Innst. 265 L (2024–2025) Innstilling til Stortinget fra finanskomiteen Prop. 54 LS (2024–2025) Innstilling fra finanskomiteen om Lov om digital operasjonell motstandsdyktighet i finanssektoren og lov om endringer i hvitvaskingsloven (gjennomføring av forordning (EU) 2023/1113) Til Stortinget Sammendrag Lov om digital operasjonell motstandsdyktighet i finanssektoren (DORA) Departementet fremmer i kapittel 2 i proposisjonen forslag til ny lov om digital operasjonell motstandsdyktighet i finanssektoren (DORA-loven) som vil gjennomføre EØS-regler som svarer til Europaparlaments- og rådsforordning (EU) 2022/2554 av 14. desember 2022 og endringsdirektiv (EU) 2022/2556 av 14. desember 2022 om digital operasjonell motstandsdyktighet i finanssektoren («Digital Operational Resilience Act», DORA). Lovforslaget innebærer nye krav til sikkerheten i nettverks- og informasjonssystemer som understøtter virksomheten i foretak i finanssektoren. Det stilles krav til foretakenes risikostyring, avtaler om bruk av IKT-tjenester, felleseuropeisk overvåking av kritiske IKT-leverandører og tilsyn og tilsynssamarbeid. Regelverket skal øke tilliten til det finansielle systemet, opprettholde stabilitet og unngå store kostnader for økonomien ved å minimere konsekvenser og kostnader ved IKT-forstyrrelser. Foretakene i den norske finanssektoren har i mange år vært underlagt regelverk og tilsyn som skal bidra til en høy grad av IKT-sikkerhet, enten foretakene drifter løsningene selv eller har utkontraktert dette til IKT-leverandører. Særlig stiller IKT-forskriften fra 2003 omfattende krav til foretakenes risikostyring, hendelseshåndtering og bruk av IKT-leverandører. DORA-regelverket innebærer harmonisering av krav til IKT-sikkerhet i finansielle foretak i Europa. Gjennomføring av regelverket i norsk rett vil gjøre at kravene til foretakene i den norske finanssektoren styrkes, selv om dagens norske regelverk og tilsynsmessige oppfølging bygger på de samme prinsippene som de nye kravene. Endringer i hvitvaskingsloven om opplysninger som skal følge overføringer av penger og visse kryptoeiendeler (TFR II) Departementet fremmer i kapittel 3 i proposisjonen forslag til endringer i lov 1. juni 2018 nr. 23 om tiltak mot hvitvasking og terrorfinansiering (hvitvaskingsloven) som vil gjennomføre EØS-regler som svarer til Europaparlaments- og rådsforordning (EU) 2023/1113 av 31. mai 2023 om opplysninger som skal følge overføringer av penger og visse kryptoeiendeler, og om endringer i direktiv (EU) 2015/849 av 20. mai 2015 om forebyggende tiltak mot bruk av det finansielle systemet i forbindelse med hvitvasking av penger eller finansiering av terrorisme (fjerde hvitvaskingsdirektiv). Forordning (EU) 2023/1113 («Transfer of Funds Regulation II», TFR II) inneholder krav til tjenesteytere om innhenting, bekreftelse, lagring og overføringer av opplysninger om avsendere og mottakere av pengeoverføringer og overføringer av kryptoeiendeler. Disse kravene eksisterte allerede for tradisjonelle pengeoverføringer gjennom forordning (EU) 2015/847 (TFR I), men utvides i TFR II til å gjelde også for tjenesteytere som sender og mottar kryptoeiendeler. I tillegg innfører forordningen rapporteringsplikt for kryptoeiendelstjenesteytere, hvilket betyr at disse underlegges plikter i hvitvaskingsregelverket på lik linje med tradisjonelle betalingstjenesteytere. Sakens dokumenter Sakens dokumenter er tilgjengelige på sakssiden på stortinget.no. Komiteens merknader Komiteen, medlemmene fra Arbeiderpartiet, Camilla Maria Brekke, Eigil Knutsen, lederen Tuva Moflag, Tellef Inge Mørland, Bjørnar Skjæran og Rigmor Aasrud, fra Høyre, Tina Bru, Mahmoud Farahmand, Helge Orten og Eirik Lae Solberg, fra Senterpartiet, Emilie Mehl, Ole André Myhrvold og Geir Pollestad, fra Fremskrittspartiet, Hans Andreas Limi og Roy Steffensen, fra Sosialistisk Venstreparti, Andreas Sjalg Unneland, fra Rødt, Marie Sneve Martinussen, fra Venstre, Sveinung Rotevatn, fra Miljøpartiet De Grønne, Sigrid Zurbuchen