DORA - 32022R2554
Regulation (EU) 2022/2554 of the European Parliament and of the Council of 14 December 2022 on digital operational resilience for the financial sector and amending Regulations (EC) No 1060/2009, (EU) No 648/2012, (EU) No 600/2014, (EU) No 909/2014 and (EU) 2016/1011
Þýðing EES-gerðar birtist hér á íslensku við upptöku í EES-samninginn og birtingu í EES-viðbæti.
Gerð ekki til á íslensku
-
Tillaga sem gæti verið EES-tæk
-
Gerð í skoðun hjá EES-EFTA ríkjunum
-
Drög að ákvörðun sameiginlegu nefndarinnar í skoðun
-
Ákvörðun sameiginlegu nefndarinnar samþykkt en hefur ekki öðlast gildi
-
Tekin upp í EES-samninginn og í gildi
-
Tekin upp í EES-samninginn en ekki lengur í gildi
Staða og svið tillögu/gerðar
Staða tillögu/gerðar | ESB gerð í skoðun hjá Íslandi, Liechtenstein og Noregi til upptöku í EES-samninginn |
---|---|
Svið (EES-samningur, viðauki) | 09 Fjármálaþjónusta |
Almennar upplýsingar
Útdráttur
Með reglugerð ESB 2022/2554 (DORA) eru kröfur til áhættustýringar og viðbúnaðar m.t.t. stafræns viðnámsþróttar samhæfðar þvert á aðila á fjármálamarkaði, að teknu tilliti til stærðar og áhættusniðs; eðlis, umfangs og flækjustigs þjónustu/starfsemi og kerfislegs mikilvægis. Tilkynningaskylda er samræmd að því er varðar alvarleg atvik og krafa gerð um skráningu og flokkun allra atvika í/tengdum net- og upplýsingakerfum. Áætlanir um viðbúnað og samfelldan rekstur skulu skjalfestar og í reglugerðinni eru meginreglur settar fram um vöktun áhættu sem steðjað getur að fjármálaþjónustu vegna útvistunar/frá ytri tækniþjónustuveitendum. Kveðið er á um skyldu til einfaldra eða ógnamiðaðra netöryggisprófana sem stuðla eiga að bættu áfallaþoli innviða og starfsemi á fjármálamarkaði. Með gerðinni er komið á fót sameiginlegri umgjörð yfirsýnar með stærstu tækniþjónustuveitendum sem útnefndir verða sem mikilvægir á sameiginlegum innri markaði fjármálaþjónustu (Union Oversight Framework).
Nánari efnisumfjöllun
Með reglugerð ESB 2022/2554 (DORA) eru kröfur til áhættustýringar og viðbúnaðar m.t.t. stafræns viðnámsþróttar samhæfðar þvert á aðila á fjármálamarkaði, að teknu tilliti til stærðar og áhættusniðs; eðlis, umfangs og flækjustigs þjónustu/starfsemi og kerfislegs mikilvægis. Tilkynningaskylda er samræmd að því er varðar alvarleg atvik og krafa gerð um skráningu og flokkun allra atvika í/tengdum net- og upplýsingakerfum. Samkvæmt DORA skal lögbært stjórnvald (hér á landi Fjármálaeftirlit Seðlabanka Íslands) staðfesta móttöku atvikatilkynninga og er jafnframt heimilt að bregðast með viðeigandi hætti við tilkynningu, s.s. með almennum leiðbeiningum um mögulegar ráðstafanir, gera aðgengilegar upplýsingar um/tengdar tilteknum tegundum ógna/atvika eða ræða mótvægisaðgerðir og aðferðir til að lágmarka tjón þvert á fjármálakerfið. Sérhver aðili er þó ávallt ábyrgur fyrir þeim aðgerðum sem gripið er til.DORA kveður á um að áætlanir um viðbúnað og samfelldan rekstur skuli skjalfestar og meginreglur skulu settar fram um vöktun áhættu sem steðjað getur að fjármálaþjónustu vegna útvistunar/frá ytri tækniþjónustuveitendum. Kveðið er á um skyldu til einfaldra eða ógnamiðaðra netöryggisprófana, eftir atvikum, sem stuðla eiga að bættu áfallaþoli innviða og starfsemi á fjármálamarkaði. Þá er rennir DORA frekari stoðum undir heimildir til miðlunar upplýsinga um ógnir og áhættu sem steðjað getur að starfsemi á fjármálamarkaði, enda sé samstarf um slíkt formgert og nánar tilgreind skilyrði uppfyllt. Með gerðinni er komið á fót sameiginlegri umgjörð yfirsýnar með tækniþjónustuveitendum sem útnefndir verða sem mikilvægir á sameiginlegum innri markaði fjármálaþjónustu (Union Oversight Framework). Með DORA-reglugerðinni eru gerðar breytingar á ýmsum gildandi reglugerðum á sviði fjármálaþjónustu. Hún verður innleidd hér á landi með tilvísunaraðferð. Samhliða reglugerðinni var samþykkt breytingatilskipun (ESB) 2022/2556, DORA-tilskipunin, sem ennfremur breytir ýmsum gildandi tilskipununum að því er varðar stafrænan viðnámsþrótt (eða áfallaþol) fjármálamarkaðar. Tilskipunin verður innleidd með breytingum á gildandi lögum.DORA-gerðirnar eru hluti af stafrænum fjármálapakka ESB og upptaka/innleiðing DORA á Íslandi skilgreind sem aðgerð í aðgerðaráætlun stjórnvalda í netöryggismálum, á grundvelli netöryggisstefnu fyrir Ísland 2022-2037, á ábyrgð fjármála- og efnahagsráðuneytis. Unnið er að undirbúningi upptöku gerðanna í EES-samninginn og stefnt að því að nýtt regluverk öðlist gildi í EFTA ríkjunum innan EES á svipuðum tíma og í aðildarríkjum ESB. Samhliða samþykkt DORA var netöryggistilskipun ESB (NIS1) endurnýjuð í heild sinni, en gildissvið nýju tilskipunarinnar 2022/2555 (NIS2) er mun víðtækara en þeirrar fyrri. Í 1. gr. DORA er skilmerkilega tekið af skarið um að efnisákvæði hennar teljist sérlög (e. sector-specific Union legal act) og gangi þar með framar efnisreglum NIS2 að því er varðar aðila á fjármálamarkaði sem skilgreindir verða að landslögum á grundvelli NIS2 sem ómissandi eða mikilvægir (e. essential or important entities). Upptaka/innleiðing NIS2 á Íslandi er einnig skilgreind í aðgerðaráætlun stjórnvalda í netöryggismálum, á ábyrgð háskóla-, iðnaðar- og nýsköpunarráðuneytis. Stefnt er að því að upptaka og innleiðing DORA og NIS2 haldist í hendur, ef þess er kostur, í ljósi efnislegra snertiflata gerðanna.
Ábyrgðaraðilar
Ábyrgt ráðuneyti | Fjármála- og efnahagsráðuneytið |
---|---|
Ábyrg stofnun | Seðlabanki Íslands |
Samþykktar gerðir birtar í Stjórnartíðindum ESB
CELEX-númer | 32022R2554 |
---|---|
Þennan dag skulu skilyrði uppfyllt í ESB | |
Samþykkt tilvísun í Stjórnartíðindi ESB | OJ L 333, 27.12.2022, p. 1 |
Þennan dag skulu skilyrði uppfyllt í ESB |
Vinnslustig (pipeline stage)
COM numer | COM(2020) 595 |
---|---|
Dagsetning tillögu ESB | |
Dagsetning tillögu | |
Samþykktardagur i ESB |