Forslag til forskrift til DORA-loven
1 Innledning
Advokatforeningens tillitsvalgte advokater utfører et omfattende frivillig og ulønnet arbeid for å ivareta rettsstaten, rettssikkerheten og menneskerettighetene. En del av dette arbeidet består i å utarbeide høringsuttalelser.
Advokatforeningens høringsarbeid er organisert i 29 lovutvalg, oppdelt etter særskilte rettsområder og rettslige interesseområder. Om lag hundre høringsuttalelser utarbeides av Advokatforeningens tillitsvalgte advokater hvert år.
Alle våre høringsuttalelser er forfattet av advokater med ekspertise innenfor det rettsområdet som lovforslaget gjelder. En ekspertise som ikke er hentet kun fra juridisk teori, men fra advokatenes praktiske erfaring med å bistå sine klienter – i den norske rettsstatens hverdag. Denne høringsuttalelsen er skrevet ut fra Advokatforeningens ønske om å bidra til gode lovgivningsprosesser, og gode lover.
2 Sakens bakgrunn
Vi viser til høring om forskrift til DORA-loven, publisert den 11. april 2025 og med høringsfrist den 30. mai 2025.
Høringen gjelder Finanstilsynets forslag og tilhørende høringsnotat til utfyllende forskrifter til den nye loven om digital operasjonell motstandsdyktighet i finanssektoren (DORA-loven).
Denne høringsuttalelsen er i hovedsak utarbeidet av Advokatforeningens lovutvalg for IKT og personvern. Lovutvalget består av Malin Tønseth (leder), Kari Gimmingsrud, Gry Cathrine Steen Hvidsten, Knut-Erik Jakhelln, Odd Randgaard Kleiva, Ole Martin Moe og Eli Karine Navestad, som alle har lang erfaring og god kompetanse innenfor det aktuelle rettsområdet.
3 Kommentarer til de enkelte forslagene
3.1 Delegert kommisjonsforordning (EU) 2024/1773 og styrebehandling av IT-avtaler
Høringen omfatter delegert kommisjonsforordning (EU) 2024/1773 som omhandler aspekter av IT-tjenester som støtter kritiske eller viktige funksjoner, herunder passende involvering av ledelsesorganet i beslutningsprosesser om bruk av slike tjenester, jfr. artikkel 4 (a). (Se høringens kapittel 3.3)
Videre omfatter høringen en redegjørelse for gjeldende regler om utkontraktering i IKT-forskriften §§ 2 og 12, som bl.a. inneholder dagens krav til styrebehandling av IT-avtaler. (Se høringens kapittel 2).
Advokatforeningen ser at høringen ikke direkte omtaler dagens krav til styrebehandling, men forstår at Finanstilsynet har signalisert at de vurderer å fortsette dagens praksis knyttet til styrebehandling ved inngåelse eller endringer av IT-avtaler som understøtter kritiske eller viktige funksjoner.
Advokatforeningen ønsker på denne bakgrunn å knytte noen kommentarer til dette.
3.1.1 Dagens rettstilstand
Det følger i dag av IKT-forskriften § 2 at "Avtaler om utkontraktering av IKT-virksomhet og endringer i slike avtaler skal behandles av styret." Ordlyden i forskriften skiller ikke på avtalens kritikalitet eller andre risikoindikatorer, eller endringens betydning.
I Rundskriv nr. 7 fra 2021 punkt 8.1 legger Finanstilsynet til grunn at "Dette gjelder alltid for utkontrakteringsavtaler som er kritiske eller viktige for foretaket. For andre utkontrakteringsavtaler legger Finanstilsynet til grunn at styret kan delegere til administrasjonen i foretaket å vurdere og beslutte om det skal inngås avtaler om utkontraktering, innenfor det alminnelig selskapsrett åpner for." Ved melding om utkontraktering til Finanstilsynet skal "styremøteprotokollen hvor det fremgår at styret har behandlet utkontrakteringsavtalen og risikovurdering av avtalen" vedlegges, jfr. meldepliktforskriften § 4.
Dette medfører, etter dagens lovgivning, et krav om behandling av alle IT-utkontrakteringsavtaler, og endringer i disse, som saker for styret, når avtalen støtter en kritisk eller viktig funksjon.
