Kapitalforvaltning | Nye IKT-krav for kapitalforvaltere

Digital Operational Resilience Act (DORA) (forordning 2022/2554) trådte i kraft i EU 16. januar 2023 og vil gjelde fra 17. januar 2025. Det er foreslått at DORA gjennomføres i norsk rett ved lov om digital operasjonell motstandsdyktighet i finanssektoren. Fristen for høringsinnspill utløp 3. april 2024. DORA innfører nye krav knyttet til blant annet IKT-risikostyring, IKT-relatert hendelseshåndtering og rapportering, digital operativ motstandstesting og styring av IKT-tredjepartsrisiko. DORA gjelder for «financial entities» - dette omfatter først og fremst banker og verdipapirforetak, men også forvaltere av alternative investeringsfond med konsesjon. Vi ser nærmere på de nye reglene og hva de vil bety for norske kapitalforvaltere.

Hva er DORA?  

DORA er EUs initiativ for å styrke og harmonisere regelverket knyttet til IKT-risikostyring, IKT-relatert hendelseshåndtering og rapportering, digital operativ motstandstesting og styring av IKT-tredjepartsrisiko. Formålet er å styrke den operasjonelle motstandsdyktigheten for finanssektoren. For norske aktører underlagt forskrift om bruk av informasjons- og kommunikasjonsteknologi (IKT) 21. mai 2003 nr. 630 (blant annet banker og verdipapirforetak, men ikke forvaltere av alternative investeringsfond), vil reglene erstatte denne og stille langt mer detaljerte krav.  

 

Hvem gjelder DORA for? 

Regelverket gjelder for såkalte «financial entities». Dette er først og fremst banker, verdipapirforetak og forsikringsforetak, men også forvaltere av alternative investeringsfond omfattes. Viktig å merke seg her er at registrerte forvaltere av alternative investeringsfond er unntatt regelverket, herunder også registrerte forvaltere med tillatelse til å forvalte fond etter forordning om europeiske venturekapitalfond (EuVECA).  

I henhold til DORA må «financial entities» identifisere «critical ICT providers» som benyttes for utførelse av virksomheten, og disse «critical ICT providers» vil også være omfattet av DORA.  

 

Hovedkravene i DORA 

DORA stiller for det første krav til IKT-risikostyring. Det gjelder allerede generelle krav til risikostyring for forvaltere av alternative investeringsfond i dag, men med DORA spesifiseres disse til å gjelde for IKT. Konkret må forvaltere av alternative investeringsfond innføre retningslinjer for beskyttelse og tilgjengelighet av data, en overordnet IKT-strategi og nivå for risikotoleranse, retningslinjer for IKT-driftsstabilitet, kontinuitetsplaner for IKT-virksomheten, retningslinjer for gjenoppretting av IKT-systemer og data og oversikt over cybertrusler og IKT-hendelser. Systemet er for øvrig kjent fra risikostyringsregelverket i AIF-loven og tilhørende forskrifter: det er krav om å fastlegge klare roller og ansvarsområder, etablere relevant rutineverk og instrukser og utføre periodiske gjennomganger.  

DORA inneholder også regler om IKT-relatert hendelseshåndtering og rapportering. For det første kreves det at forvaltere av alternative investeringsfond definerer, fastlegger og gjennomfører en prosess for å oppdage, styre og rapportere på IKT-relaterte hendelser. Disse IKT-relaterte hendelsene skal klassifiseres ut fra en vurdering av virkningen av hendelsen, basert på kriterier som geografisk spredning av data, varighet og tap av data. Større IKT-relaterte hendelser skal rapporteres til tilsynsmyndigheten innen nærmere angitte tidsfrister.  

DORA inneholder også krav til testing av aktørenes motstandsdyktighet. Forvaltere av alternative investeringsfond må utarbeide en tilpasset plan for risikobaserte tester som en del av rammeverket for IKT-risikostyringen og slik testing skal foregå minst på årlig basis. Testingen skal bidra til å vurdere kapitalforvalterens beredskap for håndtering av IKT-hendelser og avdekke svakheter, mangler og avvik i den digitale motstandsdyktigheten. Det skal videre etableres prosedyrer og rutiner for håndtering av mangelfulle forhold som avdekkes av testingen.  

Også når det gjelder bruk av tredjeparter introduserer DORA nye regler. Regelverket stiller nærmere krav til hvilke vurderinger forvaltere av alternative investeringsfond må gjøre før inngåelse av en IKT-tjenesteavtale, hvordan avtalen skal følges opp og hva den må inneholde. Dette omfatter blant annet vurderinger av hvorvidt tjenesteavtalen knytter seg til kritiske eller viktige funksjoner, potensiell risiko og interessekonflikter. Det gjelder allerede i dag regler for utkontraktering fra forvaltere av alternative investeringsfond, men disse er ikke spesifikke for IKT (i motsetning til foretak underlagt IKT-forskriften). Innholdskravene etter DORA innebærer at tjenesteavtalene må ha fullstendige beskrivelser av leveranser, krav til tjenestekvalitet, krav til samarbeid med tilsynsmyndigheten, mulighet for oppsigelse og rapporteringskrav. Forvaltere av alternative investeringsfond vil være kjent med lignende innholdskrav for avtaler om utkontraktering generelt.  

EUs tilsynsorgan skal i fellesskap identifisere kritiske tredjepartsleverandører og disse skal føres tilsyn med av et lokalt tilsynsorgan.  

 

BAHR mener  

DORA vil omfatte en rekke ulike kapitalforvaltere, og det må derfor forventes at det proporsjonalitetsprinsippet som regelverket inneholder vil bli brukt av de som driver ikke-kompleks og oversiktlig virksomhet i denne sammenheng. Det er likevel ikke til å komme unna at regelverket mest sannsynlig vil medføre at forvaltere av alternative investeringsfond må bruke mer ressurser på sin IKT.  

Gjennomføringen av DORA i norsk rett er fortsatt noe tid unna. For de aktørene som vet at man skal gjennomføre IKT prosesser i tiden frem mot implementeringen av DORA er det likevel fornuftig å hensynta dette nye regelverket for å sikre at man begrenser de ressurser som må gjøres på tilpasninger i forbindelse med gjennomføringen i Norge. Dette gjelder for eksempel for de som vurderer utkontraktering – her kan man med fordel se hen til hvilke vurderinger det vil bli krav om etter DORA allerede nå.  

Utover dette vil vi anbefale kapitalforvaltere som omfattes av regelverket om å kontakte sine respektive IKT-leverandører for det formål å kartlegge mangler i selskapets eksisterende IKT-rammeverk og planlegge nødvendige implementeringer, blant annet med hensyn til testing av motstandsdyktighet. Flere kapitalforvaltere vil også måtte igangsette prosesser for å inngå nye avtaler med sine IKT-leverandører, herunder for å overholde nye krav til slike tjenesteavtaler etter DORA.  

Share aticle to
Loading video ...
close