Heiberg, og fra Kristelig Folkeparti, Jorunn Gleditsch Lossius, viser til at ny lov om digital operasjonell motstandsdyktighet i finanssektoren (DORA) vil gjennomføre EØS-regler om nye krav til sikkerheten i nettverks- og informasjonssystemer i finanssektoren. Den norske finanssektoren har siden 2003 vært underlagt regelverk og tilsyn som skal sikre høy IKT-sikkerhet i Norge. De nye kravene bygger på de samme prinsippene som eksisterende regelverk. Komiteen peker på at innføring av DORA-regelverket innebærer en harmonisering av IKT-krav i europeiske finansielle foretak samtidig som de nye forsterkede kravene styrker tilliten til det finansielle systemet ved å redusere risikoen for store samfunnskostnader ved IKT-forstyrrelser. Komiteen viser videre til at endringer i hvitvaskingsloven vil gjennomføre EØS-regler om opplysninger vedrørende overføringer av penger og visse kryptoeiendeler samt forebyggende tiltak mot bruk av det finansielle systemet i forbindelse med hvitvasking av penger og terrorfinansiering. Krav som allerede gjelder for tradisjonelle pengeoverføringer, utvides nå til å gjelde pengeoverføringer og overføringer av kryptoeiendeler. Kryptoeiendelstjenesteytere pålegges også plikter på lik linje med tradisjonelle betalingstjenesteytere i hvitvaskingsregelverket. Komiteen slutter seg til regjeringens lovforslag. Komiteens tilråding Komiteens tilråding fremmes av en samlet komité. Komiteen har for øvrig ingen merknader, viser til proposisjonen og rår Stortinget til å gjøre følgende vedtak til lover: A. Vedtak til lov om digital operasjonell motstandsdyktighet i finanssektoren (DORA-loven) § 1 Forordningen om digital operasjonell motstandsdyktighet i finanssektoren (1) EØS-avtalen vedlegg IX nr. 31q (forordning (EU) 2022/2554) om digital operasjonell motstandsdyktighet i finanssektoren gjelder som lov med de tilpasninger som følger av vedlegg IX, protokoll 1 til avtalen og avtalen for øvrig. (2) Når det i loven her vises til DORA-forordningen, menes forordningen slik den til enhver tid er gjennomført og endret etter første eller fjerde ledd. (3) Departementet kan fastsette utfyllende forskrifter til bestemmelsene i første ledd. (4) Departementet kan i forskrift gjøre endringer i, herunder fastsette unntak fra, bestemmelsene i første ledd til gjennomføring av Norges forpliktelser etter EØS-avtalen. § 2 Forordningens anvendelse på andre foretak (1) Departementet kan i forskrift fastsette at bestemmelsene i § 1 helt eller delvis skal gjelde for: a. foretak nevnt i DORA-forordningen artikkel 2 nr. 3, b. finansieringsforetak, c. låneformidlingsforetak, d. inkassoforetak, e. eiendomsmeglingsforetak, f. morselskap i finanskonsern. (2) Departementet kan i forskrift fastsette forenklede krav for foretak nevnt i første ledd i samsvar med relevante bestemmelser i DORA-forordningen. § 3 Tilsyn mv. (1) Finanstilsynet er nasjonal tilsynsmyndighet etter DORA-forordningen og fører tilsyn med overholdelse av bestemmelser gitt i eller i medhold av denne loven. (2) Departementet kan i forskrift fastsette utfyllende krav til rapportering, register over IKT-tjenesteavtaler og annen informasjon som foretak omfattet av §§ 1 eller 2 skal gi Finanstilsynet om inngåtte og planlagte avtaler om bruk av tjenester fra IKT-leverandører. (3) Departementet kan i forskrift fastsette bestemmelser om rapportering av hendelser og deling av informasjon til andre varslingsmottakere enn Finanstilsynet. (4) Departementet kan i forskrift fastsette bestemmelser om trusselbasert penetrasjonstesting (TLPT), herunder om fordeling av oppgaver og ansvar mellom norske myndighetsorgan i henhold til DORA-forordningen artikkel 26. § 4 Overtredelsesgebyr (1) Finanstilsynet kan ilegge fysiske personer eller foretak overtredelsesgebyr på inntil 50 millioner kroner ved overtredelse av følgende bestemmelser i DORA-forordningen: a. artikkel 5 om forvaltning og organisasjon, b. artikkel 6 om rammeverk for IKT-risikostyring, c. artikkel 8 om identifisering av