Unnið er að upptöku reglugerðar Evrópuþingsins og ráðsins (ESB) 2022/2554 um stafrænan rekstrarlegan viðnámsþrótt fyrir fjármálageirann (DORA) og tilheyrandi breytingatilskipun Evrópuþingsins og ráðins (ESB) 2022/2556 í EES-samninginn. Drög þessi að frumvarpi eru til innleiðingar gerðanna í íslenskan rétt. Báðar voru DORA-reglugerðin og -tilskipunin samþykktar 14. desember 2022 og koma til framkvæmda í aðildarríkjum Evrópusambandsins 17. janúar 2025. Upptaka DORA í EES-samninginn og innleiðing í landsrétt er skilgreind sem aðgerð í sameiginlegri aðgerðaáætlun stjórnvalda í netöryggismálum, á grundvelli netöryggisstefnu fyrir Ísland 2022-2037.

DORA tilheyrir stafrænum fjármálapakka ESB sem fyrst var kynntur árið 2020, líkt og reglugerð Evrópuþingsins og ráðsins (ESB) 2023/1114 um markaði fyrir sýndareignir (MiCA) og reglugerð Evrópuþingsins og ráðsins (ESB) 2022/858 um tilraunaregluverk fyrir innviði markaða sem byggjast á dreifðri færsluskrártækni (DFTR). DFTR var innleidd í landsrétt með lögum um innviði markaða fyrir fjármálagerninga sem byggjast á dreifðri færsluskrártækni, nr. 56/2024. Stafræna fjármálapakkanum er ætlað að stuðla að því að umgjörð fjármálamarkaða mæti nútímaþörfum, efldri samkeppni og nýsköpun, auk þess sem hugað er að fjárfestavernd, net- og upplýsingaöryggi ásamt fjármálastöðugleika. Net- og upplýsingaöryggi er ein tegund rekstraráhættu.

Í DORA er hugtakið stafrænn rekstrarlegur viðnámsþróttur, eða áfallaþol, í forgrunni. Það er skilgreint þannig: Geta aðila á fjármálamarkaði til að byggja upp, viðhalda og endurmeta heilleika og áreiðanleika í rekstri með því að tryggja, hvort heldur beint, eða óbeint með notkun upplýsinga- og fjarskiptatækniþjónustu þriðju aðila, alla þá getu sem tengist upplýsinga- og fjarskiptatækni sem þarf til að tryggja öryggi net- og upplýsingakerfa sem aðili á fjármálamarkaði notar og sem styður samfellda veitingu fjármálaþjónustu og gæði hennar, þ.m.t. meðan röskun varir. Í stuttu máli kveður reglugerðin á um að aðilar á fjármálamarkaði skuli haga starfsemi sinni þannig að virk og viðeigandi áhættustýring tengd notkun net- og upplýsingatækniþjónustu sé viðhöfð í því skyni að stuðla að öflugum stafrænum viðnámsþrótti og lágmarka rof á mikilvægri þjónustu.

Lagt er til að gildissvið fyrirhugaðra laga verði rýmkað umfram það sem DORA gerir ráð fyrir, þ.e. nái einnig til lífeyrissjóða á grundvelli laga um skyldutryggingu lífeyrisréttinda og starfsemi lífeyrissjóða, nr. 129/1997, sbr. nánari umfjöllun um 2. gr. frumvarpsins. Eins og segir í 13.–14. lið inngangsorða DORA ættu aðilar á fjármálamarkaði að fylgja sömu nálgun og meginreglum þegar þeir takast á við upplýsinga- og fjarskiptatækniáhættu, að teknu tilliti til stærðar þeirra og heildaráhættusniðs og eðlis, umfangs og flækjustigs þjónustu þeirra, starfsemi og reksturs. Samræmi stuðlar að aukinni tiltrú á fjármálakerfið og viðheldur stöðugleika þess. DORA á að stuðla að því að draga úr flækjustigi í framkvæmd, auka samleitni í eftirliti og réttarvissu, takmarka kostnað við að fara að reglum (ekki síst í starfsemi yfir landamæri), svo og draga úr röskun á samkeppni. Að öðru leyti en að framan greinir, varðandi rýmkun gildissviðs fyrirhugaðra laga, er ekki gert ráð fyrir frávikum frá lágmarkskröfum DORA við innleiðingu hér á landi.