Hendelsesrapportering etter DORA

Rundskriv/veiledninger

Publisert: 30. juni 2025

Finanstilsynet har utarbeidet en veileder for rapportering av hendelser etter reglene i DORA-forordningen med tilhørende nivå 2-regelverk.

Hendelsesrapporteringen skal bidra til at Finanstilsynet raskt får en riktig forståelse av hendelsen, herunder omfang og alvorlighetsgrad. Videre skal rapporteringen bidra til å sikre et korrekt og rettidig bilde av risikonivået i finanssektoren og til å avdekke mønstre og sammenhenger som det kan være vanskelig å oppdage for det enkelte foretak.

I tillegg vil regelverket om rapportering av IKT-hendelser i DORA bidra til at IKT-hendelser og cybertrusler rapporteres på en ensartet måte til relevante myndigheter i alle EU/EØS-land.

Foretak som er omfattet av DORA skal ha en prosedyre for å avdekke, håndtere og varsle om hendelser. Det stilles nærmere krav i regelverket til hva prosedyren skal inneholde. Regelverket angir også hvilke hendelser som skal rapporteres til Finanstilsynet, tidsfrister for rapporteringen, krav til innhold i rapportene og format på rapporteringen. DORA stiller også krav til hvordan den nasjonale tilsynsmyndigheten skal følge opp innrapporterte hendelser.

Regelverk

Regler om rapportering av hendelser følger av DORA-forordningen og tilhørende delegerte kommisjonsforordninger som er gjennomført i norsk rett gjennom DORA-loven og DORA-forskriften.

Referanse

Navn

Aktuelle bestemmelser

(EU) 2022/2554

Forordning om digital operasjonell motstandsdyktighet i finanssektoren (DORA-forordningen)

Kapittel III, art. 17-23

(EU) 2024/1772

Delegert kommisjonsforordning om klassifisering av hendelser og cybertrusler

Hele forordningen

(EU) 2025/301

Delegert kommisjonsforordning for innhold og frister for rapportering av alvorlige IKT-hendelser og betydelige cybertrusler

Hele forordningen

 

(EU) 2025/302

Delegert kommisjonsforordning om maler og prosedyrer for rapportering av alvorlige IKT- hendelser og frivillig rapportering av betydelige cybertrusler

Hele forordningen

 

Rapportering av alvorlige IKT-hendelser

Hvem skal rapportere?

Foretak som skal rapportere om alvorlige hendelser framgår av DORAs virkeområde i art. 2 nr. 1 bokstav (a) til (t). Visse foretakstyper er ikke omfattet, se art. 2 nr. 3.

Hvilke hendelser skal rapporteres?

Foretak skal rapportere til Finanstilsynet om alvorlige IKT-relaterte hendelser som har en negativ innvirkning på foretakets kritiske tjenester. Regelverket inneholder en rekke bestemmelser for å definere alvorlighetsgrad og konsekvenser av hendelsen. En IKT-relatert hendelse kan være én enkelt hendelse eller en rekke tilknyttede hendelser, se DORA art. 3 nr. 8.

Figuren illustrerer hvilke vurderinger foretaket må gjøre for å avgjøre om en hendelse skal rapporteres.
Illustrasjon viser grafisk prosessen om hendelsesrapportering etter DORA.

Vilkår for rapportering

Vilkårene for at en IKT-hendelse skal rapporteres framgår av (EU) 2024/1772 art. 8 nr. 1.

For det første må hendelsen påvirke “kritiske tjenester”, som er nærmere definert i (EU) 2024/1772 art. 6.

Hva som er en kritisk tjeneste for foretaket, vil kunne framgå av en konsekvensanalyse av virksomheten (BIA).

Eksempler på kritiske tjenester kan være betalingstjenester for banker og betalingsforetak, kjernesystemer for forsikringsselskap, handelsløsninger for verdipapirforetak eller transaksjonsovervåking mot hvitvasking og sanksjonsscreening.

For det andre må hendelsen oppfylle ett av følgende vilkår:

  1. hendelsen medfører en "vellykket, ondsinnet og uautorisert tilgang til nettverks- og informasjonssystemer" som kan føre til tap av data, eller
  2. to eller flere av vesentlighetstersklene i (EU) 2024/1772 art. 9 nr. 1 til nr. 6 er nådd.
    Vesentlighetstersklene er basert på klassifiseringskriterier i regelverket som omhandler antallet og/eller omfanget av berørte kunder eller finansielle motparter og transaksjoner, innvirkning på foretakets omdømme, varighet og tjenesteavbrudd, geografisk utbredelse, tap av data, de berørte tjenestenes kritiske betydning og økonomiske virkninger, se DORA art. 18 nr. 1 og (EU) 2024/1772 art. 1 til 7.

Dersom det er usikkerhet knyttet til om en hendelse skal klassifiseres som alvorlig, understreker Finanstilsynet at det er ønskelig at foretaket rapporterer om hendelsen.

Hvilke frister gjelder for rapportering?

Frister for rapportering av alvorlige IKT-relaterte hendelser framgår av DORA art. 19 nr. 4 og (EU) 2025/301 art. 5:

Type rapport

Frist

Innledende varsel
  • Så snart som mulig, men innen 4t fra hendelsen er klassifisert og senest innen 24t fra hendelsen ble oppdaget

Statusrapport(er)
  • Så snart som mulig der status på opprinnelig hendelse har endret seg vesentlig eller håndteringen av den har endret seg basert på ny informasjon
  • Når normale aktiviteter har blitt gjenopptatt
  • Senest innen 72t fra innledende varsel

Endelig rapport
  • Senest innen én måned etter siste statusrapport

Hvis fristen for å sende et innledende varsel, en status- eller endelig rapport faller i en helg eller på en helligdag, kan foretaket send rapporten innen kl. 12.00 neste virkedag. Regelen gjelder imidlertid ikke for alle typer foretak, se (EU) 2025/301 art. 5 nr. 5.