IKT-relaterte funksjoner og avhengigheter, d. artikkel 9 nr. 4 om retningslinjer for sikkerhet mv. som del av rammeverket for IKT-risikostyring, jf. artikkel 6, e. artikkel 11 om respons og gjenoppretting, f. artikkel 12 om retningslinjer og prosedyrer for sikkerhetskopiering og gjenoppretting, g. artikkel 14 om planer for krisekommunikasjon, h. artikkel 16 nr. 1 og 2 om forenklet rammeverk for IKT-risikostyring, i. artikkel 17 om prosess for håndtering av IKT-relaterte hendelser, j. artikkel 19 nr. 1, 3 og 4 om rapportering av alvorlige IKT-relaterte hendelser, k. artikkel 24 om generelle krav til gjennomføringen av testing av digital operasjonell motstandsdyktighet, l. artikkel 25 nr. 2 om sårbarhetsvurderinger før bruk av nye systemer i verdipapirsentraler og sentrale motparter, m. artikkel 28 om generelle prinsipper for forsvarlig styring av IKT-tredjepartsrisiko, n. artikkel 42 nr. 3 annet avsnitt om hensyntaken til risiko avdekket hos IKT-leverandører. Første punktum gjelder tilsvarende ved overtredelse av forskrifter som gjennomfører tekniske reguleringsstandarder fastsatt etter DORA-forordningen artikkel 15 og artikkel 16 nr. 3. (2) Medvirkning til overtredelse som nevnt i første ledd, kan sanksjoneres på samme måte. (3) Fysiske personer kan ilegges overtredelsesgebyr for forsettlige eller uaktsomme overtredelser. Foretak kan ilegges overtredelsesgebyr når foretaket eller noen som har handlet på foretakets vegne, forsettlig eller uaktsomt har begått en overtredelse som nevnt i første eller annet ledd. (4) Adgangen til å ilegge overtredelsesgebyr foreldes fem år etter at overtredelsen er opphørt. Fristen avbrytes ved at Finanstilsynet gir forhåndsvarsel eller fatter vedtak om overtredelsesgebyr. (5) Departementet kan i forskrift fastsette bestemmelser til utfylling og avgrensning av paragrafen her, og renter ved forsinket betaling av overtredelsesgebyret. Departementet kan i forskrift fastsette at den som forsettlig eller uaktsomt overtrer bestemmelser i forskrift gitt i medhold av loven, kan ilegges overtredelsesgebyr. § 5 Ikrafttredelse og overgangsbestemmelser (1) Loven gjelder fra den tid Kongen bestemmer. Kongen kan sette i kraft de enkelte bestemmelser til forskjellig tid. (2) Departementet kan fastsette overgangsregler. § 6 Endringer i andre lover Fra den tid loven trer i kraft, gjøres følgende endringer i andre lover: 1. I lov 29. juni 2007 nr. 75 om verdipapirhandel gjøres følgende endringer: § 8-1 første ledd skal lyde: (1) EØS-avtalen vedlegg IX (forordning (EU) nr. 600/2014) om markeder for finansielle instrumenter (verdipapirmarkedsforordningen) som endret ved forordning (EU) nr. 1033/2016 og forordning (EU) 2022/2554, jf. lov om digital operasjonell motstandsdyktighet i finanssektoren § 1 gjelder som lov med de tilpasninger som følger av vedlegg IX, protokoll 1 til avtalen og avtalen for øvrig. § 9-16 første ledd skal lyde: (1) Verdipapirforetak skal innrette sin virksomhet på følgende måte: 1. Foretaket skal ha tilstrekkelige og betryggende retningslinjer, rutiner og kontrollmetoder som skal sikre at foretaket, dets ledere, ansatte og tilknyttede agenter etterlever sine forpliktelser etter lov og forskrifter. 2. Foretaket skal være oppbygd og organisert på en slik måte at risikoen for interessekonflikter mellom foretaket og dets kunder, eller foretakets kunder seg imellom, begrenses til et minimum, jf. § 10-2. 3. Foretaket skal treffe rimelige tiltak som skal sikre kontinuitet og regelmessighet i investeringstjenestevirksomheten, herunder ha nødvendige systemer, ressurser og prosedyrer, inkludert IKT-systemer satt opp og håndtert i henhold til forordning (EU) 2022/2554 artikkel 7, jf. lov om digital operasjonell motstandsdyktighet i finanssektoren § 1. 4. Foretaket skal treffe betryggende tiltak slik at operasjonell risiko begrenses til et minimum når det benytter seg av en tredjepart til å utføre operasjonelle funksjoner, jf. annet ledd. 5. Foretaket skal ha gode administrasjons- og regnskapsrutiner, tilfredsstillende interne kontrollordninger og effektive prosedyrer for risikovurdering, samt stillingsinstrukser som særskilt regulerer ansvarsfordelingen mellom daglig leder og andre ledere av virksomheten. 