kom (2020) 0595 - Bilag 1: Grund- og nærhedsnotat om digital operationel modstandsdygtighed i den finansielle sektor (digital operationel robusthed

Europaudvalget 2020-21
KOM (2020) 0595 Bilag 1
Offentligt

5. januar 2021

GRUND- OG NÆRHEDSNOTAT TIL

FOLKETINGETS EUROPAUDVALG

Kommissionens forslag til Europa-Parlamentets og Rådets forordning

om digital operationel modstandsdygtighed i den finansielle sektor (di-

gital operationel robusthed - DORA) (KOM 2020/595)

1. Resumé

Kommissionen offentliggjorde den 24. september 2020 en pakke på området

for digital finansiering. Pakken består bl.a. af forslag til forordning om digi-

tal operationel robusthed (DORA). Baggrunden for forslaget er et ønske om

at imødegå de problemstillinger som den stadigt stigende digitalisering af

den finansielle sektor i EU indebærer.

Hensigten med forslaget er overordnet at bidrage til at skabe en mere sikker

og effektiv digital finansiel sektor ved at opstille en række harmoniserede EU-

krav og regler for finansielle virksomheder.

Forordningens tiltag falder inden for fire områder: 1) krav til finansielle virk-

somheders ledelse (fx kreditinstitutter), risikostyring, rapportering og cyber-

sikkerhed; 2) krav til udformningen af kontrakter mellem finansielle virksom-

heder og evt. it-leverandører; 3) rammer for fælles overvågning med kritiske

tredjeparts it-leverandører; og 4) rammer for tilsyn, håndhævelse og samar-

bejde mellem kompetente myndigheder.

Forordningen er ledsaget af et direktiv med ændringer i andre direktiver som

følge af forordningen.

Regeringen støtter formålet og ser generelt positivt på forslaget til forord-

ning. Det er vigtigt for regeringen at sikre en effektiv og digitalt fremtidssikret

finansiel sektor, som kan fortsætte med at levere de løsninger, som forbrugere

og virksomheder efterspørger.

Forslaget skal bidrage til at sikre den finansielle stabilitet, og regeringen

lægger i den forbindelse vægt på, at betalingsinfrastrukturer bliver omfattet

kom (2020) 0595 - Bilag 1: Grund- og nærhedsnotat om digital operationel modstandsdygtighed i den finansielle sektor (digital operationel robusthed - DORA)

2/12

af anvendelsesområdet, henset til deres væsentlige samfundsmæssige funk-

tion. Regeringen vil desuden arbejde for, at reglerne for de mindre finansielle

aktører på området bliver mere proportionale ift. deres risici.

2. Baggrund

Den digitale transformation af den finansielle sektor har medført en række

udfordringer, som bl.a. består af en forøget teknisk afhængighed og kon-

centration på færre

–

og større

–

leverandører, som i væsentligt omfang

falder uden for den eksisterende europæiske finansielle regulering og til-

syn. Dertil kommer et generelt stigende niveau for cyberrisici i den finan-

sielle sektor.

En særlig gruppe af leverandører, som den finansielle sektor gør øget brug

af, er leverandørerne af cloudtjenester

, som har vundet væsentlige mar-

kedsandele i alle dele af den finansielle sektor i EU, på grund af disse tje-

nesters fleksibilitet og skalérbarhed. Cloudleverandørernes størrelse, for-

retningsmodeller og kontraktstyper har medført en række udfordringer i

forhold til reguleringen af de finansielle virksomheders it-risikostyring.

Fremkomst af store leverandører, herunder særligt cloudleverandører, in-

debærer, at store dele af it-drift og en væsentlig del af it-udviklingen i dag

bliver varetaget af selskaber, som de finansielle virksomheder ikke har

kontrol med og indblik i

–

og som typisk kun giver de finansielle virksom-

heder valget mellem standardprodukter. Det stiller væsentligt højere krav

til styringen af kontrakterne med leverandørerne, og omvendt færre krav

til styring af konkret it-drift.

