Digital Operational Resilience for the Financial Market
Reglugerð Evrópuþingsins og ráðsins (ESB) 2022/2554 frá 14. desember 2022 um stafrænan rekstrarlegan viðnámsþrótt fyrir fjármálageirann og um breytingu á reglugerðum (EB) nr. 1060/2009, (ESB) nr. 648/2012, (ESB) nr. 600/2014, (ESB) nr. 909/2014 og (ESB) 2016/1011, sem er birt á bls. 1–79 í EES-viðbæti við Stjórnartíðindi Evrópusambandsins nr. 15 frá 13. mars 2025, hefur lagagildi hér á landi með þeim aðlögunum sem leiðir af bókun 1 um altæka aðlögun við samninginn um Evrópska efnahagssvæðið og á…
Transposes EU Regulation 2022/2554 (DORA) on digital operational resilience for the financial sector into Icelandic law via the EEA Agreement, with specified adaptations.
Eftirfarandi vísanir til tilskipana í reglugerð (ESB) 2022/2554 skulu skiljast svo: Aðilar á fjármálamarkaði sem eru tilgreindir sem nauðsynlegar eða mikilvægar rekstrareiningar samkvæmt landslögum sem lögleiða
Maps references to EU directives in DORA to corresponding Icelandic legislation, starting with entities classified as essential or important under the NIS2 Directive and professional investors.
Rekstraraðilar nauðsynlegrar þjónustu á sviði bankastarfsemi og innviða fjármálamarkaða samkvæmt lögum um öryggi net- og upplýsingakerfa mikilvægra innviða sem jafnframt teljast til aðila á fjármálamarkaði samkvæmt lögum þessum. Aðilar sem um getur í 4.–23. lið 5. mgr.
Maps references to operators of essential banking and financial market infrastructure services under the NIS directive to corresponding Icelandic entities.
Aðilar sem um getur í 1. og 3. málsl. 2. mgr.
Minor technical amendment.
. Dótturfélag í skilningi 10. liðar
Minor technical amendment.
og
Minor cross-reference provision.
Dótturfélag samkvæmt lögum um ársreikninga. Einstaklingar eða lögaðilar sem njóta undanþágu skv. 2. og
Maps definitions of subsidiary, exempt persons, and related EU directive references to corresponding Icelandic legislation.
Einstaklingar eða lögaðilar sem njóta undanþágu skv. 1. mgr.
Minor technical amendment.
. Endurtryggingafélag skv. 4. lið
Minor technical amendment.
Endurtryggingafélag samkvæmt lögum um vátryggingastarfsemi. Endurtryggingamiðlari skv. 5. lið 1. mgr.
Maps definitions of reinsurance undertaking and reinsurance intermediary to corresponding Icelandic legislation.
Vátryggingamiðlari í skilningi laga um dreifingu vátrygginga. Greiðslustofnun skv. 4. lið
Minor technical amendment.
Greiðslustofnun samkvæmt lögum um greiðsluþjónustu. Greiðslustofnun sem er undanþegin samkvæmt tilskipun (ESB) 2015/2366: Greiðslustofnun með takmarkað starfsleyfi skv.
Maps definitions of payment institution and exempt payment institution under the Payment Services Directive to corresponding Icelandic legislation.
. Móðurfyrirtæki í skilningi 9. liðar
Minor technical amendment.
og
Minor cross-reference provision.
Móðurfélag samkvæmt lögum um ársreikninga. Nauðsynleg eða mikilvæg rekstrareining sem fellur undir tilskipun (ESB) 2022/2555: Mikilvægir innviðir í skilningi laga um öryggi net- og upplýsingakerfa mikilvægra innviða sem jafnframt teljast til aðila á fjármálamarkaði samkvæmt lögum þessum. Nauðsynlegir starfsþættir í skilningi 35. liðar 1. mgr.
Maps definitions of parent undertaking, essential or important entity under NIS2, critical infrastructure, and network/information systems to corresponding Icelandic legislation.
Nauðsynleg starfsemi samkvæmt lögum um skilameðferð lánastofnana og verðbréfafyrirtækja. Net- og upplýsingakerfi skv. 1. lið
Maps definitions of essential activity under the bank resolution framework and network/information systems to Icelandic legislation.
Net- og upplýsingakerfi samkvæmt lögum um öryggi net- og upplýsingakerfa mikilvægra innviða. Rafeyrisfyrirtæki skv. 1. lið
Maps definitions of network and information system security under the NIS directive and electronic money institution to Icelandic legislation.
Rafeyrisfyrirtæki samkvæmt lögum um útgáfu og meðferð rafeyris. Rafeyrisfyrirtæki sem njóta undanþágu samkvæmt tilskipun 2009/110/EB: Aðilar með takmarkað starfsleyfi skv.
Maps definitions of e-money institution and exempt e-money institution to the Icelandic Act on E-Money.
. Reikningsupplýsingaþjónustuveitandi skv. 1. mgr.
Minor technical amendment.
Reikningsupplýsingaþjónustuveitandi samkvæmt lögum um greiðsluþjónustu. Rekstraraðili sérhæfðra sjóða eins og um getur í 2. mgr.
Maps definitions of account information service provider and alternative investment fund manager to Icelandic legislation.
Rekstraraðilar sérhæfðra sjóða sem falla ekki undir 1. mgr.
