DORA for norske foretak i finanssektoren

DORA (forordning (EU) 2022/2554) ble vedtatt i 2022 og trådte i kraft i EU 17. januar 2025. DORA omfatter også et antall underliggende delegerte forordninger. Særlig sentrale er de delegerte kommisjonsforordningene (EU) 2024/1773 og (EU) 2024/1774, som gir utfyllende regler om innhold i avtaler med tredjepartsleverandører, og nærmere krav til de interne policies, planer og retningslinjer som foretakene må ha på plass.

DORA gjelder for nær sagt alle foretak i finanssektoren.^[1] Reglene omfatter også større IT-leverandører til disse. Når det gjelder kapitalforvaltere, er det verdt å merke seg at forvaltere av alternative investeringsfond som kun er registrert, ikke er underlagt DORA.

Det gjenstår å se om Finansdepartementet vil pålegge også andre typer foretak å etterleve DORA. DORA-loven åpner for at blant annet eiendomsmeglingsforetak, inkassoforetak og finansieringsforetak kan bli underlagt. Finanstilsynet har ikke foreslått noen slik utvidelse i høringsutkastet til utfyllende forskrift til DORA-loven, men det er ikke utenkelig at for eksempel eiendomsmeglere som forestår oppgjør, og inkassoforetak, kan være aktuelle.

Det er styret i det enkelte foretak som har det overordnede ansvaret for at kravene blir etterlevd. Alle foretak må i tillegg oppnevne en ansatt som ansvarlig for IKT og etterlevelse av DORA. DORA er teknologinøytral, og inneholder ikke materielle krav til foretakenes IT-systemer. DORA vil nok likevel øve et press mot at foretak nærmer seg "beste praksis" med hensyn til IT-sikkerhet for å redusere risiko.

Det er stor forskjell mellom de ulike typene foretak i finanssektoren som vil bli underlagt DORA.  DORA omfatter alt fra tilbydere av banktjenester, meglingstjenester og forsikringstjenester, som typisk har store kundegrupper og digital kundebetjening, til "små" forvaltere med begrenset krets av investorer og langt mindre tidskritiske systemer. For å ta hensyn til de store forskjellene mellom foretak som omfattes inneholder DORA derfor en generell forholdsmessighetsregel i artikkel 4. Det gjenstår å se hvordan tilsynsmyndighetene vil praktisere denne. Det er uansett sentralt at foretakene gir gode begrunnelser for forholdsmessig anvendelse av krav i DORA dersom foretaket legger seg på et "lavt" nivå. 

DORA inneholder et forenklet regelsett ("simplified ICT risk management framework") for verdipapirforetak som er "small and non-interconnected" etter de "nye" kapitaldekningsreglene for verdipapirforetak.^[2] Det er gitt utfyllende regler i delegert kommisjonsforordning (EU) 2024/1774 del III. 

Det er verdt å merke seg at det forenklede regelsettet kun gjelder for verdipapirforetak. Fondsforvaltere kan derved ikke benytte dette. I norsk sammenheng utgjør de aktuelle foretakene som kan legge det forenklede regelsettet til grunn et relativt lite antall – sammenlignet med det totale antall foretak som blir underlagt DORA. Forenklingene er heller ikke betydelige. Ettersom DORA langt på vei bygger på standardiserte løsninger, kan utbyttet av å benytte det forenklede regelverket være begrenset.

DORA inneholder også egen regulering av såkalte "mikroforetak" som er unntatt diverse krav. Mikroforetak er foretak som har færre en 10 ansatte, og har en årlig omsetning og/eller balansesum som ikke overstiger 2 MEUR. Grensen for ansatte gjelder ikke årsverk, men ansatte personer. Foretak som ønsker å benytte disse unntakene må etablere en rutine for å overvåke når de antar å overstige tersklene og ikke lenger vil være mikroforetak. Dette kan være en naturlig del av styrets årlige behandling av foretakets budsjett.

DORA er i første rekke et regelverk for risikostyring, i form av kartlegging av risiko, minimering, styring og rapportering. Hovedelementene som foretakene må få på plass er

• et dokumentert rammeverk for IKT risikostyring, 
   
• kontinuitetsplan og gjenopprettingsplan, herunder krav til sikkerhetskopiering, og
   
• årlig IKT-budsjett som omfatter kostnader til intern opplæring.
   

"Rammeverk for IKT risikostyring" omfatter "tradisjonell" risikoanalyse, men også spesifikt policy for klassifisering av IKT-støttede funksjoner, policy for informasjonssikkerhet og strategi for digital motstandsdyktighet. Formålet er å sikre høy grad av digital motstandsdyktighet – i praksis en god risikostyring på IKT-området. Med IKT menes software, maskinvare og infrastruktur, og ikke minst foretakets data.

Foretakets rammeverk for IKT-risikostyring, policy for klassifisering av IKT-støttede funksjoner, policy for informasjonssikkerhet, strategi for digital motstandsdyktighet, kontinuitetsplan og gjenopprettingsplan skal oppdateres minimum årlig, og ellers ved behov. 

