(1) EØS-avtalen vedlegg IX nr. 31q (forordning (EU) 2022/2554) om digital operasjonell motstandsdyktighet i finanssektoren gjelder som lov med de tilpasninger som følger av vedlegg IX, protokoll 1 til avtalen og avtalen for øvrig.

(2) Når det i loven her vises til DORA-forordningen, menes forordningen slik den til enhver tid er gjennomført og endret etter første eller fjerde ledd.

(3) Departementet kan fastsette utfyllende forskrifter til bestemmelsene i første ledd.

(4) Departementet kan i forskrift gjøre endringer i, herunder fastsette unntak fra, bestemmelsene i første ledd til gjennomføring av Norges forpliktelser etter EØS-avtalen.

(1) Departementet kan i forskrift fastsette at bestemmelsene i § 1 helt eller delvis skal gjelde for:

• a. foretak nevnt i DORA-forordningen artikkel 2 nr. 3,

• b. finansieringsforetak,

• c. låneformidlingsforetak,

• d. inkassoforetak,

• e. eiendomsmeglingsforetak,

• f. morselskap i finanskonsern.

(2) Departementet kan i forskrift fastsette forenklede krav for foretak nevnt i første ledd i samsvar med relevante bestemmelser i DORA-forordningen.

(1) Finanstilsynet er nasjonal tilsynsmyndighet etter DORA-forordningen og fører tilsyn med overholdelse av bestemmelser gitt i eller i medhold av denne loven.

(2) Departementet kan i forskrift fastsette utfyllende krav til rapportering, register over IKT-tjenesteavtaler og annen informasjon som foretak omfattet av §§ 1 eller 2 skal gi Finanstilsynet om inngåtte og planlagte avtaler om bruk av tjenester fra IKT-leverandører.

(3) Departementet kan i forskrift fastsette bestemmelser om rapportering av hendelser og deling av informasjon til andre varslingsmottakere enn Finanstilsynet.

(4) Departementet kan i forskrift fastsette bestemmelser om trusselbasert penetrasjonstesting (TLPT), herunder om fordeling av oppgaver og ansvar mellom norske myndighetsorgan i henhold til DORA-forordningen artikkel 26.

(1) Finanstilsynet kan ilegge fysiske personer eller foretak overtredelsesgebyr på inntil 50 millioner kroner ved overtredelse av følgende bestemmelser i DORA-forordningen:

• a. artikkel 5 om forvaltning og organisasjon,

• b. artikkel 6 om rammeverk for IKT-risikostyring,

• c. artikkel 8 om identifisering av IKT-relaterte funksjoner og avhengigheter,

• d. artikkel 9 nr. 4 om retningslinjer for sikkerhet mv. som del av rammeverket for IKT-risikostyring, jf. artikkel 6,

• e. artikkel 11 om respons og gjenoppretting,

• f. artikkel 12 om retningslinjer og prosedyrer for sikkerhetskopiering og gjenoppretting,

• g. artikkel 14 om planer for krisekommunikasjon,

• h. artikkel 16 nr. 1 og 2 om forenklet rammeverk for IKT-risikostyring,

• i. artikkel 17 om prosess for håndtering av IKT-relaterte hendelser,

• j. artikkel 19 nr. 1, 3 og 4 om rapportering av alvorlige IKT-relaterte hendelser,

• k. artikkel 24 om generelle krav til gjennomføringen av testing av digital operasjonell motstandsdyktighet,

• l. artikkel 25 nr. 2 om sårbarhetsvurderinger før bruk av nye systemer i verdipapirsentraler og sentrale motparter,

• m. artikkel 28 om generelle prinsipper for forsvarlig styring av IKT-tredjepartsrisiko,

• n. artikkel 42 nr. 3 annet avsnitt om hensyntaken til risiko avdekket hos IKT-leverandører.

Første punktum gjelder tilsvarende ved overtredelse av forskrifter som gjennomfører tekniske reguleringsstandarder fastsatt etter DORA-forordningen artikkel 15 og artikkel 16 nr. 3.

