Veiledning om melding av IKT-tjenesteavtaler

Rundskriv/veiledninger

Publisert: 30. juni 2025

Veiledningen gjelder melding av IKT-tjenesteavtaler som støtter kritiske eller viktige funksjoner og bruk av Altinn-skjema KRT-1121.  

Melding om planlagt kritisk eller viktig IKT-tjenesteavtale

IKT-tjenesteavtaler som støtter kritiske eller viktige funksjoner for foretaket er meldepliktige etter DORA-forordningen artikkel 28 nr. 3, femte avsnitt, som er gjennomført i norsk rett i DORA-loven. “Kritisk eller viktig funksjon” er definert i DORA artikkel 3 nr. 22.

Foretaket skal i god tid sende melding om ethvert planlagt kontraktsforhold om bruk av IKT-tjenester som støtter kritiske eller viktige funksjoner, samt når en funksjon er blitt kritisk eller viktig.

Reglene omfatter også krav til hvilke vurderinger foretaket skal gjøre i forkant av avtaleinngåelsen og krav til avtalens innhold, se artikkel 28 til 30 i DORA.

Finanstilsynet legger til grunn at styret blir tilstrekkelig underrettet om inngåelse av slike avtaler, jf. artikkel 5, nr. 2 i). Det gjelder også vesentlige avtaleendringer i kritiske eller viktige IKT-tjenesteavtaler.

Endringer

Meldeplikten gjelder også avtaler om bruk av IKT-tjenester som støtter en funksjon som etter avtaleinngåelsen blir vurdert som kritisk eller viktig for virksomheten, se DORA art. 28 nr. 3, femte avsnitt. Foretaket skal også sende melding om allerede innmeldte IKT-tjenesteavtaler dersom tjenesten ikke lenger støtter en funksjon som anses som kritisk eller viktig for foretaket.

Finanstilsynet legger til grunn at materielle endringer i eksisterende kontraktsforhold omfattes av meldeplikten etter artikkel 28 nr. 3 dersom endringen er vesentlig.

Tidspunkt for melding

Foretak som er underlagt DORA skal i god tid melde planlagte kritiske eller viktige IKT-kontraktsforhold til Finanstilsynet, se art. 28 nr. 3 siste avsnitt. Forordningen beskriver ikke nærmere hva "god tid" er. Finanstilsynet legger til grunn at "god tid" skal forstås som minst 30 dager før avtalen eller endringen trer i kraft.

Melding om IKT-tjenesteavtale

Altinn-skjema KRT-1121 skal benyttes for melding av en IKT-tjenesteavtale. Skjemaet er noe endret som følge av DORA, blant annet ved at det ikke lenger kreves vedlegg til skjemaet.

Følgende opplysninger skal fylles ut i skjemaet:

  1. Navn og organisasjonsnummer på oppdragstaker. I meldinger fra grupper/allianser skal gruppeselskapet stå som oppdragstaker.
  2. Om avtalen regulerer følgende forhold:
    1. hendelsesrapportering
    2. beredskap
    3. foretakets rett til å kontrollere, herunder revidere leverandørens aktiviteter
    4. Finanstilsynets rett til tilgang til opplysninger og tilsyn med leverandør
    5. taushetsplikt
    6. exitbestemmelser.
  3. Om avtalen erstatter en eksisterende avtale.
  4. Om risikovurderingen av avtalen har elementer av gjenværende risiko som vurderes som høy.
  5. En kortfattet beskrivelse av avtalen, en kortfattet risikovurdering og avtalens S-kategori i henhold til (EU) 2024/2956 Annex III (finansieringsforetak trenger ikke oppgi S-kategori).
  6. Avtalens oppstarts- og opphørsdato, herunder opplysninger om rullerende avtaleperiode.
  7. Om oppdragstaker driver virksomhet i Norge, i norsk selskap, filial eller som grensekryssende virksomhet. Dersom oppdragstaker er etablert i utlandet, skal det også opplyses hvilket land foretakets hovedkontor er etablert i.
  8. Navn og organisasjonsnummer på underleverandører som oppdragstaker bruker ved utførelse av oppgaver på vegne av foretaket. Dersom underleverandør er etablert i utlandet, bes det opplyst hvilket land.

Adgangen til samlet melding for grupper/allianser

DORA inneholder ikke bestemmelser om melding av IKT-tjenesteavtaler i grupper og allianser. Finanstilsynet legger til grunn at grupper/allianser fortsatt kan melde inn IKT-tjenesteavtaler samlet, etter godkjenning fra Finanstilsynet.

Grupper og allianser som ønsker å sende samlet melding etter DORA om IKT-tjenesteavtaler må melde dette til Finanstilsynet, selv om det er meldt tidligere etter finanstilsynsloven og meldepliktforskriften. Eventuelle endringer om hvilke foretak som er omfattet av slik samlet rapportering skal meldes fortløpende før endringen trer i kraft.

For slike meldinger benyttes Altinn-skjema KRT-1060 med referanse 25/7440 i felt 2.2.

Finanstilsynets behandling av meldinger

Foretaket vil motta et automatisk svarbrev om at meldingen er mottatt. Som utgangspunkt kan foretaket iverksette avtalen 30 dager etter innsendelse av melding.

Finanstilsynet kan etterspørre ytterligere opplysninger og dokumentasjon ved behov. For eksempel kan foretaket bli bedt om å sende kopi av risikovurdering og IKT-tjenesteavtale. I slike tilfeller vil Finanstilsynet gi foretaket en tilbakemelding på eventuelle forhold som må rettes, forhold som trenger særlig oppmerksomhet eller om meldingen tas til orientering.

Dersom Finanstilsynet avdekker manglende etterlevelse av artikkel 28 til 30 i DORA kan Finanstilsynet etter artikkel 50 pålegge foretaket å avslutte IKT-tjenesteavtalen eller gjøre endringer, også etter at avtalen er iverksatt.

Abonner på nyhetsvarsel