Lov om digital operasjonell motstandsdyktighet i finanssektoren (DORA-loven)

Departement: Finansdepartementet
Rettsområde: Bank, finans og regnskapsrett > Børs- og verdipapir EU/EØS-rett > Finansielle tjenester Selskaper, fond og foreninger > Fond Bank, finans og regnskapsrett > Banker Bank, finans og regnskapsrett > Betalingsformidling Bank, finans og regnskapsrett > Forsikring Bank, finans og regnskapsrett > Obligasjoner Bank, finans og regnskapsrett Erstatnings- og forsikringsrett > Ansvarsforsikringer Erstatnings- og forsikringsrett > Livsforsikring Erstatnings- og forsikringsrett > Skadeforsikring Selskaper, fond og foreninger EU/EØS-rett > Arbeids- og sosialpolitikk Pensjons- og trygderett

Lov om digital operasjonell motstandsdyktighet i finanssektoren (DORA-loven)

§ 1. Forordningen om digital operasjonell motstandsdyktighet i finanssektoren

(1) EØS-avtalen vedlegg IX nr. 31q (forordning (EU) 2022/2554) om digital operasjonell motstandsdyktighet i finanssektoren gjelder som lov med de tilpasninger som følger av vedlegg IX, protokoll 1 til avtalen og avtalen for øvrig.

(2) Når det i loven her vises til DORA-forordningen, menes forordningen slik den til enhver tid er gjennomført og endret etter første eller fjerde ledd.

(3) Departementet kan fastsette utfyllende forskrifter til bestemmelsene i første ledd.

(4) Departementet kan i forskrift gjøre endringer i, herunder fastsette unntak fra, bestemmelsene i første ledd til gjennomføring av Norges forpliktelser etter EØS-avtalen.

§ 2. Forordningens anvendelse på andre foretak

(1) Departementet kan i forskrift fastsette at bestemmelsene i § 1 helt eller delvis skal gjelde for:

foretak nevnt i DORA-forordningen artikkel 2 nr. 3,
finansieringsforetak,
låneformidlingsforetak,
inkassoforetak,
eiendomsmeglingsforetak,
morselskap i finanskonsern.

(2) Departementet kan i forskrift fastsette forenklede krav for foretak nevnt i første ledd i samsvar med relevante bestemmelser i DORA-forordningen.

§ 3. Tilsyn mv.

(1) Finanstilsynet er nasjonal tilsynsmyndighet etter DORA-forordningen og fører tilsyn med overholdelse av bestemmelser gitt i eller i medhold av denne loven.

(2) Departementet kan i forskrift fastsette utfyllende krav til rapportering, register over IKT-tjenesteavtaler og annen informasjon som foretak omfattet av §§ 1 eller 2 skal gi Finanstilsynet om inngåtte og planlagte avtaler om bruk av tjenester fra IKT-leverandører.

(3) Departementet kan i forskrift fastsette bestemmelser om rapportering av hendelser og deling av informasjon til andre varslingsmottakere enn Finanstilsynet.

(4) Departementet kan i forskrift fastsette bestemmelser om trusselbasert penetrasjonstesting (TLPT), herunder om fordeling av oppgaver og ansvar mellom norske myndighetsorgan i henhold til DORA-forordningen artikkel 26.

§ 4. Overtredelsesgebyr

(1) Finanstilsynet kan ilegge fysiske personer eller foretak overtredelsesgebyr på inntil 50 millioner kroner ved overtredelse av følgende bestemmelser i DORA-forordningen:

artikkel 5 om forvaltning og organisasjon,
artikkel 6 om rammeverk for IKT-risikostyring,
artikkel 8 om identifisering av IKT-relaterte funksjoner og avhengigheter,
artikkel 9 nr. 4 om retningslinjer for sikkerhet mv. som del av rammeverket for IKT-risikostyring, jf. artikkel 6,
artikkel 11 om respons og gjenoppretting,
artikkel 12 om retningslinjer og prosedyrer for sikkerhetskopiering og gjenoppretting,
artikkel 14 om planer for krisekommunikasjon,
artikkel 16 nr. 1 og 2 om forenklet rammeverk for IKT-risikostyring,
artikkel 17 om prosess for håndtering av IKT-relaterte hendelser,
artikkel 19 nr. 1, 3 og 4 om rapportering av alvorlige IKT-relaterte hendelser,
artikkel 24 om generelle krav til gjennomføringen av testing av digital operasjonell motstandsdyktighet,
artikkel 25 nr. 2 om sårbarhetsvurderinger før bruk av nye systemer i verdipapirsentraler og sentrale motparter,
artikkel 28 om generelle prinsipper for forsvarlig styring av IKT-tredjepartsrisiko,
artikkel 42 nr. 3 annet avsnitt om hensyntaken til risiko avdekket hos IKT-leverandører.

Første punktum gjelder tilsvarende ved overtredelse av forskrifter som gjennomfører tekniske reguleringsstandarder fastsatt etter DORA-forordningen artikkel 15 og artikkel 16 nr. 3.

(2) Medvirkning til overtredelse som nevnt i første ledd, kan sanksjoneres på samme måte.

(3) Fysiske personer kan ilegges overtredelsesgebyr for forsettlige eller uaktsomme overtredelser. Foretak kan ilegges overtredelsesgebyr når foretaket eller noen som har handlet på foretakets vegne, forsettlig eller uaktsomt har begått en overtredelse som nevnt i første eller annet ledd.

(4) Adgangen til å ilegge overtredelsesgebyr foreldes fem år etter at overtredelsen er opphørt. Fristen avbrytes ved at Finanstilsynet gir forhåndsvarsel eller fatter vedtak om overtredelsesgebyr.

(5) Departementet kan i forskrift fastsette bestemmelser til utfylling og avgrensning av paragrafen her, og renter ved forsinket betaling av overtredelsesgebyret. Departementet kan i forskrift fastsette at den som forsettlig eller uaktsomt overtrer bestemmelser i forskrift gitt i medhold av loven, kan ilegges overtredelsesgebyr.

§ 5. Ikrafttredelse og overgangsbestemmelser

(1) Loven gjelder fra den tid¹ Kongen bestemmer. Kongen kan sette i kraft de enkelte bestemmelser til forskjellig tid.

(2) Departementet kan fastsette overgangsregler.

§ 6. Endringer i andre lover

Fra den tid loven trer i kraft, gjøres følgende endringer i andre lover:

1. I lov 29. juni 2007 nr. 75 om verdipapirhandel gjøres følgende endringer:

– – –

§ 17-1 første ledd skal lyde:

(1) EØS-avtalen vedlegg IX nr. 31bc (forordning (EU) nr. 648/2012) om OTC-derivater, sentrale motparter og transaksjonsregistre (EMIR), som endret ved direktiv (EU) 2015/849 og forordning (EU) 2022/2554, jf. lov om digital operasjonell motstandsdyktighet i finanssektoren § 1, gjelder som lov med de tilpasninger som følger av vedlegg IX, protokoll 1 til avtalen og avtalen for øvrig.

– – –

Refereres av

11 dokument(er) refererer hit.