(2) Medvirkning til overtredelse som nevnt i første ledd, kan sanksjoneres på samme måte.

(3) Fysiske personer kan ilegges overtredelsesgebyr for forsettlige eller uaktsomme overtredelser. Foretak kan ilegges overtredelsesgebyr når foretaket eller noen som har handlet på foretakets vegne, forsettlig eller uaktsomt har begått en overtredelse som nevnt i første eller annet ledd.

(4) Adgangen til å ilegge overtredelsesgebyr foreldes fem år etter at overtredelsen er opphørt. Fristen avbrytes ved at Finanstilsynet gir forhåndsvarsel eller fatter vedtak om overtredelsesgebyr.

(5) Departementet kan i forskrift fastsette bestemmelser til utfylling og avgrensning av paragrafen her, og renter ved forsinket betaling av overtredelsesgebyret. Departementet kan i forskrift fastsette at den som forsettlig eller uaktsomt overtrer bestemmelser i forskrift gitt i medhold av loven, kan ilegges overtredelsesgebyr.

(1) Loven gjelder fra den tid Kongen bestemmer. Kongen kan sette i kraft de enkelte bestemmelser til forskjellig tid.

(2) Departementet kan fastsette overgangsregler.

Fra den tid loven trer i kraft, gjøres følgende endringer i andre lover:

1. I lov 29. juni 2007 nr. 75 om verdipapirhandel gjøres følgende endringer:

(1) EØS-avtalen vedlegg IX (forordning (EU) nr. 600/2014) om markeder for finansielle instrumenter (verdipapirmarkedsforordningen) som endret ved forordning (EU) nr. 1033/2016 og forordning (EU) 2022/2554, jf. lov om digital operasjonell motstandsdyktighet i finanssektoren § 1 gjelder som lov med de tilpasninger som følger av vedlegg IX, protokoll 1 til avtalen og avtalen for øvrig.

(1) Verdipapirforetak skal innrette sin virksomhet på følgende måte:

• 1. Foretaket skal ha tilstrekkelige og betryggende retningslinjer, rutiner og kontrollmetoder som skal sikre at foretaket, dets ledere, ansatte og tilknyttede agenter etterlever sine forpliktelser etter lov og forskrifter.

• 2. Foretaket skal være oppbygd og organisert på en slik måte at risikoen for interessekonflikter mellom foretaket og dets kunder, eller foretakets kunder seg imellom, begrenses til et minimum, jf. § 10-2.

• 3. Foretaket skal treffe rimelige tiltak som skal sikre kontinuitet og regelmessighet i investeringstjenestevirksomheten, herunder ha nødvendige systemer, ressurser og prosedyrer, inkludert IKT-systemer satt opp og håndtert i henhold til forordning (EU) 2022/2554 artikkel 7, jf. lov om digital operasjonell motstandsdyktighet i finanssektoren § 1.

• 4. Foretaket skal treffe betryggende tiltak slik at operasjonell risiko begrenses til et minimum når det benytter seg av en tredjepart til å utføre operasjonelle funksjoner, jf. annet ledd.

• 5. Foretaket skal ha gode administrasjons- og regnskapsrutiner, tilfredsstillende interne kontrollordninger og effektive prosedyrer for risikovurdering, samt stillingsinstrukser som særskilt regulerer ansvarsfordelingen mellom daglig leder og andre ledere av virksomheten.

• 6. Foretaket skal ha tilfredsstillende interne retningslinjer, rutiner og kontrollmetoder for personlige transaksjoner som foretas av foretakets ledere, ansatte og tilknyttede agenter.

• 7. Foretaket skal ha systemer som sikrer pålitelig og korrekt informasjonsoverføring, og som sikrer at opplysningene til enhver tid behandles fortrolig, samt reduserer risikoen for dataforfalskning, informasjonslekkasje og annen ulovlig tilgang til informasjonen i henhold til kravene i forordning (EU) 2022/2554, jf. lov om digital operasjonell motstandsdyktighet i finanssektoren § 1.

