandørkjedens lengde og kompleksitet, m.m.
I konsern skal konsernledelsen sikre at konsernets vilkår for bruk av underleverandører er implementert i foretakene som er en del av konsernet.
Før avtaler inngås, skal foretaket gjennomføre en due diligence og en risikovurdering. Etter en avtaleinngåelse skal foretaket jevnlig gjennomføre risikovurderinger. Det stilles flere vilkår som må være oppfylt for at foretaket kan inngå en avtale med en IKT-tjenesteleverandør som benytter underleverandører. Blant annet skal leverandøren kunne identifisere underleverandører som støtter foretakets kritiske eller viktige funksjoner og at underleverandører som støtter kritiske eller viktige funksjoner etterlever DORA-forordningen og gir myndigheter samme tilgangsrettigheter som leverandøren. Videre skal leverandøren ha tilstrekkelige ressurser til å overvåke underleverandører, uavhengig av foretakets ansvar for etterlevelse av lovkrav. Foretaket skal også ha tilstrekkelige ressurser til å overvåke IKT-risiko, der underleverandører benyttes i forbindelse med kritiske eller viktige funksjoner. Foretaket skal i tillegg vurdere konsekvensen av en manglende tjenesteleveranse fra en underleverandør som støtter kritiske eller viktige funksjoner, og hvilken risiko underleverandørens geografiske plassering utgjør.
Vesentlige endringer i en leverandørs bruk av underleverandører skal varsles til foretaket i rimelig tid. Leveranderøen kan bare gjennomføre endringer dersom foretaket har gitt positiv eller stilltiende aksept innen en fastsatt frist. Dersom endringen medfører at leverandørforholdet går utover foretakets risikotoleranse, skal foretaket informere leverandøren, motsi seg endringen og be om at endringene tilpasses før implementering.
Foretaket skal ha rett til å si opp avtalen hvis vesentlige endringer gjennomføres mot dets ønske, hvis endringer gjennomføres før foretakets frist til å gi en tilbakemelding og foretaket ikke har akseptert endringen, eller hvis leverandøren bryter avtalevilkårene.
Merknader
Rettslige konsekvenser
I henhold til lov om digital operasjonell motstandsdyktighet i finanssektoren (DORA-loven) § 2 kan departementet fastsette utfyllende forskrifter. Forskrift om digital operasjonell motstandsdyktighet i finanssektoren (DORA-forskriften) § 3 gjennomfører nivå 2-regelverk under DORA-forordningen. Den delegerte kommisjonsforordningen vil derfor gjennomføres i norsk rett ved henvisning i DORA-forskriften.
Økonomiske og administrative konsekvenser
DORA-forordningen stiller krav til styring av IKT-tredjepartsrisiko og den delegerte kommisjonsforordningen utdyper disse kravene. Reglene i kommisjonsforordningen vil medføre administrative og økonomiske konsekvenser ved at det er flere konkrete forhold som må vurderes ved bruk av leverandører og at dette vil kreve flere ressurser, men det antas ikke at konsekvensene vil være av vesentlig omfang.
Sakkyndige instansers merknader
Finanstilsynet har vurdert rettsakten som EØS-relevant og akseptabel.
Vurdering
Forordningen anses EØS-relevant og akseptabel.
Andre opplysninger
Nøkkelinformasjon
| Institusjon: | Kommisjonen |
| Type rettsakt: | Forordning |
| KOM-nr.: | |
| Rettsaktnr.: | (EU) 2025/532 |
| Basis rettsaktnr.: | |
| Celexnr.: | 32025R0532 |
EFTA-prosessen
| Dato mottatt standardskjema: | 09.07.2025 |
| Frist returnering standardskjema: | 09.07.2025 |
| Dato returnert standardskjema: | 09.06.2025 |
| EØS-relevant: | Ja |
| Akseptabelt: | Ja |
| Tekniske tilpasningstekster: | Nei |
| Materielle tilpasningstekster: | Nei |
| Art. 103-forbehold: | Nei |
Norsk regelverk
| Endring av norsk regelverk: | Nei |
| Høringsstart: | |
| Høringsfrist: | |
| Frist for gjennomføring: |