1.1 Lov om digital operasjonell motstandsdyktighet i finanssektoren (DORA)

Departementet fremmer i kapittel 2 i proposisjonen forslag til ny lov om digital operasjonell motstandsdyktighet i finanssektoren (DORA-loven) som vil gjennomføre EØS-regler som svarer til Europaparlaments- og rådsforordning (EU) 2022/2554 av 14. desember 2022 og endringsdirektiv (EU) 2022/2556 av 14. desember 2022 om digital operasjonell motstandsdyktighet i finanssektoren («Digital Operational Resilience Act», DORA).

Lovforslaget innebærer nye krav til sikkerheten i nettverks- og informasjonssystemer som understøtter virksomheten i foretak i finanssektoren. Det stilles krav til foretakenes risikostyring, avtaler om bruk av IKT-tjenester, felleseuropeisk overvåking av kritiske IKT-leverandører og tilsyn og tilsynssamarbeid. Regelverket skal øke tilliten til det finansielle systemet, opprettholde stabilitet og unngå store kostnader for økonomien ved å minimere konsekvenser og kostnader ved IKT-forstyrrelser.

Foretakene i den norske finanssektoren har i mange år vært underlagt regelverk og tilsyn som skal bidra til en høy grad av IKT-sikkerhet, enten foretakene drifter løsningene selv eller har utkontraktert dette til IKT-leverandører. Særlig stiller IKT-forskriften fra 2003 omfattende krav til foretakenes risikostyring, hendelseshåndtering og bruk av IKT-leverandører.

DORA-regelverket innebærer harmonisering av krav til IKT-sikkerhet i finansielle foretak i Europa. Gjennomføring av regelverket i norsk rett vil gjøre at kravene til foretakene i den norske finanssektoren styrkes, selv om dagens norske regelverk og tilsynsmessige oppfølging bygger på de samme prinsippene som de nye kravene.

1.2 Endringer i hvitvaskingsloven om opplysninger som skal følge overføringer av penger og visse kryptoeiendeler (TFR II)

Departementet fremmer i kapittel 3 i proposisjonen forslag til endringer i lov 1. juni 2018 nr. 23 om tiltak mot hvitvasking og terrorfinansiering (hvitvaskingsloven) som vil gjennomføre EØS-regler som svarer til Europaparlaments- og rådsforordning (EU) 2023/1113 av 31. mai 2023 om opplysninger som skal følge overføringer av penger og visse kryptoeiendeler, og om endringer i direktiv (EU) 2015/849 av 20. mai 2015 om forebyggende tiltak mot bruk av det finansielle systemet i forbindelse med hvitvasking av penger eller finansiering av terrorisme (fjerde hvitvaskingsdirektiv).

Forordning (EU) 2023/1113 («Transfer of Funds Regulation II», TFR II) inneholder krav til tjenesteytere om innhenting, bekreftelse, lagring og overføringer av opplysninger om avsendere og mottakere av pengeoverføringer og overføringer av kryptoeiendeler. Disse kravene eksisterte allerede for tradisjonelle pengeoverføringer gjennom forordning (EU) 2015/847 (TFR I), men utvides i TFR II til å gjelde også for tjenesteytere som sender og mottar kryptoeiendeler. I tillegg innfører forordningen rapporteringsplikt for kryptoeiendelstjenesteytere, hvilket betyr at disse underlegges plikter i hvitvaskingsregelverket på lik linje med tradisjonelle betalingstjenesteytere.