Høring

Nye regler om digital operasjonell motstandsdyktighet i finanssektoren (DORA)

Publisert
Adressat
Finansdepartementet
Skrevet av
Bank, finansiering og valuta
Sendt 3. april 2024

1 Innledning

Advokatforeningens tillitsvalgte advokater utfører et omfattende frivillig og ulønnet arbeid for å ivareta rettsstaten, rettssikkerheten og menneskerettighetene. En del av dette arbeidet består i å utarbeide høringsuttalelser. 

Advokatforeningens høringsarbeid er organisert i 27 lovutvalg og 13 faste utvalg, oppdelt etter særskilte rettsområder og rettslige interesseområder. Om lag hundre høringsuttalelser utarbeides av Advokatforeningens tillitsvalgte advokater hvert år.

Alle våre høringsuttalelser er forfattet av advokater med ekspertise innenfor det rettsområdet som lovforslaget gjelder. En ekspertise som ikke er hentet kun fra juridisk teori, men fra advokatenes praktiske erfaring med å bistå sine klienter – i den norske rettsstatens hverdag. Denne høringsuttalelsen er skrevet ut fra Advokatforeningens ønske om å bidra til gode lovgivningsprosesser, og gode lover. 

2  Sakens bakgrunn

Advokatforeningen viser til Finansdepartementets høringsbrev og høringsnotat av 23. januar 2024 om norsk gjennomføring av Digital Operational Resilience Act (DORA / forordningen), med høringsfrist 3. april 2024.

Dette høringssvaret er i hovedsak utarbeidet av Advokatforeningens lovutvalg for bank, finansiering og valuta. Lovutvalget for bank, finansering og valuta består av Carine Lindman-Johannesen (leder), Eirik Solem, Jan Bjørnsen, Elisabeth Eriksson, Hillevi Torngren Myhre, Hanne Ringnes Sanne og Hilde Høksnes, som alle har lang erfaring og god kompetanse innenfor det aktuelle rettsområdet.

3  Kommentarer til høringsforslaget

3.1  Fortolkning av «management body»

DORA legger en rekke ansvarsområder og oppgaver til «management body», slik at dette er et sentralt koblingsbegrep. Etter Advokatforeningens oppfatning bør høringsnotatets omtale av «management body» nyanseres for å reflektere kompetansedelingen mellom styret og daglig leder etter norsk rett. 

I høringsnotatets punkt 3.1.2 skrives følgende om hvordan «management body» skal forstås i norsk sammenheng: 

Rammeverket for IKT-risikostyringen skal etter nr. 2 fastsettes, godkjennes og overvåkes av foretakets ledelsesorgan. Ledelsesorganet er definert i artikkel 3 nr. 30 ved henvisninger til annet regelverk, hovedsakelig slik at det vises til organet som har ansvaret for å utarbeide foretakets strategi og overordnede mål og overvåke ledelsens beslutninger, som i norsk kontekst vil være styret.

Det er Advokatforeningens syn at uttalelsen kan forstås dithen at «management body» etter DORA er ensbetydende med styret i norske selskaper. Som påpekt i høringsnotatet henviser DORA art. 3 (30) til nærmere definisjoner i sektorreglene for blant annet kredittinstitusjoner (direktiv 2013/36, CRD IV) og verdipapirforetak (direktiv 2014/65, MiFID II). Deretter avsluttes DORA art. 3 (30) med følgende oppsamlingskategori for de tilfeller som ikke fanges opp av foregående henvisninger: 

[…] or the equivalent persons who effectively run the entity or have key functions in accordance with relevant Union or national law.

Etter norsk selskapsrett er det daglig leder, og ikke styret, som «effectively run the entity». Det fremgår også av forarbeidene til gjennomføringen av CRD IV og MiFID II at daglig leder i noen sammenhenger er å regne som «management body». I Prop. 77 L (2017-2018) om gjennomføringen av MiFID II i norsk rett er forholdet mellom management body og norske selskapsorganer grundig behandlet, se særlig punkt 5.2.3.5:

Departementet er enig i utvalgets vurdering av at ledelsesorgan (eng. management body) som definert i MiFID II (jf. artikkel 4 nr. 1 punkt 36) etter norsk rett må forstås enten som styret eller styret og daglig leder eller styret, daglig leder og faktisk ledelse, og at det må angis hvilket organ eller person i et verdipapirforetak det enkelte krav retter seg mot når bestemmelsen i MiFID II gjennomføres i verdipapirhandelloven. Departementet bemerker imidlertid at når MiFID II artikkel 9 (jf. CRD IV artikkel 88) om styringsordninger (eng. governance arrangements) gjennomføres i bestemmelse om styrets oppgaver og ansvar (jf. forslag til § 9-11), vil bestemmelsen utfylles av aksjelovenes generelle regler om henholdsvis styrets og daglig leders ansvar og oppgaver.