Praktisk informasjon om rapportering av alvorlige IKT-relaterte hendelser

Reklassifisering av hendelser

Dersom foretaket tidligere har meldt inn en IKT-hendelse til Finanstilsynet, men senere finner ut at hendelsen ikke kan klassifiseres som alvorlig, skal dette meldes til Finanstilsynet gjennom Finanstilsynets rapporteringsløsning (avkrysning i felt 1.1 for 'Alvorlig hendelse reklassifisert som ikke-alvorlig').

Gjentakende/tilbakevendende hendelser

Mindre og tilbakevendende hendelser skal rapporters dersom de til sammen kan klassifiseres som en “alvorlig” IKT-relatert hendelse, se (EU) 2024/1772 art. 8 nr. 2 og (EU) 2025/302 art. 3.

Videreformidling av rapporter

Finanstilsynet vil videresende rapporter til EUs finanstilsynsmyndigheter (EBA, ESMA og EIOPA (" ESAene"). Dersom en konkret hendelse berører et annet EU-/EØS-land, vil ESAene videresende rapporter til relevante myndigheter i landet som er berørt av hendelsen. Finanstilsynet vil tilsvarende motta rapporter fra ESAene om hendelser i et annet EU-/EØS-land dersom hendelsen er relevant for Norge. Dette vil typisk være rapporter om hendelser som berører norske filialer av utenlandske foretak.

Frivillig rapportering av betydelige cybertrusler

Foretak kan rapportere om betydelige cybertrusler når de mener det er relevant for det finansielle systemet, tjenestebrukere eller kunder. Finanstilsynet oppfordrer til at slike trusler rapporteres da dette vil gi Finanstilsynet en bedre oversikt over trusselsituasjonen i finanssektoren.

I DORA art. 3 nr. 13 defineres en cybertrussel som betydelig dersom "tekniske egenskaper tilsier at den kan føre til en alvorlig IKT-relatert hendelse eller en alvorlig betalingsrelatert operasjonell hendelse eller sikkerhetshendelse".

En cybertrussel skal anses som betydelig dersom alle vilkårene i (EU) 2024/1772 art. 10 er oppfylt:

  • Cybertrusselen, dersom den materialiserer seg, kan påvirke eller kan ha påvirket foretakets kritiske eller viktige funksjoner eller andre tredjeparter basert på informasjon som er tilgjengelig for foretaket;
  • Det er høy sannsynlighet for at cybertrusselen vil materialisere seg i den finansielle enheten eller andre finansielle enheter; og
  • Hvis cybertrusselen materialiserer seg, kan den oppfylle kriteriene i (EU) 2024/1772 art. 10 (c).

Rapportering av hendelser på vegne av ett eller flere foretak

Samlet hendelsesrapportering

En tredjepartsleverandør kan rapportere på vegne av flere foretak dersom vilkårene i (EU) 2025/302 art. 7 er oppfylt:

  • Rapporteringsplikten har blitt utkontraktert til en tredjeparts IKT-tjenesteleverandør (se krav under "Utkontraktering av rapporteringsforpliktelsen" nedenfor);
  • Den alvorlige IKT-relaterte hendelsen har sin opprinnelse fra eller er forårsaket av en tredjeparts IKT-tjenesteleverandør;
  • Denne tredjeparts IKT-tjenesteleverandøren leverer IKT-tjenesten til mer enn én finansiell enhet, eller til et konsern;
  • Den alvorlige IKT-relaterte hendelsen klassifiseres som alvorlig av hver enkelt finansiell enhet som omfattes av den samlede rapporteringen;
  • Den alvorlige IKT-relaterte hendelsen påvirker foretak i en enkelt medlemsstat, og den samlede rapporteringen gjelder finansielle enheter som er underlagt tilsyn av samme tilsynsmyndighet; og
  • Finanstilsynet har eksplisitt tillatt denne typen finansielle enheter å rapportere samlet.

Grupper og/eller allianser som ønsker å rapportere om hendelser samlet må melde dette til Finanstilsynet, selv om det er meldt tidligere etter finanstilsynsloven og meldepliktforskriften. Eventuelle endringer om hvilke foretak som er omfattet av slik samlet rapportering skal meldes fortløpende før endringen trer i kraft.

For slike meldinger benyttes Altinn-skjema KRT-1060 "Generelt vedleggsskjema" og med referanse 25/7440 i felt 2.2.

Utkontraktering av rapporteringsforpliktelsen

DORA åpner for at foretak kan utkontraktere rapporteringsforpliktelsen til en tredjepartsleverandør. Ansvaret for å overholde rapporteringsplikten forblir hos foretaket, se DORA art. 19 nr. 5.

Dersom rapporteringsforpliktelsen utkontrakteres, skal dette meldes til Finanstilsynet så snart kontraktsforholdet har blitt inngått med tredjepartsleverandøren og senest før et innledende varsel sendes til Finanstilsynet på vegne av foretaket, se (EU) 2025/302 art. 6.

Annen informasjon

Brukerveiledning for hendelsesrapportering

For praktisk informasjon om hvordan hendelser skal rapporteres, se Finanstilsynets brukerveiledning for rapportering.

Seminar om hendelsesrapportering etter DORA 

Seminaret var relevant for alle som jobber med å tilpasse foretakets IKT-virksomhet til det nye regelverket om digital motstandsdyktighet, DORA (Digital Operational Resilience Act).

Excel-skjemaer for rapportering

 

Abonner på nyhetsvarsel