Det forhold, at ingen af cloudleverandørerne aktuelt er hjemmehørende in-

den for EU er problematisk i tilsynsøjemed og stiller derfor yderligere krav

til virksomhedernes håndhævelse af kontrakterne og de kompetente myn-

digheders håndhævelse af den finansielle lovgivning, der generelt stiller

krav til finansielle virksomheders it-sikkerhed. Cloudleverandørernes

grænseoverskridende karakter og det, at reglerne om tilsyn ikke kan hånd-

hæves direkte over for virksomheder uden for EU, har skabt et behov for

en mere fundamental revision af reglerne om it-tilsyn, end hvad der hidtil

har været tilfældet.

En styrkelse af den finansielle sektors digitale sikkerhed indgik allrede i

Kommissionens fintech handlingsplan fra marts 2018

, og de tre europæi-

ske tilsynsmyndigheder Den Europæiske Banktilsynsmyndighed (EBA),

Cloudtjenester er services som udbydes via internettet af en leverandør og som regel

ikke kræver fx intern infrastruktur eller hardware hos den købende part. De største leve-

randører i dag af cloudtjenester er bl.a. Microsoft, Amazon, Google, Apple og Alibaba.

KOM/2018/0109 final

kom (2020) 0595 - Bilag 1: Grund- og nærhedsnotat om digital operationel modstandsdygtighed i den finansielle sektor (digital operationel robusthed - DORA)

3/12

Den Europæiske Værdipapir- og Markedsmyndighed (ESMA) og Den Eu-

ropæiske Pensions- og Forsikringsmyndighed (EIOPA)

–

under samlebe-

tegnelsen ”ESA’erne”, udarbejdede i april 2019 et såkaldt ”Joint Advice”

til Kommissionen, der identificerede en række områder med behov for lov-

givningsmæssige forbedringer.

Hjemlen til den foreslåede forordning og direktiv er TFEU art. 114, og

både forordningen og direktivet skal vedtages af både Rådet og Parlamen-

tet.

3. Formål og indhold

Formålet med forslaget om digital operationel robusthed (Digital Operati-

onal Resilience Act, DORA) er at modernisere og harmonisere de regler,

der gælder for digitale operationelle risici, dvs. finansielle virksomheders

it-risici som følge af forandringerne i teknologianvendelsen i den finan-

sielle sektor. Harmoniseringen og moderniseringen ventes at gøre efterle-

velsen af reglerne nemmere i lyset af de forhindringer og den fragmente-

ring, som anvendelsen af de nuværende regler indebærer i forhold til de

finansielle virksomheders anvendelse af nye digitale muligheder.

Et væsentligt princip, som Kommissionen følger i dette arbejde, er princip-

pet om ”samme risici, samme regler, samme regulering”, som grundlæg-

gende handler om at sikre lige konkurrencevilkår og tilstrækkelig sikker-

hed.

For at sikre en sammenhæng til de krav der stilles med forordningen om-

fatter forordningen størstedelen af den finansielle sektor samt revisorer og

revisionsfirmaer. Den brede dækning har til hensigt at fremme en homogen

og sammenhængende anvendelse af alle de komponenter, der indgår i en

risikostyring.

Kommissionens forslag bygger i al væsentlighed på anbefalingerne i

ESA’ernes Joint Advice

med et fælles overordnet regelsæt, som med kun

enkelte undtagelser, bl.a. betalingsinfrastrukturer

, gælder for hele den fi-

JC 2019 26

Med »betalingsinfrastrukturer« menes i denne sammenhæng operatører af detailbeta-

lingssystemer, dvs. systemer til clearing (sumclearing, intradag clearing og straksclearing)

af almindelige betalinger mellem forbrugere, virksomheder og offentlige myndigheder

mv.

kom (2020) 0595 - Bilag 1: Grund- og nærhedsnotat om digital operationel modstandsdygtighed i den finansielle sektor (digital operationel robusthed - DORA)

4/12

nansielle sektor, dvs. på kredit- og betalingsområdet, forsikrings- og pen-

sionsområdet og på kapitalmarkedsområdet

, og med delegation til at gen-

nemføre mere sektorspecifikke delegerede retsakter og gennemførselsbe-

stemmelser.

