IT-JUSS | DORA-loven

FORPLIKTELSER: DORA-loven pålegger finansforetakene en rekke forpliktelser for å styrke virksomhetens operasjonelle motstandsdyktighet mot digitale trusler.

Ny lov om digital finanssikkerhet – hva betyr det?

I dag trer EUs Digital Operational Resilience Act, (EU) 2022/2554 (DORA-forordningen), i kraft i norsk rett gjennom DORA-loven. Loven omfatter foretak i finanssektoren som kredittinstitusjoner, betalingsforetak, forsikringsforetak og andre finansforetak underlag Finanstilsynet, samt finansforetakenes IKT-leverandører.

Publisert
Lars Folkvard Giske, advokat og partner i Føyen

DORA-loven har som formål å styrke motstandsdyktigheten mot digitale hendelser i finanssektoren. Finansiell stabilitet er avgjørende for å øke tilliten til det finansielle systemet og motvirke tilsiktede eller utilsiktede IKT-hendelser som kan få store samfunnskonsekvenser. Med andre ord skal regelverket bidra til å holde samfunnshjulene i gang.

DORA-loven inkorporerer DORA-forordningen slik den til enhver tid er gjennomført i EØS-retten og eventuelt endret gjennom forskrift

Hvilke krav stiller DORA-loven til finansforetak?

DORA-loven pålegger finansforetakene en rekke forpliktelser for å styrke virksomhetens operasjonelle motstandsdyktighet mot digitale trusler, som kan inndeles i fem pilarer:

  • Styring av IKT-risiko: Foretakene må etablere og vedlikeholde en governance-struktur og et styringssystem for informasjonssikkerhet. Dette innebærer å utarbeide interne retningslinjer, foreta kontinuerlige risikovurderinger av potensielle trusler og sårbarheter, samt etablering av sikkerhetstiltak tilpasset risikoen. Arbeidet må forankres hos virksomhetens ledelse.
  • Hendelseshåndtering: Virksomheter må etablere og iverksette planer og rutiner for hendelseshåndtering for å motvirke, avdekke og varsle om brudd på informasjonssikkerheten. De må utarbeide krise- og beredskapsplaner for å håndtere IKT-hendelser. Sikkerhetshendelsene skal rapporteres inn til tilsynsmyndigheten (Finanstilsynet), og regelmessig testing av beredskapsplanene må gjennomføres.
  • Internkontroll og revisjon: Foretakene må etablere og jevnlig revidere og oppdatere interne kontrollsystemer for å sikre etterlevelse av lovens krav og implementere nødvendige sikkerhetstiltak, inkludert gjennomføre systematisk testing av IKT-verktøy og -systemer. For IKT-tjenester som omfatter virksomhetens kritiske funksjoner må en gjennomføre trussel baserte penetrasjonstester (TLPT).
  • Styring av IKT-tredjepartsrisiko: Finansforetakene må sikre at de har kontrollmekanismer for å identifisere, vurdere, overvåke og redusere risiko forbundet med bruk av eksterne IKT-leverandører. Der regelverket har hatt fokus på tradisjonell utkontraktering, vil DORA-loven også omfatte et bredere spekter av IKT-leverandører, særlig de som anses som viktige og kritiske for virksomhetens kjernefunksjoner. Virksomheter må foreta konsekvensanalyser (Business Impact Analysis, BIA), ha jevnlig oppfølging, sikre sikkerhetskrav i leverandøravtalene og i lys av leverandørens kritikalitet utarbeide planer for utskiftning av leverandøren (exit-planer).
  • Informasjonsdeling: Alle operasjonelle IKT-hendelser og sårbarheter skal rapporteres til tilsynsmyndighetene, og informasjon om cybersikkerhet må deles på tvers av sektorene.

