Note: LFF 88 af 29-03-2023, bemærkninger til § 280

Finanstilsynet er efter en række EU-direktiver og standarder forpligtet til løbende at påse, at medlemmer af finansielle virksomheders direktion og bestyrelse lever op til krav om egnethed og hæderlighed. Finanstilsynet er ligeledes forpligtet til at have passende midler til at sikre, at disse krav overholdes.

Den gældende § 351, stk. 1, i lov om finansiel virksomhed fastsætter Finanstilsynets mulighed for at afsætte en direktør, der ikke opfylder kravene til egnethed og hæderlighed, der efter de gældende § 64 eller § 64 a ikke kan bestride stillingen.

Det foreslåede stk. 1 viderefører § 351, stk. 1, i lov om finansiel med den sproglige ændring, at der alene henvises til forsikringsselskaber. Der er ikke tilsigtet materielle ændringer med den foreslåede bestemmelse.

Det foreslås i stk. 1, at Finanstilsynet kan påbyde et forsikringsselskab at afsætte en direktør i virksomheden indenfor en frist fastsat af Finanstilsynet, hvis denne efter § 105, stk. 1, eller § 106 ikke kan bestride stillingen.

Bestemmelsen indebærer, at Finanstilsynet kan afsætte en direktør, eksempelvis hvis vedkommende er blevet pålagt strafansvar for overtrædelse af straffeloven eller den finansielle lovgivning, og der som følge heraf er risiko for, at vedkommende ikke længere kan varetage sit hverv eller sin stilling på forsvarlig vis.

Det kan eksempelvis også dreje sig om de tilfælde, hvor vedkommende tages under insolvensbehandling eller gældssanering, eller hvor vedkommendes økonomiske situation eller selskaber, som den pågældende har eller deltager i driften af, har påført forsikringsselskabet tab eller risiko for tab. Det samme gælder situationer, hvor personen har udvist en adfærd, hvorefter det må antages, at den pågældende ikke kan varetage sit hverv eller sin stilling på forsvarlig vis.

I de situationer, hvor virksomheden ikke efterkommer Finanstilsynets påbud om at afsætte en direktør efter stk. 1 eller et bestyrelsesmedlem efter stk. 2, kan Finanstilsynet inddrage den pågældende virksomheds tilladelse til at drive virksomhed i medfør af den foreslåede § 199, stk. 1, nr. 2. Derudover kan Finanstilsynet efter forslagets § 272, stk. 3, pålægge tvangsbøder til en virksomhed, der undlader at efterkomme sine forpligtelser i henhold til loven.

Inden Finanstilsynet påbyder en virksomhed at afsætte en direktør eller et bestyrelsesmedlem at nedlægge sit hverv, skal der i henhold til reglerne i forvaltningsloven foretages en partshøring af forsikringsselskabet og af den, som påbuddet retter sig mod. I denne fase vil bestyrelsen have mulighed for af egen drift at afsætte en direktør.

Inden Finanstilsynet træffer afgørelse i sagen om påbuddet, forelægges spørgsmålet for Finanstilsynets bestyrelse, som i medfør af § 345, stk. 12, nr. 4, i lov om finansiel virksomhed træffer afgørelser i tilsynssager af principiel karakter, og som har videregående betydelige følger.

Note: LFF 88 af 29-03-2023, bemærkninger til § 280

Efter den gældende § 351, stk. 2, i lov om finansiel virksomhed kan Finanstilsynet påbyde et medlem af bestyrelsen i en finansiel virksomhed at nedlægge sit hverv, hvis personen efter de gældende § 64 eller § 64 a i lov om finansiel virksomhed ikke kan bestride hvervet. Det samme gælder for bestyrelsesmedlemmer i pengeinstitutter, realkreditinstitutter og forsikringsselskaber, hvis personen efter § 64 b, stk. 1, i lov om finansiel virksomhed ikke kan bestride hvervet.

Det foreslåede stk. 2 viderefører § 351, stk. 2, i lov om finansiel med den sproglige ændring, at der alene henvises til forsikringsselskaber, og med redaktionelle ændringer. Der er ikke tilsigtet materielle ændringer med den foreslåede bestemmelse.

Det foreslås i stk. 2, at Finanstilsynet kan påbyde et medlem af bestyrelsen i et forsikringsselskab at nedlægge sit hverv indenfor en frist fastsat af Finanstilsynet, hvis denne efter § 105, stk. 1, § 106 eller § 109, stk. 1, ikke kan bestride hvervet.

Efterlever bestyrelsesmedlemmet ikke et påbud udstedt af Finanstilsynet, kan vedkommende straffes med bøde efter den foreslåede § 313, stk. 2.

Note: LFF 88 af 29-03-2023, bemærkninger til § 280

Efter den gældende § 351, stk. 4, i lov om finansiel virksomhed kan Finanstilsynet påbyde et pengeinstitut, et systemisk vigtigt finansielt institut (SIFI), et globalt systemisk vigtigt finansielt institut (G-SIFI) og et gruppe 1-forsikringsselskab at afsætte en ansat, der er identificeret som nøgleperson efter de i bestemmelsen nævnte bestemmelser.

Det foreslåede stk. 3 viderefører § 351, stk. 4, i lov om finansiel virksomhed med den sproglige ændring, at der alene henvises til forsikringsselskaber, og med redaktionelle ændringer. Der er ikke tilsigtet materielle ændringer med den foreslåede bestemmelse.

Det foreslås i stk. 3, at Finanstilsynet kan påbyde et gruppe 1-forsikringsselskab at afsætte en ansat, der er identificeret som nøgleperson i medfør af § 127, stk. 1, indenfor en af Finanstilsynet fastsat frist, hvis vedkommende efter § 105, stk. 1, jf. § 127, stk. 3, ikke kan bestride stillingen.

Bestemmelsen indebærer, at Finanstilsynet kan påbyde et gruppe 1-forsikringsselskab at afsætte en ansat, der er identificeret som nøgleperson i medfør af forslagets § 127, stk. 1, hvis denne efter forslagets § 105, stk. 2 eller 4, ikke kan bestride stillingen. Den foreslåede § 105, stk. 2, fastsætter, at medlemmerne af bestyrelsen eller direktionen i et forsikringsselskab skal meddele Finanstilsynet oplysninger om forhold om erfaring, strafansvar og andre oplysninger nævnt i § 105, stk. 1, i forbindelse med deres indtræden i virksomhedens ledelse og om forhold som nævnt i stk. 1, nr. 2-6, hvis forholdene efterfølgende ændres.

Den foreslåede § 105, stk. 7, fastsætter, at § 105, stk. 1-6, finder tilsvarende anvendelse på medlemmer af bestyrelsen og direktionen i en forsikringsholdingvirksomhed.

Note: LFF 88 af 29-03-2023, bemærkninger til § 280

Efter den gældende § 351, stk. 5, 1, pkt., i lov om finansiel virksomhed kan Finanstilsynet påbyde en finansiel virksomhed at afsætte en direktør eller en ansat, der er udpeget som nøgleperson, jf. lov om finansiel virksomhed § 64 c, stk. 1 og stk. 5, jf. stk. 1, eller i medfør af § 64 d, stk. 1, når der er rejst tiltale mod den pågældende i en straffesag om overtrædelse af straffeloven eller den finansielle lovgivning, indtil straffesagen er afgjort, hvis domfældelse vil indebære, at direktøren ikke opfylder kravene i lov om finansiel virksomhed § 64, stk. 1, nr. 3, eller at nøglepersonen i et gruppe 1-forskringsselskab ikke opfylder kravene i lov om finansiel virksomhed § 64, stk. 1, nr. 3, jf. § 64 d, stk. 3.

Efter den gældende § 351, stk. 5, 2. pkt., i lov om finansiel virksomhed fastsætter Finanstilsynet en frist for efterlevelse af påbuddet.

Efter den gældende § 351, stk. 5, 3. pkt., i lov om finansiel virksomhed kan Finanstilsynet under samme betingelser som i 1. pkt. påbyde et medlem af bestyrelsen i en finansiel virksomhed at nedlægge sit hverv. Finanstilsynet fastsætter en frist for efterlevelse af påbuddet

Det foreslåede stk. 4 viderefører § 351, stk. 5, i lov om finansiel virksomhed med sproglige ændringer, herunder at der alene henvises til forsikringsselskaber. Der er ikke tilsigtet materielle ændringer med den foreslåede bestemmelse.

Det foreslås i stk. 4, at Finanstilsynet kan påbyde et forsikringsselskab at afsætte en direktør, når der er rejst tiltale mod den pågældende i en straffesag om overtrædelse af straffeloven, den finansielle lovgivning eller anden relevant lovgivning, indtil straffesagen er afgjort, hvis domfældelse vil indebære, at direktøren ikke opfylder kravene i § 105, stk. 1, nr. 3. Finanstilsynet fastsætter en frist for efterlevelse af påbuddet. Finanstilsynet kan under samme betingelser som i 1. pkt. påbyde et medlem af bestyrelsen eller en ansat, der er nøgleperson, eller bestyrelsesmedlemmet i et gruppe 1-forskringsselskab at nedlægge sit hverv i medfør af § 105, stk. 1, nr. 3, jf. § 127, stk. 1 og stk. 3. Finanstilsynet fastsætter en frist for efterlevelse af påbuddet.

Det tager i de fleste tilfælde lang tid, inden et strafansvar bliver pålagt.

Den foreslåede bestemmelse indebærer, at Finanstilsynet får mulighed for at gribe ind over for et ledelsesmedlem på et tidligere tidspunkt for at afværge risikoen for, at vedkommende påfører virksomheden skade. Reglen skal sikre hensynet til forsikringsselskabet, forsikringstagerne og de almene samfundsinteresser, som ligger bag reglerne om egnethed og hæderlighed. Finanstilsynets reaktion vil derfor ofte være påkrævet, så snart der er en bestyrket mistanke om, at det pågældende ledelsesmedlem har begået et strafbart forhold.

Ved vurderingen af, om der skal meddeles et midlertidigt påbud i medfør af stk. 4, skal Finanstilsynet afveje forseelsens grovhed og det konkrete behov for at fjerne vedkommende over for hensynet til den pågældendes retssikkerhed.

Den endelige stillingtagen til, hvorvidt en person opfylder betingelserne for at være direktør eller bestyrelsesmedlem i et forsikringsselskab i sager, hvor ledelsesmedlemmet midlertidigt er fjernet fra virksomhedens ledelse, forudsættes at finde sted i forbindelse med afgørelsen af straffesagen, jf. straffelovens § 79. Det følger af denne bestemmelse, at man i forbindelse med domfældelse for en strafbar handling ved dom kan fratage en person retten til at udøve erhverv, som er underlagt krav om autorisation eller godkendelse. Hermed sikres det, at der foretages et samlet opgør med retsfølgerne af en lovovertrædelse.

Bliver der nedlagt påstand under straffesagen om, at tiltalte ikke opfylder betingelserne for egnethed og hæderlighed i § 105, men der ved en fejl ikke sker pådømmelse af spørgsmålet, vil denne fejl kunne rettes gennem en anke af rettens afgørelse.

Sker der i en straffesag ikke samtidig pådømmelse af spørgsmålet om egnethed og hæderlighed, vil spørgsmålet efterfølgende kunne prøves ved domstolene. Dette kan ske ved, at Finanstilsynet udsteder et påbud til virksomheden, jf. stk. 1, og den, som påbuddet retter sig imod, forlanger, at påbuddet indbringes for domstolene, jf. det foreslåede stk. 7. For så vidt angår bestyrelsesmedlemmer, kan der gives et påbud direkte til personen, jf. det foreslåede stk. 2 og bemærkninger til det foreslåede stk. 5. Der vil ved en prøvelse af Finanstilsynets påbud kunne tages hensyn til den allerede udmålte straf, således som det ville være sket, hvis strafudmålingen og rettighedsfrakendelsen var sket samtidig med afgørelse af straffesagen.

Note: LFF 88 af 29-03-2023, bemærkninger til § 280

Efter den gældende § 351, stk. 6, i lov om finansiel virksomhed fastsætter Finanstilsynet varigheden af påbud efter stk. 2.

Det foreslåede stk. 5 viderefører § 351, stk. 6, i lov om finansiel virksomhed med den sproglige ændring, at der alene henvises til forsikringsselskaber, og med redaktionelle ændringer. Der er ikke tilsigtet materielle ændringer med den foreslåede bestemmelse.

Det foreslås i stk. 5, at varigheden af påbud meddelt efter stk. 1, 2 eller 4 på baggrund af § 105, stk. 1, nr. 2-5, eller § 109, stk. 1, eller efter stk. 3, skal fremgå af påbuddet.

Den foreslåede bestemmelse indebærer, at Finanstilsynet skal angive en varighed, når Finanstilsynet i medfør af stk. 1-4 påbyder et forsikringsselskab af afsætte et ledelsesmedlem eller påbyder et bestyrelsesmedlem at nedlægge sit hverv på baggrund af kravene til hæderlighed, jf. lovforslagets § 105, stk. 2-6. Det samme er tilfældet, hvis påbuddet gives på baggrund af overtrædelse af reglerne for grundkurset i lovforslagets § 109, stk. 1 og 3.

Bestemmelsen skal ses i sammenhæng med lovforslagets § 105, stk. 3, hvorefter Finanstilsynet i forbindelse med vurderingen af en egnetheds- og hæderlighedsansøgning skal angive varigheden, hvis det vurderes, at ansøgeren ikke lever til kravene til ledelsesmedlemmers hæderlighed.

Formålet med bestemmelsen er at sikre en mere ensartet og forudsigelig retstilstand for forsikringsselskaber, direktører og nøglepersoner og bestyrelsesmedlemmer.

Note: LFF 88 af 29-03-2023, bemærkninger til § 280

Den gældende § 351, stk. 7, 1. pkt., i lov om finansiel virksomhed fastslår, at virksomheden og den person, som et påbud efter stk. 1-5 retter sig imod, kan forlange, at Finanstilsynet indbringer sagen for domstolene.

Den gældende § 351, stk. 7, 2 pkt., i lov om finansiel virksomhed fastslår, at en anmodning til Finanstilsynet efter 1. pkt., skal indgives til Finanstilsynet senest 4 uger efter, at påbuddet er udstedt. Der stilles ingen formkrav til anmodningen. Når Finanstilsynet har modtaget anmodningen, skal sagen anlægges inden 4 uger. Det følger af den gældende § 351, stk. 7, 4 pkt., i lov om finansiel virksomhed.