Forslaget består af en forordning med en række detaljerede regler og et

ændringsdirektiv, som har til formål at gennemføre ændringer i allerede

eksisterende direktiver på det finansielle område ved at indsætte henvis-

ninger til DORA-forordningen i relevante EU-retsakter.

Forordningen indeholder regler på fire områder:

1) Krav til finansielle virksomheders ledelse, risikostyring, rapporte-

ring og cybersikkerhed

2) Krav til udformning af kontrakter mellem finansielle virksomhe-

der og evt. it-leverandører

3) Rammer for fælles overvågning af kritiske tredjeparts it-leveran-

dører

4) Rammer for tilsyn, håndhævelse og samarbejde mellem kompe-

tente myndigheder

3.1 Krav til finansielle virksomheders ledelse, risikostyring, rapportering

og cybersikkerhed

Kommissionens forslag indeholder bl.a. en række krav til de finansielle

virksomheders ledelse og risikostyring. Generelt for kravene er, at de har

til formål at sikre en konsistent og ensartet håndtering af cyberrisici i de

finansielle virksomheder, således at trusler mv. håndteres korrekt både før,

under og efter hændelsen. Kravene går bl.a. på retningslinjer for håndte-

ringen af trusler, offentliggørelsesplan mv. For risikostyringsdelen vedrø-

rer kravene dialog med de kompetente myndigheder om håndteringen af

risici, løbende risikovurdering/monitorering, opfølgning og afrapportering

til ledelsen mv.

Forslaget omfatter specifikt følgende virksomhedstyper: kreditinstitutter, betalingsinsti-

tutter, e-pengeinstitutter, investeringsselskaber, kryptoaktivtjenester, udstedere af krypto-

aktiver, udstedere af aktivbaserede tokens samt udstedere af signifikante aktivbaserede

tokens, værdipapircentraler, centrale modparter, regulerede markeder, transaktionsregi-

stre, forvaltere af alternative investeringsfonde, investeringsforvaltningsselskaber, udby-

dere af dataindberetningstjenester, forsikrings- og genforsikringsvirksomheder, forsik-

ringsformidlere, genforsikringsformidlere og accessoriske forsikringsformidlere, arbejds-

markedspensionsselskaber, kreditvurderingsbureauer, godkendte revisorer og revisions-

selskaber, administratorer af kritiske benchmarks, crowdfundingtjenesteudbydere, secu-

ritisation repositories, og it-leverandører.

kom (2020) 0595 - Bilag 1: Grund- og nærhedsnotat om digital operationel modstandsdygtighed i den finansielle sektor (digital operationel robusthed - DORA)

5/12

Der foreslås også krav om hændelsesrapportering, der bl.a. handler om op-

rettelse af processer for detektering samt håndtering af og notificering om

it-hændelser.

Vedrørende testning stilles der krav om løbende tests af it-sikkerheden, så-

kaldte trusselsbaserede penetrationstests (threat led penetration tests

(TLPT)), som de kompetente myndigheder kan pålægge finansielle virk-

somheder at gennemføre under hensyntagen til bl.a. virksomhedernes stør-

relse.

Forslaget om god risikostyring af tredjepartsrisici indeholder forslag, der

bl.a. indebærer, at de finansielle virksomheder skal træffe passende foran-

staltninger baseret på afhængighedsgraden af tredjeparter. Herudover er

der bl.a. krav om jævnlig rapportering til de kompetente myndigheder om

brugen af tredjeparts it-leverandører, herunder hvornår kritiske funktioner

er involveret. Virksomhederne skal også udarbejde en strategi for håndte-

ring af risici forbundet med virksomhedens brug af tredjeparts it-leveran-

dører. Der stilles også krav til omgående annullering af kontrakter såfremt

disse ikke overholdes af tredjeparterne.