DORA-forskriften

I dag trer også DORA-forskriften i kraft. Forskriften er kortfattet og inkorporerer enkelte tekniske standarder, såkalte Regulatory Technical Standards (RTS) som er retningslinjer utarbeidet av de europeiske finanstilsynsmyndighetene. Dette inkluderer utfyllende regler knyttet til:

  • Krav til rammeverk for styring av IKT-risiko, inkludert forenklet rammeverk for nærmere definerte (små) foretak
  • Krav til register over IKT-tjenesteavtaler
  • Kriterier for klassifisering av IKT-relaterte hendelser og cybertrusler
  • Krav til innhold og frister for rapportering av hendelser
  • Krav til og maler for rapportering av hendelser
  • Krav til retningslinjer for kontraktsvilkår ved bruk av IKT-tjenester som støtter kritiske eller viktige funksjoner, og som leveres av tredjepartsleverandører av IKT-tjenester

Det er også RTSer som vil kunne tre i kraft på et senere tidspunkt, inkludert utfyllende regler for trusselbasert penetrasjonstesting (TLPT), IKT-tjenesteleverandørers bruk av underleverandører, kriterier for å peke ut kritiske tredjepartstilbydere av IKT-tjenester, regler knyttet til tilsynsavgift og regler for overvåkning.

Hva betyr DORA-loven i praksis for oppfølging av leverandørforhold?

Regelverket legger opp til en risikobasert tilnærming, noe som betyr at det ikke finnes en «one-size-fits-all»-løsning. Eksempelvis vil en større bank måtte stille strengere og flere krav til sine IKT-leverandører sammenlignet med en mindre bank, gitt bankens betydning for det norske betalingssystemet i et samfunnsperspektiv. 

Dette betyr også at IKT-leverandører som yter tjenester til flere ulike finansforetak, kan bli møtt med divergerende krav, da det enkelte finansforetakets egne risikovurderinger kan resultere i ulik tilnærming (og evt. fortolkning). Selv om DORA inneholder føringer på hvilke kontraktsvilkår som må sikres, vil sikkerhetsnivå og krav til sikkerhetstiltak likevel kunne variere. Ytterligere kontraktsvilkår må sikres dersom leverandøren anses som kritisk eller viktig for finansforetakets drift.

Stiller DORA-regelverket nye sikkerhetskrav?

I Norge har vi gjennom blant annet sikkerhetsloven, utkontrakteringsregelverket (IKT-forskriften, retningslinjer fra EBA, EIOPA og ESMA) og tilsynsmessig oppfølging allerede hatt mange prinsipper og regler tilsvarende dem som nå vil følge av DORA-loven. DORA-loven innfører derimot flere, mer detaljerte og konkrete krav til hvordan virksomheter skal arbeide for en helhetlig styring av informasjonssikkerheten som en del av virksomhetens styringssystem. I praksis vil det trolig også bli et bredere fokus på styring av IKT-tredjepartsrisiko. De aktørene som har hatt god kontroll under utkontrakteringsregelverket vil sannsynligvis ikke ha behov for å gjennomføre et større arbeid for å etterleve DORA-loven.

Hva finansforetak må gjøre fremover for å møte kravene?

Selv om finansforetak har vært underlagt tilsvarende hovedprinsipper siden 2003, må de systematisere og dokumentere DORA-arbeidet. Dette kan gjøres enten ved å oppdatere en eksisterende styringsstruktur (governance-struktur) eller etablere en ny. Det er viktig å sørge for at styringsstrukturen og arbeidet er forankret, og har tilstrekkelig mandat fra virksomhetens ledelse.

Det er viktig å sørge for at styringsstrukturen og arbeidet er forankret, og har tilstrekkelig mandat fra virksomhetens ledelse.

Det neste steget er å få en oversikt over nåværende situasjon, og deretter foreta en analyse for å identifisere gap mellom krav i DORA og egen status. I analysen identifiseres hvilke løsninger, prosesser og kontroller som allerede er implementert i virksomheten, sammenholdt med hvilke krav og anbefalinger som stilles gjennom DORA og eventuelt andre regulatoriske krav virksomheten er underlagt. Funn i gapanalysen danner utgangspunktet for hvordan arbeidet skal prioriteres. Virksomheten bør fokusere på en prioritering av hva som skal gjøres, basert på blant annet kritikalitet og om det er elementer som kan anses som lavthengende frukt.

Det er viktig å være klar over at kravene kan endre seg. Detaljerte tekniske standarder publiseres eller endres av de europeiske finanstilsynsmyndighetene, og nye fortolkninger, praksis, teknologisk utvikling og endringer i trusselbilde mv. vil medføre at en slik gapanalyse ikke er en statisk øvelse, men en kontinuerlig prosess.