Den gældende § 351, stk. 7, 3 pkt., i lov om finansiel virksomhed fastslår, at en anmodning om indbringelse af sagen for domstolene som udgangspunkt ikke kan tillægges opsættende virkning, idet det vil stride mod hensynet til at sikre en løbende og effektiv håndhævelse af kravene om egnethed og hæderlighed. Dog har retten mulighed for ved kendelse at bestemme, at den pågældende under sagens behandling kan opretholde sit hverv eller forblive i sin stilling, mens sagen verserer for retten.

Det foreslåede stk. 6 viderefører § 351, stk. 7, i lov om finansiel virksomhed med den sproglige ændring, at der alene henvises til forsikringsselskaber, og med redaktionelle ændringer. Der er ikke tilsigtet materielle ændringer med den foreslåede bestemmelse.

Det foreslås i stk. 6, at påbud meddelt i henhold til stk. 1-4 af forsikringsselskabet og af den person, som påbuddet vedrører, kan forlanges indbragt for domstolene. Anmodning herom skal indgives til Finanstilsynet, inden fire uger efter at påbuddet er meddelt den pågældende. Anmodningen har ikke opsættende virkning for påbuddet, men retten kan ved kendelse bestemme, at den pågældende direktør eller det pågældende bestyrelsesmedlem under sagens behandling kan opretholde sit hverv eller sin stilling. Finanstilsynet indbringer sagen for domstolene inden fire uger efter modtagelse af anmodning herom. Sagen anlægges i den borgerlige retsplejes former.

Lovændring: L481 af 22-05-2024 § 8, nr 18.

I § 280, stk. 7, 1. pkt., ændres »stk. 2, 3 eller 5« til: »stk. 2 eller 3 eller stk. 4, 3. pkt.«

Note: LFF 122 af 28-02-2024, bemærkninger til § 8

§ 312, stk. 1, i lov om forsikringsvirksomhed fastsætter straf for overtrædelse af en række bestemmelser i loven såvel som forordninger, der finder anvendelse på forsikringsselskaber omfattet af loven.

Det foreslås at indsætte § 312, stk. 1, nr. 3, i lov om forsikringsvirksomhed, hvorefter overtrædelser af artikel 5, stk. 1-3, artikel 6, stk. 1-8, artikel 7, stk. 1, artikel 8, stk. 1-7, artikel 9, stk. 1-3, artikel 10, stk. 1-4, artikel 11, stk. 1-10, artikel 12, stk. 1-4, 6 og 7, artikel 13, stk. 1-7, artikel 14, stk. 1-3, artikel 16, stk. 1 og 2, artikel 17, stk. 1-3, artikel 18, stk. 1 og 2, artikel 19, stk. 1, 3 og 4, artikel 24, stk. 1-6, artikel 25, stk. 1 og 3, artikel 28, stk. 1-4, 7 og 8, artikel 29, stk. 1 og 2, og artikel 30, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) nr. 2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor straffes med bøde.

Med den foreslåede bestemmelse strafbelægges en række overtrædelser af DORA-forordningen i overensstemmelse med forordningens artikel 52, hvorefter medlemsstaterne kan beslutte ikke at fastsætte bestemmelser om administrative sanktioner eller afhjælpende foranstaltninger for overtrædelser, der er omfattet af strafferetlige sanktioner i henhold til national ret.

Overtrædelser af DORA-forordningen kan ske af både fysiske og juridiske personer. I de situationer, hvor ansvarssubjektet er en virksomhed, vil det være udgangspunktet, at tiltalen rejses mod den juridiske person. Der kan i en række tilfælde være anledning til – ud over tiltalen mod den juridiske person – tillige at rejse tiltale mod en eller flere fysiske personer, hvis den eller de pågældende har handlet forsætligt eller udvist grov uagtsomhed. For virksomheder under stiftelse vil ansvarssubjektet være de personer, der stifter virksomheden, da en virksomhed under stiftelse ikke kan være ansvarssubjekt.

Bødeniveauet tiltænkes fastsat i overensstemmelse med § 372, stk. 12, i lov om finansiel virksomhed. Det fremgår heraf, at der ved udmåling af bøder lægges vægt på overtrædelsens grovhed og gerningsmandens økonomiske forhold. For overtrædelser begået af juridiske personer lægges ved vurderingen af gerningsmandens økonomiske forhold vægt på virksomhedens nettoårsomsætning på gerningstidspunktet. For overtrædelser begået af fysiske personer lægges vægt på den pågældendes indtægtsforhold på gerningstidspunktet. Det er afgørende, at der ved strafudmålingen lægges vægt på de nævnte faktorer, således at bøder vil have en pønal og præventiv effekt på alle aktører på markedet, og således at det finansielle incitament til at overtræde bestemmelserne reduceres. Vurderingen af overtrædelsens grovhed bør foregå uafhængig af gerningsmandens økonomiske forhold.

Nedenfor anføres en uddybende beskrivelse af indholdet af de enkelte artikler i DORA-forordningen, der vil blive strafbelagt med den foreslåede bestemmelse. Når der nedenfor henvises til finansielle enheder, menes der forsikrings- og genforsikringsselskaber, jf. artikel 2, stk. 1, litra n, jf. artikel 2, stk. 2, i DORA-forordningen.

Artikel 5 indeholder regler om forvaltning og organisationen af en finansiel enheds it-risikostyring. Intern forvaltning og organisation af it-risikostyring omfatter fastlæggelsen og tilsynet af de foranstaltninger for it-risikostyring. En sikker forvaltning af risikostyringen sikrer et højt niveau af digital operationel modstandsdygtighed og bidrager til den finansielle stabilitet.

I medfør af artikel 5, stk. 1, skal en finansiel enhed have indført en intern forvaltnings og kontrolramme, der sikrer en effektiv og forsigtig styring af it-risiko, i overensstemmelse med artikel 6, stk. 4, der bl.a. fastsætter krav om, at finansielle enheder skal overdrage ansvaret for styring af og tilsyn med it-risikoen til en kontrolfunktion og sikre, at denne kontrolfunktion har et passende uafhængighedsniveau for at undgå interessekonflikter mellem den finansielle enhed og kontrolfunktionen.

Ansvarssubjektet for overtrædelse af artikel 5, stk. 1, er den finansielle enhed.

Den strafbare handling kan eksempelvis bestå i, at den finansielle enhed ikke har overdraget ansvaret for styring af og tilsyn med it-risikoen til en kontrolfunktion, der har et passende uafhængighedsniveau i forhold til den finansielle enhed.

Det fremgår af artikel 5. stk. 2, at ledelsesorganet i den finansielle enhed skal fastlægge, godkende og føre tilsyn med og har ansvaret for gennemførelsen af alle ordninger vedrørende rammer for it-risikostyring, der er omhandlet i artikel 6, stk. 1. Artikel 6, stk. 1, vedrører at finansielle enheder indfører en robust, omfattende og veldokumenteret ramme for it-risikostyring. De nærmere krav til ledelsesorganet er nærmere beskrevet i artikel 5, stk. 2, litra a-i. Det fremgår bl.a. af stk. 2, litra b, at ledelsesorganet skal indføre politikker, der har til formål at sikre høje standarder for tilgængeligheden, autenticiteten, integriteten og fortroligheden af data. Videre fremgår det af stk. 2, litra f, at ledelsesorganet godkender og regelmæssigt gennemgår den finansielle enheds interne it-revisionsplaner, it-revisioner og væsentlige ændringer heraf.

Ansvarssubjektet for overtrædelse af artikel 5, stk. 2, er den finansielle enhed. En strafbar handling kan eksempelvis være, at et ledelsesorgan ikke har indført politikker for tilgængeligheden, autenticiteten, integriteten og fortroligheden af data i henhold til stk. 2, litra b. En strafbar handling kan også være at ledelsesorganet enten ikke har godkendt eller gennemgået den finansielle enheds interne it-revisionsplan i henhold til stk. 2, litra f.

Artikel 5, stk. 3, fastsætter at finansielle enheder skal oprette en funktion med henblik på overvågning af de ordninger, der er indgået med tredjepartsudbydere af it-tjenester vedrørende brugen af it-tjenester, eller udpege et medlem af den øverste ledelse som tilsynsansvarlig for den dermed forbundne risikoeksponering og relevante dokumentation.

Ansvarssubjektet for overtrædelse af artikel 5, stk. 3, er den finansielle enhed. Et eksempel på en strafbar handling kan være, at ledelsesorganet ikke har oprettet en funktion der har til formål at overvåge de ordninger, der er indgået med tredjepartsudbydere af it-tjenester vedrørende brugen af it-tjenester.

Artikel 6 indeholder regler om en finansiel enheds ramme for it-risikostyring. Rammen for it-risikostyring omfatter hvilke tiltag en operatør af et reguleret marked har opsat.

I medfør af artikel 6, stk. 1, skal en finansiel enhed have indført en robust, omfattende og veldokumenteret ramme for deres it-risikostyring, som en del af deres samlede risikostyringssystem der sikrer et højt niveau af digital operationel modstandsdygtighed.

Ansvarssubjektet for overtrædelse af artikel 6, stk. 1, er den finansielle enhed.

Den strafbare handling kan eksempelvis bestå i, at den finansielle enhed ikke har formået at dokumentere deres ramme for deres it-risikostyring i en tilstrækkelig grad.

Det fremgår af artikel 6, stk. 2, at rammen for it-risikostyring, som minimum skal omfatte strategier, politikker, procedurer, it-protokoller og værktøjer, som er nødvendige for på behørig vis og i tilstrækkelig grad, at beskytte alle informationsaktiver og it-aktiver.

Ansvarssubjektet for overtrædelse af artikel 6, stk. 2, er ledelsesorganet. Det fremgår af artikel 5. stk. 2, at ledelsesorganet i den finansielle enhed skal fastlægge, godkende og føre tilsyn med og har ansvaret for gennemførelsen af alle ordninger vedrørende rammer for it-risikostyring, der er omhandlet i artikel 6, stk. 1.

Den strafbare handling kan eksempelvis bestå i, at ledelsesorganet ikke har indført sikkerhedsforanstaltninger der i tilstrækkeliggrad beskytter relevante fysiske komponenter, som eksempelvis virksomhedens lokaler, mod uautoriseret adgang.

Artikel 6, stk. 3, omhandler de finansielle enheders forpligtigelse til at forelægge fuldstændige og ajourførte oplysninger om deres it-risiko på de kompetente myndigheders anmodning. Ved at indføre passende strategier, politikker, procedurer, it-protokoller og -værktøjer, minimerer den finansielle enhed deres it-risiko.

Ansvarssubjektet for overtrædelse af artikel 6, stk. 3, er den finansielle enhed. Et eksempel på den strafbare handling kan være, at den finansielle enhed ikke på Finanstilsynets anmodning, har fremlagt en opdateret strategi for deres it-risikostyring, efter nye tiltag trådte i kraft for virksomheden.

Det fremgår af artikel 6, stk. 4, at finansielle enheder skal overdrage ansvaret for styring af og tilsyn med it-risikoen til en kontrolfunktion og sikre, at denne kontrolfunktion har et passende uafhængighedsniveau, så interessekonflikter kan undgås. Videre fremgår det af artikel 6, stk. 4, 2. pkt., at en finansiel enhed skal sikre en passende adskillelse og uafhængighed af it-risikostyringsfunktioner, kontrolfunktioner og interne revisionsfunktioner efter modellen med tre forsvarslinjer eller en intern model for risikostyring og kontrol.

Ansvarssubjektet er den finansielle enhed. En strafbar overtrædelse af bestemmelsen kan eksempelvis bestå i, at en finansiel enhed har en intern styring af og tilsyn med it-risikoen og derfor ikke har sikret en passende adskillelse og uafhængighed af deres it-risikostyringsfunktioner.

Artikel 6, stk. 5, indeholder krav om dokumentationen og tilsyn med it-risikostyringens ramme. Det følger af bestemmelsen, at rammen for it-risikostyringen skal dokumenteres og gennemgås mindst én gang om året, samt når der forekommer større it-relaterede hændelser, og i henhold til tilsynsmæssige instrukser eller konklusioner, som er udledt af relevant test af digital operationel modstandsdygtighed eller revisionsprocesser. Den skal forbedres løbende på grundlag af indhøstede gennemførelses- og overvågningserfaringer. Der skal forelægges en rapport om gennemgangen af rammen for it-risikostyring for den kompetente myndighed på dens anmodning.

Ansvarssubjektet for overtrædelse af artikel 6, stk. 5, er den finansielle virksomhed. Den strafbare handling kan eksempelvis bestå i, at en finansiel enhed ved en større it-relateret hændelse, efterfølgende ikke formår at dokumentere rammen for risikostyringen. En strafbar handling kunne også bestå i, at den finansielle enhed ikke har forbedret rammen for deres risikostyring på baggrund af løbende overvågningserfaringer.

Artikel 6, stk. 6, omhandler revisorernes interne revision af rammen for it-risikostyring. Det følger af bestemmelsen, at revisorerne skal besidde egenskaber som tilstrækkelig viden, faglig kompetence og ekspertise, samt være tilstrækkeligt uafhængige. Der skal være overensstemmelse mellem hyppigheden af revisioner og omfanget af it-risikoen hos den finansielle enhed.

Ansvarssubjektet er den finansielle enhed. En strafbar overtrædelse kan eksempelvis bestå i, at den finansielle enheds revisor har foretaget en revision af rammen for it-risikostyring, uden at have det fornødne egenskaber. Det kan ligeledes anses for strafbart såfremt revisoren ikke kan anses som værende uafhængig.

Artikel 6, stk. 7, omhandler den formelle opfølgningsproces på den interne revisionsgang som den finansielle enhed skal etablere. Opfølgningsprocessen skal indeholde regler for rettidig efterprøvning og udbedring af kritiske resultater af it-revisioner.

Ansvarssubjektet for overtrædelse af artikel 6, stk. 7, er den finansielle enhed. Den strafbare handling kan bestå i, at den finansielle enhed ikke etablerer en opfølgningsproces, der indeholder regler for rettidig efterprøvning af kritiske konklusionerne fra en interne revision.

I medfør af artikel 6, stk. 8, skal en finansiel enheds ramme for it-risikostyring omfatte en strategi for digital operationel modstandsdygtighed, der fastsætter, hvordan rammen gennemføres. Strategien for digital operationel modstandsdygtighed skal omfatte metoderne til håndtering af it-risiko og opfylde specifikke krav, som er oplistet i artikel 6, stk. 8, litra a-h. Et af disse krav er eksempelvis at fastlægge risikotoleranceniveauet for it-risiko i overensstemmelse med den finansielle enheds risikovillighed og analysere tolerancen over for virkninger af it-forstyrrelser, jf. litra b, eller dokumentere den nuværende situation for den digitale operationelle modstandsdygtighed på grundlag af antallet af indberettede større it-relaterede hændelser og de forebyggende foranstaltningers effektivitet, jf. litra f.

