Lovspeil

Lov om digital operasjonell motstandsdyktighet i finanssektoren (DORA-loven)

DORA-loven

Denne siden viser Lov om digital operasjonell motstandsdyktighet i finanssektoren (DORA-loven) i en brukervennlig struktur med kapitler, paragrafer og stabile lenker til hver bestemmelse.

Dokumenttype
Lov
Dato
2025-05-27
Nummer
18
Kilde
Lovdata
Departement
Finansdepartementet
I kraft
2025-07-01, Kongen bestemmer
Sist importert
17. juni 2026
Rettsområde
Bank, finans og regnskapsrett, Børs- og verdipapir, EU/EØS-rett, Finansielle tjenester, Selskaper, fond og foreninger, Fond, Bank, finans og regnskapsrett, Banker, Bank, finans og regnskapsrett, Betalingsformidling, Bank, finans og regnskapsrett, Forsikring, Bank, finans og regnskapsrett, Obligasjoner, Bank, finans og regnskapsrett, Erstatnings- og forsikringsrett, Ansvarsforsikringer, Erstatnings- og forsikringsrett, Livsforsikring, Erstatnings- og forsikringsrett, Skadeforsikring, Selskaper, fond og foreninger, EU/EØS-rett, Arbeids- og sosialpolitikk, Pensjons- og trygderett
Vis på Lovdata ↗

§ 1. Forordningen om digital operasjonell motstandsdyktighet i finanssektorenegen side

(2) Når det i loven her vises til DORA-forordningen, menes forordningen slik den til enhver tid er gjennomført og endret etter første eller fjerde ledd.
(3) Departementet kan fastsette utfyllende forskrifter til bestemmelsene i første ledd.
(4) Departementet kan i forskrift gjøre endringer i, herunder fastsette unntak fra, bestemmelsene i første ledd til gjennomføring av Norges forpliktelser etter EØS-avtalen.

§ 2. Forordningens anvendelse på andre foretakegen side

(1) Departementet kan i forskrift fastsette at bestemmelsene i § 1 helt eller delvis skal gjelde for:
  1. foretak nevnt i DORA-forordningen artikkel 2 nr. 3,
  2. finansieringsforetak,
  3. låneformidlingsforetak,
  4. inkassoforetak,
  5. eiendomsmeglingsforetak,
  6. morselskap i finanskonsern.
(2) Departementet kan i forskrift fastsette forenklede krav for foretak nevnt i første ledd i samsvar med relevante bestemmelser i DORA-forordningen.

§ 3. Tilsyn mv.egen side

(1) Finanstilsynet er nasjonal tilsynsmyndighet etter DORA-forordningen og fører tilsyn med overholdelse av bestemmelser gitt i eller i medhold av denne loven.
(2) Departementet kan i forskrift fastsette utfyllende krav til rapportering, register over IKT-tjenesteavtaler og annen informasjon som foretak omfattet av §§ 1 eller 2 skal gi Finanstilsynet om inngåtte og planlagte avtaler om bruk av tjenester fra IKT-leverandører.
(3) Departementet kan i forskrift fastsette bestemmelser om rapportering av hendelser og deling av informasjon til andre varslingsmottakere enn Finanstilsynet.
(4) Departementet kan i forskrift fastsette bestemmelser om trusselbasert penetrasjonstesting (TLPT), herunder om fordeling av oppgaver og ansvar mellom norske myndighetsorgan i henhold til DORA-forordningen artikkel 26.

§ 4. Overtredelsesgebyregen side

(1) Finanstilsynet kan ilegge fysiske personer eller foretak overtredelsesgebyr på inntil 50 millioner kroner ved overtredelse av følgende bestemmelser i DORA-forordningen:
  1. artikkel 5 om forvaltning og organisasjon,
  2. artikkel 6 om rammeverk for IKT-risikostyring,
  3. artikkel 8 om identifisering av IKT-relaterte funksjoner og avhengigheter,
  4. artikkel 9 nr. 4 om retningslinjer for sikkerhet mv. som del av rammeverket for IKT-risikostyring, jf. artikkel 6,
  5. artikkel 11 om respons og gjenoppretting,
  6. artikkel 12 om retningslinjer og prosedyrer for sikkerhetskopiering og gjenoppretting,
  7. artikkel 14 om planer for krisekommunikasjon,
  8. artikkel 16 nr. 1 og 2 om forenklet rammeverk for IKT-risikostyring,
  9. artikkel 17 om prosess for håndtering av IKT-relaterte hendelser,
  10. artikkel 19 nr. 1, 3 og 4 om rapportering av alvorlige IKT-relaterte hendelser,
  11. artikkel 24 om generelle krav til gjennomføringen av testing av digital operasjonell motstandsdyktighet,
  12. artikkel 25 nr. 2 om sårbarhetsvurderinger før bruk av nye systemer i verdipapirsentraler og sentrale motparter,
  13. artikkel 28 om generelle prinsipper for forsvarlig styring av IKT-tredjepartsrisiko,
  14. artikkel 42 nr. 3 annet avsnitt om hensyntaken til risiko avdekket hos IKT-leverandører.

Første punktum gjelder tilsvarende ved overtredelse av forskrifter som gjennomfører tekniske reguleringsstandarder fastsatt etter DORA-forordningen artikkel 15 og artikkel 16 nr. 3.

(2) Medvirkning til overtredelse som nevnt i første ledd, kan sanksjoneres på samme måte.
(3) Fysiske personer kan ilegges overtredelsesgebyr for forsettlige eller uaktsomme overtredelser. Foretak kan ilegges overtredelsesgebyr når foretaket eller noen som har handlet på foretakets vegne, forsettlig eller uaktsomt har begått en overtredelse som nevnt i første eller annet ledd.
(4) Adgangen til å ilegge overtredelsesgebyr foreldes fem år etter at overtredelsen er opphørt. Fristen avbrytes ved at Finanstilsynet gir forhåndsvarsel eller fatter vedtak om overtredelsesgebyr.
(5) Departementet kan i forskrift fastsette bestemmelser til utfylling og avgrensning av paragrafen her, og renter ved forsinket betaling av overtredelsesgebyret. Departementet kan i forskrift fastsette at den som forsettlig eller uaktsomt overtrer bestemmelser i forskrift gitt i medhold av loven, kan ilegges overtredelsesgebyr.

§ 5. Ikrafttredelse og overgangsbestemmelseregen side

(1) Loven gjelder fra den tid1 Kongen bestemmer. Kongen kan sette i kraft de enkelte bestemmelser til forskjellig tid.
(2) Departementet kan fastsette overgangsregler.

§ 6. Endringer i andre loveregen side

Fra den tid loven trer i kraft, gjøres følgende endringer i andre lover:
– – –
– – –