I Finansdepartementets forslag til norsk DORA-lov deler de sitt syn på de nye kravenes effekter for finansforetakene.
Prop. 54 LS (2024-2025) er forkortelsen for Finansdepartementets forslag til å gjøre EUs Digital Operational Resilience Act til norsk lov. Sagt på en annen måte, proposisjon (forslag) 54 for lovvedtak og stortingsvedtak (LS) i stortingsåret 2024-25.
Dette lovforslaget har vært gjennom høring, og er nå sendt til Stortinget for videre behandling, det vil si først komitébehandling, og deretter debatt og vedtak. Dette er en EU-forordning som per definisjon skal tas inn i norsk lov uten store endringer.
Turen fra Brussel til Løvebakken har likevel tatt sin tid. Forordning (EU) 2022/2554 om digital operasjonell motstandsdyktighet i finanssektoren (DORA) ble vedtatt i EU 14. desember 2022, og den trådte i kraft i EU 17. januar 2025.
DORA inneholder som kjent omfattende krav til foretakenes IKT-risikostyring, håndtering og rapportering av IKT-hendelser, testing av den digitale motstandsdyktigheten, bruk av IKT-leverandører og informasjonsdeling.
Finansdepartementet skriver i lovforslaget at det vil innebære at kravene til foretakene i den norske finanssektoren styrkes:
«Selv om dagens IKT-forskrift og Finanstilsynets oppfølging bygger på felleseuropeiske retningslinjer som også gjenspeiles i DORA, vil det nye regelverket gi vesentlig mer omfattende og detaljerte krav til norske foretaks risikostyring, hendelseshåndtering og bruk av IKT-leverandører.»
Departementet mener at dette kan bidra til å fremme robusthet, finansiell stabilitet, trygghet for kundene og ivaretakelse av kritiske samfunnsfunksjoner. Felleseuropeiske krav kan også styrke tilliten til risikostyringen i norske finansforetak i internasjonale markeder.
«Innføringen av DORA i Europa er et viktig tiltak for å styrke IKT-sikkerheten i et internasjonalt marked der ulike leverandører av IKT-tjenester leverer tjenester til foretak under tilsyn i flere europeiske land», skriver departementet.
Dette har betydelige samfunnsøkonomiske gevinster: DORA-kravene til oppfølging av IKT-leverandører, bidrar til økt sikkerhet i viktige betalingssystemer og styrker samfunnets finansielle stabilitet.
I lovforslaget deler Finansdepartementet også sine vurderinger av hvilke effekter gjennomføringen vil få for finansforetakene – utover dagens krav i IKT-forskriften:
«I EU-kommisjonens konsekvensanalyse er det anslått at økt digital motstandsdyktighet som følge av det nye regelverket kan redusere kostnadene forbundet med IKT-hendelser i finanssektoren i EU med 10 prosent.»
Bakgrunnen er antakelsen om at de nye kravene fører til bedre styring og lavere risiko for skadelige IKT-hendelser, inkludert hendelser hos IKT-leverandører. Harmoniseringen av regelverk og rapportering vil gi forenklinger og besparelser, spesielt for foretak som har virksomhet i flere land.
Reglene for avtaler om IKT-tjenester kan dessuten styrke de norske finansforetakenes posisjon overfor større IKT-leverandører, både gjennom reguleringen av avtaler og myndighetsovervåking av kritiske leverandører.
Besparelsene kommer ikke uten investeringer:
«Dagens kostnader forbundet med hendelser er en usikker størrelse, og EU-kommisjonen anslo i 2020 årlige besparelser i sektoren på mellom 0,2 og 2,7 milliarder euro. EU-kommisjonen anslo også at tilpasning til nye IKT-risikostyringskrav kunne kreve en økning av EU-foretakenes cybersikkerhetsbudsjett med om lag 10 prosent», skriver departementet.
DORA krever også på andre måter mer enn IKT-forskriften: Forordningen har et mer detaljert regelverk, også i form av tekniske standarder som skal fastsettes av EU-kommisjonen. Videre vil rapporteringskrav, både internt og eksternt, bli mer omfattende enn i dag, og det blir krav til oppfølging av rapporteringen.
«Foretakene må påregne vesentlig innsats særlig i overgangen til nytt regelverk, bl.a. knyttet til gjennomgang av systemer, avtaler og dokumentasjon, opplæring av ansatte med videre. Kravene til trusselbasert penetrasjonstesting (TLPT-testing) vil medføre egne behov for administrasjon og oppfølging i de foretakene som omfattes», skriver departementet.
Også leverandører av IKT-tjenester (fintech) til foretak i finanssektoren må forholde seg til de mer omfattende kravene. Departementet tror imidlertid ikke at DORA vil få større økonomiske eller administrative konsekvenser for IKT-leverandørene sammenlignet med kravene i IKT-forskriften.
Unntaket er IKT-leverandører som utpekes som kritiske for finanssektoren i EU/EØS. Disse vil overvåkes mer av myndighetene. De kan måtte tilpasse seg myndighetenes anbefalinger for å kunne opprettholde leveranser til finansielle foretak.
«Dette kan ha vesentlig betydning for IKT-leverandørenes drift og kostnader, herunder administrative kostnader forbundet med etterlevelse av regelverket og oppfølging av overvåkingen. I tillegg skal de kritiske IKT-leverandørene betale en overvåkingsavgift», skriver departementet.