Ansvarssubjektet for en overtrædelse af artikel 6, stk. 8, er den finansielle enhed. Den strafbare handling kan eksempelvis bestå i, at den finansielle enheds strategi, undlader at analysere for virkninger af it-forstyrrelser over for risikotoleranceniveauet. Den strafbare handling kan ligeledes bestå i, at den finansielle enhed ikke formår at dokumentere deres situation for den operationelle robusthed på baggrund af mængden af større it-relaterede hændelser og de forebyggende foranstaltningers effektivitet

Artikel 7, stk. 1, oplister en række krav til den finansielle enheds it-systemer, -protokoller og -værktøjer, jf. litra a-d. Den finansielle enhed skal eksempelvis anvende systemer der er pålidelige, jf. litra b, og som er teknologisk modstandsdygtige nok til i tilstrækkeligt omfang at håndtere yderligere behov for informationsbehandling som krævet under stressede markedsforhold eller i andre vanskelige situationer, jf. litra d.

Ansvarssubjektet for overtrædelse af bestemmelsen er den finansielle enhed. Den strafbare handling består eksempelvis i, at en finansiel enhed ikke anvender systemer eller værktøjer der pålidelige eller proportionale i forhold til den finansielle enheds udbudte ydelser.

Artikel 8, stk. 1-7, i DORA-forordningen omhandler identifikation af kilder til it-risiko. Artikel 8, stk. 1, fastsætter, at en finansiel enhed, som led i deres ramme for it-risikostyring, skal foretage identifikation, klassificering og tilstrækkelig dokumentering af alle it-understøttede forretningsfunktioner, roller og ansvarsområder, informationsaktiver og it-aktiver, der understøtter disse funktioner, samt deres roller og afhængigheder med hensyn til it-risici. Bestemmelsen fastsætter endvidere, at en finansiel virksomhed efter behov og mindst én gang om året, vurderer hvorvidt denne klassificering og eventuel relevant dokumentation er tilstrækkelig.

Ansvarssubjektet er en finansiel enhed. Den strafbare handling består eksempelvis i, at en finansiel enhed ikke har identificeret, klassificeret eller dokumenteret deres it-understøttede forretningsfunktioner i en tilstrækkelig grad.

I medfør af artikel 8, stk. 2, skal en finansiel enhed løbende identificere alle kilder til it-risiko, navnlig risikoeksponeringen for og fra andre finansielle enheder, og vurderer cybertrusler og it-sårbarheder, der er relevante for deres it-understøttede forretningsfunktioner, informationsaktiver og it-aktiver. De finansielle enheder skal derfor regelmæssigt og mindst én gang om året gennemgå de risikoscenarier, der har virkninger for dem.

Ansvarssubjektet for overtrædelse af artikel 8, stk. 2, er den finansielle enhed. Den strafbare handling består eksempelvis i, at en finansiel virksomhed ikke mindst én gang årligt har gennemgået de risikoscenarier der er virkninger for dem.

Artikel 8, stk. 3, indeholder krav om, at en finansiel enhed skal foretage en risikovurdering efter hver større ændring af infrastrukturen i net- og informationssystemerne, i de processer eller procedurer, der påvirker deres it-understøttede forretningsfunktioner, informationsaktiver eller it-aktiver.

Ansvarssubjektet for overtrædelse af bestemmelsen er en finansiel enhed. Den strafbare handling kan bestå i, at en finansiel enhed har foretaget en større ændring infrastrukturen i deres net- og informationssystem og ikke foretager en ny risikovurdering, såfremt infrastrukturen påvirker deres it-understøttede forretningsfunktioner.

Det fremgår af artikel 8, stk. 4, at en finansiel enhed skal identificere alle informationsaktiver og it-aktiver, herunder på eksterne steder, netværksressourcer og hardwareudstyr, og kortlægger dem, der anses for kritiske. Den finansielle enhed kortlægger informationsaktivernes og it-aktivernes konfiguration samt forbindelserne og den indbyrdes forbundethed mellem de forskellige informationsaktiver og it-aktiver.

Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan eksempelvis bestå i, at den finansielle enhed ikke har kortlagt de kritiske informationsaktiver og it-aktiver, herunder på eksterne steder, netværksressourcer og hardwareudstyr.

Artikel 8, stk. 5, fremgår det, at en finansiel enhed skal identificere og dokumentere alle processer, der er afhængige af tredjepartsudbydere af it-tjenester. Det fremgår endvidere, at den finansielle enhed identificerer sammenkoblinger med tredjepartsudbydere af it-tjenester, der udbyder tjenester, som understøtter kritiske eller vigtige funktioner.

Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan eksempelvis bestå i, at den finansielle enhed har undladt at dokumentere alle de processer der er afhængige af tredjepartsudbydere af it-tjenester, som den finansielle enhed bruger.

Det fremgår af artikel 8, stk. 6, at den finansielle enhed, med henblik på artikel 6, stk. 1, 4 og 5, opretholder relevante fortegnelser og ajourfører dem regelmæssigt, og hver gang der sker større ændringer som omhandlet i artikel 6, stk. 3.

Ansvarssubjektet er den finansielle enhed. En strafbar overtrædelse kan bestå i, at der ved en større ændring af infrastrukturen i net- og informationssystemerne, i de processer eller procedurer, der påvirker den finansielle enheds it-understøttede forretningsfunktioner, informationsaktiver eller it-aktiver, ikke er foretaget ajourførte fortegnelser over ændringerne.

Til sidst følger det af artikel 8, stk. 7, a en finansiel enhed skal foretage en specifik it-risikovurdering regelmæssigt og mindst én gang om året.

Ansvarssubjektet er den finansielle enhed. En strafbar overtrædelse består eksempelvis i, at en finansiel virksomhed ikke regelmæssigt eller mindst én gang årligt har foretaget en specifik it-risikovurdering.

Artikel 9 indeholder nærmere bestemmelser om beskyttelse af it-systemer og forebyggelse af it-risici.

Det følger af artikel 9, stk. 1, at en finansiel enhed skal sikre løbende overvågning af og kontrol med it-systemer og -værktøjernes sikkerhed og af, hvordan de fungerer, og minimerer virkningerne af it-risikoen for it-systemer ved at indføre passende it-sikkerhedsværktøjer, -politikker og -procedurer, med henblik på, at sikre en passende beskyttelse og tilrettelægge indsatsforanstaltninger der skal sikre de finansielle enheder.

Ansvarssubjektet er den finansielle enhed. Den strafbare handling består eksempelvis i, ikke løbende at overvåge og kontrollere den finansielle enheds it-systemer og -værktøjers sikkerhed igennem passende it-sikkerhedsværktøjer, -politikker og -procedurer.

I medfør af artikel 9, stk. 2, skal en finansiel enhed udforme, indkøbe og gennemføre it-sikkerhedspolitikker, -procedurer, -protokoller og -værktøjer, der har til formål at sikre it-systemernes modstandsdygtighed, stabilitet og tilgængelighed, især for dem, der understøtter kritiske eller vigtige funktioner, og at opretholde høje standarder for, tilgængeligheden, autenticiteten, integriteten og fortroligheden af data, hvad enten dataene er inaktive, i brug eller under overførsel.

Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan i medfør af artikel 9, stk. 2, bestå i, at der ikke er gennemført en it-sikkerhedspolitik for at sikre den finansielle enheds it-systems modstandsdygtighed, stabilitet og tilgængelighed.

Artikel 9, stk. 3, omhandler de it-løsninger og it-processer som den finansielle enhed skal anvende for at nå de i artikel 9, stk. 2, omhandlede mål. It-løsningerne og it-processerne skal være i overensstemmelse med proportionalitetsprincippet i artikel 4 i DORA-forordningen og sikre sikkerheden for metoderne til overførsel af data, minimere risikoen for korruption eller tab af data, uautoriseret adgang og tekniske fejl, der kan hæmme erhvervsaktiviteten og forhindrer manglen på tilgængelighed, forringelsen af autenticiteten og integriteten, bruddene på fortroligheden og tabet af data. Samt sikre, at data beskyttes mod risici, der opstår i forbindelse med dataforvaltning, herunder dårlig administration, procesrelaterede risici og menneskelige fejl.

Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan i medfør af artikel 9, stk. 3, bestå i at have utilstrækkelige it-løsninger og it-processer, der ikke lever op til proportionalitetsprincippet i artikel 4, i DORA-forordningen og de i artikel 9, stk. 3, fastsatte krav.

Det følger af artikel 9, stk. 4, at en finansiel enhed som led i deres it-risikostyring skal udvikle og dokumentere en informationspolitik, der fastlægger regler for beskyttelse af tilgængeligheden, autenticiteten, integriteten og fortroligheden af data, informationsaktiver og it-aktiver, herunder deres kunders, hvis det er relevant, jf. litra a. Desuden skal en finansiel enhed følge en risikobaseret tilgang ved at indføre en forsvarlig forvaltningsstruktur for netværk og infrastrukturer ved anvendelse af passende teknikker, metoder og protokoller, der kan omfatte gennemførelse af automatiske mekanismer til isolering af de berørte informationsaktiver i tilfælde af cyberangreb, jf. litra b. Artikel 9, stk. 4, litra c, fastsætter også at en finansiel enhed skal gennemføre politikker, der begrænser den fysiske eller logiske adgang til informationsaktiver og it-aktiver udelukkende til, hvad der er påkrævet for legitime og godkendte funktioner og aktiviteter, og med henblik herpå indføre en række politikker, procedurer og kontroller, der vedrører adgangsrettigheder og sikrer forsvarlig forvaltning heraf.

Desuden skal den finansielle enhed gennemføre politikker og protokoller for stærke autentificeringsmekanismer på grundlag af relevante standarder og særlige kontrolsystemer og beskyttelsesforanstaltninger for krypteringsnøgler, hvorigennem data krypteres baseret på resultaterne fra godkendt dataklassificering og godkendte it-risikovurderingsprocesser, jf. litra d. Samt gennemføre dokumenterede politikker, procedurer og kontroller for styring af it-ændringer, herunder ændringer af software, hardware, firmwarekomponenter, systemer eller sikkerhedsparametre, som er baseret på en risikovurderingstilgang og er en integreret del af den finansielle enheds samlede ændringsstyringsproces, for at sikre, at alle ændringer af it-systemer registreres, testes, vurderes, godkendes, gennemføres og efterprøves på en kontrolleret måde, jf. litra e. Slutteligt anfører artikel 9, stk. 4, litra f, at en finansiel enhed skal sørge for, at der indføres passende og omfattende dokumenterede politikker for programrettelser og opdateringer.

Med henblik på første afsnit, litra b, udformer de finansielle enheder infrastrukturen for netværkstilslutning på en sådan måde, at den kan afbrydes eller segmenteres øjeblikkeligt for at minimere og forhindre afsmitning, navnlig i forbindelse med indbyrdes forbundne finansielle processer. Med henblik på første afsnit, litra e, skal it-ændringsstyringsprocessen godkendes på passende ledelsesniveauer og omfatte specifikke protokoller.

Ansvarssubjektet for overtrædelse af bestemmelsen er en finansiel enhed. Den strafbare handling består eksempelvis i, at der ikke forelægger en tilstrækkelig it-sikkerhedspolitik hos den finansielle enhed til at sikre beskyttelsen af deres kunders data. Den strafbare handling kan desuden også bestå i, at dokumenterede politikker, procedurer og kontroller for styring af it-ændringer, herunder ændringer af software, hardware, firmwarekomponenter, systemer eller sikkerhedsparametre, som er baseret på en risikovurderingstilgang og er en integreret del af den finansielle enheds samlede ændringsstyringsproces, for at sikre, at alle ændringer af it-systemer registreres, testes, vurderes, godkendes, gennemføres og efterprøves på en kontrolleret måde, ikke er blevet godkendt på passende ledelsesniveau.

Artikel 10, stk. 1-4, i DORA-forordningen omhandler detektion af anormale aktiviteter.

Det følger af artikel 10, stk. 1, at en finansiel enhed skal indføre mekanismer til omgående detektion af anormale aktiviteter i overensstemmelse med artikel 17, herunder problemer med it-netværkets ydeevne og it-relaterede hændelser, og til identifikation af potentielt væsentlige single points of failure. Artikel 17 omhandler proces for styring af it-relaterede hændelser.

Ansvarssubjektet er den finansielle enhed. En overtrædelse af artikel 10, stk. 1, kan bestå i at der i den finansielle enhed ikke bliver opdaget anormale aktiviteter, idet enheden ikke har indført en mekaniske til detektion af disse.

Artikel 10, stk. 2, fastsætter krav til den finansielle enheds mekanismer. I medfør af artikel 10, stk. 2, skal de omtalte mekanismer i stk. 1, anvende flere kontrollag, fastlægge varslingstærskler og -kriterier, som skal udløse og igangsætte indsatsforanstaltninger mod it-relaterede hændelser, herunder automatiske varslingsmekanismer for det relevante personale, som har ansvar for indsatsen mod it-relaterede hændelser.

Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i at have utilstrækkelige mekanismer der ikke lever op til de af artikel 10, stk. 2, fastsatte krav.

Videre fremgår det af artikel 10, stk. 3, at finansielle enheder skal afsætte tilstrækkelige ressourcer og kapaciteter til overvågning af brugeraktiviteter, forekomsten af it-anomalier og it-relaterede hændelser, navnlig cyberangreb.

Ansvarssubjektet er den finansielle enhed. Den strafbare handling består eksempelvis i, ikke at have afsat ressourcer til overvågning af brugeraktiviteter.

Til slut fremgår det af artikel 10, stk. 4, at udbydere af dataindberetningstjenester indfører desuden systemer, som effektivt kan kontrollere, om handelsindberetningerne er fuldstændige, identificere udeladelser og åbenbare fejl og anmode om fornyet fremsendelse af disse indberetninger.

Ansvarssubjektet for overtrædelse af bestemmelsen er en finansiel enhed. Den strafbare handling består eksempelvis i, at der ikke er indført et system som kan identificere åbenbare fejl.

Artikel 11 i DORA-forordningen omhandler indsats og genopretning af it. Artikel 11, stk. 1, fastsætter, at en finansiel enhed skal indføre en omfattende politik for it-driftsstabilitet. Politikken skal være baseret på de krav til identifikation, der er fastsat i artikel 8 i DORA-forordningen. I henhold til artikel 8, stk. 1, skal en finansiel enhed f.eks. foretage en identifikation, klassificering og tilstrækkelig dokumentering af alle it-understøttende forretningsfunktioner, roller, ansvarsområder, informationsaktiviteter og it-aktiver, der understøtter disse funktioner, samt deres roller og afhængigheder med hensyn til it-risici.