• 8. Foretaket skal sørge for dokumentasjon av alle investeringstjenester og all investeringsvirksomhet, herunder alle utførte transaksjoner, som skal være minst så fyllestgjørende at Finanstilsynet kan kontrollere om de regler Finanstilsynet har ansvar for, er overholdt. Slik dokumentasjon skal oppbevares i minst fem år, eller lengre tid dersom Finanstilsynet bestemmer det.

• 9. Foretaket skal ha interne instrukser for de ansattes adgang til å være medlem av styre, bedriftsforsamling eller foretaksforsamling eller ha slik innflytelse som nevnt i aksjeloven § 1-3 annet ledd i selskaper. Slike instrukser skal også omfatte styremedlemmer som har slik innflytelse i verdipapirforetaket som nevnt i aksjeloven § 1-3 annet ledd. Tilsvarende instrukser skal utarbeides for tilfeller der det er gitt unntak etter § 10-4 annet ledd.

• 10. Foretaket skal ha retningslinjer og rutiner for beregning og utbetaling av resultatavhengig godtgjørelse.

(1) Verdipapirforetak som utfører algoritmehandel, skal ha effektive systemer og risikokontroller som er egnet for virksomheten, for å sikre at foretakets handelssystemer er robuste og har tilstrekkelig kapasitet i henhold til kravene i forordning (EU) 2022/2554 kapittel II, jf. lov om digital operasjonell motstandsdyktighet i finanssektoren § 1, og er underlagt hensiktsmessige terskler og grenser for handler. Slike systemer og kontroller skal også hindre at det sendes uriktige ordrer eller at systemene skaper eller bidrar til uro i markedet. Verdipapirforetaket skal også ha effektive systemer og risikokontroller som sikrer at handelssystemene ikke kan brukes til formål som er i strid med reglene i kapittel 3 eller med reglene til en handelsplass som foretaket er tilknyttet.

(2) Verdipapirforetak som utfører algoritmehandel, skal ha effektive beredskapsplaner og -systemer i henhold til kravene i forordning (EU) 2022/2554 artikkel 11, jf. lov om digital operasjonell motstandsdyktighet i finanssektoren § 1, for å håndtere en eventuell svikt i dets handelssystemer og skal påse at systemet er fullt testet og tilfredsstillende overvåket slik at det oppfyller kravene i bestemmelsen her og i forordning (EU) 2022/2554 kapittel II og IV, jf. lov om digital operasjonell motstandsdyktighet i finanssektoren § 1.

• 2. identifisering og håndtering av vesentlige risikoer som virksomheten utsettes for, herunder håndtering av risiko knyttet til IKT-systemer i henhold til forordning (EU) 2022/2554 kapittel II, jf. lov om digital operasjonell motstandsdyktighet i finanssektoren § 1,

(1) Et regulert marked skal ha effektive systemer, prosedyrer og ordninger for operasjonell motstandsdyktighet i henhold til forordning (EU) 2022/2554 kapittel II, jf. lov om digital operasjonell motstandsdyktighet i finanssektoren § 1, som til enhver tid sikrer at handelssystemet:

• 1. er robust og har tilstrekkelig kapasitet for å kunne håndtere høye ordre- og meldingsvolum,

• 2. sikrer velordnet handel ved alvorlig markedsuro,

• 3. er fullt gjennomtestet.

(2) Et regulert marked skal ha beredskapsplaner og systemer i henhold til forordning (EU) 2022/2554 artikkel 11, jf. lov om digital operasjonell motstandsdyktighet i finanssektoren § 1, som sikrer kontinuerlig drift ved svikt i handelssystemet.

(4) Et regulert marked skal kreve at medlemmene gjør hensiktsmessige tester av sine algoritmer, og skal stille testmiljøer tilgjengelig for slik testing i henhold til kravene i forordning (EU) 2022/2554 kapittel II og IV, jf. lov om digital operasjonell motstandsdyktighet i finanssektoren § 1.