Der er i forslaget indlagt mulighed for proportionalitet, og meget små virk-

somheder (de såkaldte mikrovirksomheder

) er helt undtaget fra nogle af

kravene, herunder bl.a. krav om særlige roller og særlige systemer til it-

sikkerhedsstyring.

3.2 krav til udformning af kontrakter mellem finansielle virksomheder og

evt. it-leverandører

Kommissionens forslag til kontraktkrav indeholder bl.a. en række gover-

nancekrav og nogle generelle minimumskrav til elementer i kontrakterne

med væsentlige leverandører, ligesom der kan være specifikke elementer

afhængig af den ydelse kontrakten angår. Det kan og vil ofte være en fordel

for finansielle virksomheder, at der er minimumskrav til indholdet i kon-

trakter, da store it-leverandører på grund af det asymmetriske styrkeforhold

ellers kan gennemtvinge kontrakter med mere diffuse krav, ligesom at kon-

trakterne giver de finansielle virksomheder sikkerhed for, hvilken service

det er, at it-leverandørerne skal levere og hvordan.

Kravene omfatter bl.a. oplysning om alle funktioner og services som tred-

jeparten skal levere, herunder videreoutsourcing af disse, oplysning om

hvor databehandling finder sted, oplysning fra tredjepart til den finansielle

virksomhed om substantielle ændringer hos tredjepart, som kan have kon-

sekvenser for de tilkøbte services, krav om specifikke sikkerhedsforanstalt-

ninger hos tredjepart, krav om beredskabsplaner hos leverandøren, krav om

forpligtelse af leverandøren til at samarbejde med tilsynsmyndigheder,

Virksomheder med under 10 ansatte og en omsætning på mindre end 10 mio. euro.

kom (2020) 0595 - Bilag 1: Grund- og nærhedsnotat om digital operationel modstandsdygtighed i den finansielle sektor (digital operationel robusthed - DORA)

6/12

krav om den finansielle virksomheds ret til at overvåge leverandørens op-

gaveløsning og krav til leverandørens samarbejde om kundens ophør af

leverandørforholdet.

Kravene skal styrke de finansielle virksomheders muligheder for at styre

de risici, der er forbundet med afhængigheder af tredjeparter.

3.3 Rammer for fælles overvågning af kritiske tredjeparts it-leverandører

Kommissionens forslag indebærer opsætning af et fælles tilsynsregime

med såkaldte kritiske tredjeparts it-leverandører

og et system for udpeg-

ning af kritiske tredjeparts it-leverandører.

Det Fælles Udvalg af Europæiske Tilsynsmyndigheder

nedsætter et

over-

vågningsforum (oversight forum)

som et underudvalg bestående af

ESA’ernes formænd og repræsentanter fra de nationale

kompetente myn-

digheder.

Dette forum skal bidrage til Det Fælles Udvalgs udpegning af kritiske le-

verandører og udpegning af en

ansvarlig tilsynsmyndighed (Lead Over-

seer),

som skal være en af de tre ESA’er

(ESMA, EBA eller EIOPA), af-

hængigt af specifikke kriterier hos leverandøren.

Der vil blive oprettet tilsynskollegier til formålet, som de ansvarlige til-

synsmyndigheder sammensætter med repræsentanter fra højst 10 af de i

forhold til leverandøren relevante medlemsstater til at gennemføre løbende

tilsyn med leverandørerne.

Udpegningen af kritiske tredjeparts it-leverandører er i Kommissionens

forslag baseret på en række forskellige grænseværdier, herunder fx den sy-

stemiske konsekvens i tilfælde af et større nedbrud hos leverandøren,

mængden og afhængigheden heraf for finansielle institutioner, som benyt-

ter sig af leverandøren, graden af alternative leverandører på markedet af

en given service, antallet af EU-medlemslande i hvilke it-leverandørens

services bruges mv. Der skal årligt publiceres en liste over kritiske it-leve-

randører.

Med forslaget lægges der op til at forbyde brugen af kritiske it-leverandø-

rer, som ikke er etableret i EU

–

et såkaldt lokaliseringskrav. Ligeledes vil

det fælles tilsynsregime kun skulle føre direkte tilsyn med kritiske tredje-

parts it-leverandører, som er etableret i EU.