Ansvarssubjektet for overtrædelse af artikel 11, stk. 1, er den finansielle enhed. Den strafbare handling kan enten bestå i ikke at have indført nogen politik for it-driftsstabilitet, eller at have indført en politik, der ikke omhandler alle it-understøttende forretningsfunktioner.

I medfør af artikel 11, stk. 2, skal en finansiel enhed gennemføre politikken for it-driftsstabilitet ved hjælp af særlige veldokumenterede ordninger, planer, procedurer og mekanismer, der skal tage sigte på en række forhold, der er oplistet i stk. 2, litra a - e. En af disse forhold er eksempelvis at sikre, at en finansiel enheds kritiske eller vigtige funktioner er stabile, jf. litra a, eller omgående at aktivere særlige planer, der gør det muligt at anvende inddæmningsforanstaltninger, -processer og -teknologier, der er egnede til de enkelte typer af it-relaterede hændelser, og som forhindrer yderligere skade, jf. litra c.

Ansvarssubjektet for en overtrædelse af artikel 11, stk. 2, er den finansielle enhed. Den strafbare handling består i, ikke at have gennemført en politik for it-driftsstabilitet ved hjælp af særlige ordninger, planer, procedurer og mekanismer, der tager sigte på de forhold, der er oplistet i stk. 2, litra a – e.

Artikel 11, stk. 3, indeholder krav om, at en finansiel enhed skal gennemføre planer for it-indsats og -genopretning, som skal underkastes uafhængige interne revisionsgennemgange.

Ansvarssubjektet for en overtrædelse af stk. 3, er den finansielle enhed. Den strafbare handling består i at en finansiel enhed ikke lader planer for it-indsats og -genopretning blive underkastet uafhængige interne revisionsgennemgange.

Det fremgår af artikel 11, stk. 4, at en finansiel enhed skal indføre, vedligeholde og foretage regelmæssig testning af passende planer for it-driftsstabilitet, navnlig med hensyn til kritiske eller vigtige funktioner, som outsources eller udliciteres gennem ordninger, der er indgået med tredjepartsudbydere af it-tjenester. Ved regelmæssig testning forstås mindst én gang om året, jf. artikel 11, stk. 6, litra a.

Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan eksempelvis bestå i ikke at vedligeholde planer for it-driftsstabilitet, f.eks. hvis en udskiftning af virksomhedens it-systemer nødvendiggør en opdatering af planerne for it-driftsstyring. En strafbar handling kan også bestå i ikke regelmæssigt at foretage en test af planer for it-driftsstabilitet. Herunder vil det være en særligt skærpende omstændighed, hvis der ikke er foretaget regelmæssig testning af planer for it-driftsstabilitet med hensyn til kritiske eller vigtige funktioner, som eksempelvis er outsourcet til en tredjepartsudbyder af it-tjenester.

Af artikel 11, stk. 5, 1. pkt., fremgår det, at en finansiel enhed som led i den samlede politik for driftsstabilitet skal foretage en forretningskonsekvensanalyse af deres eksponering for alvorlige driftsforstyrrelser. Det fremgår videre af stk. 5, 2. pkt., hvordan en finansiel enhed i konsekvensanalysen skal vurdere potentielle virkninger af alvorlige driftsforstyrrelser. I stk. 5, 3. pkt., fremgår det, at en konsekvensanalyse bl.a. skal tage hensyn til den kritiske betydning af identificerede og kortlagte forretningsfunktioner og andre forhold, der er nævnt i 3. pkt. Til sidst fremgår det af stk. 5, 4. pkt., at en finansiel enhed skal sikre, at it- aktiver og -tjenester udformes og anvendes i fuld overensstemmelse konsekvensanalysen, navnlig med hensyn til tilstrækkeligt at sikre alle kritiske komponenters redundans, dvs. at en kritisk komponent kan erstattes med en tilsvarende komponent, hvis det skulle blive nødvendigt.

Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan eksempelvis bestå af ikke at foretage en forretningskonsekvensanalyse af enhedens eksponering for alvorlige driftsforstyrrelser. Den kan f.eks. også bestå i ikke at foretage en vurdering af alvorlige driftsforstyrrelser i overensstemmelse med stk. 5, 2. pkt., eller bestå i at konsekvensanalysen ikke tager hensyn til den kritiske betydning af identificerede og kortlagte forretningsfunktioner eller en af de andre forhold, der er nævnt i det pågældende punkt. Til sidst kan en strafbar handling bestå i f.eks. ikke at sikre, at en kritisk komponent kan erstattes af en tilsvarende komponent, hvis konsekvensanalysen tilsiger dette.

Det fremgår af artikel 11, stk. 6, 1. afsnit, litra a, at en finansiel enhed som led i it-risikostyring skal teste enhedens planer for it-driftsstabilitet og planer for it-indsats og genopretning i forbindelse med it-systemer, der understøtter alle funktioner. En test heraf skal finde sted mindst én gang årligt og i tilfælde af væsentlige ændringer af it-systemer, der understøtter kritiske eller vigtige funktioner. I medfør af stk. 6, 1. afsnit, litra b, skal en finansiel enhed også teste krisekommunikationsplaner, der er udarbejdet i medfør af artikel 14.

Stk. 6, 2. afsnit indeholder nærmere krav til, hvilke forskellige scenarier tests for it-driftsstabilitet og planer for it-indsats og genopretning, jf. stk. 6, litra a, skal medtage. Det drejer sig bl.a. om cyberangrebsscenarier og omstillingsscenarier mellem den primære it-infrastruktur og redundante kapacitet. Ved redundante kapacitet forstås en lignende kapacitet, der skal kunne erstattet den primære it-infrastruktur, hvis denne eksempelvis bliver beskadiget under et cyberangreb. Bestemmelsen gælder ikke for finansielle enheder, der er mikrovirksomheder. Ved mikrovirksomhed forstås en virksomhed, som beskæftiger under 10 personer, og som har en årlig omsætning eller en samlet årlig balance på ikke over 2 mio. euro, jf. artikel 2, stk. 3, i bilag til Kommissionens henstilling af 6. maj 2003 om definitionen af mikrovirksomheder, små og mellemstore virksomheder.

Videre fremgår det af stk. 6, 3. afsnit, at en finansiel enhed regelmæssigt skal gennemgå sin politik for it-driftsstabilitet og planer for it-indsats og -genopretning. Her skal den finansielle enhed bl.a. tage hensyn til resultaterne af de test, som den finansielle enhed har gennemført i henhold til 1. afsnit.

Ansvarssubjektet for en overtrædelse af artikel 11, stk. 6, er den finansielle enhed. Den strafbare overtrædelse kan eksempelvis bestå i ikke at foretage test for planer for it-driftsstabilitet og planer for it-indsats og -genopretning eller ikke at foretage test af krisekommunikationsplaner, jf. stk. 6, 1. afsnit.

En strafbar overtrædelse kan f.eks. også bestå af ikke at ikke at medtage cyberangrebscenarier og omstillingsscenarier mellem den primære it-infrastruktur og den redundante kapacitet, eller i ikke regelmæssigt at gennemgå enhedens politik for it-driftsstabilitet og planer for it-indsats og -genopretning under hensyntagen til resultaterne af de test, som enheden har gennemført, jf. henholdsvis 2. og 3. afsnit.

I medfør af artikel 11, stk. 7, skal en finansiel enhed have en krisestyringsfunktion, som, hvis deres planer for it-driftsstabilitet og planer for it-indsats og -genopretning aktiveres, bl.a. skal indeholde klare procedurer for forvaltning af intern og ekstern krisekommunikation i overensstemmelse med artikel 14, der indeholder nærmere regler herfor.

Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan bestå i ikke at have en krisestyringsfunktion, der indeholder klare procedurer for intern og ekstern krisekommunikation i overensstemmelse med artikel 14.

Artikel 11, stk. 8, indeholder krav om, at en finansiel enhed skal føre let tilgængelige registre over aktiviteter før og under driftsforstyrrelser, når deres planer for it-driftsstabilitet og planer for it-indsats og -genopretning aktiveres.

Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i ikke at føre registre over aktiviteter før og under driftsforstyrrelser, hvor planerne for it-driftsstabilitet og for it-indsats og -genopretning er blevet aktiveret.

Til sidst følger det af artikel 11, stk. 10, at en finansiel enhed skal indberette et overslag over de samlede årlige omkostninger og tab, der opstår som følge af større it-relaterede hændelser, til de kompetente myndigheder på deres anmodning.

Ansvarssubjektet er den finansielle enhed. Den strafbare handling består af ikke at indberette et overslag over de samlede årlige omkostninger og tab, der opstår som følge af større it-relaterede hændelser, til de kompetente myndigheder, dvs. Finanstilsynet, hvis Finanstilsynet anmoder den finansielle enhed herom.

Artikel 12 indeholder nærmere bestemmelser om politikker og procedurer for sikkerhedskopiering og procedure og metoder for gendannelse og genopretning af it-systemer og data.

Det følger af artikel 12, stk. 1, at en finansiel enhed som led i it-risikostyring skal udvikle og dokumentere politikker og procedure for sikkerhedskopiering, der præciserer omfanget af de data, der er genstand for sikkerhedskopiering, og minimumshyppigheden af sikkerhedskopiering baseret på oplysningernes kritiske betydning eller fortrolighedsniveauet for dataene. Desuden skal en finansiel enhed udvikle og dokumentere procedurer og metoder for gendannelse og genopretning.

Ansvarssubjektet er den finansielle enhed. Den strafbare handling består af ikke at udvikle og dokumentere politikker og procedure for enten sikkerhedskopiering eller gendannelse og genopretning.

I medfør af artikel 12, stk. 2, 1. pkt., skal en finansiel enhed etablere systemer for sikkerhedskopiering og procedurer og metoder for gendannelse og genopretning. Det følger videre af artikel 12, stk. 2, 2. pkt., at aktiveringen af systemerne for sikkerhedskopiering ikke må sætte sikkerheden i net- og informationssystemer eller tilgængeligheden, autenticiteten, integriteten eller fortroligheden af data over styr. Til sidst er det i medfør af stk. 2, 3. pkt., et krav, at der foretages regelmæssig test af procedurer for sikkerhedskopiering og procedurer og metoder for gendannelse og genopretning.

Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan eksempelvis bestå i ikke at etablere systemer for sikkerhedskopiering eller for procedurer og metoder for gendannelse og genopretning. Den kan også bestå i at en finansiel enhed ikke sikrer sig, at systemerne for sikkerhedskopiering ikke sætter sikkerheden i net- og informationssystemer m.v. over styr. I henhold til stk. 2, 3. pkt., kan den bestå i at der ikke foretages regelmæssige test af procedurer for sikkerhedskopiering og procedurer og metoder for gendannelse og genopretning.

Det følger af artikel 12, stk. 3, 1 og 2. pkt., at når en finansiel enhed gendanner sikkerhedskopierede data ved anvendelse af egne systemer, skal de anvende de it-systemer, der er fysisk og logisk adskilt fra it-kildesystemet. It-systemerne skal være sikkert beskyttet mod uautoriseret adgang eller it-korruption og give mulighed for rettidig gendannelse af tjenester ved hjælp af data- og systemsikkerhedskopier efter behov.

Ansvarssubjektet i stk. 3, 1. og 2. pkt., er den finansielle enhed. Den strafbare handling kan i medfør af stk. 3, 1. pkt., bestå i at anvende egne it-systemer til gendannelse af sikkerhedskopierede data, der ikke er fysisk og logisk adskilt fra it-kildesystemet. Det vil eksempelvis sige it-systemer, der befinder sig på en anden adresse end kildesystemet, dvs. det it-system, som den finansielle enhed anvender i sit daglige virke. Det kan også være, hvor en finansiel enhed anvender eget it-system, der er fysisk adskilt fra kildesystemet, men hvor systemet ikke logisk er adskilt fra kildesystemet. Den strafbare handling i medfør af stk. 3, 2. pkt., kan f.eks. bestå i ikke at beskytte it-systemerne mod uautoriseret adgang eller it-korruption.

Videre følger det af stk. 3, 3. pkt., at for centrale modparter (CCP’er) skal genopretningsplaner gøre det muligt at genoptage alle transaktioner fra det tidspunkt, hvor de blev afbrudt, således at den berørte centrale modpart (CCP) kan opretholde driftssikkerheden og gennemføre afviklingen på den planlagte dato. Til sidst følger det af stk. 3, 4. pkt., at udbydere af dataindberetningstjenester desuden skal sørge for at råde over passende ressourcer og sikkerhedskopierings- og gendannelsesfaciliteter for til enhver tid at kunne udbyde og opretholde deres tjenester.

Ansvarssubjektet i stk. 3, 3. pkt., er den centrale modpart (CCP). Den strafbare handling består i, at en genopretningsplan ikke gør det muligt at genoptage alle transaktioner fra det tidspunkt, hvor transaktionerne blev afbrudt.

Ansvarssubjektet i stk. 3, 4. pkt., er udbyderen af dataindberetningstjenester. Den strafbare handling består i ikke at have ressourcer og sikkerhedskopierings- og gendannelsesfaciliteter for til enhver tid at kunne udbyde og opretholde sine tjenester.

Det følger af artikel 12, stk. 4, 1. pkt., at en finansiel enhed opretholder redundante it-kapaciteter, der er udstyret med passende ressourcer og funktioner med henblik på at sikre forretningsmæssige behov. Videre fremgår det af stk. 4, 2. pkt., at mikrovirksomheder vurderer behovet for at opretholde redundante it-kapaciteter på grundlag af deres risikoprofil. Ved redundante it-kapaciteter forstås lignende it-kapaciteter, der skal kunne erstatte de primære it-kapaciteter en finansiel enhed, hvis disse it-kapaciteter eksempelvis bliver ramt af et cyberangreb.

Ansvarssubjektet i stk. 4, 1. pkt., er den finansielle enhed. Den strafbare handling består i ikke at have redundante it-kapaciteter, der sikrer forretningsmæssige behov.

Ansvarssubjektet i stk. 4, 2. pkt., er en finansiel enhed, som er en mikrovirksomhed. Ved mikrovirksomhed forstås en virksomhed, som beskæftiger under 10 personer, og som har en årlig omsætning eller en samlet årlig balance på ikke over 2 mio. euro, jf. artikel 2, stk. 3, i bilag til Kommissionens henstilling af 6. maj 2003 om definitionen af mikrovirksomheder, små og mellemstore virksomheder.

Den strafbare handling består i ikke at have foretaget en vurdering af behovet for at opretholde redundante it-kapaciteter på baggrund af enhedens risikoprofil.