(1) EØS-avtalen vedlegg IX nr. 31bc (forordning (EU) nr. 648/2012) om OTC-derivater, sentrale motparter og transaksjonsregistre (EMIR), som endret ved direktiv (EU) 2015/849 og forordning (EU) 2022/2554, jf. lov om digital operasjonell motstandsdyktighet i finanssektoren § 1, gjelder som lov med de tilpasninger som følger av vedlegg IX, protokoll 1 til avtalen og avtalen for øvrig.

(1) Verdipapirforetak, sentrale motparter, datarapporteringsforetak og markedsoperatører, samt IKT tredjeparts tjenesteleverandører som referert til i kapittel V i forordning (EU) 2022/2554, jf. lov om digital operasjonell motstandsdyktighet i finanssektoren § 1, plikter å gi Finanstilsynet de opplysninger som kreves om forhold som angår foretakets forretning og virksomhet. Tilsvarende gjelder foretak i samme konsern. Tilsvarende gjelder også for verdipapirforetaks tilknyttede agenter. Foretaket plikter å fremvise, og i tilfelle utlevere til kontroll, dokumentasjon etter § 9-16 første ledd nr. 8, herunder lydopptak og elektronisk kommunikasjon etter § 9-17, og øvrig fysisk og elektronisk dokumentasjon som angår virksomheten.

2. I lov 25. november 2011 nr. 44 om verdipapirfond skal § 2-11 første ledd nr. 1 lyde:

• 1. gode administrasjons- og regnskapsrutiner og kontroll- og sikkerhetsordninger for elektronisk databehandling, herunder for nettverk og systemer som er etablert og håndtert etter forordning (EU) 2022/2554, jf. lov om digital operasjonell motstandsdyktighet i finanssektoren § 1,

3. I lov 20. juni 2014 nr. 28 om forvaltning av alternative investeringsfond skal § 3-1 første ledd bokstav b lyde:

• b. gode administrasjons- og regnskapsrutiner, kontroll- og sikkerhetsordninger for elektronisk databehandling, herunder for nettverk og systemer som er etablert og håndtert etter forordning (EU) 2022/2554, jf. lov om digital operasjonell motstandsdyktighet i finanssektoren § 1, og regler for ansattes personlige transaksjoner,

4. I lov 20. juni 2014 nr. 30 om kredittvurderingsbyråer skal § 1 lyde:

EØS-avtalen vedlegg IX nr. 31eb (forordning (EF) nr. 1060/2009) om kredittvurderingsbyråer (kredittvurderingsbyråforordningen), som endret ved forordning (EU) nr. 513/2011, direktiv 2011/61/EU, forordning (EU) nr. 462/2013 og forordning (EU) 2022/2554, jf. lov om digital operasjonell motstandsdyktighet i finanssektoren § 1, gjelder som lov med de tilpasninger som følger av vedlegg IX, protokoll 1 til avtalen og avtalen for øvrig.

5. I lov 10. april 2015 nr. 17 om finansforetak og finanskonsern gjøres følgende endringer:

(1) Et finansforetak skal organiseres og drives på en forsvarlig måte. Foretaket skal ha en klar organisasjonsstruktur og ansvarsfordeling samt klare og hensiktsmessige styrings- og kontrollordninger. Foretaket skal ha hensiktsmessige retningslinjer og rutiner for å identifisere, styre, overvåke og rapportere risiko foretaket er, eller kan bli, eksponert for. Foretaket skal ha nettverks- og informasjonssystemer i samsvar med forordning (EU) 2022/2554, jf. lov om digital operasjonell motstandsdyktighet i finanssektoren § 1. Foretaket skal også ha hensiktsmessige retningslinjer og rutiner for gjennomføring, overvåkning og regelmessig vurdering av godtgjørelsesordninger.

