Veiledere til DORA og forskriftsendringer
Nyheter
Publisert: 30. juni 2025
DORA-loven trer i kraft 1. juli. Det medfører endringer i IKT-forskriftens virkeområde og meldepliktforskriften. Finanstilsynet har utarbeidet veiledere for hendelsesrapportering og melding av IKT-tjenesteavtaler i henhold til DORA. I tillegg endres Altinn-skjema KRT-1121.
DORA-loven (lov om digital operasjonell motstandsdyktighet i finanssektoren) trer i kraft 1. juli 2025. Det betyr at foretak som er omfattet av DORA ikke lenger er omfattet av IKT-forskriften.
Finanstilsynet har utarbeidet en veileder for melding av IKT-tjenesteavtaler og en for rapportering av hendelser. I tillegg er det utarbeidet en brukerveiledning for hendelsesrapportering.
IKT-utkontrakteringer inngår i begrepet IKT-tjenesteavtaler i henhold til DORA og skal ikke lenger meldes etter finanstilsynsloven § 4-6 og meldepliktforskriften. Finansieringsforetak skal imidlertid fortsatt melde IKT-utkontrakteringer i henhold til finanstilsynsloven § 4-6 og meldepliktforskriften. Som følge av tilpasninger til DORA, vil endringer i meldepliktforskriften ha betydning for dem, se nedenfor.
Som følge av de ovennevnte endringene er Altinn-skjema KRT-1121 endret. Hvilken informasjon som nå må fylles ut framgår av IKT-tjenesteveilederen. Informasjonen som skal fylles er den samme, uavhengig om meldingen gjelder IKT-tjenesteavtale etter DORA eller IKT-utkontraktering etter finanstilsynsloven § 4c og meldepliktforskriften, med unntak av det som er direkte relatert til DORA.
Veiledere til DORA
IKT-tjenesteavtaler
Finanstilsynet har utarbeidet en veileder for melding av IKT-tjenesteavtaler i henhold til DORA art. 28 nr. 3, femte avsnitt. Veilederen angir nærmere:
- Finanstilsynets forståelse av begrepet å melde "i god tid",
- hvilken informasjon som skal oppgis i melding om IKT-tjenesteavtaler,
- adgangen for grupper/allianser til å sende samlet melding om IKT-tjenesteavtaler,
- Finanstilsynets behandling av meldingen og
- endringer av IKT-tjenesteavtaler.
Du kan lese veilederen her
Veileder for rapportering av hendelser
Hendelsesveilederen gir nærmere informasjon om:
- hvilke hendelser som skal rapporteres,
- frister for rapportering,
- praktisk informasjon om hendelsesrapportering,
- frivillig rapportering av betydelige cybertrusler og
- rapportering av hendelser på vegne av ett eller flere foretak.
Du kan lese veilederen her
Brukerveiledning for hendelsesrapportering
Fra 1. juli 2025 skal hendelser rapporteres via Altinn-skjema KRT-1190. Brukerveiledningen angir nærmere hvordan skjemaet skal fylles ut og annen praktisk informasjon vedrørende hendelsesrapportering og rapportering av betydelige cybertrusler.
Du kan lese brukerveiledningen her
Forskriftsendringer
IKT-forskriften
IKT-forskriftens virkeområde endres fra 1. juli 2025. Forskriften vil gjelde for finansieringsforetak, inkassoforetak og eiendomsforetak.
Meldepliktforskriften
Meldepliktforskriften § 1 får et nytt tredje ledd som presiserer at bestemmelsen ikke gjelder for IKT-tjenesteavtaler i henhold til DORA. Videre rettes henvisningen i forskriftens § 3 fra finanstilsynsloven § 4c til gjeldende finanstilsynslov § 4-6. I tillegg oppheves § 4 annet ledd, slik at det ikke lenger kreves vedlegg til melding om IKT-utkontrakteringer.