Det fremgår af artikel 12, stk. 6, 1. pkt., at når en finansiel enhed skal fastlægge målene for genopretningstid og genopretningstidspunkt for hver funktion, skal de tage hensyn til, om det er en kritisk eller vigtig funktion og de potentielle samlede virkninger for markedseffektiviteten. Videre fremgår det af stk. 6, 2. pkt., at tidsmålene skal sikre, at de aftalte serviceniveauer kan overholdes i ekstreme scenarier.

Ansvarssubjektet i stk. 6, er den finansielle enhed. Den strafbare handling består i, at en finansiel enhed i sin fastlæggelse af målene for genopretningstid og genopretningstidspunkt, ikke har taget hensyn til, om den pågældende funktion er kritisk, eller hvilken virkning disse tidsmål vil have på markedseffektiviteten. Den kan også bestå i, at den finansielle enhed ikke har sikret sig, at tidsmålene kan overholde de aftalte serviceniveauer i ekstreme scenarier.

Det fremgår af artikel 12, stk. 7, 1. pkt., at når en finansiel enhed foretager genopretning efter en it-relateret hændelse, skal den udføre de nødvendige kontroller, herunder eventuelt flere kontroller og afstemninger, for at sikre, at dataintegriteten bevares på højeste niveau. Videre fremgår det af stk. 7, 2. pkt., at kontroller også skal foretages i forbindelse med rekonstruktionen af data fra eksterne interessenter for at sikre, at alle systemernes data er sammenhængende.

Ansvarssubjektet i stk. 7 er den finansielle enhed. Den strafbare handling består i ikke at udføre de nødvendige kontroller eller afstemninger efter en genopretning for at sikre, at dataintegriteten bevares på højt niveau. I den forbindelse kan den strafbare handling også bestå i ikke at foretage kontroller i forbindelse med rekonstruktionen af data fra eksterne interessenter for at sikre, at alle systemernes data er sammenhængende.

Artikel 13 indeholder regler om læring og udvikling omkring sårbarheder og cybertrusler, it-relaterede hændelser, herunder navnlig cyberangreb. Stk. 1 indeholder krav om, at en finansiel enhed skal sørge for at råde over kapaciteter og personale, som kan indsamle oplysninger herom, og som kan analysere de virkninger, de forventes at have på deres digitale operationelle modstandsdygtighed.

Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i ikke at have afsat ressourcer til f.eks. et it-system og personale, hvormed enheden kan indsamle oplysninger om sårbarheder og cybertrusler eller it-relaterede hændelser som cyberangreb. Den strafbare handling kan eksempelvis også bestå i ikke at have personale med tilstrækkelige kompetencer til at kunne analysere de virkninger, som bl.a. et cyberangreb kan have på deres digitale operationelle infrastruktur.

Det fremgår af artikel 13, stk. 2, 1. afsnit, at en finansiel enhed skal foretage gennemgange af it-relaterede hændelser, efter at større it-relaterede hændelser har forstyrret deres kerneaktiviteter. Den finansielle enhed skal i den forbindelse analysere årsagerne til forstyrrelserne og identificere nødvendige forbedringer af it-operationerne eller indenfor rammerne af den i artikel 11 omhandlede politik for it-driftsstabilitet.

Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan bestå i ikke at foretage en gennemgang og analyse af en større it-relateret hændelse, der har forstyrret den finansielle enheds kerneaktivitet.

Videre fremgår det af stk. 2, 2. afsnit, at en finansiel enhed på anmodning fra den kompetente myndighed skal underrette den kompetente myndighed om ændringer, der er blevet gennemført efter en gennemgang af it-relaterede hændelser. Bestemmelsen gælder ikke for finansielle enheder, der er mikrovirksomheder. Ved mikrovirksomhed forstås en virksomhed, som beskæftiger under 10 personer, og som har en årlig omsætning eller en samlet årlig balance på ikke over 2 mio. euro, jf. artikel 2, stk. 3, i bilag til Kommissionens henstilling af 6. maj 2003 om definitionen af mikrovirksomheder, små og mellemstore virksomheder.

Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i ikke efter anmodning fra Finanstilsynet at underrette Finanstilsynet om ændringer, der er blevet gennemført efter en gennemgang af it-relaterede hændelser.

Til sidst fremgår det af stk. 2, 3. afsnit, at det i forbindelse med gennemgangen af it-relaterede hændelser skal fastslås, om de fastlagte procedurer er blevet fulgt, og om de iværksatte foranstaltninger har været effektive. Ved fastlagte procedurer forstås de procedurer, som den finansielle enhed har fastlagt i sin politik for it-driftsstabilitet. Det fremgår af artikel 11, stk. 2, at en finansiel enhed gennemfører politikken for it-driftsstabilitet ved hjælp af særlige, passende og veldokumenterede ordninger, planer, procedurer og mekanismer. Det er derfor procedurer og iværksatte foranstaltninger i henhold til de her ordninger m.v., som den finansielle enhed skal fastslå om har været effektive.

Det fremgår nærmere af artikel 13, stk. 2, 3. afsnit, at hvad en finansiel enhed bl.a. skal lægge nærmere vægt på i sin vurdering af, om de iværksatte foranstaltninger har været effektive. Den finansielle enhed skal bl.a. lægge vægt på den hastighed, med hvilken der er blevet sat ind overfor sikkerhedsvarsler, og med hvilken hastighed virkningerne af it-relaterede hændelser og deres omfang er blevet fastslået, jf. stk. 2, 3. afsnit, litra a. Det kan også være i forhold til effektiviteten af den finansielle enheds fejlafhjælpning i forbindelse med hændelser, jf. stk. 2, 3. afsnit, litra c.

Bestemmelsen har til formål at sikre, at en finansiel enhed efter en it-hændelse forholder sig kritisk til sine ordninger, planer, procedure m.v. i forbindelse med sin politik for it-driftsstabilitet for evt. at kunne forbedre disse til håndtering af en fremtidig it-relateret hændelse.

Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i ikke at fastslå om ordninger, planer og procedure i forbindelse med politikken for it-driftsstabilitet er blevet fulgt. Den kan også bestå i ikke at fastslå, om de iværksatte foranstaltninger har været effektive, herunder eksempelvis i forhold til den hastighed, med hvilken der er blevet sat ind overfor sikkerhedsvarsler, og med hvilken hastighed virkningerne af it-relaterede hændelser og deres omfang er blevet fastslået, jf. stk. 2, 3. afsnit, litra a.

Det følger af artikel 13, stk. 3, 1. pkt., at erfaringer fra test af digital operationel modstandsdygtighed, som foretages i overensstemmelse med artikel 26 og 27, og fra faktiske it-relaterede hændelser, navnlig cyberangreb, samt udfordringer i forbindelse med aktiveringen af planer for it-driftsstabilitet og planer for it-indsats og -genopretning, sammen med relevante oplysninger, der udveksles med modparter, og som vurderes i forbindelse med tilsynsmæssige gennemgange, løbende skal indarbejdes i it-risikovurderingsprocessen.

Artikel 26 vedrører avancerede test af IKT-værktøjer, -systemer og -processer baseret på TLPT. TLPT står for Threat Led Penetration Testing, som er en testmetode, hvor en virksomhed engagerer etiske hackere, som skal angribe flere systemer og det tilhørende cyberforsvar i virksomheden. Testene foregår i livesystemer, hvilket vil sige de systemer, som anvendes direkte i den finansielle sektor, og er baseret på konkrete trusler, hvilket betyder, at testene simulerer taktikker, teknikker og procedurer fra aktive, avancerede hackergrupper. Artikel 27 fastsætter de nærmere krav til testere.

Ansvarssubjektet er den finansielle enhed. Den strafbare handling består f.eks. i ikke løbende at indarbejde erfaringer fra test af digital operationel modstandsdygtighed i overensstemmelse med artikel 26 og 27, og fra it-relaterede hændelser i it-risikostyringsprocessen.

Det fremgår af artikel 13, stk. 4, 1. pkt., at en finansiel enhed skal overvåge effektiviteten af gennemførelse af deres strategi for digital operationel modstandsdygtighed, jf. artikel 6, stk. 8, der fastsætter nærmere krav til strategien. Videre fremgår det af stk. 4, 2. pkt., at en finansiel enhed skal kortlægge it-risikoens udvikling over tid, analysere hyppigheden, typerne, omfanget af og udviklingen i it-relaterede hændelser, navnlig cyberangreb og mønstre forbundet hermed. Den finansielle enhed skal gøre dette med henblik på at forstå graden af it-risikoeksponering, navnlig i forbindelse med kritiske eller vigtige funktioner, og for at forbedre den finansielle enheds cybermodenhed og cyberberedskab.

Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i ikke at overvåge effektiviteten af gennemførelsen af enhedens strategi for digital operationel modstandsdygtighed eller i ikke at kortlægge it-risikoens udvikling over tid, analysere hyppigheden, typerne, omfanget af og udviklingen i it-relaterede hændelser, navnlig cyberangreb og mønstre forbundet hermed.

Det fremgår af artikel 13, stk. 5, at højtstående it-personale mindst én gang om året skal aflægge rapport til ledelsesorganet om de i stk. 3 omhandlede resultater og fremsætte anbefalinger. Indholdet af artikel 13, stk. 3, er nærmere gennemgået ovenfor under bemærkningerne til strafbelæggelsen af en overtrædelse af stk. 3.

Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i som finansiel enhed ikke at sørge for, at it-personale mindst én gang om året aflægger rapport for ledelsesorganet om resultater af f.eks. faktiske it-relaterede hændelser, jf. artikel 13, stk. 3, og fremsætter anbefalinger.

Det fremgår af artikel 13, stk. 6, 1. pkt., at en finansiel enhed skal udvikle programmer til bevidstgørelse om it-sikkerhed og kurser i digital operationel modstandsdygtighed som obligatoriske moduler i deres personaleuddannelsesordninger. Videre fremgår det af stk. 6, 2. pkt., at disse kurser skal omfatte alle medarbejdere og den øverste ledelse og skal have en grad af kompleksitet, der svarer til deres opgavers ansvarsområde. Sidst fremgår det af stk. 6, 3. pkt., at en finansiel enhed, hvis det er relevant, inddrager tredjepartsudbydere af it-tjenester i relevante uddannelsesordninger, jf. artikel 30, stk. 2, litra i, om kontraktlige ordninger om betingelserne for deltagelse af tredjepartsudbydere i programmer til bevidstgørelse om it-sikkerhed og kurser i digital operationel modstandsdygtighed.

Ansvarssubjektet er den finansielle enhed. Den strafbare handling består f.eks. i ikke at udvikle programmer til alle medarbejdere og den øverste ledelse til bevidstgørelse om it-sikkerhed og kurser i digital operationel modstandsdygtighed som obligatoriske moduler i deres personaleuddannelse. Den strafbare handling kan også bestå i ikke at inddrage tredjepartsudbydere af it-tjenester i relevante uddannelsesordninger, hvis dette viser sig nødvendigt. Det kan eksempelvis være i det tilfælde, hvor kompleksiteten af et uddannelsesprogram når et niveau, hvor den finansielle enhed ikke selv har kompetencerne til at udvikle programmet.

Det fremgår af artikel 13, stk. 7, 1. pkt., at en finansiel enhed løbende skal overvåge den relevante teknologiske udvikling også med henblik på at forstå den mulige virkning af indførelsen af sådanne nye teknologier for kravene til it-sikkerhed og digital operationel modstandsdygtighed. Videre fremgår det af stk. 7, 2. pkt., at en finansiel enhed skal holde sig ajour med de seneste it-risikostyringsprocesser for effektivt at bekæmpe aktuelle eller nye former for cyberangreb. Bestemmelsen gælder ikke for mikrovirksomheder. Se definitionen af en mikrovirksomhed under bemærkningerne til strafbelæggelse af overtrædelse af artikel 11, stk. 6, 2. afsnit.

Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i ikke løbende at overvåge den relevante teknologiske udvikling med henblik på evt. at indføre de nye teknologier i enheden i forhold til at leve op til kravene til it-sikkerhed og digital operationel modstandsdygtighed. Den kan også bestå i ikke at holde sig ajour med de seneste it-risikostyringsprocesser for effektivt at bekæmpe aktuelle eller nye former for cyberangreb.

Artikel 14, stk. 1 i DORA-forordningen omhandler, at der som led i den ramme for it-risiko-styring, der er omhandlet i artikel 6, stk. 1, at de finansielle enheder sørger for at have krisekommunikationsplaner, der giver mulighed for ansvarlig offentliggørelse af, som minimum større it-relaterede hændelser eller sårbarheder for kunder og modparter samt for offentligheden, alt efter hvad der er relevant.

Krisekommunikations-planer må forstås sådant, at når der opstår en større ulykke eller katastrofe, så er der et akut behov for viden, og det er derfor nødvendigt at have planer for at kommunikere dette ud til de relevante parter.

It-risiko-styring må forstås sådant, at det er en håndtering af en sådan trussel, som defineres i artikel 3, stk. 1 nr. 5.

Ansvarssubjektet for overtrædelse af artikel 14, stk. 1, er den finansielle enhed. Den strafbare handling kan f.eks. bestå i, at den finansielle enhed ikke har udarbejdet planer for kommunikation af en offentliggørelse af en større it-relateret hændelse.

I medfør af artikel 14, stk. 2, skal en finansiel enhed som led i rammen for it-risikostyring, der er omhandlet i artikel 6, stk. 1. gennemføre kommunikationsplaner for internt personale og eksterne interessenter. Artikel 6, stk. 1, vedrører, at finansielle enheder indfører en robust, omfattende og veldokumenteret ramme for it-risikostyring. Kommunikationspolitikkerne for personalet skal tage hensyn til behovet for at skelne mellem personale der er involveret i it-risiko-styring, navnlig det personale der er ansvarlig for indsats og genopretning, og personale, der skal underrettes.

Ansvarssubjektet for en overtrædelse af artikel 14, stk. 2, er den finansielle enhed. Den strafbare handling består i, ikke at have gennemført kommunikationsplaner for internt personale og eksterne interessenter.

Artikel 14, stk. 3, indeholder krav om, at mindst én person i den finansielle enhed skal have til opgave at gennemføre kommunikationsstrategien for it-relaterede hændelse, og til dette formål varetage funktionen vedrørende offentligheden og medierne.

Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i, at den finansielle enhed ikke har mindst én person, der har til opgave at gennemføre kommunikationsstrategien for it-relaterede hændelse, og som til dette formål har varetage funktionen vedrørende offentligheden og medierne.

