Utfyllende bestemmelser til DORA om trusselbasert penetrasjonstesting
Delegert kommisjonsforordning (EU) 2025/1190 av 13. februar 2025 som supplerer forordning (EU) 2022/2554 fra Europaparlamentet og Rådet med hensyn til regulatoriske tekniske standarder som spesifiserer kriteriene som brukes for å identifisere finansielle enheter som er pålagt å gjennomføre trusselbasert penetrasjonstesting, kravene og standardene som regulerer bruken av interne testere, kravene knyttet til omfang, testmetodikk og tilnærming for hver fase av testingen, resultater, avslutning og utbedringsfaser, samt typen tilsynsmessig og annet relevant samarbeid som er nødvendig for implementeringen av TLPT og for å legge til rette for gjensidig anerkjennelse
Commission Delegated Regulation (EU) 2025/1190 of 13 February 2025 supplementing Regulation (EU) 2022/2554 of the European Parliament and of the Council with regard to regulatory technical standards specifying the criteria used for identifying financial entities required to perform threat-led penetration testing, the requirements and standards governing the use of internal testers, the requirements in relation to the scope, testing methodology and approach for each phase of the testing, results, closure and remediation stages and the type of supervisory and other relevant cooperation needed for the implementation of TLPT and for the facilitation of mutual recognition
EØS-notat | 04.11.2025 | EØS-notatbasen
Sakstrinn
- Faktanotat
- Foreløpig posisjonsnotat
- Posisjonsnotat
- Gjennomføringsnotat
Opprettet 04.11.2025
Spesialutvalg: Kapitalbevegelser og finansielle tjenester
Dato sist behandlet i spesialutvalg:
Hovedansvarlig(e) departement(er): Finansdepartementet
Vedlegg/protokoll i EØS-avtalen: Vedlegg IX. Finansielle tjenester
Kapittel i EØS-avtalen: V. Bestemmelser som gjelder alle finansielle tjenester
Status
Rettsakten er vedtatt av EU-kommisjonen og har trådt i kraft i EU. Forordningen er til vurdering for innlemmelse i EØS-avtalen.
Sammendrag av innhold
Rettsakten er en delegert kommisjonsforordning til forordning (EU) 2022/2554 (DORA – Digital Operational Resilience Act) om digital operasjonell motstandsdyktighet i finanssektoren.
Som del av foretakenes IKT-risikostyringsrammeverk skal foretak som er underlagt DORA etablere et program for testing av digital operasjonell motstandsdyktighet. Foretak som utpekes i henhold til DORA art. 26 nr. 8 tredje avsnitt pålegges å gjennomføre avansert testing av IKT-verktøy, -systemer og –prosesser. Testingen skal skje gjennom trusselbaserte penetrasjonstester (omtalt som “TLPT”) og skal som utgangspunkt utføres minimum hvert tredje år. Testene skal omfatte flere eller alle kritiske eller viktige funksjoner hos foretaket, og skal utføres på produksjonssystemer som er i drift, og som støtter slike funksjoner.
Den delegerte kommisjonsforordningen er utarbeidet i samsvar med TIBER-EU-rammeverket og gjenspeiler strukturen, metodikken og prosessen for TLPT slik den er beskrevet i rammeverket. Rettsakten inneholder blant annet kriterier for hva TLPT-myndigheten skal vektlegge ved identifisering av foretak som skal pålegges å utføre TLPT-tester.
Videre fremgår det av rettsakten at en TLPT-test skal inkludere deltakere fra foretaket som testen utføres hos, herunder i form av et kontroll-team og et dedikert team som opprettholder sikkerheten hos foretaket mot simulerte eller reelle angrep (omtalt som “blue team”). I tillegg skal testen inkludere TLPT-myndigheten, et TLPT Cyber Team (omtalt som “TCT”), en leverandør av trusseletterretninger og testere (sistnevnte omtalt som “red team”).
Rettsakten gir regler om hvordan arbeidet med TLPT skal organiseres. Rettsakten viser til at TCTer skal koordinere TLPT-aktiviteter og inneholder krav til hvordan arbeidet i TCTer skal organiseres. Tilsvarende gir rettsakten nærmere regler om hvordan foretak som er utpekt til å utføre TLPT skal organisere sitt arbeid med testingen, gjennom nærmere krav til foretakets kontroll-team og ansvarsoppgaver som teamet skal ha gjennom testens ulike faser.
Videre stiller rettsakten krav til de ulike fasene i testen, herunder krav til forberedelsesfasen, testfasen og den avsluttende fasen. Rettsakten stiller krav til hva som skal gjøres av de ulike aktørene i hver enkelt fase og hvem som har ansvaret for utførelsen av de ulike testaktivitetene. Testen skal resultere i en tiltaksplan, som blant annet skal omfatte en beskrivelse av svakheter som ble observert i forbindelse med testen og tiltak for å utbedre de observerte svakhetene.
Rettsakten gir også krav til styring av risiko gjennom testen, felles eller samkjørte TLPTer, krav knyttet til bruk av interne testere og krav ved samarbeid om grenseoverskridende TLPT.
Merknader
Rettslige konsekvenser
I henhold til lov om digital operasjonell motstandsdyktighet i finanssektoren (DORA-loven) § 2 kan departementet fastsette utfyllende forskrifter. Forskrift om digital operasjonell motstandsdyktighet i finanssektoren (DORA-forskriften) § 3 gjennomfører nivå 2-regelverk under DORA-forordningen. Det antas derfor at den delegerte kommisjonsforordningen vil gjennomføres i norsk rett ved henvisning i DORA-forskriften.
Økonomiske og administrative konsekvenser
Kravene til avansert testing er fastsatt i DORA-forordningen. Den delegerte kommisjonsforordningen gir detaljerte regler for hvordan arbeidet med testingen skal organiseres hos og utføres av deltakerne i testen. For foretak som har testet etter TIBER-NO, antas det at foretak som pålegges testing etter DORA med tilhørende delegerte kommisjonsforordning ikke vil oppleve vesentlige økonomiske og administrative konsekvenser. Tilsvarende gjelder for offentlige myndigheter eller samfunnet for øvrig.
For nye foretak som pålegges avansert testing etter DORA, vil de nye kravene derimot medføre økonomiske og administrative konsekvenser. Som følge av at flere foretak kan bli pålagt avansert testing etter DORA enn under TIBER-rammeverket, vil føre til økt arbeidsmengde og følgelig en økt økonomisk og administrativ belastning for norske myndigheter.
Sakkyndige instansers merknader
Finanstilsynet har vurdert rettsakten som EØS-relevant og akseptabel.
Vurdering
Forordningen anses EØS-relevant og akseptabel.
Andre opplysninger
Nøkkelinformasjon
| Institusjon: | Kommisjonen |
| Type rettsakt: | Forordning |
| KOM-nr.: | |
| Rettsaktnr.: | (EU) 2025/1190 |
| Basis rettsaktnr.: | (EU) 2022/2554 |
| Celexnr.: | 32025R1190 |
EFTA-prosessen
| Dato mottatt standardskjema: | 14.02.2025 |
| Frist returnering standardskjema: | |
| Dato returnert standardskjema: | |
| EØS-relevant: | Ja |
| Akseptabelt: | Ja |
| Tekniske tilpasningstekster: | Nei |
| Materielle tilpasningstekster: | Nei |
| Art. 103-forbehold: | Nei |
Norsk regelverk
| Endring av norsk regelverk: | Ja |
| Høringsstart: | |
| Høringsfrist: | |
| Frist for gjennomføring: |