• g. å forenkle strukturen i foretaket eller konsernet for å sikre at kritiske funksjoner kan skilles ut juridisk og operasjonelt fra øvrig virksomhet for å sikre kontinuitet og digital operasjonell motstandsdyktighet,

6. I lov 4. desember 2015 nr. 95 om fastsettelse av finansielle referanseverdier skal § 1 første ledd lyde:

(1) EØS-avtalen vedlegg IX (forordning (EU) 2016/1011) om indekser brukt som referanseverdier i finansielle instrumenter og finansielle kontrakter eller for å måle resultatet i investeringsfond (referanseverdiforordningen), som endret ved forordning (EU) 2022/2554, jf. lov om digital operasjonell motstandsdyktighet i finanssektoren § 1, gjelder som lov med de tilpasninger som følger av vedlegg IX, protokoll 1 til avtalen og avtalen for øvrig.

7. I lov 15. mars 2019 nr. 6 om verdipapirsentraler og verdipapiroppgjør mv. § 1-1 skal første ledd lyde:

EØS-avtalen vedlegg IX forordning (EU) nr. 909/2014 (om forbedring av verdipapiroppgjør i Den europeiske union og om verdipapirsentraler samt om endring av direktiv 98/26/EF og 2014/65/EU og forordning (EU) nr. 236/2012 (verdipapirsentralforordningen)) som endret ved forordning (EU) 2022/2554, jf. lov om digital operasjonell motstandsdyktighet i finanssektoren § 1, gjelder som lov med de tilpasninger som følger av vedlegg IX til avtalen, protokoll 1 til avtalen og avtalen for øvrig.

8. I lov 21. juni 2024 nr. 41 om Finanstilsynet (finanstilsynsloven) skal § 4-6 første ledd lyde:

(1) Med unntak av avtaler om bruk av tjenester fra IKT-leverandører som nevnt i forordning (EU) 2022/2554 kapittel V, jf. lov om digital operasjonell motstandsdyktighet i finanssektoren §§ 1 og 2, skal foretak under tilsyn melde fra til Finanstilsynet ved inngåelse av avtale om utkontraktering av virksomhet som er kritisk eller viktig for foretaket, og ved endringer av slike avtaler. Meldingen skal gis minst 60 dager før iverksettelsen av avtalen eller avtaleendringen.

• 2. forbindelsene mellom rapporteringspliktige som nevnt i § 4 første ledd bokstav a til c, e, g til l og n til p seg imellom, herunder der lignende tjenester ytes av en korrespondentinstitusjon til en respondentinstitusjon, samt forbindelsene som er opprettet med sikte på verdipapirtransaksjoner, pengeoverføringer og overføringer av kryptoeiendeler.

• l. kryptoeiendeler: eiendeler som nevnt i forordning (EU) 2023/1114 artikkel 3 nr. 1 punkt 5, med unntak av eiendeler som nevnt i artikkel 2 nr. 2 til 4 og eiendeler som nevnt i forordning (EU) 2023/1113 artikkel 3 punkt 8.

• m. kryptoeiendelstjenesteyter: person som nevnt i forordning (EU) 2023/1114 artikkel 3 nr. 1 punkt 15, når vedkommende yter tjenester som nevnt i artikkel 3 nr. 1 punkt 16, unntatt når vedkommende yter rådgivning som nevnt i artikkel 3 nr. 1 punkt 16 bokstav h.

• n. frittstående adresse: frittstående adresse som nevnt i forordning (EU) 2023/1113 artikkel 3 punkt 20.

• p. kryptoeiendelstjenesteytere

(5) Departementet kan i forskrift gi regler som gir loven anvendelse for foretak som formidler finansiering ved donasjon.

• d. pengeoverføringer og overføringer av kryptoeiendeler når dette er påkrevd etter forordning (EU) 2023/1113, jf. § 52.