Etter Advokatforeningens syn er ikke enhver etablering av IT-avtaler, eller endringer av slike, noe det er naturlig eller hensiktsmessig at et styre skal behandle, selv om avtalene skulle støtte en kritisk eller viktig funksjon. Det er heller ikke noe slikt krav etter alminnelig selskapsrett. F.eks. kan endringen være av mindre betydning, avtalen kan være en forlengelse av en gammel avtale som ikke innebærer endring i risikobildet for bedriften, avtalen kan være innenfor en bredere fullmakt styret har gitt til daglig leder, eller avtalen kan bare i begrenset grad støtte den kritiske eller viktige funksjonen (se "level of reliance" i delegert kommisjonsforordning (EU) 2024/2956).
Advokatforeningen er bekymret for at en videreføring av dagens ordning kan undergrave bruk av formelle systemer for endringer i IT-avtaler (se f.eks. Statens standardavtaler SSA-T 2024 kapittel 3). Dette fordi det å anse noe som en endring kan utløse et krav om uhensiktsmessig styrebehandling. Advokatforeningen forstår at dagens ordning kan oppleves som unødvendig formalistisk og kan bidra til å trekke oppmerksomheten bort fra IT-sakene ledelsesorganet faktisk bør prioritere.
3.1.2 DORA
Advokatforeningen mener at DORA inneholder flere mekanismer som sikrer tilstrekkelig involvering av ledelsesorganet i vurderinger av risiko knyttet til IT-avtaler, og særlig IT-avtaler som støtter kritiske og viktige funksjoner:
- Ledelsesorganet skal på en passende måte involveres i beslutningsprosesser om bruk av IT-tjenester som støtter en kritisk eller viktig funksjon, jfr. kommisjonsforordning (EU) 2024/1773 artikkel 4 (a).
- Ledelsesorganet skal innføre passende rapportering for å bli informert om avtaler med IT-leverandører, vesentlige endringer i IT leveranser og potensielle innvirkninger av endringene samt større IT-relaterte hendelser, jfr. DORA artikkel 5 (2) (i).
- Foretakene skal i utgangpunktet ha en egen rolle som overvåker dokumentasjon og risiko knyttet til IT-avtaler, jfr. DORA artikkel 5 (3).
- Ledelsesorganet skal jevnlig få risikoinformasjon om IT-avtaler som støtter kritisk eller viktige funksjoner, jfr. DORA artikkel 28 (2).
- Finanstilsynet skal informeres om planlagte IT-avtaler som støtter kritisk eller viktige funksjoner innen rimelig tid, jfr. DORA artikkel 28 (3), siste avsnitt.
- Foretakene skal dessuten minst årlig rapportere til Finanstilsynet om nye IT-avtaler som er inngått, jfr. DORA artikkel 28 (3) nest siste avsnitt og DORA loven § 3 (2).
Etter Advokatforeningens syn er formålet bak IKT-forskriften §§ 2 og 12 derfor godt ivaretatt i DORA. DORA har en mer fleksibel tilnærming som er bedre tilpasset både store og små finansforetak. Samtidig som DORA er forenelig med alminnelig selskapsrett og Finansdepartementets uttalelser i Prop. 54 L (2024-2025) punkt 2.5.4.3 om styrets og daglig leders oppgaver.
En særnorsk tilnærming som krever behandling i styrene til finansforetak ved inngåelse eller endring av alle IT-avtaler som støtter en kritisk eller viktig funksjon kan slå særlig uheldig ut under DORA siden flere IT-avtaler enn de som i dag reguleres etter utkontrakteringsregelverket vil omfattes av DORA.
Advokatforeningen forstår at norske myndigheter for tiden forsøker å identifisere unødige særnorske krav i eksisterende regelverk og da vil det være særlig uheldig å fortsette dagens praksis etter at DORA-loven er i kraft.
3.1.3 Avslutning
På denne bakgrunn mener Advokatforeningen at det ikke er hensiktsmessig at dagens ordning med særlige krav til styrebehandling av IT-avtaler, og endringer i slike, videreføres. Hvorvidt en IT-avtale, eller en endring i slike, skal styrebehandles eller ikke, bør følge av alminnelige selskapsrettslige prinsipper og på linje med Finansdepartementets uttalelser i Prop. 54 L (2024-2025).
Vennlig hilsen
Siri Teigum Merete Smith
leder generalsekretær