6. Foretaket skal ha tilfredsstillende interne retningslinjer, rutiner og kontrollmetoder for personlige transaksjoner som foretas av foretakets ledere, ansatte og tilknyttede agenter. 7. Foretaket skal ha systemer som sikrer pålitelig og korrekt informasjonsoverføring, og som sikrer at opplysningene til enhver tid behandles fortrolig, samt reduserer risikoen for dataforfalskning, informasjonslekkasje og annen ulovlig tilgang til informasjonen i henhold til kravene i forordning (EU) 2022/2554, jf. lov om digital operasjonell motstandsdyktighet i finanssektoren § 1. 8. Foretaket skal sørge for dokumentasjon av alle investeringstjenester og all investeringsvirksomhet, herunder alle utførte transaksjoner, som skal være minst så fyllestgjørende at Finanstilsynet kan kontrollere om de regler Finanstilsynet har ansvar for, er overholdt. Slik dokumentasjon skal oppbevares i minst fem år, eller lengre tid dersom Finanstilsynet bestemmer det. 9. Foretaket skal ha interne instrukser for de ansattes adgang til å være medlem av styre, bedriftsforsamling eller foretaksforsamling eller ha slik innflytelse som nevnt i aksjeloven § 1-3 annet ledd i selskaper. Slike instrukser skal også omfatte styremedlemmer som har slik innflytelse i verdipapirforetaket som nevnt i aksjeloven § 1-3 annet ledd. Tilsvarende instrukser skal utarbeides for tilfeller der det er gitt unntak etter § 10-4 annet ledd. 10. Foretaket skal ha retningslinjer og rutiner for beregning og utbetaling av resultatavhengig godtgjørelse. § 9-23 første og andre ledd skal lyde: (1) Verdipapirforetak som utfører algoritmehandel, skal ha effektive systemer og risikokontroller som er egnet for virksomheten, for å sikre at foretakets handelssystemer er robuste og har tilstrekkelig kapasitet i henhold til kravene i forordning (EU) 2022/2554 kapittel II, jf. lov om digital operasjonell motstandsdyktighet i finanssektoren § 1, og er underlagt hensiktsmessige terskler og grenser for handler. Slike systemer og kontroller skal også hindre at det sendes uriktige ordrer eller at systemene skaper eller bidrar til uro i markedet. Verdipapirforetaket skal også ha effektive systemer og risikokontroller som sikrer at handelssystemene ikke kan brukes til formål som er i strid med reglene i kapittel 3 eller med reglene til en handelsplass som foretaket er tilknyttet. (2) Verdipapirforetak som utfører algoritmehandel, skal ha effektive beredskapsplaner og -systemer i henhold til kravene i forordning (EU) 2022/2554 artikkel 11, jf. lov om digital operasjonell motstandsdyktighet i finanssektoren § 1, for å håndtere en eventuell svikt i dets handelssystemer og skal påse at systemet er fullt testet og tilfredsstillende overvåket slik at det oppfyller kravene i bestemmelsen her og i forordning (EU) 2022/2554 kapittel II og IV, jf. lov om digital operasjonell motstandsdyktighet i finanssektoren § 1. § 11-18 første ledd nr. 2 skal lyde: 2. identifisering og håndtering av vesentlige risikoer som virksomheten utsettes for, herunder håndtering av risiko knyttet til IKT-systemer i henhold til forordning (EU) 2022/2554 kapittel II, jf. lov om digital operasjonell motstandsdyktighet i finanssektoren § 1, § 11-19 første og andre ledd skal lyde: (1) Et regulert marked skal ha effektive systemer, prosedyrer og ordninger for operasjonell motstandsdyktighet i henhold til forordning (EU) 2022/2554 kapittel II, jf. lov om digital operasjonell motstandsdyktighet i finanssektoren § 1, som til enhver tid sikrer at handelssystemet: 1. er robust og har tilstrekkelig kapasitet for å kunne håndtere høye ordre- og meldingsvolum, 2. sikrer velordnet handel ved alvorlig markedsuro, 3. er fullt gjennomtestet. (2) Et regulert marked skal ha beredskapsplaner og systemer i henhold til forordning (EU) 2022/2554 artikkel 