Ved gjennomføring av transaksjoner til eller fra frittstående adresser skal kryptoeiendelstjenesteytere foreta en konkret risikovurdering av transaksjonen. Minst ett av følgende forsterkede kundetiltak skal gjennomføres:

• a. identifisering og verifisering av identiteten til avsenderen og mottakeren og deres reelle rettighetshavere

• b. krav om ytterligere informasjon om midlenes opprinnelse og mottakeren av de overførte kryptoeiendelene

• c. forsterket løpende oppfølging av transaksjonene

• d. andre tiltak for å motvirke og håndtere risikoen for hvitvasking og terrorfinansiering

• e. tiltak for å motvirke og håndtere risiko knyttet til oppfølging av økonomiske sanksjoner og sanksjoner tilknyttet finansiering av masseødeleggelsesvåpen, som følger av regler om gjennomføring av internasjonale sanksjoner.

(1) Ved inngåelse av en avtale om korrespondentforbindelse med en institusjon fra stat utenfor EØS som respondentinstitusjon, skal rapporteringspliktige som nevnt i § 4 første ledd bokstav a til c, e, g til l og n til p

• a. innhente tilstrekkelige opplysninger om respondentinstitusjonen for å forstå virksomhetens art og omdømme og tilsynets kvalitet. Rapporteringspliktige etter § 4 første ledd bokstav p skal også fastslå om respondentinstitusjonen er registrert eller har konsesjon.

• b. vurdere respondentinstitusjonens tiltak mot hvitvasking og terrorfinansiering

• c. påse at det innhentes godkjenning fra overordnet før etablering av ny korrespondentforbindelse

• d. dokumentere institusjonenes ansvar

• e. ved oppgjørskonti forsikre seg om at respondentinstitusjonen

  • 1. har bekreftet identiteten til og fører løpende oppfølging av kunder som har direkte adgang til konti hos korrespondentinstitusjonen, og

  • 2. på anmodning kan fremlegge relevante opplysninger fra kundetiltakene og den løpende oppfølgingen til korrespondentinstitusjonen.

(2) Med oppgjørskonto som nevnt i første ledd bokstav e, menes konto eller konto for kryptoeiendeler hos rapporteringspliktig som kan disponeres av en tredjepart som er kunde av respondentinstitusjon.

(3) En kryptoeiendelstjenesteyter som avslutter en korrespondentforbindelse på grunn av egne rutiner etter denne loven, skal dokumentere begrunnelsen for beslutningen.

Dersom rapporteringspliktige eller noen som har handlet på vegne av et rapporteringspliktig foretak, har overtrådt §§ 6 til 8, kapittel 4, §§ 25, 26, 27, 28, 30, 35, 36, 39, 42 eller 52 eller forskrift gitt i medhold av disse bestemmelsene, kan tilsynsmyndigheten ilegge den rapporteringspliktige overtredelsesgebyr.

Rapporteringspliktige som nevnt i § 4 første ledd bokstav a til c, e, g til k, n og p, kan ilegges overtredelsesgebyr på inntil 44 millioner kroner. Det samme gjelder styremedlemmer, ledere, ansatte og andre som utfører oppdrag på vegne av rapporteringspliktige som nevnt i § 4 første ledd bokstav a til c, e, g til k, n og p, dersom de kan ilegges overtredelsesgebyr etter annet og tredje ledd.

(1) EØS-avtalen vedlegg IX nr. 23b (forordning (EU) 2023/1113) om opplysninger som skal følge overføringer av penger og visse kryptoeiendeler (TFR II) gjelder som lov med de tilpasninger som følger av vedlegg IX, protokoll 1 til avtalen og avtalen for øvrig.

(2) Departementet kan i forskrift gi regler i tråd med forordning (EU) 2023/1113 artikkel 26 om lagring av personopplysninger utover fem år, men ikke i mer enn til sammen ti år.

II

• 1. Loven gjelder fra den tid Kongen bestemmer. Kongen kan sette i kraft de enkelte bestemmelsene til forskjellig tid.

• 2. Departementet kan gi overgangsregler.