Det fremgår af artikel 16, stk. 1, at forordningens artikel 5-15 ikke finder anvendelse på små og ikke indbyrdes forbundne investeringsselskaber, betalingsinstitutter, der er undtaget i henhold til direktiv (EU) 2015/2366, institutter, der er fritaget i henhold til direktiv 2013/36/EU, og for hvilke medlemsstaterne har besluttet ikke at anvende den mulighed, der er omhandlet i nærværende forordnings artikel 2, stk. 4, e-pengeinstitutter, der er undtaget i henhold til direktiv 2009/110/EF, og små arbejdsmarkedsrelaterede pensionskasser.

Uden at det berører første afsnit skal de i første afsnit omhandlede enheder overholde det anførte i artikel 16, stk. 1, litra a-e. Det fremgår af litra a, at enhederne skal indføre og vedligeholde en robust og dokumenteret ramme for it-risikostyring, der beskriver de mekanismer og foranstaltninger, der skal muliggøre en hurtig, effektiv og omfattende styring af it-risiko, herunder vedrørende beskyttelse af relevante fysiske komponenter og infrastrukturer.

Det fremgår af litra b, at der løbende skal overvåges alle it-systemers sikkerhed og drift.

Det fremgår af litra c, at virkningen af it-risiko gennem anvendelse af robuste, modstandsdygtige og ajourførte it-systemer, -protokoller og -værktøjer, som er egnede til at understøtte udførelsen af deres aktiviteter og leveringen af tjenester og i tilstrækkelig grad beskytte tilgængeligheden, autenticiteten, integriteten og fortroligheden af data i net- og informationssystemerne skal minimeres.

Det fremgår af litra d, at det hurtigst muligt skal konstateres og detekteres it-risikokilder og -anomalier i net- og informationssystemerne og hurtigt at håndtere it-relaterede hændelser.

Det fremgår af litra e, at der skal konstateres stor afhængighed af tredjepartsudbydere af it-tjenester.

Det fremgår af litra f, at der skal sikres kontinuiteten af kritiske eller vigtige funktioner gennem planer for driftsstabiliteten og indsats- og genopretningsforanstaltninger, der som minimum omfatter sikkerhedskopierings- og gendannelsesforanstaltninger.

Det fremgår af litra g, at der regelmæssigt skal testes de planer og foranstaltninger, der er omhandlet i litra f, samt effektiviteten af de gennemførte kontroller i overensstemmelse med litra a og c.

Det fremgår af litra h, at der skal gennemføres, alt efter hvad der er relevant, de relevante operationelle konklusioner, der følger af de test, der er omhandlet i litra g, og af de efterfølgende analyser af hændelserne, i it-risikovurderingsprocessen og efter behov og it-risikoprofil udvikle programmer til bevidstgørelse om it-sikkerhed og kurser i digital operationel modstandsdygtighed for personale og ledelse.

Ansvarssubjektet i artikel 16, stk. 1 litra a-h, er den finansielle enhed. Den strafbare handling består i, at de i første afsnit omhandlede enheder ikke overholder det anførte i artikel 16, stk. 1, litra a-e.

I medfør af artikel 16, stk. 2, skal en finansiel enhed i den i stk. 1, andet afsnit, litra a, omhandlede ramme for it-risikostyring dokumenteres og gennemgås regelmæssigt og ved forekomst af større it-relaterede hændelser i overensstemmelse med de tilsynsmæssige instrukser. Den skal forbedres løbende på grundlag af indhøstede erfaringer fra gennemførelse og overvågning. Der skal forelægges en rapport om gennemgangen af rammen for it-risikostyring for den kompetente myndighed på dennes anmodning.

Ansvarssubjektet for overtrædelsen af artikel 16, stk. 2, er den finansielle enhed. Den strafbare handling består i, at ikke at have gennemført de handlinger der er oplistet i artikel 16, stk. 2. Dette er eksempelvis at sikre at der forelægges en rapport om gennemgangen af rammen for it-risikostyring for den kompetente myndighed ved anmodning.

Det følger af artikel 17, stk. 1, at de finansielle enheder definerer, fastlægger og gennemfører en proces for styring af it-relaterede hændelser for at detektere, styre og indberette it-relaterede hændelser.

Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan i medfør af artikel 17, stk. 1 bestå i, at de finansielle enheder ikke definerer, fastlægger og gennemfører en proces for styring af it-relaterede hændelser, som kan detektere, styre og indberette it-relaterede hændelser.

Det følger af artikel 17, stk. 2, at de finansielle enheder er alle, der registrerer it-relaterede hændelser og væsentlige cybertrusler. De finansielle enheder fastlægger passende procedurer og processer, der skal sikre en konsekvent og integreret overvågning, håndtering og opfølgning af it-relaterede hændelser. Det skal ske således, at de grundlæggende årsager identificeres, dokumenteres og håndteres for at forhindre, at sådanne hændelser forekommer.

Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan i medfør af artikel 17, stk. 2, bestå i, at den finansielle enhed fastlægger passende procedurer og processer, der skal sikre en konsekvent og integreret overvågning, håndtering og opfølgning af it-relaterede hændelser. Dette skal ske således, at de grundlæggende årsager identificeres, dokumenteres og håndteres for at forhindre, at sådanne hændelser kan opstå.

Det følger af artikel 17, stk. 3, at den finansielle enhed som led i den proces for styring af it-relaterede hændelser, der er omhandlet i stk. 1, overholder det anførte i artikel 17, stk. 3, litra a-f.

Ansvarssubjektet er den finansielle enhed. Den strafbare handling i medfør af artikel 17, stk. 3, er en tilsidesættelse af overholdelse af de oplistede krav i artikel 17, stk. 3, litra a-f. Dette kan eksempelvis være, at der ikke tildeles roller og ansvarsområder, som skal aktiveres for forskellige it-relaterede hændelsestyper og -scenarier.

Artikel 18 indeholder en klassificering af it-relaterede hændelser og cybertrusler.

Det følger af artikel 18, stk. 1, at de finansielle enheder klassificerer it-relaterede hændelser og fastslår deres virkninger på grundlag af følgende kriterier oplistet i artikel 18, stk. 1, litra a-f.

Det fremgår af litra a, at antallet og/eller relevansen af kunder eller finansielle modparter, som er berørt, og, hvis det er relevant, beløbet på eller antallet af de transaktioner, som er berørt af den it-relaterede hændelse, og hvorvidt den it-relaterede hændelse har haft indvirkning på omdømmet.

Det fremgår af litra b, at varigheden af den it-relaterede hændelse, herunder tjenestens nedetid.

Det fremgår af litra c, at den geografiske udbredelse med hensyn til de områder, der er berørt af den it-relaterede hændelse, navnlig hvis den berører mere end to medlemsstater.

Det fremgår af litra d, at de datatab, som den it-relaterede hændelse medfører med hensyn til tilgængelighed, autenticitet, integritet eller fortrolighed af data.

Det fremgår af litra e, at den kritiske betydning af de berørte tjenester, herunder den finansielle enheds transaktioner og operationer.

Det fremgår af litra f, at de økonomiske virkninger, navnlig direkte og indirekte omkostninger og tab, af den it-relaterede hændelse i både absolutte og relative tal.

Ansvarssubjektet i stk. 1 er den finansielle enhed. Den strafbare handling består i, at de finansielle enheder ikke klassificerer it-relaterede hændelser og dermed ikke fastslår deres virkninger på grundlag af følgende kriterier oplistet i artikel 18, stk. 1, litra a-f.

Det fremgår af stk. 2, at de finansielle enheder klassificerer cybertrusler som væsentlige på grundlag af de udsatte tjenesters kritiske betydning, herunder den finansielle enheds transaktioner og operationer, antallet og/eller relevansen af de kunder eller finansielle modparter, som rammes, og risikoområdernes geografiske udbredelse.

Ansvarssubjektet i artikel 18, stk. 2, er den finansielle enhed. Den strafbare handling består i, at den finansielle enhed undlader at klassificere cybertrusler som væsentlige, eksempelvis på grundlag af de udsattes tjenesters kritiske betydning.

Artikel 19, stk. 1, omhandler indberetning af større it-relaterede hændelser. Bestemmelsen forpligter den finansielle enhed til at indberette større it-relaterede hændelser til den relevante kompetente myndighed.

Ansvarssubjektet for overtrædelse af bestemmelsen er en finansiel enhed. Den strafbare handling består eksempelvis i, at en finansiel enhed ikke underretter Finanstilsynet om en større it-relateret hændelse.

I medfør af artikel 19, stk. 3, skal den finansielle enhed underrette Finanstilsynet, uden unødigt ophold, i tilfælde af, at en større it-relateret hændelse indtræffer og har indflydelse på kunders finansielle interesser. Den finansielle enhed underretter også om de foranstaltninger, der er truffet for at afbøde de negative virkninger af en sådan hændelse. I tilfælde af en væsentlig cybertrussel underretter de finansielle enheder, hvis det er relevant, de af deres kunder, som potentielt er berørt heraf, om eventuelle passende beskyttelsesforanstaltninger, som sidstnævnte kan overveje at træffe

Ansvarssubjektet var overtrædelse af artikel 19, stk. 3, er den finansielle enhed. En strafbar handling kan bestå i, at den finansielle enhed ikke underretter Finanstilsynet rettidigt i tilfælde en større it-relateret hændelse indtræffer, som har indflydelse på kunders finansielle interesser. En strafbar handling kan også bestå i at underrette Finanstilsynet om den it-relaterede hændelse, uden at underrette om de foranstaltninger der er truffet for at afbøde de negative virkninger.

Det fremgår af artikel 19, stk. 4, at den finansielle enhed, i tilfælde af en it-relateret hændelse, skal indgive henholdsvis en indledende underretning, jf. litra a, en foreløbig rapport så snart den oprindelige hændelses status har ændret sig betydeligt, eller håndteringen af den større it-relaterede hændelse har ændret sig på grundlag af nye tilgængelige oplysninger, efterfulgt, alt efter hvad der er relevant, af ajourførte underretninger, hver gang der foreligger en relevant ajourføring af status, samt efter en specifik anmodning fra den kompetente myndighed, jf. litra b. Samt en endelig rapport, når den grundlæggende årsagsanalyse er afsluttet, uanset om der allerede er gennemført afbødende foranstaltninger, og når tallene for de faktiske virkninger foreligger og kan erstatte skøn, jf. litra c. Fristerne for disse skal fastsættes i overensstemmelse med artikel 20, stk. 1, litra a, nr. ii, og skal indgives til Finanstilsynet, som er den kompetente myndighed.

Ansvarssubjektet er den finansielle enhed. En strafbar handling kan bestå i, ikke at indgive en indledende underretning, en foreløbig rapport eller en endelig rapport til Finanstilsynet inden for de af artikel 20, stk. 1, litra a, nr. ii, fastsatte frister.

Artikel 24 i DORA-forordningen omhandler generelle krav til gennemførslen af test af digital operationel modstandsdygtighed.

Det følger af artikel 24, stk. 1, at en finansiel enhed skal udarbejde, opretholde og gennemgå et forsvarligt og omfattende program for test af digital operationel modstandsdygtighed, som en integreret del af den i artikel 6 omhandlede ramme for it-risikostyring. Dette skal ske med henblik på at vurdere beredskabet i forhold til håndtering af it-relaterede hændelser, identificere svagheder, mangler og huller i den digitale operationelle modstandsdygtighed og straks træffe korrigerende foranstaltninger.

Ansvarssubjektet for overtrædelse af bestemmelsen er en finansiel enhed. Den strafbare handling kan eksempelvis bestå i, at den finansielle enhed ikke har udarbejdet et program for test af digital operationel modstandsdygtighed. Den strafbare handling kan også bestå i, at den finansielle enheds program for test af digital operationel modstandsdygtighed ikke er forsvarligt eller omfattende nok.

I medfør af artikel 24, stk. 2, skal programmet for test af digital operationel modstandsdygtighed, omfatte en række vurderinger, test, metodologier, fremgangsmåder og værktøjer, der skal anvendes i overensstemmelse med artikel 25 og 26 i DORA-forordningen.

Ansvarssubjektet er den finansielle enhed. En strafbar handling kan bestå i at den finansielle enhed gennemfører tests der ikke i tilstrækkelig grad omfatter kravene om vurderinger, test, metodologier, fremgangsmåder og værktøj, der skal anvendes i overensstemmelse med artikel 25 og artikel 26 i DORA-forordningen.

Artikel 24, stk. 3, pålægger den finansielle enhed at følge en risikobaseret tilgang for programmet for test af digital operationel modstandsdygtighed. Den finansielle enhed skal ved gennemførslen af programmet, tage hensyn til kriterierne i DORA-forordningens artikel 4, stk. 2, og til et it-risikomiljø i udvikling, eventuelle specifikke risici, som den berørte finansielle enhed udsættes for eller kan blive udsat for, informationsaktivernes og de leverede tjenesters kritiske betydning samt alle andre faktorer, som den finansielle enhed finder relevante.

Ansvarssubjektet er den finansielle enhed. En strafbar overtrædelse af artikel 24, stk. 3, kunne eksempelvis være, at den finansielle enhed gennemfører et program for test af digital operationel modstandsdygtighed uden at tage hensyn til den finansielles enheds it-risikomiljø.

I medfør af artikel 24, stk. 4, skal den finansielle enhed sikre, at tests gennemføres af uafhængige parter, hvad enten de er interne eller eksterne. Hvis en intern tester gennemfører test, skal de finansielle enheder afsætte tilstrækkelige ressourcer og sikre, at interessekonflikter undgås under testens udformnings- og gennemførelsesfaser.

Ansvarssubjektet er den finansielle enhed. Den strafbare handling består eksempelvis i, at en finansiel enhed der gennemfører tests af deres digitale operationelle modstandsdygtighed ikke sikrer, at testen gennemføres af uafhængige interne eller eksterne parter for at begrænse interessekonflikter.

Artikel 24, stk. 5, pålægger den finansielle enhed at fastlægge procedurer og politikker med henblik på at prioritere, klassificere og afhjælpe alle problemer, der identificeres i forbindelse med gennemførelsen af test, og fastlægger interne valideringsmetoder for at sikre, at alle konstaterede svagheder, mangler eller huller afhjælpes fuldt ud.

Ansvarssubjektet er den finansielle enhed. Den strafbare handling består af ikke at fastlægge procedurer og politikker der prioriterer, klassificerer og afhjælper de problemer der identificeres med gennemførslen af testen.

I medfør af artikel 24, stk. 6, skal de finansielle enheder sikre, at der gennemføres passende test af alle it-systemer og -applikationer, der understøtter kritiske eller vigtige funktioner, mindst én gang om året.

Ansvarssubjektet er den finansielle enhed. Den strafbare handling kunne bestå i at den finansielle enhed ikke mindst én gang årligt gennemfører tests af alle it-systemer og it-applikationer, der kan anses for passende.