Det er ikke oplyst, hvilke it-leverandører der vil blive klassificerede som kritiske, men

forventningen fra Kommissions side er dog, at ca. 10-15 virksomheder vil være omfattede.

Eksempler på mulige kandidater er bl.a. Bloomberg, Amazon Web Services, Refinitiv,

Google, Microsoft, Alibaba, Huawei, Apple og Cisco.

Jf. forordning (EU) nr. 1093/2010, (EU) nr. 1094/2010 og (EU) nr. 1095/2010.

kom (2020) 0595 - Bilag 1: Grund- og nærhedsnotat om digital operationel modstandsdygtighed i den finansielle sektor (digital operationel robusthed - DORA)

7/12

Det fælles tilsynsregime indebærer overvågning af kritiske tredjepartsle-

verandører, herunder vurdering af it-leverandørens risikostyring, ledelse,

fysiske sikkerhedsforanstaltninger mv. Den relevante tilsynsmyndighed vil

bl.a. have ret til alle relevante data, udførelse af inspektioner, herunder

også on-site, udstedelse af bødeforlæg mv.

Der gives ikke mulighed for at udstede påbud om

–

eller forbud mod be-

stemte aktiviteter hos de kritiske leverandører, men der er hjemmel til bø-

der mv. såfremt leverandørerne ikke samarbejder om tilsyn og dokumen-

tation.

Der stilles også krav til procedureregler for samarbejdet mellem de natio-

nale kompetente myndigheder angående bl.a. årlige vurderinger af tilsyns-

funktionen og drøftelser af udviklingen på området. De kritiske it-leveran-

dører vil blive pålagt gebyrer mhp. at dække omkostninger ved driften af

tilsynet.

Opfølgningen på inspektionsrapporterne fra de europæiske tilsynsmyn-

digheder sker mellem de nationale tilsynsmyndigheder og de finansielle

virksomheder, der anvender de pågældende leverandører.

3.4 Rammer for tilsyn, håndhævelse og samarbejde mellem kompetente

myndigheder

Kommissionens foreslår at oprette en fælles rapporteringsfunktion, hvortil

rapportering af større it-hændelser kan ske for dermed bl.a. at sikre et tæt

samarbejde med det fælles tilsyn og give nationale kompetente myndighe-

der mulighed for at udveksle viden, erfaringer mv. på området med hinan-

den. Samarbejdet skal bl.a. bidrage til udviklingen af en koordineret tilgang

og respons ved større it-nedbrud.

4. Europa-Parlamentets udtalelse

Europa-Parlamentet har endnu ikke udtalt sig om forslaget. Europa-Parla-

mentet er sammen med Rådet, medlovgiver på forslaget. Europa-Parla-

mentet har tidligere opfordret Kommissionen til at fremsætte lovforslag på

området for cybermodstandsdygtighed, herunder fsva. tilsyn med kritiske

tredjepartsleverandører samt modernisering og harmonisering af de nuvæ-

rende regler på området

5. Nærhedsprincippet

Kommissionen angiver, at den grænseoverskridende karakter og udbredte

afhængighed af tredjepartsleverandørers digitale tjenester i den finansielle

sektor koblet med manglen på harmoniseret regulering kun kan håndteres

effektivt på EU-niveau.

www.europarl.europa.eu/doceo/document/TA-9-2020-0265_DA.html

kom (2020) 0595 - Bilag 1: Grund- og nærhedsnotat om digital operationel modstandsdygtighed i den finansielle sektor (digital operationel robusthed - DORA)

8/12

Regeringen er enig i Kommissionens vurdering af, at regulering og tiltag i

de enkelte EU-lande ikke er tilstrækkeligt til at adressere de grænseover-

skridende udfordringer, og det er på den baggrund regeringens vurdering,

at forslaget er i overensstemmelse med nærhedsprincippet.