Kontraktsoppfølging i verdikjeden

I tillegg bør virksomheter arbeide med styring av IKT-tredjepartsrisiko. Virksomheten må ha egne retningslinjer for bruk av IKT-leverandører og sikre at kontraktene tilfredsstiller DORA-kravene. Dette kan bety at enkelte finansforetak må reforhandle allerede inngåtte avtaler om ikke kravene er sikret fra før. 

Typiske vilkår som må sikres i leverandør-avtalen kan blant annet være forpliktelse til å implementere og følge ISMS-bransjestandarder, krav til revisjon, SLA, backup-, krise og beredskapsplaner, og testing av systemer. Videre må leverandøren forplikte seg til at personell gjennomfører sikkerhetsopplæring, bistår og varsler ved betydelig sikkerhetshendelser, og at leverandøren må sikre tilsvarende kontraktsvilkår i avtalene med underleverandører.

Typiske vilkår som må sikres i leverandør-avtalen kan blant annet være forpliktelse til å implementere og følge ISMS-bransjestandarder, krav til revisjon, SLA, backup-, krise og beredskapsplaner, og testing av systemer.

Der IKT-leverandøren anses som en viktig eller kritisk leverandør, og har stor betydning for driftskontinuitet, skal det ikke bare stilles krav til leverandørforpliktelser underveis i avtaleforholdet som for eksempel å sikre høy terskel for suspensjon av tjeneste, oppsigelse og heving av avtale, men det er også krav til utvikling av planer for en kontrollert avslutning av leverandørsamarbeidet. Dette er for å sikre tilgjengelighet og driftskontinuitet ved endringer eller bytte av leverandører. Finansforetak må i den forbindelse også utarbeide exit-planer. Slike økte forpliktelser som pålegges leverandøren kan forrykke den juridiske og kommersielle balansen i kontraktsforholdet. 

Partene bør ta stilling til hvordan kostnadene knyttet til disse regulatoriske endringene skal fordeles i avtalen.

Forholdet til digitalsikkerhetsloven

Flere samfunnskritiske sektorer og virksomheter kommer til å bli underlagt økte sikkerhetskrav gjennom digitalsikkerhetsloven og -forskriften (EUs NIS), mens foretak som er underlagt DORA-loven må forholde seg til denne. 

Digitalsikkerhetsloven legger opp til en risikobasert tilnærming der virksomheter skal følge anerkjente bransjestander som NSM sine grunnprinsipper for sikkerhetsstyring, eller ISO 27001. DORA-loven legger også opp til en risikobasert tilnærming, men inneholder mer konkrete forpliktelser. Til gjengjeld inneholder også foreslåtte digitalsikkerhetsforskrift konkrete forslag til tekniske, organisatoriske, personelt og fysisk sikkerhetstiltak som virksomheter kan implementere. 

Loven blir trolig oppdatert når EUs NIS2 blir gjennomført i norsk rett, som blant annet utvider virkeområde til å omfatte flere sektorer og virksomheter.

Digitalsikkerhetsloven og forskriften trer i kraft 1. oktober 2025. Loven blir trolig oppdatert når EUs NIS2 blir gjennomført i norsk rett, som blant annet utvider virkeområde til å omfatte flere sektorer og virksomheter.

Mulige sanksjoner ved brudd på DORA-loven

Brudd på DORA-loven kan medføre sanksjoner, inkludert bøter. Loven tilpasser sanksjonene etter virksomhetens størrelse og risiko, og gebyrene kan være opptil 50 millioner norske kroner. Gebyrenes mulige størrelse og tilsynsmyndighetenes tilsyn kan bidra til at virksomheter tar compliance-arbeidet på alvor. 

Det er også verdt å merke seg at fysiske personer kan ilegges personlige bøter for forsettlige eller uaktsomme overtredelser. For å sikre bedre forutsigbarhet har DORA-loven eksplisitt angitt hvilke overtredelser av konkrete bestemmelser som kan medføre sanksjoner. Her kan man merke seg at overtredelse av forskrifter som gjennomfører tekniske reguleringsstandarder også er omfattet.