De aller fleste foretak har avtaler med eksterne leverandører som dekker det aller meste av foretakets IT-systemer, og omfatter viktig og kritisk virksomhet. DORA inneholder en rekke krav med hensyn til bruk av eksterne leverandører. Disse kravene berører også regler om utkontraktering som regulerte foretak er underlagt. Det er viktig å merke seg at reglene er separate, og ikke i overensstemmelse med hverandre. Dette er til dels uheldig, ettersom det øker regulatorisk kompleksitet, samt påvirker kostnadssiden negativt hos foretakene som omfattes. Vellykket tilpasning er avhengig av å skaffe god oversikt over eksterne leverandører, hva de leverer og sikre korrekt behandling i samsvar med både DORA og reglene om utkontraktering.

DORA stiller krav til innholdet i avtaler med eksterne leverandører. For avtaler som gjelder kritiske eller viktige funksjoner skal avtalene blant annet gi foretaket (og Finanstilsynet) rett til innsyn og kontroll. I tillegg må avtalene inneholde bestemmelser om exit og migrering ved et opphør av avtalen. Mange leverandøravtaler for tjenester som gjelder utkontraktering inneholder slike bestemmelser i dag (eller skal gjøre det), men tilpasning til DORA krever likevel en gjennomgang og eventuelt reforhandling.

Foretakene bør her være oppmerksomme for å unngå at leverandøren benytter anledningen til å gjennomføre andre endringer eller oppjustere priser. Foretakene må også legge opp et spor for å behandle leverandører som ikke aksepterer avtalebestemmelser som foretaket er pålagt å ha.

De fleste foretak har IT-systemer levert av eksterne leverandører som bygger på SaaS og er hostet i skyen (som AWS eller Azure). 

Både Amazon og Microsoft har tilbud som er tilpasset DORA, men foretakene må uansett sikre at nødvendige rettigheter til innsyn og kontroll er sikret gjennom leverandørkjeden og for alle komponentene som er kritiske eller viktige for foretaket. Foretakene vil også være underlagt henholdsvis ESMAs retningslinjer om outsourcing til skytjenester (ESMA 50-157-2403) og EBAs retningslinjer for outsourcing (EBA/GL/2019/02), som inneholder krav med hensyn til bruk av skytjenester.

DORA pålegger foretak å rapportere alvorlige IKT-hendelser. Rapportering skal skje til Finanstilsynet på fastsatt mal. Første rapportering skal gis innen fire timer etter hendelsen er klassifisert som alvorlig (eller 24 timer etter at foretaket ble kjent med hendelsen).

Det kan legges til at foretaket også etter en alvorlig IKT-hendelse skal gjennomgå sitt rammeverk for IKT-risikostyring, og ha en plan for å informere sine investorer/kunder om slike hendelser.

Det er lagt opp til å fastsette ytterligere regler om hendelsesrapportering for finansielle foretak som også er underlagt NIS1- direktivet og på sikt NIS2-direktivet. 

EUs varslingsdirektiv (2019/1937) etablerer et regelverk for varsling om brudd på blant annet regelverk for foretak i finansiell sektor, samt regler om tiltak mot hvitvasking og terrorfinansiering. Gjennomføring av direktivet var på høring i 2022. Høringsutkastet la opp til en ny lov om EØS-varsling, men lovforslag er foreløpig ikke lagt frem. Foreløpig er DORA utenfor kretsen av regelverk varslingsdirektivet omfatter. GDPR er dog innenfor, og IKT-hendelser vil også ofte kunne innebære brudd på regler om personopplysninger.

Mange foretak i finanssektoren er i dag er underlagt forskrift om bruk av informasjons- og kommunikasjonsteknologi (IKT-forskriften). For disse er kravene i DORA gjenkjennelige. DORA er imidlertid langt mer detaljert og moderne, sammenlignet med IKT-forskriften som i hovedtrekk har vært lik siden 2003. Alle foretak omfattet av DORA må derfor oppdatere sine interne rutiner og beredskapsplaner, og sikre dokumentasjon av IT-systemer og oversikt over tredjepartsleverandører. 

Enkelte av dokumentasjonskravene, som register over tredjepartsleverandører, er overraskende arbeidskrevende. Det å sikre etterlevelse krever samarbeid mellom den daglige ledelsen, compliance/risk og IT-avdelingen (og/eller ekstern IT-leverandør, som de fleste vil ha).

Utviklingen mot større politisk avstand mellom Europa og USA, hvor de fleste skyleverandørene er etablert, og mot stadig mer sofistikerte angrepsvektorer, kan også medføre at enkelte foretak må gjøre endringer i sine IKT-løsninger.

^{[1] Banker, verdipapirforetak, forvaltere av alternative investeringsfond (med konsesjon), forvaltere av verdipapirfond, forsikringsselskaper, forsikringsformidlere og pensjonskasser (med enkelte unntak), kryptotjenestetilbydere, betalingsforetak, e-pengeforetak, handelsplasser mv.}

^{[2] Disse behandles nå av Stortinget og kan tre i kraft på samme tid som DORA-loven.}