6. Gældende dansk ret

Regelsættet for forpligtelser til it-risikostyring og betryggende kontrol- og

sikringsforanstaltninger på it-området er meget forskellig i både indhold

og detaljeringsgrad på de forskellige område inden for den finansielle sek-

tor.

Med undtagelse af reglerne for tilsyn med fælles datacentraler har de for-

skellige regler hjemmel i de relevante EU-retsakter, og den nationale im-

plementering af disse, hvor der er tale om direktiver.

Reglerne er bl.a. implementeret i lov om finansiel virksomhed, betalings-

loven, kapitalmarkedsloven og en række andre love på mere specifikke

områder samt bekendtgørelser udstedt i henhold til disse. På flere områder

har Kommissionen udstedt delegerede retsakter, som gælder direkte, eller

henstillinger og vejledninger, hvoraf flere er implementeret ved bekendt-

gørelser eller som udgør fortolkningsgrundlag i forhold til mere generelle

danske regler. Visse bekendtgørelser gælder for flere områder, herunder

outsourcingbekendtgørelserne

1011

og bilag 5 i bekendtgørelse om ledelse

og styring af pengeinstitutter

7. Konsekvenser

Lovgivningsmæssige konsekvenser

Den nationale lovgivning skal i relevant omfang ændres eller ophæves, da

forordningen, ændringsdirektivet og de kommende delegerede retsakter vil

træde i stedet for.

Økonomiske konsekvenser

Statsfinansielle konsekvenser

Forslaget ventes ikke at have statsfinansielle konsekvenser.

Med forordningen indføres nye krav til tilsyn, som også vil omfatte virk-

somhedstyper, som ikke i dag er under tilsyn. På samme vis vil deltagelsen

i et evt. fælles

tilsyn under ESA’erne også været forbundet med en række

administrative omkostninger og øget ressourceforbrug.

BEK nr. 877 af 12/06/2020

BEK nr. 723 af 28/05/2020

BEK nr. 1026 af 30/06/2016

kom (2020) 0595 - Bilag 1: Grund- og nærhedsnotat om digital operationel modstandsdygtighed i den finansielle sektor (digital operationel robusthed - DORA)

9/12

I Danmark finansieres omkostninger ved tilsyn af de finansielle virksom-

heder under tilsyn. ESA’erne er finansieret delvist nationalt af EU-landene

og delvist via EU-budgettet.

Samfundsøkonomiske konsekvenser

Forslaget forventes at have positive samfundsøkonomiske konsekvenser,

dels ved at styrke cyberrobustheden i den finansielle sektor, dels ved at

sikre større klarhed og harmonisering i regelsættet på området på tværs af

EU-landene.

Harmoniseringen af reglerne sikrer herudover mod regulatorisk arbitrage i

forhold til andre EU-lande, der i dag måtte have lempeligere regler på om-

rådet end Danmark.

Erhvervsøkonomiske konsekvenser

For visse af de berørte virksomhedstyper i Danmark afspejler reglerne i

Kommissionens forslag i vidt omfang de krav, virksomhederne allerede er

underlagt i dag. Det er hovedsageligt virksomheder uden for områderne for

banker, betalingsinstitutter, finansielle infrastrukturer og datacentraler,

som vil skulle leve op til nye eller skærpede krav.

De nye regler kan få betydning for måden hvorpå de finansielle virksom-

heder organiserer deres it-styring, foretager risikostyring, indgår outsour-

cingkontrakter, rapporterer hændelser og tester systemer. Langt størstede-

len af de indholdsmæssige krav til dette stilles imidlertid allerede i dag i

Danmark, men får med forordningen et mere tydeligt og ensartet ophæng.

Overvågning af tredjepartsleverandører, som er kritiske på europæisk ni-

veau, vil potentielt kunne lette både de finansielle virksomheder og deres

fælles datacentraler for en del af byrden ved at skulle redegøre for disse

leverandørers risikostyring mv. Den del af forslaget ventes derfor ikke at

få væsentlige negative erhvervsøkonomiske konsekvenser.

