Cybersikkerhed i den finansielle sektor: Lovgivning om DORA og NIS2 endeligt vedtaget
I denne nyhed dækker vi følgende:
- Baggrunden og behovet for ensartet regulering på cybersikkerhedsområdet
- Betydningen for (tilsynet med) finansielle virksomheder (DORA)
- Betydningen for (kravene til) finansielle IT-infrastrukturer (NIS2)
- De nye lovændringers ikrafttræden
1. Baggrund
Med DORA-forordningen og NIS 2-direktivet sker der en modernisering af reglerne for tilsyn med IT- og cybersikkerhed i den finansielle sektor. Hensigten er at gennemføre en væsentlig udvidelse og harmonisering af de nuværende juridiske rammer for at styrke IT- og cybersikkerheden i sektoren.
DORA-forordningen gælder umiddelbart for finansielle virksomheder og erstatter den 17. januar 2025 en række regler om finansielle virksomheders kontrol- og sikringsforanstaltninger på IT-området, herunder i ledelsesbekendtgørelserne, ligesom outsourcingbekendtgørelsen fremadrettet ikke vil gælde for outsourcing på det digitale operationelle område.
Operatører af finansiel digital infrastruktur på det finansielle område (fælles datacentraler og IT-operatører af detailbetalingssystemer) omfattes ikke af DORA-forordningen, men af NIS 2-direktivet, der implementeres i dansk ret i Q4 2024.
DORA og NIS2 medfører behov for, dels at Finanstilsynet har hjemmel til at påse finansielle virksomheders overholdelse af DORA-forordningen, dels at operatører af finansielle digitale infrastrukturer underlægges regler, der implementerer NIS2-direktivet. Dette tager en netop vedtaget ændringslov (L122) højde for og foretager derved nødvendige justeringer i blandt andet. lov om finansiel virksomhed, betalingsloven og kapitalmarkedsloven.
2. Betydning for (tilsynet med) finansielle virksomheder
Nuværende krav til IT- og cybersikkerhed for finansielle virksomheder:
I dag er reglerne om IT- og cybersikkerhed for virksomheder på det finansielle område udmøntet i branchespecifikke hovedlove og bekendtgørelser, der med variation stiller mere eller mindre detaljerede krav til såkaldt "betryggende" eller "passende" kontrol- og sikringsforanstaltninger på IT-området.
De nuværende krav findes primært i:
- Bilag 5 i ledelsesbekendtgørelsen for pengeinstitutter mv. (for banker, realkreditinstitutter, investeringsforvaltningsselskaber og fondsmæglerselskaber);
- Bilag 4 i ledelsesbekendtgørelsen for forsikringsselskaber mv. og ledelsesbekendtgørelsen for firmapensionskasser (for forsikringsselskaber og firmapensionskasser);
- Kapitalmarkedsloven, herunder kapitel 12, samt Kommissionens delegerede forordning (EU) 2017/584 (på kapitalmarkedsområdet);
- Betalingsloven § 25, stk. 1, nr. 8 (for e-pengeinstitutter og betalingsinstitutter); og
- Outsourcingbekendtgørelsen for kreditinstitutter mv.
Reguleringen af IT- og cybersikkerhed i de gældende love og bekendtgørelser vil blive erstattet og/eller ophævet. Finansielle virksomheder skal derfor fremover fokusere på reglerne i, og i henhold til, DORA.
DORAs krav til digital operationel robusthed
DORA moderniserer og harmoniserer reglerne indenfor IT- og cybersikkerhed på tværs af den finansielle sektor. Forordningen fastsætter regler, der skal styrke den operationelle modstandsdygtighed i virksomhedernes informations- og kommunikationsteknologi (IKT), hvilket mindsker risikoen for især cyberangreb, begrænser skader og prioriterer genoptagelsen af aktiviteter i tilfælde af et cyberangreb. Dette opnås gennem detaljerede krav om:
- digital risikostyring, herunder strategi, ledelse og governance
- indberetning af større IKT-relaterede hændelser til myndigheder
- test af cybertrusler
- styring af tredjepartsrisici
- krav til IKT-kontrakter
Kreditinstitutter, operatører af markedspladser og centrale modparter er ligeledes omfattet af NIS2-direktivet. Eftersom kravene under DORA er mere omfattende end NIS2, vil NIS2's minimumskrav dog ikke (også) blive implementeret for disse aktører. I praksis er NIS2 derfor ikke relevant for finansielle virksomheder.
DORA gælder for en bred vifte af finansielle virksomheder, herunder:
- Banker og realkreditinstitutter
- Betalingsinstitutter
- E-pengeinstitutter
- Udbydere af kontooplysningstjenester
- Fondsmæglerselskaber
- Forsikrings- og genforsikringsvirksomheder
- Større forsikringsformidlere
- Arbejdsmarkedspensionsselskaber
- Forvaltere af alternative investeringsfonde
- Udbydere af kryptoaktivtjenester
- Markedspladser
- Værdipapircentraler
- Centrale modparter (CCP'er)
- Udbydere af dataindberetningstjenester
- Crowdfundingtjenesteudbydere
- Transaktionsregistre
- Administratorer af kritiske benchmarks
- Securitiseringsregistre
- Kreditvurderingsbureauer
Bemærk: Der er forenklede krav til IT-risikostyring for:
- Betalings- og e-pengeinstitutter med en begrænset tilladelse
- Arbejdsmarkedsrelaterede pensionskasser, der forvalter pensionsordninger med mindre end 100 medlemmer i alt
- Små og ikke indbyrdes forbundne fondsmæglerselskaber
Ændringer til FIL med videre som følge af DORA og NIS2
DORA bliver umiddelbart gældende i dansk ret uden yderligere implementering. Der er således kun enkelte områder, hvor der er behov for, at dansk lovgivning implementerer specifikke danske forhold.
