Høringssvar – nye regler om digital operasjonell motstandsdyktighet i finanssektoren (DORA)
Finansdepartementet Avgis elektronisk | Dato: 03.04.2024 |
Vår ref.: Deres ref.: 23/2778 |
Høringssvar – nye regler om digital operasjonell motstandsdyktighet i finanssektoren (DORA)
1. Innledning
Finans Norge viser til Finansdepartementets høringsbrev av 23.01.2024 der Finanstilsynets høringsnotat om behovet for endringer i norsk rett for å gjennomføre de forventede
EØS-forpliktelsene som svarer til DORA (Digital Operational Resilience Act), sendes på høring.
Norske finansforetak har lenge vært underlagt regelverk som skal bidra til høy motstandsdyktighet og IKT-sikkerhet. XXXX vil med sine omfattende og detaljerte regler føre til en ytterligere styrking av de norske finansforetakenes motstandsdyktighet.
Til tross for den økende globaliseringen i finansmarkedet, finnes det ikke et felleseuropeisk regelverk på dette området. Kravene til motstandsdyktighet og IKT-sikkerhet følger av ulike nasjonale regler, med økt risiko for at uønskede hendelser kan spre seg over landegrenser. XXXX som innebærer en harmonisering av regelverkene i EU, vil i denne sammenheng bidra til å styrke både motstandsdyktigheten og IKT-sikkerheten, men også samarbeidet i det internasjonale finansmarkedet.
Finans Norge er derfor positive til departementets forslag om å implementere de felleseuropeiske reglene som følger av DORA gjennom en ny lov om digital operasjonell motstandsdyktighet i finanssektoren.
Ved implementeringen er det viktig for Finans Norge at virkeområdet til DORA og tilstøtende regelverk tydelig avklares og samordnes. Dette for å sikre konsistens og klarhet i regelverket, men også for å hindre at finansforetakene dobbelreguleres. Finans Norge vil også understreke viktigheten av at strenge særnorske krav unngås der DORA åpner for nasjonalt handlingsrom. Omfattende bruk av strenge, særnorske krav, vil kunne virke etableringshindrene og konkurransereduserende.
Finans Norge vil i høringssvaret gi innspill som vi håper kan bidra til å legge grunnlaget for en god implementering av de felleseuropeiske reglene som følger av XXXX.
2. Finans Norges hovedsynspunkter
Finans Norges hovedsynspunkter:
• Finans Norge mener Finansdepartementet bør avklare virkeområdet til både DORA og IKT-forskriften.
Side 1 av 5
• Finans Norge mener Finansdepartementet bør samordne meldeplikten ved utkontraktering.
• Finans Norge mener den øvre rammen for overtredelsesgebyr er for høy, og at Finansdepartementet tydelig bør angi hvilke handlinger eller unnlatelser som kan føre til ileggelse av overtredelsesgebyr.
3. Nærmere om Finans Norges hovedsynspunkter
3.1. Finans Norge mener Finansdepartementet bør avklare virkeområdet til både DORA og IKT-forskriften
Finans Norge mener Finansdepartementet bør avklare virkeområdet til både DORA og IKT-forskriften.
Det fremgår av høringsnotatet i punkt 4.2.2 (side 26) vedrørende forholdet mellom DORA og IKT- forskriften:
«Departementet legger til grunn at det er rom for å ha nasjonale regler om IKT-risiko- styring mv. for foretak som er unntatt fra eller ikke omfattes av forordningen, f.eks. ved at IKT-forskriften videreføres som forenklede krav for foretak som i dag er omfattet av forskriften. I så fall bør kravene gjennomgås for å sikre konsistens med de mer omfattende forordningskravene, og alternativt kan det vurderes å fastsette at forordningskravene skal gjelde helt eller delvis for de unntatte foretakene. […] I utkastet til lov om digital operasjonell motstandsdyktighet i finanssektoren § 2 er det derfor tatt inn en hjemmel for departementet til å fastsette at bestemmelsene i forordningen helt eller delvis skal gjelde for unntatte foretak, inkassoforetak og eiendomsmeglerforetak, og herunder fastsette forenklede krav for slike foretak i samsvar med relevante bestemmelser i forordningen.»
Finans Norge forstår departementet dithen at IKT-forskriften skal videreføres, og at både DORA og IKT-forskriften skal være gjeldende samtidig i Norge.