Andre konsekvenser og beskyttelsesniveau

Forslaget forventes ikke at have konsekvenser for beskæftigelsen, arbejds-

markedet, ligestilling, miljø eller sundhed i Danmark.

8. Høring

Forslaget har været sendt i høring i EU-specialudvalget for den finansielle

sektor med svarfrist den 8. oktober 2020. Der er modtaget høringssvar fra

Finans Danmark (FIDA) og Forsikring & Pension (F&P). Nedenfor sam-

menfattes indholdet af de to indkomne høringssvar.

FIDA og F&P byder begge Kommissionens forslag velkommen.

kom (2020) 0595 - Bilag 1: Grund- og nærhedsnotat om digital operationel modstandsdygtighed i den finansielle sektor (digital operationel robusthed - DORA)

10/12

FIDA udtrykker stor opbakning til indholdet i forslaget og finder det posi-

tivt, at der lægges op til en harmonisering af reglerne i den finansielle sek-

tor på området. FIDA ønsker blandt andet, at reglerne skal være risikoba-

serede, sammenhængende og være med til at sikre en bedre koordinering

mellem EU-landene. FIDA har dog også nogle bekymringer ift. proportio-

naliteten i forslaget, hvor FIDA opfordrer til større klarhed i regelsættet,

ligesom mindre aktører på det finansielle område ikke bør rammes unød-

vendigt. FIDA udtrykker også støtte til et fælles EU-tilsyn med kritiske

tredjepartsleverandører.

F&P udtrykker generelt opbakning til forslaget og finder det positivt, at der

er lagt op til harmonisering og ensretning af reglerne på området. F&P ef-

terlyser dog, at der i forslaget tages bestik af den anderledes risikoprofil,

som forsikrings- og pensionsselskaber har vis-a-vis banksektoren. F&P er

ligeledes bekymret for implementeringshastigheden pga. de generelt om-

fattende og komplekse krav i forslaget, som kræver både investeringer og

tilstrækkelig tid at få på plads. Endelig ønsker F&P større klarhed, særligt

på området for tilsyn med kritiske tredjepartsleverandører.

9. Generelle forventninger til andre landes holdninger

Forslaget har generelt fået en positiv modtagelse blandt EU-landene.

Der har dog

–

fra forskellige grupperinger af EU-lande

–

været udtrykt be-

hov for større klarhed i teksten, herunder særligt i forhold til sammenhæng

og præcedens med anden eksisterende sektorspecifik lovgivning på områ-

det. Derudover har flere lande ytret ønske om inklusion af betalingsinfra-

strukturer i forslagets anvendelsesområde. Endvidere mener flere med-

lemslande, at revisorer skal delvist undtages fra forslaget, og at forslaget

bør indeholde mere proportionalitet for mindre finansielle virksomheder.

Muligheden for et fælles tilsyn med kritiske it-leverandører har modtaget

umiddelbar opbakning blandt medlemslandene om end beføjelserne, struk-

turen og kriterierne er genstand for drøftelser.

10. Regeringens foreløbige generelle holdning

Cyberrisici mod den finansielle sektor er høje, og usikkerheder og risici

hos mindre finansielle virksomheder kan skabe sårbarheder hos de mindre,

men også de større finansielle virksomheder.

Regeringen støtter overordnet forslagets formål om at sikre en mere effek-

tiv og sikker digital finansiel sektor via en række harmoniserede krav og

regler. Samlet set vurderes forslaget at styrke cyberrobustheden i Danmark.

It-risici får en stadigt større betydning for driften i de finansielle virksom-

heder, og regeringen finder det derfor væsentligt, at lovgivningen følger

kom (2020) 0595 - Bilag 1: Grund- og nærhedsnotat om digital operationel modstandsdygtighed i den finansielle sektor (digital operationel robusthed - DORA)

11/12

med udviklingen i it-anvendelsen i sektoren, og at overlap i gældende reg-

ler på tværs af den finansielle sektor minimeres. Et andet element er at sikre

ensartede regler og samarbejde på tværs af alle EU-landene, da it-risici er

grænseoverskridende, herunder vedrører tredjelande.