Finanstilsynet bliver med ændringsloven kompetent myndighed til at påse virksomhedernes overholdelse af bestemmelserne i DORA-forordningen og får hjemmel til at sanktionere overtrædelser af forordningen. Det vil ske indenfor den allerede etablerede tilsynsramme. Finanstilsynet har således mulighed for at indhente oplysninger og benytte de reaktionsmuligheder i relation til DORA, som allerede udgør et led i Finanstilsynets almindelige tilsynsudøvelse.
De væsentligste ændringer i den eksisterende danske lovgivning, som følge af DORA er derfor, at (dele af) de mange bekendtgørelser ovenfor erstattes eller helt bortfalder samt at DORA-forordningen tilføjes de eksisterende tilsyns-, delegations- og klagebestemmelser i de finansielle hovedlove, eksempelvis kapitel 21 og 23 i lov om finansiel virksomhed.
Ved en fremtidig bekendtgørelse skal Danmarks Nationalbank varetage anliggender vedrørende trusselsbaserede penetrationstests (TLPT-tests). Det er en naturlig rolle i lyset af, at Nationalbanken i dag er myndighed for TIBER-DK programmet.
3. Betydning for (kravene til) finansielle digitale infrastrukturer
Ændringsloven implementerer NIS2-direktivets krav for operatører af finansielle digitale infrastrukturer i lov om finansiel virksomhed.
Finanstilsynet kan med den nye lov udpege fælles datacentraler og IT-operatører af detailbetalingssystemer som operatører af finansielle digitale infrastrukturer, som således på cybersikkerhedsområdet underkastes Finanstilsynets tilsyn. Det omfatter eksempelvis Bankdata, BEC, SDC, Gensam, JN Data, e-nettet og Mastercard, der i dag er registreret som fælles datacentraler.
Implementeringen af NIS2 i relation til fælles datacentraler og IT-operatører af detailbetalingssystemer er "løftet" til et DORA-niveau for at opnå en ensartet regulering. Det indebærer, at NIS2's bredt formulerede minimumskrav er suppleret med DORA-specifikke krav til blandt andet strategier og politikker, ledelsens opgaver, rapportering af hændelser, tredjepartsrisici, leverandørkontrakter samt intern og ekstern systemrevision.
Lovændringen giver Finanstilsynet bemyndigelse til at fastsætte nærmere regler, så operatører af finansielle digitale infrastrukturer kan opfylde eventuelle krav, der bliver fastsat i medfør af delegerede retsakter til NIS2-direktivet, eller krav som udspringer af DORA-forordningen.
Finanstilsynets eksisterende tilsynsramme, der følger af lov om finansiel virksomhed (kapitel 21 og 23), og som også i dag gælder for fælles datacentraler, finder tilsvarende anvendelse for operatører af finansielle digitale infrastrukturer.
Hvilke operatører af finansielle digitale infrastrukturer kan udpeges af Finanstilsynet?
Finanstilsynet kan udpege virksomheder, der leverer kritiske tjenester til finansielle virksomheders drift, som operatører af finansiel digital infrastruktur.
To overordnede kriterier skal være opfyldt:
Virksomheden tilbyder:
- Digital infrastruktur (eksempelvis datacentre) eller managed services omfattet af NIS2 direktivet.
Virksomhedens kerneaktivitet er:
- At drive, administrere eller udvikle tjenester, der er nødvendige for kritiske og vigtige forretningsfunktioner i finansielle virksomheder under DORA-forordningen.
Baseret på disse kriterier er typiske operatører:
- Fælles datacentraler: Datacentre, hvis primære funktion er IT-drift eller udvikling for flere finansielle virksomheder (og som ofte ejes af disse virksomheder).
- Datacentre for den fælles betalingsinfrastruktur: Datacentre, der udfører kritisk IT-drift og -udvikling for betalingsinfrastrukturen (medmindre de har tilladelse som IT-operatør for et detailbetalingssystem).
- Virksomheder med tilladelse til IT-drift af et detailbetalingssystem: Et betalingssystem, der primært bruges til clearing af betalinger i danske kroner mellem private personer, virksomheder, offentlige myndigheder og indbyrdes mellem disse.
4. Ikrafttræden
Ændringsloven træder i kraft den 1. juni 2024. Loven kommer i Retsinformation, når den er stadfæstet. Indtil da kan den vedtagne version findes her.
Reglerne vedrørende operatører af finansielle digitale infrastrukturer, der er gennemgået ovenfor, træder imidlertid i kraft den 18. oktober 2024. Visse bestemmelser afventer dog DORAs ikrafttræden, og vil derfor først træde i kraft den 17. januar 2025. Et væsentligt eksempel er Finanstilsynets mulighed for at pålægge bøder for manglende overholdelse af DORA, der først kan forekomme fra DORAs ikrafttræden.
DORA's regler for de finansielle virksomheder træder i kraft den 17. januar 2025.