XXXX vil i denne sammenheng erstatte IKT-forskriften for de finansforetakene som er omfattet av DORA. Selv om XXXX bygger på et proporsjonalitetsprinsipp, er det ikke redegjort for hvilke deler av DORA som skal gjelde for de ulike finansforetakene. Det er ikke klargjort hvilke finansforetak som vil få minimumskrav, og hvilke som eventuelt vil få utvidede krav.
Vedrørende IKT-forskriften, ser det ut som – på bakgrunn av formuleringene i punkt. 4.2.2 – at departementet foreslår at IKT-forskriften fortsatt skal være gjeldende overfor enkelte kategorier av finansforetak som er unntatt fra DORA etter art. 2 nr. 3. Det fremgår ikke nærmere hvilke finansforetak dette er ment å gjelde.
Flere av finansforetakene som er unntatt fra DORA, er i dag også unntatt fra IKT-forskriften. Å innta nye finansforetak i virkeområdet for IKT-forskriften, forutsetter en vurdering av hvorvidt
IKT-forskriften er et egnet rammeverk for slik virksomhet. Etter Finans Norges syn, er for eksempel IKT-forskriften lite egnet for forsikringsformidlingsforetak med lav omsetning. Slike forsikringsformidlingsforetak er unntatt fra DORA etter art. 2 nr. 3 og etter art. 3 nr. 64. Det kreves en nærmere begrunnelse for å tilordne denne kategorien av finansforetak til virkeområdet for
IKT-forskriften. Dette er ofte finansforetak som i liten grad er tilpasset standardene som
IKT-forskriften legger opp til. Proporsjonalitetsprinsippet tilsier derfor at slike finansforetak bør holdes utenfor IKT-forskriften.
Finans Norge vil påpeke behovet for en redaksjonell opprydning, med hensikt om å avklare virkeområdet til både DORA og IKT-forskriften.
3.2. Finans Norge mener Finansdepartementet bør samordne meldeplikten ved utkontraktering
Finans Norge mener Finansdepartementet bør samordne meldeplikten ved utkontraktering.
Forholdet mellom DORA og utkontraktering behandles i punkt 4.2.4 (side 27) i høringsnotatet. Finans Norge forstår departementet dithen at implementeringen vil føre til at finansforetakene ved utkontraktering får en dobbel meldeplikt, herunder etter DORA art. 28 og etter
finanstilsynsloven § 4 c. I høringsnotatet ber departementet om innspill knyttet til «finanstilsynsloven
§ 4 c bør endres slik at bestemmelsen bare gjelder annen utkontraktering enn det som omfattes av utkastet til lov om digital operasjonell motstandsdyktighet i finanssektoren.»
Finans Norge støtter endringer i finanstilsynsloven § 4 c, slik at denne bestemmelsen kun gjelder annen utkontraktering enn det som omfattes av utkastet til ny lov om digital operasjonell motstandsdyktighet i finanssektoren.
Etter Finans Norges syn, er det uhensiktsmessig at finansforetakene pålegges å melde utkontraktering til Finanstilsynet i to ulike kanaler. Finans Norge ser med fordel at departementet samordner meldeplikten ved utkontraktering. En slik samordning vil sikre konsistens og klarhet i regelverket, samt forhindre at finansforetakene dobbelreguleres på dette punkt.
Vi foreslår at finanstilsynsloven § 4 c første ledd endres til følgende:
§ 4 c.
Foretak som nevnt i § 1 [og som ikke er omfattet av lov om digital operasjonell motstandsdyktighet i finanssektoren] skal melde fra til Finanstilsynet ved inngåelse av avtale om utkontraktering av virksomhet, ved senere [vesentlig] endring av slik avtale og ved bytte av oppdragstaker. Meldingen skal gis minst 60 [20] virkedager før iverksettelsen av avtalen, avtaleendringen eller byttet av oppdragstaker.
Finans Norge foreslår at kravet til meldeplikt ved endringer av avtale, bare bør gjelde ved «vesentlig» endring. Utkontrakteringsavtaler vil ofte endres løpende som følge av revisjon av standardvilkår og prisendringer mv. Dette er endringer som ikke innebærer noen reell eller vesentlig endring av risikoprofil for den utkontrakterte virksomhet.