Minor technical amendment.
. Rekstraraðili skv. b-lið 1. mgr.
Minor technical amendment.
Rekstraraðili samkvæmt lögum um rekstraraðila sérhæfðra sjóða. Rekstrarfélag skv. b-lið 1. mgr.
Minor technical amendment.
Rekstrarfélag verðbréfasjóða samkvæmt lögum um verðbréfasjóði. Sameiginlegur tengiliður sem er tilnefndur eða komið á fót í samræmi við tilskipun (ESB) 2022/2555: Fjarskiptastofa samkvæmt lögum um öryggi net- og upplýsingakerfa mikilvægra innviða. Samstæða í skilningi 11. liðar
Maps definitions of UCITS management company, single point of contact under NIS2, and resolution authority to Icelandic legislation.
Samstæða samkvæmt lögum um ársreikninga. Skilastjórnvald skv.
Minor technical amendment.
Skilastjórnvald samkvæmt lögum um skilameðferð lánastofnana og verðbréfafyrirtækja. Stjórn og/eða framkvæmdastjórn í skilningi 36. liðar 1. mgr.
Maps definitions of resolution authority and management body to Icelandic financial legislation.
tilskipunar 2014/65/ESB, 7. liðar 1. mgr.
Minor technical amendment.
tilskipunar 2013/36/ESB og s-liðar 1. mgr.
Minor technical amendment.
Stjórn og/eða framkvæmdastjórn. Stofnun um starfstengdan lífeyri skv. 1. lið
Minor technical amendment.
Starfstengdur eftirlaunasjóður samkvæmt lögum um starfstengda eftirlaunasjóði. Vátrygginga- og endurtryggingafélög eins og um getur í
Maps definitions of occupational retirement fund and insurance/reinsurance undertaking to Icelandic legislation.
Vátryggingafélag sem eru undanþegin gildissviði vegna stærðar skv. 3. mgr.
Minor technical amendment.
. Vátryggingafélag skv. 1. lið
Minor technical amendment.
Vátryggingafélag samkvæmt lögum um vátryggingastarfsemi. Vátryggingamiðlari í hliðarstarfsemi skv. 4. lið 1. mgr.
Maps definitions of insurance undertaking and ancillary insurance intermediary to Icelandic legislation.
Aðili sem dreifir vátryggingu sem aukaafurð samkvæmt lögum um dreifingu vátrygginga. Verðbréfafyrirtæki skv. 1. lið 1. mgr.
Maps definitions of ancillary insurance distributor and investment firm to Icelandic legislation.
Verðbréfafyrirtæki samkvæmt lögum um markaði fyrir fjármálagerninga. Viðbragðsteymi vegna váatvika er varða tölvuöryggi sem er tilnefnt eða komið á fót í samræmi við tilskipun (ESB) 2022/2555: Netöryggissveit samkvæmt varnarmálalögum. Viðskiptavettvangur skv. 24. lið 1. mgr.
Maps definitions of investment firm, computer security incident response team under NIS2, and trading venue to Icelandic legislation.
Viðskiptavettvangur samkvæmt lögum um markaði fyrir fjármálagerninga. Öryggi net- og upplýsingakerfa skv. 2. lið
Maps definitions of trading venue and network/information system security to Icelandic legislation.
Öryggi net- og upplýsingakerfa samkvæmt lögum um öryggi net- og upplýsingakerfa mikilvægra innviða.
Minor technical amendment.
Seðlabanki Íslands er lögbært yfirvald hér á landi í skilningi laga þessara og ber ábyrgð á málum sem tengjast ógnamiðaðri innbrotsprófun samkvæmt reglugerð (ESB) 2022/2554. Fjármálaeftirlitið hefur eftirlit með því að farið sé að lögum þessum og fer með önnur þau verkefni sem reglugerð (ESB) 2022/2554 felur lögbæru yfirvaldi. Um eftirlitið fer samkvæmt ákvæðum laga þessara, laga um opinbert eftirlit með fjármálastarfsemi og laga um evrópskt eftirlitskerfi á fjármálamarkaði.
Designates the Central Bank of Iceland as the competent authority for DORA, including threat-led penetration testing. The Financial Supervisory Authority conducts day-to-day supervision.
Komi í ljós að ákvæðum laga þessara, eða stjórnvaldsfyrirmæla settra með stoð í þeim, sé ekki fylgt skal Fjármálaeftirlitið krefjast þess að úr sé bætt innan hæfilegs frests.
If non-compliance with the Act or its implementing rules is found, the Financial Supervisory Authority must require remediation within a reasonable deadline.
Fjármálaeftirlitið getur lagt stjórnvaldssektir á hvern þann sem brýtur gegn eftirtöldum ákvæðum reglugerðar (ESB) 2022/2554 og stjórnvaldsfyrirmælum settum á grundvelli laga þessara: 5.–
Authorizes ministerial regulations for implementation.
um kröfur um stýringu upplýsinga- og fjarskiptatækniáhættu,
Minor technical amendment.
um kröfur um einfaldaðan áhættustýringarramma fyrir upplýsinga- og fjarskiptatækni,
Minor technical amendment.
um kröfur um atvikastjórnunarferli sem tengist upplýsinga- og fjarskiptatækni, eftir atvikum, sbr.
