DORA - 32022R2554

Með reglugerð ESB 2022/2554 (DORA) eru kröfur til áhættustýringar og viðbúnaðar m.t.t. stafræns viðnámsþróttar samhæfðar þvert á aðila á fjármálamarkaði, að teknu tilliti til stærðar og áhættusniðs; eðlis, umfangs og flækjustigs þjónustu/starfsemi og kerfislegs mikilvægis. Tilkynningaskylda er samræmd að því er varðar alvarleg atvik og krafa gerð um skráningu og flokkun allra atvika í/tengdum net- og upplýsingakerfum. Samkvæmt DORA skal lögbært stjórnvald (hér á landi Fjármálaeftirlit Seðlabanka Íslands) staðfesta móttöku atvikatilkynninga og er jafnframt heimilt að bregðast með viðeigandi hætti við tilkynningu, s.s. með almennum leiðbeiningum um mögulegar ráðstafanir, gera aðgengilegar upplýsingar um/tengdar tilteknum tegundum ógna/atvika eða ræða mótvægisaðgerðir og aðferðir til að lágmarka tjón þvert á fjármálakerfið. Sérhver aðili er þó ávallt ábyrgur fyrir þeim aðgerðum sem gripið er til.DORA kveður á um að áætlanir um viðbúnað og samfelldan rekstur skuli skjalfestar og meginreglur skulu settar fram um vöktun áhættu sem steðjað getur að fjármálaþjónustu vegna útvistunar/frá ytri tækniþjónustuveitendum. Kveðið er á um skyldu til einfaldra eða ógnamiðaðra netöryggisprófana, eftir atvikum, sem stuðla eiga að bættu áfallaþoli innviða og starfsemi á fjármálamarkaði. Þá er rennir DORA frekari stoðum undir heimildir til miðlunar upplýsinga um ógnir og áhættu sem steðjað getur að starfsemi á fjármálamarkaði, enda sé samstarf um slíkt formgert og nánar tilgreind skilyrði uppfyllt. Með gerðinni er komið á fót sameiginlegri umgjörð yfirsýnar með tækniþjónustuveitendum sem útnefndir verða sem mikilvægir á sameiginlegum innri markaði fjármálaþjónustu (Union Oversight Framework).  Með DORA-reglugerðinni eru gerðar breytingar á ýmsum gildandi reglugerðum á sviði fjármálaþjónustu. Hún verður innleidd hér á landi með tilvísunaraðferð. Samhliða reglugerðinni var samþykkt breytingatilskipun (ESB) 2022/2556, DORA-tilskipunin, sem ennfremur breytir ýmsum gildandi tilskipununum að því er varðar stafrænan viðnámsþrótt (eða áfallaþol) fjármálamarkaðar. Tilskipunin verður innleidd með breytingum á gildandi lögum.DORA-gerðirnar eru hluti af stafrænum fjármálapakka ESB og upptaka/innleiðing DORA á Íslandi skilgreind sem aðgerð í aðgerðaráætlun stjórnvalda í netöryggismálum, á grundvelli netöryggisstefnu fyrir Ísland 2022-2037, á ábyrgð fjármála- og efnahagsráðuneytis. Unnið er að undirbúningi upptöku gerðanna í EES-samninginn og stefnt að því að nýtt regluverk öðlist gildi í EFTA ríkjunum innan EES á svipuðum tíma og í aðildarríkjum ESB. Samhliða samþykkt DORA var netöryggistilskipun ESB (NIS1) endurnýjuð í heild sinni, en gildissvið nýju tilskipunarinnar 2022/2555 (NIS2) er mun víðtækara en þeirrar fyrri. Í 1. gr. DORA er skilmerkilega tekið af skarið um að efnisákvæði hennar teljist sérlög (e. sector-specific Union legal act) og gangi þar með framar efnisreglum NIS2 að því er varðar aðila á fjármálamarkaði sem skilgreindir verða að landslögum á grundvelli NIS2 sem ómissandi eða mikilvægir (e. essential or important entities). Upptaka/innleiðing NIS2 á Íslandi er einnig skilgreind í aðgerðaráætlun stjórnvalda í netöryggismálum, á ábyrgð háskóla-, iðnaðar- og nýsköpunarráðuneytis. Stefnt er að því að upptaka og innleiðing DORA og NIS2 haldist í hendur, ef þess er kostur, í ljósi efnislegra snertiflata gerðanna.