Artikel 25 omhandler test af it-værktøjer og -systemer.

Det følger af artikel 25, stk. 1, at programmet for test af den digitale operationelle modstandsdygtighed skal være i overensstemmelse med de af artikel 4, stk. 2, kriterier for proportionalitet. I medfør af artikel 4, stk. 2, skal den finansielle enheds styring, klassificering, indberetning af it-relaterede hændelser, test af digital operationel modstandsdygtighed og styring af it-tredjepartsrisici stå i et rimeligt forhold til deres størrelse og samlede risikoprofil og til karakteren, omfanget og kompleksiteten af deres tjenester, aktiviteter og operationer, som specifikt fastsat i de relevante regler i de nævnte kapitler.

I overensstemmelse med de oplistede kriterier i artikel 4, stk. 2, skal programmet for test af digital operationel modstandsdygtighed, nævnt i artikel 24, indeholde bestemmelser om gennemførelse af relevante test såsom sårbarhedsvurderinger og -scanninger, open source-analyser, vurderinger af netsikkerheden, mangelanalyser, fysiske sikkerhedsgennemgange, spørgeskemaer og scanningssoftwareløsninger, gennemgange af kildekoder, når det er praktisk muligt, scenariebaserede test, kompatibilitetstest, præstationstest, end-to-end-test og penetrationstest.

Ansvarssubjektet er den finansielle enhed. Den strafbare handling består eksempelvis i, at den finansielle enhed har vedtaget et program for test der ikke er tilstrækkeligt, mangelfuldt eller lever op til de fastsatte krav for programmer for test af digital operationel modstandsdygtighed i artikel 25, stk. 1.

I medfør af artikel 25, stk. 3, skal mikrovirksomheder gennemføre de i artikel 25, stk. 1 omhandlede test ved at kombinere en risikobaseret tilgang med strategisk planlægning af it-test under behørig hensyntagen til behovet for at opretholde en afbalanceret tilgang mellem omfanget af ressourcer og den tid, der skal afsættes til it-test som omhandlet i denne artikel, på den ene side og den hastende karakter, risikotype og informationsaktivernes og de leverede tjenesters kritiske betydning samt alle andre relevante faktorer, herunder den finansielle enheds evne til at tage kalkulerede risici, på den anden side.

Ansvarssubjektet er den finansielle enhed. En strafbar handling kan bestå i, at en mikrovirksomhed ikke har taget tilstrækkeligt hensyn til at opretholde en balanceret tilgang til henholdsvis omfanget af ressourcer og andre faktorer, som eksempelvis den finansielle enheds evne til at tage kalkulerede risici.

Artikel 28 omhandler generelle principper for forsvarlig styring af it-tredjepartsrisici.

I medfør af artikel 28, stk. 1, skal den finansielle enhed styre deres it-tredjepartsrisiko som en integreret del af it-risiko, inden for deres ramme for it-risikostyring.

Ansvarssubjektet er den finansielle enhed. Den strafbare handling består eksempelvis i, at den finansielle enheds it-tredjepartsrisiko ikke bliver styret som en integreret del af deres samlede it-risiko, inden for den finansielle enheds it-risikostyring.

I medfør af artikel 28, stk. 1, litra b, skal styringen af it-tredjepartsrisikoen hos den finansielle enhed foregå under hensyntagen til proportionalitetsprincippet og skal derfor tage hensyn til henholdsvis artikel 28, stk. 1, litra b, nr. i, som omhandler karakteren, omfanget, kompleksiteten og betydningen af den it-relaterede afhængighed og artikel 28, stk. 1, litra b, nr. ii, som omhandler de risici, der opstår som følge af kontraktlige ordninger for brugen af it-tjenester, der er indgået med tredjepartsudbydere af it-tjenester, under hensyntagen til den kritiske betydning eller vigtighed af den pågældende tjeneste, proces eller funktion og til de potentielle virkninger for driftsstabiliteten og tilgængeligheden af finansielle tjenesteydelser og aktiviteter på individuelt plan og koncernniveau.

Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan bestå i, at kravene i artikel 28, stk. 1, litra b, nr. i-ii, ikke tages under betragtning ved udformningen af den finansielle enheds styring af it-tredjepartsrisiko.

Artikel 28, stk. 2, omhandler strategien for den finansielle enheds it-tredjepartsrisiko. Den finansielle enhed skal vedtage og gennemgå deres strategi regelmæssigt som led i deres ramme for it-risikostyring. Strategien skal omfatte en politik for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner, og som leveres af tredjepartsudbydere af it-tjenester. Strategien skal gælde på individuelt grundlag og, hvor det er relevant, på delkonsolideret og konsolideret grundlag. Ledelsesorganet i den finansielle enhed skal på grundlag af en vurdering af den finansielle enheds samlede risikoprofil og omfanget og kompleksiteten af forretningstjenesterne regelmæssigt gennemgå de risici, der er konstateret i forbindelse med kontraktlige ordninger for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner.

Ansvarssubjektet er en finansiel enhed. Den strafbare handling består eksempelvis i at ledelsesorganet i den finansielle enhed ikke ved vurderingen af den samlede risikoprofil har gennemgået de de risici, der er konstateret i forbindelse med kontraktlige ordninger for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner.

Artikel 28, stk. 3, fastsætter krav for den finansielle enheds dokumentation af kontraktsretlige ordninger for brugen af it-tjenester der leveres af tredjepartsudøvere. Den finansielle enhed skal som et led i deres ramme for it-risikostyring sørge for at opretholde og ajourføre et register over kontraktsretlige ordninger for brugen af it-tjenester der leveres af tredjepartsudøvere på både enhedsniveau, delkonsolideret niveau og konsolideret niveau. De kontraktsretlige ordninger skal være skelnet mellem de it-tjenester der understøtter kritiske eller vigtige funktioner, og dem, der ikke gør.

Desuden skal den finansielle enhed mindst én gang årligt indberette nye ordninger for brugen af it-tjenester, kategorierne af tredjepartsudbydere af IKT-tjenester, typen af kontraktlige ordninger og de it-tjenester og funktioner, der leveres, til Finanstilsynet.

Til sidst skal den finansielle enhed efter anmodning, stille det fulde register over oplysninger eller, som anmodet, nærmere angivne afsnit heraf til rådighed for Finanstilsynet sammen med eventuelle oplysninger, som anses for nødvendige for at muliggøre et effektivt tilsyn med den finansielle enhed. Den finansielle enhed underretter rettidigt Finanstilsynet om enhver planlagt kontraktlig ordning for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner, og når en funktion er blevet kritisk eller vigtig.

Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan bestå i, at den finansielle enhed efter anmodning fra Finanstilsynet, ikke kan stille det fulde register over kontraktsretlige ordninger for brugen af it-tjenester der leveres af tredjepartsudøvere til rådighed.

Artikel 28, stk. 4, litra a-e, fastsætter krav til den finansielle enhed før der indgås en kontraktlig ordning for brugen af it-tjenester. Den finansielle enhed skal vurdere, om den kontraktlige ordning omfatter brugen af it-tjenester, der understøtter en kritisk eller vigtig funktion, jf. litra a, vurdere, om de tilsynsmæssige betingelser for udlicitering er opfyldt, jf. litra b, identificere og vurdere alle relevante risici i forbindelse med den kontraktlige ordning, herunder muligheden for, at sådanne kontraktlige ordninger kan bidrage til at øge it-koncentrationsrisikoen, jf. artikel 29, jf. litra c, foretage fornøden due diligence over for potentielle tredjepartsudbydere af it-tjenester og under alle udvælgelses- og vurderingsprocesserne sikre, at den pågældende tredjepartsudbyder af it-tjenester er egnet jf. litra d, og identificere og vurdere interessekonflikter, som de kontraktlige ordninger kan give anledning til, jf. litra e.

Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan bestå i at den finansielle enhed indgår en kontraktlig ordning for brugen af it-tjenester, uden at have identificeret og vurderet interessekonflikter, som den kontraktlige ordning kan give anledning til.

I medfør af artikel 28, stk. 7, litra a-d, skal den finansielle enhed sikre sig, at de indgåede kontraktlige ordninger kan opsiges på baggrund af væsentlig overtrædelse begået af tredjepartsudbyderen af it-tjenester af gældende love, administrative bestemmelser eller kontraktvilkår, jf. litra a. Forhold, der er identificeret under overvågningen af it-tredjepartsrisiko, og som anses for at kunne ændre udførelsen af de funktioner, der er leveret gennem den kontraktlige ordning, herunder væsentlige ændringer, der påvirker ordningen eller situationen for tredjepartsudbyderen af it-tjenester skal også kunne lægges til grund for opsigelse af den kontraktlige ordning, jf. litra b.

Ligeledes skal dokumenterede svagheder hos tredjepartsudbyderen af it-tjenester, som vedrører dennes samlede it-risikostyring, og navnlig i den måde, hvorpå denne garanterer tilgængeligheden, autenticiteten, integriteten og fortroligheden af data, hvad enten det drejer sig om personoplysninger eller på anden måde følsomme data eller andre oplysninger end personoplysninger, kunne lægges til grund for opsigelse af den kontraktlige ordning, jf. litra c. Til sidst skal den kontraktlige ordning kunne opsiges, såfremt Finanstilsynet ikke længere kan føre effektivt tilsyn med den finansielle enhed som følge af betingelserne eller omstændighederne vedrørende de respektive kontraktlige ordninger.

Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan bestå i, at den kontraktlige ordning ikke kan opsiges på baggrund af de af artikel 28, stk. 7, oplistede situationer.

Artikel 28, stk. 8, omhandler exitstrategier. Den finansielle enhed skal indføre exitstrategier for it-tjenester, der understøtter kritiske eller vigtige funktioner.

Exitstrategierne skal tage højde for de risici, der kan opstå hos tredjepartsudbydere af it-tjenester, navnlig mulige svigt fra deres side, en forringelse af kvaliteten af de leverede it-tjenester, eventuelle driftsforstyrrelser som følge af uhensigtsmæssig eller manglende levering af it-tjenester eller eventuelle væsentlige risici i forbindelse med en passende og løbende anvendelse af de pågældende it-tjenester eller opsigelse af kontraktlige ordninger med tredjepartsudbydere af it-tjenester i en af de i artikel 28, stk. 7, anførte situationer.

Den finansielle enhed skal sikre at de kan opsige den kontraktlige ordning uden at deres forretningsaktivitet afbrydes, jf. litra a, uden at efterlevelsen af de forskriftsmæssige krav begrænses, jf. litra b og uden at kontinuiteten og kvaliteten af de leverede tjenester til kunder lider skade, jf. litra c.

Ligeledes skal exitstrategierne være i overensstemmelse med kriterierne i artikel 4, stk. 2, om proportionalitet, samt være omfattende og veldokumenterede.

Der skal desuden være udarbejdet overgangsplaner der kan fratage tredjepartsudbyderen af it-tjenester de udliciterede it-tjenester og de relevante data og sikkert og fuldstændigt kan overføre disse til alternative udbydere eller på ny indarbejde dem internt. Den finansielle enhed skal derudover identificere alternative løsninger.

Ansvarssubjektet er en finansiel enhed. Den strafbare handling kan bestå i, at den finansielle enhed ikke har sikret sig at indføre en exitstrategi i tilfælde af, at en kontrakt ordning med en tredjepartsudbyder af it-tjenester opsiges.

Artikel 29, stk. 1, omhandler foreløbig vurdering af it-koncentrationsrisiko på enhedsniveau. Bestemmelsen fastsætter krav, som den finansielle enhed skal tage hensyn til ved identifikation og vurdering af risici i forbindelse med en kontraktlige ordning, herunder muligheden for, at en kontraktlig ordning kan bidrage til at øge it-koncentrationsrisikoen. Ved indgåelse af en kontraktlig ordning i forbindelse med it-tjenester, der understøtter kritiske eller vigtige funktioner tager den finansielle enhed hensyn til udlicitering til en tredjepartsudbyder af it-tjenester, som ikke er let at erstatte, jf. litra a og indgåelse af flere kontraktlige ordninger om levering af it-tjenester, der understøtter kritiske eller vigtige funktioner, med den samme tredjepartsudbyder af it-tjenester eller med tredjepartsudbydere af it-tjenester, som har tætte forbindelser til denne, jf. litra b.

Den finansielle enhed skal i medfør af bestemmelsen afveje fordele og omkostninger ved alternative løsninger såsom brug af forskellige tredjepartsudbydere af it-tjenester under hensyntagen til, hvorvidt og hvordan de påtænkte løsninger svarer til de forretningsmæssige behov og mål, der er fastsat i deres strategi for digital modstandsdygtighed.

Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i, at den finansielle enhed ikke har taget hensyn til udliciteringen til en tredjepartsudbyder af it-tjenester som ikke er lette at erstatte, ved indgåelsen af en kontraktlig ordning om it-tjenester der understøtter kritiske eller vigtige funktioner.

I medfør af artikel 29, stk. 2, skal den finansielle enhed i tilfælde af, at den kontraktlige ordning for brug af it-tjenester med en tredjepartsudbyder, kan komme videre i underentreprise med hjemsted i tredjeland, overveje de fordele og risici, der kan opstå i forbindelse med underentreprisen, særligt hvis it-tjenesten understøtter kritiske eller vigtige funktioner.

Den finansielle enhed skal tage hensyn til de bestemmelser i insolvensretten, som finder anvendelse, hvis tredjepartsudbyderen af it-tjenester går konkurs, samt eventuelle begrænsninger, der kan opstå i forbindelse med en hastende genopretning af den finansielle enheds data, såfremt den kontraktlige ordning vedrører it-tjenester, der understøtter kritiske eller vigtige funktioner.

Den finansielle enhed tager derudover hensyn til overholdelsen af Unionens databeskyttelsesregler og en effektiv håndhævelse af retten i det pågældende tredjeland, såfremt der er indgået kontraktlige ordninger for brug af IKT-tjenester, der understøtter kritiske eller vigtige funktioner, med en tredjepartsudbyder af IKT-tjenester med hjemsted i et tredjeland.

Til sidst vurderer den finansielle enhed hvorvidt og hvordan potentielt lange eller komplekse underentreprisekæder kan påvirke deres evne til fuldt ud at overvåge de udliciterede funktioner og den kompetente myndigheds evne til i denne henseende at føre effektivt tilsyn med den finansielle enhed, såfremt den kontraktlige ordning for brugen af IKT-tjenester, understøtter kritiske eller vigtige funktioner.

