Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Cybersikkerhed i den finansielle sektor: Lovgivning om DORA og NIS2 endeligt vedtaget

Kromann Reumert
14/05/2024
Cybersikkerhed i den finansielle sektor: Lovgivning om DORA og NIS2 endeligt vedtaget
Kromann Reumert logo
Fra januar 2025 skal finansielle virksomheder og operatører af finansiel digital infrastruktur overholde ny EU-regulering på cybersikkerhedsområdet (DORA og NIS2). De nødvendige lovændringer er nu vedtaget, og det giver Finanstilsynet hjemmel til at føre tilsyn med DORA-forordningen samt implementere NIS2-direktivet for IT-infrastrukturer i den finansielle sektor, herunder fælles datacentraler.

I denne nyhed dækker vi følgende: 


  • Baggrunden og behovet for ensartet regulering på cybersikkerhedsområdet 
  • Betydningen for (tilsynet med) finansielle virksomheder (DORA) 
  • Betydningen for (kravene til) finansielle IT-infrastrukturer (NIS2) 
  • De nye lovændringers ikrafttræden 


1. Baggrund

Med DORA-forordningen og NIS 2-direktivet sker der en modernisering af reglerne for tilsyn med IT- og cybersikkerhed i den finansielle sektor. Hensigten er at gennemføre en væsentlig udvidelse og harmonisering af de nuværende juridiske rammer for at styrke IT- og cybersikkerheden i sektoren. 


DORA-forordningen gælder umiddelbart for finansielle virksomheder og erstatter den 17. januar 2025 en række regler om finansielle virksomheders kontrol- og sikringsforanstaltninger på IT-området, herunder i ledelsesbekendtgørelserne, ligesom outsourcingbekendtgørelsen fremadrettet ikke vil gælde for outsourcing på det digitale operationelle område.


Operatører af finansiel digital infrastruktur på det finansielle område (fælles datacentraler og IT-operatører af detailbetalingssystemer) omfattes ikke af DORA-forordningen, men af NIS 2-direktivet, der implementeres i dansk ret i Q4 2024.


DORA og NIS2 medfører behov for, dels at Finanstilsynet har hjemmel til at påse finansielle virksomheders overholdelse af DORA-forordningen, dels at operatører af finansielle digitale infrastrukturer underlægges regler, der implementerer NIS2-direktivet. Dette tager en netop vedtaget ændringslov (L122) højde for og foretager derved nødvendige justeringer i blandt andet. lov om finansiel virksomhed, betalingsloven og kapitalmarkedsloven. 


2. Betydning for (tilsynet med) finansielle virksomheder

Nuværende krav til IT- og cybersikkerhed for finansielle virksomheder:

I dag er reglerne om IT- og cybersikkerhed for virksomheder på det finansielle område udmøntet i branchespecifikke hovedlove og bekendtgørelser, der med variation stiller mere eller mindre detaljerede krav til såkaldt "betryggende" eller "passende" kontrol- og sikringsforanstaltninger på IT-området.


De nuværende krav findes primært i: 


Reguleringen af IT- og cybersikkerhed i de gældende love og bekendtgørelser vil blive erstattet og/eller ophævet. Finansielle virksomheder skal derfor fremover fokusere på reglerne i, og i henhold til, DORA. 


DORAs krav til digital operationel robusthed 

DORA moderniserer og harmoniserer reglerne indenfor IT- og cybersikkerhed på tværs af den finansielle sektor. Forordningen fastsætter regler, der skal styrke den operationelle modstandsdygtighed i virksomhedernes informations- og kommunikationsteknologi (IKT), hvilket mindsker risikoen for især cyberangreb, begrænser skader og prioriterer genoptagelsen af aktiviteter i tilfælde af et cyberangreb. Dette opnås gennem detaljerede krav om:

  • digital risikostyring, herunder strategi, ledelse og governance
  • indberetning af større IKT-relaterede hændelser til myndigheder
  • test af cybertrusler 
  • styring af tredjepartsrisici
  • krav til IKT-kontrakter


Kreditinstitutter, operatører af markedspladser og centrale modparter er ligeledes omfattet af NIS2-direktivet. Eftersom kravene under DORA er mere omfattende end NIS2, vil NIS2's minimumskrav dog ikke (også) blive implementeret for disse aktører. I praksis er NIS2 derfor ikke relevant for finansielle virksomheder.