Minor technical amendment.
1. og 2. mgr.
Minor technical amendment.
um skyldu til að flokka atvik sem tengjast upplýsinga- og fjarskiptatækni og netógnum, eftir atvikum, sbr.
Refers to technical standards on classification of ICT-related incidents and cyber threats.
1., 3. og 4. mgr.
Minor technical amendment.
um skyldu til að tilkynna alvarleg atvik sem tengjast upplýsinga- og fjarskiptatækni, eftir atvikum, sbr.
Refers to technical standards on reporting of major ICT-related incidents.
,
Minor formatting provision.
um almennar kröfur um framkvæmd prófunar á stafrænum viðnámsþrótti,
Minor technical amendment.
um prófun á upplýsinga- og fjarskiptatæknibúnaði og -kerfum,
Minor technical amendment.
um kröfur um auknar prófanir á upplýsinga- og fjarskiptatæknibúnaði, tilheyrandi kerfum og ferlum sem byggjast á ógnamiðaðri innbrotsprófun,
Refers to technical standards on enhanced testing of ICT tools, systems, and processes based on threat-led penetration testing.
28. og
Cross-reference to articles 28 et seq. of the DORA Regulation.
um kröfur um stýringu upplýsinga- og fjarskiptatækniáhættu vegna þriðju aðila sem veita upplýsinga- og fjarskiptatækniþjónustu, 1.–3. mgr.
Refers to technical standards on ICT third-party risk management requirements.
um kröfur varðandi samninga við þriðju aðila sem veita upplýsinga- og fjarskiptatækniþjónustu, 12. mgr.
Refers to technical standards on requirements for contracts with ICT third-party service providers.
um kröfur sem gerðar eru varðandi nýtingu þjónustu mikilvægs þriðja aðila með staðfestu í þriðja ríki, 3. og 6. mgr.
Refers to requirements for the use of services from critical third-party providers established in third countries.
um skyldu aðila á fjármálamarkaði til að taka tillit til áhættu sem tilgreind er í tilmælum aðaleftirlitsaðila til mikilvægra þriðju aðila sem veita upplýsinga- og fjarskiptaþjónustu og, ef við á, um skyldu til að hlíta ákvörðun Fjármálaeftirlitsins um notkun eða nýtingu þjónustu slíkra aðila. Sektir sem lagðar eru á einstaklinga geta numið frá 100 þús. kr. til 65 millj. kr. Sektir sem lagðar eru á lögaðila geta numið frá 500 þús. kr. til 800 millj. kr., en geta þó verið hærri eða allt að 10% af…
Refers to the obligation of financial entities to take account of risks identified in recommendations from the lead overseer of critical ICT third-party providers, including harmonized conditions and fees.
Stjórnsýsluviðurlögum verður beitt óháð því hvort lögbrot eru framin af ásetningi eða gáleysi.
Minor technical amendment.
Við ákvörðun stjórnsýsluviðurlaga, þar á meðal um fjárhæð stjórnvaldssekta, skal tekið tillit til saknæmisstigs og allra annarra atvika sem máli skipta, þ.m.t. eftirfarandi eftir því sem við á: alvarleika brots og hvað það hefur staðið lengi, ábyrgðar hins brotlega einstaklings eða lögaðila, fjárhagsstöðu hins brotlega, sér í lagi með hliðsjón af ársveltu lögaðila eða árstekjum og eignum einstaklings, þýðingar ávinnings eða taps sem forðað var með broti fyrir hinn brotlega, hvort brot hafi leitt…
When determining administrative sanctions including fine amounts, the degree of culpability and all relevant circumstances must be considered, including the gravity, duration, and financial impact of the breach.
Hafi aðili gerst brotlegur við ákvæði laga þessara eða ákvarðanir Fjármálaeftirlitsins á grundvelli þeirra er Fjármálaeftirlitinu heimilt að ljúka málinu með sátt með samþykki málsaðila, enda sé ekki um að ræða meiri háttar brot sem refsiviðurlög liggja við. Sátt er bindandi fyrir málsaðila þegar hann hefur samþykkt og staðfest efni hennar með undirskrift sinni. Seðlabanki Íslands setur nánari reglur um framkvæmd 1. mgr.
The Financial Supervisory Authority may settle cases involving breaches of this Act by agreement with the party, provided it serves supervisory purposes.
Í máli sem beinist að einstaklingi og lokið getur með ákvörðun um stjórnsýsluviðurlög samkvæmt lögum þessum hefur sá sem rökstuddur grunur leikur á að hafi gerst sekur um lögbrot rétt til að neita að svara spurningum eða afhenda gögn eða muni nema hægt sé að útiloka að það geti haft þýðingu fyrir ákvörðun um brot hans. Fjármálaeftirlitið skal leiðbeina hinum grunaða um þennan rétt.
In cases targeting individuals that may result in administrative sanctions, the person under suspicion has the right to remain silent and not provide self-incriminating evidence.
Heimild Fjármálaeftirlitsins til að leggja á stjórnsýsluviðurlög samkvæmt lögum þessum fellur niður þegar fimm ár eru liðin frá því að háttsemi lauk. Frestur skv. 1. mgr. rofnar þegar Fjármálaeftirlitið tilkynnir aðila um rannsókn á meintu broti. Rof frests hefur réttaráhrif gagnvart öllum sem staðið hafa að broti.