Videre er følgende uttalt i Prop. 125 L (2013-2014) om norsk gjennomføring CRD IV, se punkt 5.4.4:

Til FNOs merknad om at det kan være uklart hva som menes med «faktisk ledelse», viser departementet til at dette begrepet svarer til uttrykket «persons who effectively run the undertaking», jf. bla. Solvens II-direktivet artikkel 42 nr. 1, og at uttrykket må forstås på samme måte. Departementet viser i denne forbindelse også til definisjon av «management body» i CRD IV artikkel 3 nr. 1 (7), som lyder: «management body means an institution's body or bodies, which are appointed in accordance with national law, which are empowered to set the institution's strategy, objectives and overall direction, and which oversee and monitor management decision-making, and include the persons who effectively direct the business of the institution.

Også her er det tydelig at «management body» ikke er ensbetydende med styret, ettersom «faktisk ledelse» regnes inn i begrepet. 

Disse uttalelsene i forarbeidene må ses i sammenheng med at både CRD IV og MiFID II uttrykkelig forutsetter og hensyntar at det er ulik regulering av kompetansefordelingen mellom selskapsorganene i de ulike medlemslandenes selskapsrett:

MiFID II, fortalens punkt 55:

Different governance structures are used across Member States. In most cases a unitary or a dual board structure is used. The definitions used in this Directive are intended to embrace all existing structures without advocating any particular structure. They are purely functional for the purpose of setting out rules aiming to achieve a particular outcome irrespective of the national company law applicable to an institution in each Member State. The definitions should therefore not interfere with the general allocation of competences in accordance with national company law.

CRD IV, fortalens punkt 56: 

A management body should be understood to have executive and supervisory functions. The competence and structure of management bodies differ across Member States. In Member States where management bodies have a one-tier structure, a single board usually performs management and supervisory tasks. In Member States with a two-tier system, the supervisory function is performed by a separate supervisory board which has no executive functions and the executive function is performed by a separate management board which is responsible and accountable for the day-to-day management of the undertaking. Accordingly, separate tasks are assigned to the different entities within the management body.

I norsk rett er selskapsledelsen fordelt mellom styret og daglig leder, hvor utførende ansvar for den operative virksomheten ligger hos daglig leder, mens styret skal sørge for forsvarlig organisering og føre tilsyn med selskapets virksomhet. Dette henger sammen med at det vil være en lite hensiktsmessig ansvarsfordeling og forstyrrende for styrets kjerneoppgaver om styret også skal ha en sentral rolle i den operative virksomheten Ser man hen til de konkrete oppgavene som i DORA tillegges «management body», vil det etter Advokatforeningens oppfatning kunne være naturlig å legge følgende ansvarsområder under daglig leder: 

DORA art. 5 (1) 

The management body of the financial entity shall define, approve, oversee and be responsible for the implementation of all arrangements related to the ICT risk management framework referred to in Article 6(1).

DORA art. 5 (2) (g)

allocate and periodically review the appropriate budget to fulfil the financial entity’s digital operational resilience needs in respect of all types of resources, including relevant ICT security awareness programmes and digital operational resilience training referred to in Article 13(6), and ICT skills for all staff

DORA art. (4) 

Members of the management body of the financial entity shall actively keep up to date with sufficient knowledge and skills to understand and assess ICT risk and its impact on the operations of the financial entity, including by following specific training on a regular basis, commensurate to the ICT risk being managed.

Videre kan ytterligere oppgaver og ansvar bli tillagt «management body» i delegerte kommisjonsforordninger eller gjennom utfyllende veiledning fra europeiske tilsynsmyndigheter, som det kan tenkes å være naturlig å legge under daglig leder etter norsk rett. 

Etter Advokatforeningens oppfatning bør forarbeidene tydeliggjøre at ansvaret som påhviler «management body» etter DORA i noen sammenhenger vil falle inn under ansvarsområdet til daglig leder, gitt kompetansefordelingen mellom styret og daglig leder etter norsk rett. Dette vil etter Advokatforeningens oppfatning være i samsvar med den norske implementeringen av CRD IV og MiFID II.

3.2   Virkeområde – finansieringsforetak

IKT-forskriften gjelder for flere typer foretak som ikke vil være omfattet av DORA, som inkassoforetak og eiendomsmeglerforetak. Departementet legger til grunn at IKT-forskriften kan videreføres som forenklede krav for foretak som i dag er omfattet av forskriften, alternativt fastsette at forordningskravene helt eller delvis skal gjelde for de unntatte foretakene, jf. høringsnotatet punkt 4.2.2. I lovforslaget § 2 er det foreslått en hjemmel for departementet til å fastsette at bestemmelsene i forordningen «helt eller delvis skal gjelde for foretak nevnt i forordning (EU) 2022/2554 artikkel 2 nr. 3, inkassoforetak og eiendomsmeglingsforetak.» Etter Advokatforeningens oppfatning bør det også tydeliggjøres hva som skal gjelde for finansieringsforetak, som ikke synes å være omfattet av forslagene i høringsnotatet. 