DORA gælder for en bred vifte af finansielle virksomheder, herunder: 

  • Banker og realkreditinstitutter 
  • Betalingsinstitutter 
  • E-pengeinstitutter 
  • Udbydere af kontooplysningstjenester 
  • Fondsmæglerselskaber 
  • Forsikrings- og genforsikringsvirksomheder 
  • Større forsikringsformidlere 
  • Arbejdsmarkedspensionsselskaber 
  • Forvaltere af alternative investeringsfonde 
  • Udbydere af kryptoaktivtjenester 
  • Markedspladser 
  • Værdipapircentraler 
  • Centrale modparter (CCP'er) 
  • Udbydere af dataindberetningstjenester 
  • Crowdfundingtjenesteudbydere 
  • Transaktionsregistre 
  • Administratorer af kritiske benchmarks 
  • Securitiseringsregistre 
  • Kreditvurderingsbureauer 


Bemærk: Der er forenklede krav til IT-risikostyring for: 


  • Betalings- og e-pengeinstitutter med en begrænset tilladelse 
  • Arbejdsmarkedsrelaterede pensionskasser, der forvalter pensionsordninger med mindre end 100 medlemmer i alt 
  • Små og ikke indbyrdes forbundne fondsmæglerselskaber 


Ændringer til FIL med videre som følge af DORA og NIS2 

DORA bliver umiddelbart gældende i dansk ret uden yderligere implementering. Der er således kun enkelte områder, hvor der er behov for, at dansk lovgivning implementerer specifikke danske forhold.  


Finanstilsynet bliver med ændringsloven kompetent myndighed til at påse virksomhedernes overholdelse af bestemmelserne i DORA-forordningen og får hjemmel til at sanktionere overtrædelser af forordningen. Det vil ske indenfor den allerede etablerede tilsynsramme. Finanstilsynet har således mulighed for at indhente oplysninger og benytte de reaktionsmuligheder i relation til DORA, som allerede udgør et led i Finanstilsynets almindelige tilsynsudøvelse.  


De væsentligste ændringer i den eksisterende danske lovgivning, som følge af DORA er derfor, at (dele af) de mange bekendtgørelser ovenfor erstattes eller helt bortfalder samt at DORA-forordningen tilføjes de eksisterende tilsyns-, delegations- og klagebestemmelser i de finansielle hovedlove, eksempelvis kapitel 21 og 23 i lov om finansiel virksomhed. 


Ved en fremtidig bekendtgørelse skal Danmarks Nationalbank  varetage anliggender vedrørende trusselsbaserede penetrationstests (TLPT-tests). Det er en naturlig rolle i lyset af, at Nationalbanken i dag er myndighed for TIBER-DK programmet. 


3. Betydning for (kravene til) finansielle digitale infrastrukturer

Ændringsloven implementerer NIS2-direktivets krav for operatører af finansielle digitale infrastrukturer i lov om finansiel virksomhed.  


Finanstilsynet kan med den nye lov udpege fælles datacentraler og IT-operatører af detailbetalingssystemer som operatører af finansielle digitale infrastrukturer, som således på cybersikkerhedsområdet underkastes Finanstilsynets tilsyn. Det omfatter eksempelvis Bankdata, BEC, SDC, Gensam, JN Data, e-nettet og Mastercard, der i dag er registreret som fælles datacentraler. 


Implementeringen af NIS2 i relation til fælles datacentraler og IT-operatører af detailbetalingssystemer er "løftet" til et DORA-niveau for at opnå en ensartet regulering. Det indebærer, at NIS2's bredt formulerede minimumskrav er suppleret med DORA-specifikke krav til blandt andet  strategier og politikker, ledelsens opgaver, rapportering af hændelser, tredjepartsrisici, leverandørkontrakter samt intern og ekstern systemrevision.  


Lovændringen giver Finanstilsynet bemyndigelse til at fastsætte nærmere regler, så operatører af finansielle digitale infrastrukturer kan opfylde eventuelle krav, der bliver fastsat i medfør af delegerede retsakter til NIS2-direktivet, eller krav som udspringer af DORA-forordningen. 