Videre foreslås det at fristen for meldeplikt, reduseres fra 60 virkedager til 20 virkedager. Dagens frist på 60 virkedager er uhensiktsmessig lang og lite praktisk anvendelig. Ofte har finansforetakene behov for å gjøre endringer på kort tid som følge av eksterne forhold utenfor deres kontroll.
3.3. Finans Norge mener den øvre rammen for overtredelsesgebyr er for høy, og at Finansdepartementet tydelig bør angi hvilke handlinger eller unnlatelser som kan føre til ileggelse av overtredelsesgebyr
Finans Norge mener den øvre rammen for overtredelsesgebyr er for høy, og at Finansdepartementet tydelig bør angi hvilke handlinger eller unnlatelser som kan føre til ileggelse av overtredelsesgebyr.
Finans Norge er av den oppfatning at overtredelsesgebyr på inntil 50 millioner kroner er for høy. Generelt gir en høy øvre ramme signaler om at gebyrenes størrelse er lite gjennomtenkt. En høy øvre ramme skaper også en forventning om at rammene skal benyttes av Finanstilsynet, med den konsekvens at Finanstilsynets rom for skjønnsutøvelse blir videre enn nødvendig. Dette bidrar til å svekke finansforetakenes rettssikkerhet og forutberegnelighet. Finans Norge ber derfor om at den øvre rammen på overtredelsesgebyrene reduseres.
Med hensyn til foreldelse, bør reglene harmoniseres med tilsvarende bestemmelser i tilstøtende regelverk. Vi foreslår at adgangen til å ilegge overtredelsesgebyr foreldes fem år etter at overtredelsen er opphørt, og at fristen avbrytes ved at Finanstilsynet gir forhåndsvarsel eller fatter vedtak om overtredelsesgebyr.
I høringsnotatet i punkt 4.3.2 (side 29) ber departementet om innspill knyttet til hvorvidt loven særskilt også skal angi overtredelsesbestemmelser som utdyper overordnende bestemmelser. Eksempelet som trekkes frem er DORA art. 6, som utdypes og konkretiseres av mer detaljerte krav i DORA art. 7-10.
I relasjon til EMK er overtredelsesgebyr å anse som straff. Legalitetsprinsippet og kravet til klar lovhjemmel for ileggelse av straff, tilsier at loven også bør angi de bestemmelsene som utdyper de overordnede bestemmelsene. Av hensyn til finansforetakenes rettssikkerhet og forutberegnelighet, bør det fremgå tydelig for finansforetakene hvilke handlinger eller unnlatelser som kan føre til ileggelse av overtredelsesgebyr. Finans Norge mener derfor at Finansdepartementet også bør angi særskilt i loven de bestemmelsene som utdyper de overordnede bestemmelsene.
For Finans Norge er det viktig at finansforetakenes rettssikkerhet og forutberegnelighet blir ivaretatt ved ileggelse av overtredelsesgebyr. For eksempel må finansforetakene gis en reell mulighet til å klage på vedtak om overtredelsesgebyr, og vedtaket må kunne overprøves av domstolene. Finans Norges forutsetter at EMKs krav til «rettferdig rettergang» etterleves ved ileggelse av overtredelsesgebyr. Vi viser særlig til behandlingen av administrative sanksjoner og forholdet til EMK i Prop. 62 L (2015- 2016).
Avslutningsvis, ønsker Finans Norge å påpeke at det er uheldig at Finanstilsynet som offentlig myndighet fungerer som utreder av nytt regelverk eller etter fullmakt fastsetter nytt regelverk, tolker det samme regelverket, kontrollerer at regelverket etterleves, og skal ilegge finansforetakene overtredelsesgebyr ved eventuelle brudd på etterlevelsen av regelverket. Vi viser for øvrig til Finans Norges høringssvar av 21.08.2020 i forbindelse med overtredelsesgebyr og ledelseskarantene i finansforetaksloven mv.
4. Avslutning og veien videre
XXXX vil med sine omfattende og detaljerte regler føre til en ytterligere styrking av motstandsdyktigheten og kravene til de norske finansforetakenes IKT-sikkerhet. Finans Norge håper innspillene som nevnt over kan bidra til å legge grunnlaget for en god implementering av de felleseuropeiske reglene som følger av XXXX.
Finans Norge bidrar gjerne i det videre arbeidet med implementeringen.
Med vennlig hilsen
Finans Norge
Xxxx Xxxxxx Xxxx Juridisk direktør
Xxxxxx Xxxxx Advokat