Regeringen støtter, at der kommer mere ensartede og tydeligere regler om

ledelse og risikostyring på it-området.

Regeringen lægger vægt på, at betalingsinfrastrukturer bør omfattes af for-

ordningens anvendelsesområde. Clearing og afvikling af betalinger er ble-

vet en væsentlig samfundsmæssig funktion i takt med, at næsten alle al-

mindelige danske betalinger sker digitalt. Et cyberangreb mod betalingsin-

frastrukturen kan dermed have væsentlige systemiske konsekvenser, hvor-

for regeringen finder, at der er behov for også at underlægge disse virk-

somhedstyper krav i forhold til operationelle risici.

Regeringen arbejder for, at revisorer og revisionsvirksomheder delvist bør

undtages fra forslaget. Forslaget omfatter for nuværende alle revisorer og

revisionsvirksomheder, uanset om de pågældende har finansielle virksom-

heder som revisionskunder, hvilket ikke forekommer proportionalt under

hensyn til sigtet med forordningen. En eventuel inklusion af revisionsvirk-

somheder i forordningen bør begrænses til revisionsvirksomheder, som har

finansielle virksomheder som revisionskunder.

Regeringen vil arbejde for, at forslaget indeholder klarere og mere frem-

tidssikrede regler om styring af tredjepartsrisici i sammenligning med de

nuværende regler om outsourcing.

Regeringen er åben over for et fælleseuropæisk tilsyn med væsentlige tred-

jepartsudbydere, og lægger vægt på, at de nationale tilsynsmyndigheders

erfaringer og viden om nationale forhold og markeder inddrages. Det er

vigtigt med et stærkt og omkostningseffektivt tilsyn med infrastruktur, der

drives af tredjepartsleverandører. Et fælles tilsyn ventes bedre at kunne

modvirke at tredjepartsudbyderne kan omgå tilsyn ved at placere sig i lande

med mindre restriktive tilgange. Der skal etableres et stærkt og effektivt

tilsyn, som bør være samlet hos én europæisk tilsynsmyndighed, der tilde-

les kompetencer, hvor der er et klart rationale herfor, og alene tildeles di-

rekte tilsynskompetencer på de områder, hvor der er tale om væsentlig

grænseoverskridende aktiviteter, og hvor området ikke vurderes at kunne

håndteres lige så godt eller bedre på nationalt plan.

I den sammenhæng er det vigtigt at understrege, at et fælles europæisk til-

syn ikke må rykke ved ansvarsfordelingen. Det skal fortsat være de finan-

sielle virksomheder, der er forpligtet til at styre risiciene ved outsourcing

til tredjepartsudbydere.

kom (2020) 0595 - Bilag 1: Grund- og nærhedsnotat om digital operationel modstandsdygtighed i den finansielle sektor (digital operationel robusthed - DORA)

12/12

Regeringen er åben over for at se nærmere på om et lokaliseringskrav eller

lignende er hensigtsmæssige tiltag til at løfte denne opgave.

Regeringen finder, at der bør tages større hensyn til proportionalitet i for-

slaget. Regeringen finder det positivt, at ikke kun mikrovirksomheder skal

kunne opnå undtagelser fra visse krav til ledelse mv., men at der bør kigges

bredere, således at andre mindre virksomheder også kan undtages fra visse

krav med en begrænset merværdi.

Regeringen vil endvidere arbejde for, at centrale emner håndteres af lovgi-

verne i forbindelse med udformningen af forordningen og ikke uddelegeres

til fx delegerede retsakter, samt at eventuelle bemyndigelser til delegerede

retsakter er tilstrækkeligt afgrænsede og indrammede.

Regeringen vil endelig arbejde for, at sektoren har tilstrækkelig tid til om-

stillingen til det nye regelsæt.

11. Tidligere forelæggelse for Folketingets Europaudvalg

Forslaget har tidligere været forelagt Folketingets Europaudvalg i forbin-

delse med ECOFIN den 6. oktober 2020, hvor udvalget modtog et samle-

notat herom.