Kapitalforvaltning | Finanstilsynet har publisert retningslinjer for DORA

Finanstilsynet publiserte i går retningslinjer for DORA-loven (Digital Operational Resilience Act) som presiserer meldeplikten knyttet til IKT-tjenesteavtaler og alvorlige IKT-relaterte hendelser. Vi har oppsummert de viktigste punktene for kapitalforvaltere.

Melding av IKT-tjenesteavtaler

Finanstilsynet klargjør at den årlige meldeplikten for nye IKT-avtaler også omfatter vesentlige materielle endringer av eksisterende avtaleforhold.

Dersom en IKT-avtale gjelder kritiske eller viktige funksjoner, skal den meldes til Finanstilsynet minst 30 dager før avtalen eller endringen trer i kraft.

IKT-tjenesteavtaler skal meldes via Altinn-skjema KRT-1121.

Melding av alvorlige IKT-relaterte hendelser

Finanstilsynet beskriver prosedyren og fristene for obligatorisk rapportering av alvorlige IKT-relaterte hendelser. En hendelse anses som «alvorlig» dersom den påvirker kritiske tjenester (f.eks. handelsløsninger eller hvitvasking og sanksjonsscreening) og enten (i) innebærer «vellykket, ondsinnet og uautorisert tilgang til nettverks- og informasjonssystemer som kan føre til tap av data», eller (ii) oppfyller minst to av vesentlighetstersklene definert i Delegert kommisjonsforordning (EU) 2024/1772. Vesentlighetstersklene er basert på klassifiseringskriterier i regelverket som omhandler antallet og/eller omfanget av berørte kunder eller finansielle motparter og transaksjoner, innvirkning på foretakets omdømme, varighet og tjenesteavbrudd, geografisk utbredelse, tap av data, de berørte tjenestenes kritiske betydning og økonomiske virkninger. Praktiske eksempler er hendelser som har vært omtalt i media, brudd på regulatoriske krav og hendelser som varer lenger enn 24 timer.

Finanstilsynet understreker at i tvilstilfeller, er det ønskelig at hendelsen rapporteres. Viser det seg i ettertid at den ikke er alvorlig, skal dette meldes til Finanstilsynet.

Alvorlige IKT-relaterte hendelser skal rapporteres via Altinn-skjema KRT-3190.

BAHR mener

Som nevnt i våre siste nyhetsbrev av 30. mai 2025 og 15. mai 2025, gir DORA et omfattende IKT-rammeverk for kapitalforvaltere, herunder krav om periodiske og ad-hoc meldinger, oppdatert styringsdokumentasjon og en gjennomgang av IKT-tjenesteavtaler. For mange EU-tilsynsmyndigheter er DORA allerede et tilsynsfokus. Vi antar derfor at også Finanstilsynet vil rette økt oppmerksomhet mot dette temaet etter sommeren. Med bakgrunn i Finanstilsynets nye retningslinjene for DORA har BAHR oppdatert sin «DORA compliance starter package» for kapitalforvaltere.