3.3  Utkontraktering og endringer i finanstilsynsloven

I henhold til finanstilsynsloven § 4c skal alle utkontrakteringsavtaler og endringer i disse (med presiseringer i forskrift om meldeplikt ved utkontraktering) meldes fortløpende til Finanstilsynet. Meldeplikten gjelder utkontraktering generelt, og er ikke begrenset til avtaler om IKT-tjenester. 

DORA art. 28 (3) oppstiller krav om at foretakene skal ha et register over bruk av tjenester fra IKT-leverandører, og at det minst årlig skal rapporteres til tilsynsmyndigheten om bruk av eksterne IKT-tjenester. 

Forpliktelsene etter finanstilsynsloven § 4c og DORA er ikke helt sammenfallende. Blant annet er innholdskravene til rapporteringen etter DORA annerledes utformet enn kravene til melding om utkontraktering etter §4c og forskrift om meldeplikt ved utkontraktering. Videre er tidspunkt for rapportering ulikt regulert. Ettersom det vil kunne skape uklarhet hos foretakene med hensyn til hvilke regler det skal rapporteres etter i et gitt tilfelle, bør finanstilsynsloven § 4c etter Advokatforeningens syn endres slik at bestemmelsen kun gjelder utkontraktering som ikke omfattes av DORA. 

3.4  Sanksjoner

DORA art. 50 og 51 gir nasjonale myndigheter forholdsvis vid adgang til selv å fastsette sanksjoner for brudd på reglene i forordningen. For administrative sanksjoner har departementet lagt til grunn at det bare vil være aktuelt med overtredelsesgebyr. I lovforslagets § 4 (1) er det satt en øvre grense på MNOK 50 ved forsettlig eller uaktsom overtredelse av nærmere angitte bestemmelser i forordningen. Flere av disse bestemmelsene er generelle og konkretiseres i andre bestemmelser, jf. høringsnotatet punkt 4.3.2. Det påpekes videre i høringsnotatet at «hensynet til klarhet og forutberegnelighet kan tilsi at også de bestemmelsene som utdyper de overordnede bestemmelsene angis særskilt i loven.» Advokatforeningen støtter denne vurderingen, og mener at det vil være hensiktsmessig å inkludere også de utdypende bestemmelsene slik at det ikke er tvil om hvilke bestemmelser som kan utløse overtredelsesgebyr ved brudd.

I tillegg til at hjemler for overtredelsesgebyrer bør utformes så tydelig som mulig, vil Advokatforeningen avslutningsvis bemerke at det er generelle betenkeligheter knyttet til en ukritisk innføring av overtredelsesgebyrer i denne størrelsesorden. Advokatforeningen har ikke innvendinger til administrative sanksjoner som sådan, men minner om at å ilegge administrative sanksjoner er å regne som straff etter EMK. Vi savner derfor en grundigere vurdering av de rettssikkerhetsmessige aspektene ved innføringen og bruken av denne type hjemler.
 
På finansområdet har innføring og bruk av overtredelsesgebyr vært særlig fremtredende i de senere år. Det er enkelte særskilte aspekter knyttet til Finanstilsynets ulike roller som reiser prinsipielle problemstillinger; på den ene siden som et tilsynsorgan med utstrakt dialog og veiledningsplikt til foretakene under tilsyn, og på den andre siden som etterforskende og gebyr-ileggende instans. Denne dobbeltrollen skaper en risiko for manglende rettssikkerhet i saksbehandling, ved at det ikke er noen formelle krav til en intern uavhengig vurdering av de faktiske og rettslige spørsmålene i slike saker. Som nevnt over er mange av de sanksjonerte bestemmelsene utpreget skjønnsmessige og komplekse. Til dette kan man innvende at Finanstilsynets vedtak kan påklages, eller bringes inn for domstolene. På finansområdet er imidlertid klagesaksbehandlingstiden uforutsigbar og kan ta "flere år", jf. NOU 2023:6 pkt. 21.2.3. 

Advokatforeningen ber på denne bakgrunn om at det vurderes nærmere hvorvidt dagens saksbehandlingsordning, herunder klagesaksbehandlingstiden, er i samsvar med kravene til en forsvarlig saksbehandling.

 

                                            Vennlig hilsen

 

Jon Wessel-Aas                                                              Merete Smith
leder                                                                              generalsekretær