Finanstilsynets eksisterende tilsynsramme, der følger af lov om finansiel virksomhed (kapitel 21 og 23), og som også i dag gælder for fælles datacentraler, finder tilsvarende anvendelse for operatører af finansielle digitale infrastrukturer. 


Hvilke operatører af finansielle digitale infrastrukturer kan udpeges af Finanstilsynet?

Finanstilsynet kan udpege virksomheder, der leverer kritiske tjenester til finansielle virksomheders drift, som operatører af finansiel digital infrastruktur. 


To overordnede kriterier skal være opfyldt: 


Virksomheden tilbyder:  

  • Digital infrastruktur (eksempelvis datacentre) eller managed services omfattet af NIS2 direktivet. 


Virksomhedens kerneaktivitet er:  

  • At drive, administrere eller udvikle tjenester, der er nødvendige for kritiske og vigtige forretningsfunktioner i finansielle virksomheder under DORA-forordningen. 


Baseret på disse kriterier er typiske operatører: 


  • Fælles datacentraler: Datacentre, hvis primære funktion er IT-drift eller udvikling for flere finansielle virksomheder (og som ofte ejes af disse virksomheder). 
  • Datacentre for den fælles betalingsinfrastruktur: Datacentre, der udfører kritisk IT-drift og -udvikling for betalingsinfrastrukturen (medmindre de har tilladelse som IT-operatør for et detailbetalingssystem). 
  • Virksomheder med tilladelse til IT-drift af et detailbetalingssystem: Et betalingssystem, der primært bruges til clearing af betalinger i danske kroner mellem private personer, virksomheder, offentlige myndigheder og indbyrdes mellem disse. 


4. Ikrafttræden

Ændringsloven træder i kraft den 1. juni 2024. Loven kommer i Retsinformation, når den er stadfæstet. Indtil da kan den vedtagne version findes her


Reglerne vedrørende operatører af finansielle digitale infrastrukturer, der er gennemgået ovenfor, træder imidlertid i kraft den 18. oktober 2024. Visse bestemmelser afventer dog DORAs ikrafttræden, og vil derfor først træde i kraft den 17. januar 2025. Et væsentligt eksempel er Finanstilsynets mulighed for at pålægge bøder for manglende overholdelse af DORA, der først kan forekomme fra DORAs ikrafttræden. 


DORA's regler for de finansielle virksomheder træder i kraft den 17. januar 2025. 

Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os.
Kromann Reumert logo
København
Sundkrogsgade 5
2100 København Ø
70 12 12 11
mail@kromannreumert.com
Aarhus
Rådhuspladsen 3
8000 Aarhus C
London
65 St. Paul's Churchyard
London EC4M 8AB
Gratis Nyhedsservice
Gå ikke glip af vigtig juridisk viden
Vær den første til at modtage relevante juridiske nyheder inden for dine interesseområder
Tilmeld dig nu
Artikler, der kunne være relevante for dig
Hvad betyder vedtagelsen af "Listing Act" for udstedere af gældsinstrumenter og kapitalandele?
Hvad betyder vedtagelsen af "Listing Act" for udstedere af gældsinstrumenter og kapitalandele?
29/10/2024
EU-ret, Udbud
FIDIC Yellow Book i vedvarende energiprojekter
FIDIC Yellow Book i vedvarende energiprojekter
29/10/2024
EU-ret, Fast ejendom og entreprise, Energi og forsyning
Produktsikkerhedsforordningen
Produktsikkerhedsforordningen
31/10/2024
EU-ret, Forsikring og erstatning
Google nægter tredjepartsadgang til Android Auto: Muligt misbrug af dominerende stilling
Google nægter tredjepartsadgang til Android Auto: Muligt misbrug af dominerende stilling
11/11/2024
Konkurrenceret, EU-ret
Nyt sanktionsregime i EU mod hybride trusler fra Rusland
Nyt sanktionsregime i EU mod hybride trusler fra Rusland
06/11/2024
Compliance, EU-ret
Højesteret afviser Forbrugerombudsmandens sag om overtrædelse af kreditværdighedsvurderingspligten
Højesteret afviser Forbrugerombudsmandens sag om overtrædelse af kreditværdighedsvurderingspligten
19/11/2024
Finansiering og bankret
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du at udgive materiale?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted