Bakgrunn og formål

Etter en lengre periode med digitalisering av samfunnet, har den operasjonelle driften i økende grad blitt avhengig av informasjons- og kommunikasjonsteknologi. Digitaliseringen har ført til en effektivisering, men skaper også nye risikoer som gjør seg gjeldende på tvers av ulike bransjer. Det har vært flere eksempler på at cyberangrep og IKT-relaterte hendelser har forstyrret og påvirket den daglige driften til virksomheter og deres kunder. Når en hendelse først har funnet sted, har det vist seg at det kan få store konsekvenser og ta tid før driften er i gang igjen. Reguleringen av operasjonell motstandsdyktighet har også vært fragmentert. Videre har det vært ulike krav på tvers av landegrensene i EU.

Disse utfordringene behandler EU med et initiativ hvor man ønsker å styrke den digitale operasjonelle motstandsdyktigheten og robustheten ved ulike funksjoner i samfunnet. Samtidig ønsker man i større grad å harmonisere kravene, for å oppnå en mer konsistent og enhetlig regulering på tvers av det indre marked. Som en del av dette initiativet er DORA-forordningen vedtatt. Formålet med dette regelverket er at finanssektoren skal ha et høyt nivå av digital operasjonell motstandsdyktighet slik at kontinuitet og stabilitet sikres. Et annet eksempel på ny lovgivning fra EU er NIS2-direktivet. NIS2 stiller krav til det som kategoriseres som essensielle tjenester og andre viktige tjenester. Direktivet treffer derfor på tvers av ulike sektorer, som for eksempel både bank og finansmarkedenes infrastruktur, men også andre sektorer som avfallshåndtering. Noen virksomheter vil derfor omfattes av begge lovverkene. I en slik situasjon vil DORA som spesiallovgivning ha forrang foran NIS2-direktivet.