Ansvarssubjektet for overtrædelse af bestemmelsen er en finansiel enhed. Den strafbare handling består eksempelvis i, at der ved indgåelse af kontraktlige ordninger med en tredjepartsudbyder af it-tjenester, der understøtter kritiske funktioner, ikke er foretaget en afvejning af fordele og risici såfremt tredjepartsudbyderen giver it-tjenesterne videre til en underentreprise med hjemsted i udlandet.

Artikel 30 omhandler centrale kontrakts bestemmelser.

Artikel 30, stk. 1, fastsætter at rettigheder og forpligtelser mellem den finansielle enhed og tredjepartsudbyderen skal fordeles klart og fastlægges skriftligt. Serviceniveauaftaler skal være omfattet af den samlede kontrakt og dokumenteres i ét skriftligt dokument. Parterne skal have adgang til dokumentet i papir, eller i et andet varigt og permanent format, der kan downloades.

Ansvarssubjektet er en finansiel enhed. Den strafbare handling kan bestå i, at den finansielle enhed ikke tager højde for, at rettighederne og forpligtelserne mellem parterne skal nedfattes skriftligt og have varig karakter, som enten kan tilgås på papir eller i et format, der kan downloades.

Artikel 30, stk. 2, fastsætter en række minimumskrav til den kontraktlige ordning for brugen af it-tjenester.

Den kontraktlige ordning skal sikre en klar og fuldstændig beskrivelse af alle funktioner og it-tjenester, som tredjepartsudbyderen af it-tjenester skal levere, med angivelse af, om underentreprise af en it-tjeneste, der understøtter en kritisk eller vigtig funktion eller væsentlige dele heraf er tilladt, og, hvis det er tilfældet, de betingelser, der gælder for en sådan underentreprise, jf. litra a.

De steder, navnlig de regioner eller lande, hvor de udliciterede funktioner og it-tjenester eller funktionerne og it-tjenesterne i underentreprise skal leveres, og hvor data skal behandles, herunder lagringsstedet, og kravet om, at tredjepartsudbyderen af it-tjenester på forhånd skal underrette den finansielle enhed, hvis den har planer om at ændre disse steder, jf. litra b.

Den kontraktlige ordning skal ligeledes indeholde bestemmelser om tilgængelighed, autenticitet, integritet og fortrolighed med hensyn til databeskyttelse, herunder personoplysninger, jf. litra c.

Bestemmelser om sikring af adgang, genopretning og tilbagesendelse i et lettilgængeligt format af personoplysninger og andre data end personoplysninger, der behandles af den finansielle enhed, i tilfælde af insolvens, afvikling eller afbrydelse af de forretningsaktiviteter, som tredjepartsudbyderen af it-tjenester varetager, eller i tilfælde af opsigelse af de kontraktlige ordninger skal medtages i den kontraktlige ordning, jf. litra d.

Den kontraktlige ordning skal derudover indeholde beskrivelser af serviceniveauet, herunder ajourføringer og revisioner heraf, jf. litra e.

Forpligtelsen for tredjepartsudbyderen af it-tjenester til at yde bistand til den finansielle enhed uden yderligere omkostninger eller til en omkostning, der fastsættes på forhånd, hvis der opstår en IKT-hændelse, der vedrører den it-tjeneste, som leveres til den finansielle enhed skal også indgå i den kontraktlige ordning, jf. litra f.

Derudover skal den finansielle enhed medtage forpligtelsen for tredjepartsudbyderen af it-tjenester til at samarbejde fuldt ud med den finansielle enheds kompetente myndigheder og afviklingsmyndigheder, herunder personer, som de har udpeget, jf. litra g og opsigelsesrettigheder og dertil knyttet minimumsfrister for opsigelse af de kontraktlige ordninger i overensstemmelse med de kompetente myndigheders og afviklingsmyndighedernes forventninger, jf. litra h.

Slutteligt skal betingelserne for deltagelse af tredjepartsudbydere af it-tjenester i de finansielle enheders programmer til bevidstgørelse om it-sikkerhed og kurser i digital operationel modstandsdygtighed, jf. artikel 13, stk. 6, medtages i den kontraktlige ordning.

Ansvarssubjektet er en finansiel enhed. Den strafbare handling består eksempelvis i, at en kontrakt mellem en finansiel enhed og en tredjepartsudbyder af it-tjenester er mangelfuld og ikke på en klar og tilstrækkelig måde, omfatter de af artikel 30, stk. 2, omfattede minimumskrav til kontraktlige ordninger for brugen af it-tjenester som eksempelvis beskrivelserne af serviceniveauet, herunder ajourføringer og revisioner, jf. litra e og opsigelsesrettigheder, jf. litra h.

Artikel 30, stk. 3, fastsætter en række minimumskrav til den kontraktlige ordning for brugen af it-tjenester der understøtter kritiske eller vigtige funktioner.

Den kontraktlige ordning skal sikre en fuldstændig beskrivelse af serviceniveauer, herunder ajourføringer og revisioner heraf, med præcise kvantitative og kvalitative præstationsmål inden for de aftalte serviceniveauer, således at den finansielle enhed kan foretage en effektiv overvågning af it-tjenester, og således at der uden unødigt ophold kan træffes passende afhjælpende foranstaltninger, når de aftalte serviceniveauer ikke overholdes, jf. litra a.

Den kontraktlige ordning skal derudover omfatte opsigelsesfrister og indberetningsforpligtelser for tredjepartsudbyderen af it-tjenester over for den finansielle enhed, herunder underretning om enhver udvikling, som kan have væsentlig indvirkning på, hvorvidt tredjepartsudbyderen af it-tjenester har evnen til effektivt at levere it-tjenester, der understøtter kritiske eller vigtige funktioner i overensstemmelse med de aftalte serviceniveauer, jf. litra b.

Artikel 30, stk. 3, litra c, fastsætter krav til tredjepartsudbyderen af it-tjenester om at gennemføre og teste beredskabsplaner og indføre it-sikkerhedsforanstaltninger, -værktøjer og -politikker, som giver et passende niveau af sikkerhed for, at den finansielle enhed kan foretage levering af tjenester i overensstemmelse med dens reguleringsramme.

Derudover skal den kontraktlige ordning omfatte en forpligtelse for tredjepartsudbyderen af it-tjenester til at deltage i og fuldt ud samarbejde om den finansielle enheds TLPT som omhandlet i artikel 26 og 27, jf. litra d.

Den kontraktlige ordning skal desuden omfatte retten til løbende at overvåge det præstationsniveau, som tredjepartsudbyderen af it-tjenester leverer for den finansielle enhed, en udpeget tredjeparts og Finanstilsynet. Dette indebærer en uindskrænket ret til adgang, inspektion og revision og ret til at tage kopier af relevant dokumentation på stedet, hvis denne har afgørende betydning for tredjepartsudbyderen af it-tjenesters operationer, hvis faktiske udøvelse ikke hindres eller begrænses af andre kontraktlige ordninger eller gennemførelsespolitikker, jf. litra e, nr. i.

Dernæst fastsætter artikel 30, stk. 3, litra e, nr. ii-iv, retten til at nå til enighed om alternative sikkerhedsniveauer, hvis andre kunders rettigheder påvirkes, forpligtelsen for tredjepartsudbyderen af it-tjenester til fuldt ud at samarbejde under de inspektioner og revisioner på stedet, som de kompetente myndigheder, den ledende tilsynsførende, den finansielle enhed eller en udpeget tredjepart udfører og forpligtelsen til at give nærmere oplysninger om omfanget af, de procedurer, som skal følges, og hyppigheden af sådanne inspektioner og revisioner.

I medfør af artikel 30, stk. 3, litra f, skal den finansielle enhed ved en kontraktlig ordning, sørge for at medtage exitstrategier som indeholder en obligatorisk overgangsperiode. I løbet af denne overgangsperiode skal tredjepartsudbyderen af it-tjenester fortsat levere de respektive funktioner eller it-tjenester med henblik på at mindske risikoen for forstyrrelser i den finansielle enhed eller sikre en effektiv afvikling eller omstrukturering heraf. Exitstrategien skal også give den finansielle enhed mulighed for at migrere til en anden tredjepartsudbyder af it-tjenester eller skifte til interne løsninger, der stemmer overens med den leverede tjenestes kompleksitet.

Ansvarssubjektet er en finansiel enhed. Den strafbare handling består eksempelvis i, at en finansiel enhed, ikke formår at vedtage en exitstrategi i deres kontraktlige ordning som sikrer den finansielle enhed fortsat, får leveret de respektive funktioner af it-tjenester fra tredjepartsudbyderen.

Note: LFF 88 af 29-03-2023, bemærkninger til § 280

Den gældende § 351, stk. 8, i lov om finansiel virksomhed fastlægger, at Finanstilsynet har hjemmel til af egen drift eller efter ansøgning at tilbagekalde et påbud meddelt efter lov om finansiel virksomhed stk. 2 og 3, og stk. 5, 3. pkt. Afslår Finanstilsynet en ansøgning om tilbagekaldelse, kan ansøgeren forlange afslaget indbragt for domstolene. Anmodning herom skal indgives til Finanstilsynet, inden 4 uger efter at afslaget er meddelt den pågældende. Anmodning om domstolsprøvelse kan dog kun fremsættes, hvis påbuddet ikke er tidsbegrænset, og der er forløbet mindst 5 år fra datoen for udstedelsen af påbuddet, eller mindst 2 år efter at Finanstilsynets afslag på tilbagekaldelse er stadfæstet ved dom.

Det foreslåede stk. 7 viderefører § 351, stk. 8, i lov om finansiel virksomhed uden ændringer.

Det foreslås således i stk. 7, at Finanstilsynet af egen drift eller efter ansøgning kan tilbagekalde et påbud meddelt efter stk. 2 eller 3, eller stk. 5, når der er tale om et bestyrelsesmedlem. Afslår Finanstilsynet en ansøgning om tilbagekaldelse, kan ansøgeren forlange afslaget indbragt for domstolene. Anmodning herom skal indgives til Finanstilsynet, inden fire uger efter at afslaget er meddelt den pågældende. Anmodning om domstolsprøvelse kan dog kun fremsættes, hvis påbuddet ikke er tidsbegrænset og der er forløbet mindst fem år fra datoen for udstedelsen af påbuddet, eller mindst to år efter at Finanstilsynets afslag på tilbagekaldelse er stadfæstet ved dom.

Bestemmelsen er især relevant i forhold til påbud, som ikke er tidsbegrænsede.

Bestemmelsen indebærer, at i tilfælde hvor en person, som er blevet påbudt at nedlægge sit hverv, ansøger om at få påbuddet tilbagekaldt, men hvor Finanstilsynet afslår denne ansøgning, indføres der som udgangspunkt samme mulighed for domstolsprøvelse som efter det foreslåede stk. 6. Det indebærer, at ansøgeren kan forlange, at Finanstilsynet indbringer sagen for domstolene inden 4 uger efter, at vedkommende har indgivet begæring herom til Finanstilsynet.

Det er ikke muligt at begære et afslag på at omgøre et tidsbegrænset påbud indbragt for domstolene. Det er heller ikke muligt at begære et afslag på tilbagekaldelse af et tidsubegrænset påbud indbragt for domstolene, før der er gået mindst 5 år fra datoen for udstedelsen af påbuddet, eller mindst 2 år siden en domstol senest har stadfæstet et afslag på tilbagekaldelse. Begrænsningerne har kun betydning for muligheden for at kræve sagen indbragt for domstolene af Finanstilsynet. En person, som har modtaget et afslag på sin ansøgning, vil til en hver tid have mulighed for selv at anlægge sag ved domstolene.

Note: LFF 88 af 29-03-2023, bemærkninger til § 280

Efter den gældende § 351, stk. 9, 1. pkt., i lov om finansiel virksomhed har Finanstilsynet mulighed for at inddrage en finansiel virksomheds tilladelse, hvis den ikke efterkommer et påbud om at afsætte en direktør. Efter den gældende § 351, stk. 9, 2. pkt., i lov om finansiel virksomhed har Finanstilsynet mulighed for at inddrage virksomhedens tilladelse, hvis et bestyrelsesmedlem ikke efterkommer et af Finanstilsynet udstedt påbud.

Det foreslåede stk. 8 viderefører § 351, stk. 9, i lov om finansiel virksomhed med den sproglige ændring, at der alene henvises til forsikringsselskaber, og med redaktionelle ændringer. Der er ikke tilsigtet materielle ændringer med den foreslåede bestemmelse.

Det foreslås i stk. 8, at har forsikringsselskabet ikke afsat direktøren, eller har gruppe 1-forsikringsselskabet ikke afsat en ansat, der er identificeret som nøgleperson i medfør af § 127, stk. 1, indenfor den fastsatte frist, kan Finanstilsynet inddrage virksomhedens tilladelse, jf. § 199, stk. 1, nr. 2. Finanstilsynet kan endvidere inddrage virksomhedens tilladelse, jf. § 199, stk. 1, nr. 2, hvis et bestyrelsesmedlem ikke efterkommer et påbud meddelt i medfør af stk. 2, 3 og 5.

Baggrunden for indgrebsmuligheden efter den forslåede bestemmelse er, at Finanstilsynet skal have kompetence til at inddrage en virksomheds tilladelse, hvis ét eller flere ledelsesmedlemmer ikke opfylder kravene til egnethed og hæderlighed.

Note: LFF 88 af 29-03-2023, bemærkninger til § 280

Det foreslås i stk. 9, at afgørelser i sager efter § 105, stk. 1, og § 127, stk. 3, som træffes efter § 105, stk. 2, kan af forsikringsselskabet og af den person, som afgørelsen vedrører, kan forlanges indbragt for domstolene. Anmodning herom skal indgives til Finanstilsynet, inden 4 uger efter at afgørelsen er meddelt den pågældende. Anmodningen har ikke opsættende virkning for afgørelsen, men retten kan ved kendelse bestemme, at personen under sagens behandling kan indtræde i det hverv eller den stilling, som personen har søgt om forhåndsgodkendelse til. Finanstilsynet indbringer sagen for domstolene inden 4 uger efter modtagelse af anmodning herom. Sagen anlægges i den borgerlige retsplejes former.

Forslaget sikrer, at retsstillingen for den virksomhed eller det ledelsesmedlem eller nøgleperson, som en afgørelse om afslag på en egnetheds- og hæderlighedsansøgning retter sig mod, er den samme som for virksomheder og personer, der kan forlange et påbud om at nedlægge et hverv eller afsætte et ledelsesmedlem indbragt for domstolene. Der vil således på samme måde som i påbudssager gælde et dobbelt retssikkerhedsprincip i afgørelsessager, idet personen eller virksomheden også har mulighed for at indbringe en negativ egnetheds- og hæderlighedsafgørelse for Erhvervsankenævnet eller for selv at indbringe påbuddet for domstolene.