The limitation period for administrative sanctions is five years from cessation of the conduct. The period is interrupted when the Financial Supervisory Authority takes investigative action.
Ráðherra setur reglugerð um nánari framkvæmd reglugerðar (ESB) 2022/2554 um þau atriði sem koma fram í: 6. mgr.
Authorizes ministerial regulations for implementation.
um viðmiðanir til grundvallar útnefningu mikilvægra þriðju aðila sem veita upplýsinga- og fjarskiptatækniþjónustu. 2. mgr.
Refers to criteria for designating critical ICT third-party service providers.
um gjöld sem Eftirlitsstofnun EFTA leggur á mikilvæga þriðju aðila sem veita upplýsinga- og fjarskiptatækniþjónustu. Seðlabanki Íslands setur reglur um nánari framkvæmd reglugerðar (ESB) 2022/2554 um þau atriði sem koma fram í:
Refers to fees that the EFTA Surveillance Authority may charge critical ICT third-party providers. The Central Bank shall set detailed implementing rules for DORA.
um frekari samhæfingu búnaðar, aðferða, ferla og stefna til stýringar á upplýsinga- og fjarskiptatækniáhættu. 3. mgr.
Refers to further harmonization of ICT risk management tools, methods, processes, and policies.
3. og 4. mgr.
Minor technical amendment.
um flokkun á atvikum sem tengjast upplýsinga- og fjarskiptatækni og netógnum.
Minor technical amendment.
11. mgr.
Cross-reference to paragraph 11 of the relevant provision.
um auknar prófanir á upplýsinga- og fjarskiptatæknibúnaði og samsvarandi kerfum og ferlum sem byggjast á ógnamiðaðri innbrotsprófun. 9. og 10. mgr.
Refers to enhanced testing of ICT tools and corresponding systems based on threat-led penetration testing.
um almennar meginreglur um trausta stýringu upplýsinga- og fjarskiptatækniáhættu vegna þriðju aðila. 5. mgr.
Refers to general principles for sound ICT third-party risk management.
2. mgr.
Cross-reference to paragraph 2 of the relevant provision.
um samræmingu skilyrða vegna eftirlitsramma mikilvægra þriðju aðila sem veita upplýsinga- og fjarskiptatækniþjónustu.
Refers to harmonized conditions for the oversight framework of critical ICT third-party service providers.
Lög þessi gilda ekki um Byggðastofnun, Lánasjóð sveitarfélaga ohf. og Náttúruhamfaratryggingu Íslands.
The Act does not apply to the Regional Development Institute, the Municipal Credit Fund, or the Iceland Catastrophe Insurance.
Lög þessi öðlast gildi 1. janúar 2026.
Minor technical amendment.
Við gildistöku laga þessara verða eftirfarandi breytingar á öðrum lögum: Lög um verðbréfasjóði, nr. 116/2021 : Við 2. tölul. 3. mgr.
Consequential amendments to other legislation upon entry into force, starting with the Act on UCITS.
laganna bætist: þ.m.t. að því er varðar net- og upplýsingakerfi sem sett eru upp og stjórnað í samræmi við reglugerð (ESB) 2022/2554, sbr. lög um stafrænan viðnámsþrótt fjármálamarkaðar. Lög um vátryggingastarfsemi, nr. 100/2016 : Við 5. mgr.
Adds new provision to the existing Act.
laganna bætist: og skal setja upp og stjórna net- og upplýsingakerfum í samræmi við reglugerð (ESB) 2022/2554, sbr. lög um stafrænan viðnámsþrótt fjármálamarkaðar. Eftirfarandi breytingar verða á
Authorizes ministerial regulations for implementation.
Við 4. mgr. bætist: aðra en þá sem varða stýringu upplýsinga- og fjarskiptatækniáhættu. Við e-lið 5. mgr. bætist: annarrar en þeirrar sem varðar stýringu upplýsinga- og fjarskiptatækniáhættu. Lög um rekstraraðila sérhæfðra sjóða, nr. 45/2020 : Við 2. tölul. 4. mgr.
Adds new provision to the existing Act.
laganna bætist: þ.m.t. er varðar net- og upplýsingakerfi sem sett eru upp og stjórnað í samræmi við reglugerð (ESB) 2022/2554, sbr. lög um stafrænan viðnámsþrótt fjármálamarkaðar. Lög um fjármálafyrirtæki, nr. 161/2002 : Á eftir orðunum „þ.m.t. traust stjórnunar- og bókhaldsfyrirkomulag“ í 1. mgr.
Adds new provision to the existing Act.
laganna kemur: net- og upplýsingakerfi, sem sett eru upp og stjórnað í samræmi við reglugerð (ESB) 2022/2554, sbr. lög um stafrænan viðnámsþrótt fjármálamarkaðar. 2. mgr.
Authorizes ministerial regulations for implementation.
Fjármálafyrirtæki skal hafa viðbragðsáætlun og áætlun um samfelldan rekstur til að tryggja áframhaldandi starfsemi sína og takmörkun á tjóni ef alvarleg röskun verður á starfsemi fyrirtækisins. Undir 1. málsl. falla m.a., ef við á, stefnur og áætlanir um rekstrarsamfellu upplýsinga- og fjarskiptatækni og viðbragðs- og endurheimtaráætlanir fyrir þá tækni í samræmi við
Requires financial undertakings to have contingency and business continuity plans to ensure continued operations and limit losses in the event of serious disruption.
reglugerðar (ESB) 2022/2554, sbr. lög um stafrænan viðnámsþrótt fjármálamarkaðar. Við 3. mgr.
Authorizes ministerial regulations for implementation.
laganna bætist nýr stafliður, svohljóðandi: áhættu sem prófanir á stafrænum viðnámsþrótti leiða í ljós í samræmi við IV. kafla reglugerðar (ESB) 2022/2554, sbr. lög um stafrænan viðnámsþrótt fjármálamarkaðar. Lög um markaði fyrir fjármálagerninga, nr. 115/2021 : Við 1. tölul. 1. mgr.
Adds new provision to the existing Act.
laganna bætist nýr stafliður, svohljóðandi:
Adds new provision to the existing Act.
reglugerðar Evrópuþingsins og ráðsins (ESB) 2022/2554 frá 14. desember 2022 um stafrænan viðnámsþrótt fyrir fjármálageirann og um breytingu á reglugerðum (EB) nr. 1060/2009, (ESB) nr. 648/2012, (ESB) nr. 600/2014, (ESB) nr. 909/2014 og (ESB) 2016/1011, sem er birt á bls. 1–79 í EES-viðbæti við Stjórnartíðindi Evrópusambandsins nr. 15 frá 13. mars 2025. Eftirfarandi breytingar verða á
Incorporates DORA into the Act on Financial Undertakings by cross-reference.
3. mgr. orðast svo: Verðbréfafyrirtæki skal gera eðlilegar ráðstafanir til að tryggja að fjárfestingarþjónusta og fjárfestingarstarfsemi sé samfelld og reglubundin. Með þetta að markmiði skal verðbréfafyrirtækið nota viðeigandi og hæfileg kerfi, þ.m.t. upplýsinga- og fjarskiptatæknikerfi sem sett eru upp og stjórnað í samræmi við
Amends the Act to require investment firms to take reasonable measures to ensure continuity and regularity of services, including resilient systems in line with DORA.
reglugerðar Evrópuþingsins og ráðsins (ESB) 2022/2554, sbr. lög um stafrænan viðnámsþrótt fjármálamarkaðar, sem og viðeigandi og hæfileg tilföng og verklag. 5. mgr. orðast svo: Verðbréfafyrirtæki skal hafa traustar aðferðir fyrir stjórnun og bókhald, innra eftirlitskerfi og skilvirkar verklagsreglur fyrir áhættumat. 6. mgr. orðast svo: Verðbréfafyrirtæki skal hafa trausta öryggisferla, í samræmi við kröfurnar sem mælt er fyrir um í reglugerð (ESB) 2022/2554, sbr. lög um stafrænan viðnámsþrótt fj…
Incorporates DORA requirements into the obligations of investment firms regarding adequate and proportionate systems, resources, and procedures.
Verðbréfafyrirtæki sem hefur með höndum algrímsviðskipti skal ráða yfir skilvirkum kerfum og stjórntækjum vegna eftirlits með áhættu sem henta vel til þeirrar starfsemi sem það stundar til að tryggja að viðskiptakerfi þess séu álagsþolin og búi yfir nægilegri getu, í samræmi við kröfurnar sem mælt er fyrir um í II. kafla reglugerðar (ESB) 2022/2554, sbr. lög um stafrænan viðnámsþrótt fjármálamarkaðar, falli undir viðeigandi viðskiptamörk og viðskiptatakmarkanir og komi í veg fyrir sendingu rangr…
Requires investment firms engaged in algorithmic trading to have effective risk-management systems and controls appropriate to their business, including compliance with DORA.
reglugerðar (ESB) 2022/2554, og skal sjá til þess að kerfin séu að fullu prófuð og undir viðeigandi eftirliti til að tryggja að þau uppfylli almennu kröfurnar sem mælt er fyrir um í þessari málsgrein og allar sértækar kröfur sem mælt er fyrir um í II. og IV. kafla reglugerðar (ESB) 2022/2554. Eftirfarandi breytingar verða á 1. mgr.
Requires algorithmic trading systems to be fully tested and subject to appropriate monitoring to meet DORA's general requirements.
2. tölul. orðast svo: Vera nægilega vel í stakk búinn til að stýra áhættu sem að honum snýr, þ.m.t. að stýra upplýsinga- og fjarskiptatækniáhættu í samræmi við II. kafla reglugerðar (ESB) 2022/2554, sbr. lög um stafrænan viðnámsþrótt fjármálamarkaðar, koma á viðeigandi ráðstöfunum og kerfum til að greina alla verulega áhættuþætti fyrir rekstur hans og koma á skilvirkum ráðstöfunum til að draga úr þeim. 3. tölul. fellur brott. 1. mgr.
Amends qualification requirements for regulated market operators to include ICT risk management in accordance with DORA.
Skipulegur markaður skal koma á og viðhalda stafrænum viðnámsþrótti sínum í samræmi við kröfurnar sem mælt er fyrir um í II. kafla reglugerðar (ESB) 2022/2554, sbr. lög um stafrænan viðnámsþrótt fjármálamarkaðar, til að tryggja að viðskiptakerfi hans séu álagsþolin, búi yfir nægilegri getu til að ráða við álagstoppa í magni tilboða og skilaboða, geti tryggt hnökralaus viðskipti þegar mikið álag er á markaði, hafi verið rækilega prófuð til að tryggja að þessi skilyrði séu uppfyllt og falli undir …
Requires regulated markets to establish and maintain digital operational resilience in accordance with DORA chapters II and IV, including resilient systems and adequate backup facilities.
reglugerðar (ESB) 2022/2554, til að tryggja samfellu í þjónustu hans ef bilun verður í viðskiptakerfum hans. Í stað orðsins „prófunarumhverfi“ í 1. málsl. 1. mgr.
Authorizes ministerial regulations for implementation.
laganna kemur: umhverfi til að greiða fyrir slíkri prófun í samræmi við kröfurnar sem mælt er fyrir um í II. og IV. kafla reglugerðar (ESB) 2022/2554, sbr. lög um stafrænan viðnámsþrótt fjármálamarkaðar. Lög um greiðsluþjónustu, nr. 114/2021 : Í stað orðanna „þjónustu við verndun trúnaðarupplýsinga og friðhelgi einkalífs, sannvottun gagna og eininga, þjónustuveitu upplýsingatækni- og samskiptanets“ í 10. tölul.
Amends provisions on testing environments for financial entities to align with DORA chapters II and IV.
laganna kemur: traustþjónustu og þjónustu við verndun friðhelgi einkalífs, sannvottun gagna og eininga, veitingu upplýsinga- og fjarskiptatækniþjónustu. Eftirfarandi breytingar verða á 1. mgr.
Amends references in the Act to include trust services, privacy protection, data/entity certification, and ICT service provision.
10. tölul. orðast svo: Lýsing á verkferli sem fylgja skal til að hafa eftirlit með, meðhöndla og fylgja eftir rekstrar- eða öryggisfrávikum og kvörtunum viðskiptavina að því er varðar öryggisatriði, þ.m.t. fyrirkomulag skýrslugjafar um atvik sem tekur tillit til tilkynningarskyldu greiðslustofnunarinnar sem mælt er fyrir um í III. kafla reglugerðar (ESB) 2022/2554, sbr. lög um stafrænan viðnámsþrótt fjármálamarkaðar. 11. tölul. orðast svo: Lýsing á fyrirkomulagi stjórnarhátta umsækjanda og innri…
Amends provisions on operational procedures for monitoring and handling operational or security incidents, including ICT-related incident reporting requirements under DORA.
1. málsl. 2. mgr.
Minor technical amendment.
laganna orðast svo: Útvistun mikilvægra rekstrarþátta, þar á meðal upplýsinga- og fjarskiptatæknikerfa, skal ekki fara þannig fram að hún rýri verulega gæði innra eftirlits greiðslustofnunar og getu Fjármálaeftirlitsins til að hafa eftirlit með og ganga úr skugga um að greiðslustofnunin uppfylli allar þær skyldur sem mælt er fyrir um í lögum þessum. Á eftir 1. mgr.
Outsourcing of important operational functions, including ICT systems, must not materially impair the quality of internal controls or the supervisory authority's ability to monitor compliance.
Ákvæði 1. mgr. hefur ekki áhrif á framkvæmd II. kafla reglugerðar (ESB) 2022/2554, sbr. lög um stafrænan viðnámsþrótt fjármálamarkaðar, gagnvart lánastofnunum, rafeyrisfyrirtækjum, greiðslustofnunum, reikningsupplýsingaþjónustuveitendum, greiðslustofnunum með takmarkað starfsleyfi og rafeyrisfyrirtækjum með takmarkað starfsleyfi skv.
States that DORA chapter II applies to credit institutions, e-money institutions, payment institutions, and account information service providers notwithstanding other provisions.
. Eftirfarandi breytingar verða á 1. mgr.
Minor technical amendment.
Við bætist: í samræmi við grein þessa. Við bætist nýr málsliður, svohljóðandi: Þrátt fyrir 1. málsl. gildir grein þessi ekki um lánastofnanir, rafeyrisfyrirtæki, greiðslustofnanir, reikningsupplýsingaþjónustuveitendur, greiðslustofnanir með takmarkað starfsleyfi og aðila með takmarkað starfsleyfi skv.
Amends the Act to exclude credit institutions, e-money institutions, payment institutions, and account information service providers from certain provisions where DORA applies instead.
, sem falla undir gildissvið reglugerðar (ESB) 2022/2554, sbr. lög um stafrænan viðnámsþrótt fjármálamarkaðar. Í stað tilvísunarinnar „2. mgr.
Authorizes ministerial regulations for implementation.
“ í 3. mgr.
Minor technical amendment.
og 58. tölul. 1. mgr.
Minor technical amendment.
laganna kemur: 3. mgr.
Minor technical amendment.
Við 1. mgr.
Minor technical amendment.
laganna bætist nýr málsliður, svohljóðandi: Um tilkynningar skv. 1. málsl. fer þó samkvæmt reglugerð (ESB) 2022/2554, sbr. lög um stafrænan viðnámsþrótt fjármálamarkaðar, í tilviki rekstraraðila nauðsynlegrar þjónustu á sviði bankastarfsemi og innviða fjármálamarkaða. Lög um lánshæfismatsfyrirtæki, nr. 50/2017 : Við 1. tölul.
Adds a provision that ICT incident notifications for specified financial entities follow DORA rather than other notification requirements.
laganna bætist nýr stafliður, svohljóðandi:
Adds new provision to the existing Act.
reglugerðar Evrópuþingsins og ráðsins (ESB) 2022/2554 frá 14. desember 2022 um stafrænan rekstrarlegan viðnámsþrótt fyrir fjármálageirann og um breytingu á reglugerðum (EB) nr. 1060/2009, (ESB) nr. 648/2012, (ESB) nr. 600/2014, (ESB) nr. 909/2014 og (ESB) 2016/1011, sem er birt á bls. 1–79 í EES-viðbæti við Stjórnartíðindi Evrópusambandsins nr. 15 frá 13. mars 2025. Lög um afleiðuviðskipti, miðlæga mótaðila og afleiðuviðskiptaskrár, nr. 15/2018: Við
Incorporates DORA into the Act on Insurance Activities by cross-reference.
laganna bætist nýr töluliður, svohljóðandi:
Adds new provision to the existing Act.
reglugerðar Evrópuþingsins og ráðsins (ESB) 2022/2554 frá 14. desember 2022 um stafrænan rekstrarlegan viðnámsþrótt fyrir fjármálageirann og um breytingu á reglugerðum (EB) nr. 1060/2009, (ESB) nr. 648/2012, (ESB) nr. 600/2014, (ESB) nr. 909/2014 og (ESB) 2016/1011, sem er birt á bls. 1–79 í EES-viðbæti við Stjórnartíðindi Evrópusambandsins nr. 15 frá 13. mars 2025. Lög um verðbréfamiðstöðvar, uppgjör og rafræna eignarskráningu fjármálagerninga, nr. 7/2020: Eftirfarandi breytingar verða á
Incorporates DORA into the Act on the Distribution of Insurance by cross-reference.
1. mgr. orðast svo: Reglugerð Evrópuþingsins og ráðsins (ESB) nr. 909/2014 frá 23. júlí 2014 um bætt verðbréfauppgjör í Evrópusambandinu og um verðbréfamiðstöðvar og um breytingu á tilskipunum 98/26/EB og 2014/65/ESB og reglugerð (ESB) nr. 236/2012, sem er birt á bls. 255–326 í EES-viðbæti við Stjórnartíðindi Evrópusambandsins nr. 25 frá 28. mars 2019, hefur lagagildi með þeim aðlögunum sem leiðir af bókun 1 um altæka aðlögun við samninginn um Evrópska efnahagssvæðið og ákvörðun sameiginlegu EES…
Amends the Act on Securities Central Depositories to incorporate DORA alongside the existing CSDR references.
reglugerðar Evrópuþingsins og ráðsins (ESB) 2022/858 frá 30. maí 2022 um tilraunaregluverk fyrir innviði markaða sem byggjast á dreifðri færsluskrártækni og um breytingu á reglugerðum (ESB) nr. 600/2014 og (ESB) nr. 909/2014 og tilskipun 2014/65/ESB, sem er birt á bls. 160–192 í EES-viðbæti við Stjórnartíðindi Evrópusambandsins nr. 92 frá 20. desember 2023.
Incorporates DORA into the Act on the DLT Pilot Regime for market infrastructures by cross-reference.
reglugerðar Evrópuþingsins og ráðsins (ESB) 2022/2554 frá 14. desember 2022 um stafrænan rekstrarlegan viðnámsþrótt fyrir fjármálageirann og um breytingu á reglugerðum (EB) nr. 1060/2009, (ESB) nr. 648/2012, (ESB) nr. 600/2014, (ESB) nr. 909/2014 og (ESB) 2016/1011, sem er birt á bls. 1–79 í EES-viðbæti við Stjórnartíðindi Evrópusambandsins nr. 15 frá 13. mars 2025. 2. mgr. orðast svo: Í lögum þessum er vísað til reglugerðar (ESB) nr. 909/2014 með aðlögunum og breytingum skv. 1. mgr. sem regluge…
Incorporates DORA into the Act on Occupational Retirement Funds by cross-reference.
1. mgr. orðast svo: Reglugerð Evrópuþingsins og ráðsins (ESB) 2016/1011 frá 8. júní 2016 um vísitölur sem notaðar eru sem viðmiðanir í fjármálagerningum og fjárhagslegum samningum eða til að mæla árangur fjárfestingarsjóða og um breytingu á tilskipunum 2008/48/EB og 2014/17/ESB og reglugerð (ESB) nr. 596/2014, sem er birt á bls. 72–136 í EES-viðbæti við Stjórnartíðindi Evrópusambandsins nr. 16 frá 12. mars 2020, hefur lagagildi með þeim aðlögunum sem leiðir af bókun 1 um altæka aðlögun við samni…
Amends the Act on Benchmarks to incorporate DORA alongside existing benchmark regulation references.
reglugerðar Evrópuþingsins og ráðsins (ESB) 2019/2089 frá 27. nóvember 2019 um breytingu á reglugerð (ESB) 2016/1011 að því er varðar viðmiðanir ESB vegna loftslagstengdra umbreytinga, viðmiðanir ESB sem eru lagaðar að Parísarsamningnum og upplýsingagjöf um sjálfbærni fyrir viðmiðanir, sem er birt á bls. 658–668 í EES-viðbæti við Stjórnartíðindi Evrópusambandsins nr. 26 frá 23. apríl 2020.
Incorporates the EU climate benchmark regulation amendments into Icelandic law by cross-reference.
reglugerðar Evrópuþingsins og ráðsins (ESB) 2021/168 frá 10. febrúar 2021 um breytingu á reglugerð (ESB) 2016/1011 að því er varðar undanþágu fyrir tilteknar viðmiðanir fyrir stundargengi gjaldmiðla þriðju landa og tilnefningu viðmiðana í stað viðmiðana sem verður hætt með og um breytingu á reglugerð (ESB) nr. 648/2012, sem er birt á bls. 47–58 í EES-viðbæti við Stjórnartíðindi Evrópusambandsins nr. 4 frá 17. janúar 2022.
Incorporates the EU benchmark exemption regulation amendments into Icelandic law by cross-reference.
reglugerðar Evrópuþingsins og ráðsins (ESB) 2022/2554 frá 14. desember 2022 um stafrænan rekstrarlegan viðnámsþrótt fyrir fjármálageirann og um breytingu á reglugerðum (EB) nr. 1060/2009, (ESB) nr. 648/2012, (ESB) nr. 600/2014, (ESB) nr. 909/2014 og (ESB) 2016/1011, sem er birt á bls. 1–79 í EES-viðbæti við Stjórnartíðindi Evrópusambandsins nr. 15 frá 13. mars 2025. 2. mgr. orðast svo: Í lögum þessum er vísað til reglugerðar (ESB) 2016/1011 með aðlögunum og breytingum skv. 1. mgr. sem reglugerða…
Incorporates DORA into the Act on Credit Rating Agencies by cross-reference.
f laganna kemur ný grein,
Minor technical amendment.
Rekstraráhætta. Lífeyrissjóður skal hafa stefnu og ferla til að meta og stýra rekstraráhættu, þ.m.t. vegna útvistunar og fátíðra atburða sem geta haft alvarlegar afleiðingar. Lífeyrissjóður skal stýra upplýsinga- og fjarskiptatækniáhættu í samræmi við ákvæði 5.–
Establishes requirements for pension funds on operational risk management, including policies and processes for assessing and managing operational risk, outsourcing, and rare severe events.
,
Minor formatting provision.
, 1. og 2. mgr.
Minor technical amendment.
, 1. mgr.
Cross-reference to paragraph 1 of the relevant provision.
og 24.–
Cross-reference to articles 24 et seq. of the relevant regulation.
reglugerðar (ESB) 2022/2554, sbr. lög um stafrænan viðnámsþrótt fjármálamarkaðar. Ráðstafanir til að stuðla að stafrænum viðnámsþrótti lífeyrissjóðs skulu vera í réttu hlutfalli við stærð og heildaráhættusnið lífeyrissjóðs og eðli, umfang og flækjustig rekstrarumgjarðar hans. Um lífeyrissjóði með færri sjóðfélaga en 100 fer skv.
Requires pension fund digital resilience measures under DORA to be proportionate to the fund's size and risk profile.
í stað 5.–
Minor technical amendment.
reglugerðar (ESB) 2022/2554 um einfaldaðan áhættustýringarramma fyrir upplýsinga- og fjarskiptatækni. Lífeyrissjóður skal tilkynna Fjármálaeftirlitinu um alvarleg atvik sem tengjast upplýsinga- og fjarskiptatækni og verulegar netógnir skv. 1. og 2. mgr.
Allows pension funds to apply a simplified ICT risk management framework under DORA. Pension funds must notify the Financial Supervisory Authority of major ICT-related incidents.
reglugerðar (ESB) 2022/2554. Um slíkar tilkynningar fer skv. 3.–5. mgr.
Authorizes ministerial regulations for implementation.
reglugerðarinnar. Fjármálaeftirlitið skal leggja mat á mikilvægi atviks eða ógnar og tilkynna öðrum innlendum stjórnvöldum tímanlega um það eftir því sem við á. Lífeyrissjóður getur átt aðild að fyrirkomulagi upplýsingaskipta hér á landi vegna upplýsinga og greiningargagna um netógnir skv.
The Financial Supervisory Authority assesses the significance of incidents and notifies other domestic authorities as appropriate. Pension funds may share cyber threat information.
Seðlabanka Íslands er heimilt að setja nánari reglur um rekstraráhættu lífeyrissjóða og útfæra nánar skyldur lífeyrissjóða samkvæmt þessari grein. Samþykkt á Alþingi 12. nóvember 2025. Þú ert hér: Forsíða > Þingfundir og mál > Þingtíðindi Þingfundir og mál Tilkynningar Þingmálalistar Leit að þingmálum Þingfundir og ræður Yfirlit og úttektir Viltu senda umsögn? Lög samþykkt á Alþingi Nýjar þingsályktanir Þingfundir og mál Tilkynningar Þingmálalistar Laga­frumvörp Þings­ályktunar­tillö…
Authorizes the Central Bank to set detailed rules on pension fund operational risk and further specify pension fund obligations under this provision. Closing provision noting parliamentary approval.