11, jf. lov om digital operasjonell motstandsdyktighet i finanssektoren § 1, som sikrer kontinuerlig drift ved svikt i handelssystemet. § 11-21 fjerde ledd skal lyde: (4) Et regulert marked skal kreve at medlemmene gjør hensiktsmessige tester av sine algoritmer, og skal stille testmiljøer tilgjengelig for slik testing i henhold til kravene i forordning (EU) 2022/2554 kapittel II og IV, jf. lov om digital operasjonell motstandsdyktighet i finanssektoren § 1. § 17-1 første ledd skal lyde: (1) EØS-avtalen vedlegg IX nr. 31bc (forordning (EU) nr. 648/2012) om OTC-derivater, sentrale motparter og transaksjonsregistre (EMIR), som endret ved direktiv (EU) 2015/849 og forordning (EU) 2022/2554, jf. lov om digital operasjonell motstandsdyktighet i finanssektoren § 1, gjelder som lov med de tilpasninger som følger av vedlegg IX, protokoll 1 til avtalen og avtalen for øvrig. § 19-2 første ledd skal lyde: (1) Verdipapirforetak, sentrale motparter, datarapporteringsforetak og markedsoperatører, samt IKT tredjeparts tjenesteleverandører som referert til i kapittel V i forordning (EU) 2022/2554, jf. lov om digital operasjonell motstandsdyktighet i finanssektoren § 1, plikter å gi Finanstilsynet de opplysninger som kreves om forhold som angår foretakets forretning og virksomhet. Tilsvarende gjelder foretak i samme konsern. Tilsvarende gjelder også for verdipapirforetaks tilknyttede agenter. Foretaket plikter å fremvise, og i tilfelle utlevere til kontroll, dokumentasjon etter § 9-16 første ledd nr. 8, herunder lydopptak og elektronisk kommunikasjon etter § 9-17, og øvrig fysisk og elektronisk dokumentasjon som angår virksomheten. 2. I lov 25. november 2011 nr. 44 om verdipapirfond skal § 2-11 første ledd nr. 1 lyde: 1. gode administrasjons- og regnskapsrutiner og kontroll- og sikkerhetsordninger for elektronisk databehandling, herunder for nettverk og systemer som er etablert og håndtert etter forordning (EU) 2022/2554, jf. lov om digital operasjonell motstandsdyktighet i finanssektoren § 1, 3. I lov 20. juni 2014 nr. 28 om forvaltning av alternative investeringsfond skal § 3-1 første ledd bokstav b lyde: b. gode administrasjons- og regnskapsrutiner, kontroll- og sikkerhetsordninger for elektronisk databehandling, herunder for nettverk og systemer som er etablert og håndtert etter forordning (EU) 2022/2554, jf. lov om digital operasjonell motstandsdyktighet i finanssektoren § 1, og regler for ansattes personlige transaksjoner, 4. I lov 20. juni 2014 nr. 30 om kredittvurderingsbyråer skal § 1 lyde: § 1 EØS-regler om kredittvurderingsbyråer EØS-avtalen vedlegg IX nr. 31eb (forordning (EF) nr. 1060/2009) om kredittvurderingsbyråer (kredittvurderingsbyråforordningen), som endret ved forordning (EU) nr. 513/2011, direktiv 2011/61/EU, forordning (EU) nr. 462/2013 og forordning (EU) 2022/2554, jf. lov om digital operasjonell motstandsdyktighet i finanssektoren § 1, gjelder som lov med de tilpasninger som følger av vedlegg IX, protokoll 1 til avtalen og avtalen for øvrig. 5. I lov 10. april 2015 nr. 17 om finansforetak og finanskonsern gjøres følgende endringer: § 13-5 første ledd skal lyde: (1) Et finansforetak skal organiseres og drives på en forsvarlig måte. Foretaket skal ha en klar organisasjonsstruktur og ansvarsfordeling samt klare og hensiktsmessige styrings- og kontrollordninger. Foretaket skal ha hensiktsmessige retningslinjer og rutiner for å identifisere, styre, overvåke og rapportere risiko foretaket er, eller kan bli, eksponert for. Foretaket skal ha nettverks- og informasjonssystemer i samsvar med forordning (EU) 2022/2554, jf. lov om digital operasjonell motstandsdyktighet i finanssektoren § 1. Foretaket skal også ha hensiktsmessige retningslinjer og rutiner for gjennomføring, overvåkning og regelmessig vurdering av godtgjørelsesordninger. § 20-6 a tredje ledd bokstav g skal lyde: g. å forenkle strukturen i foretaket eller konsernet for å sikre at kritiske funksjoner kan skilles ut juridisk og operasjonelt fra øvrig virksomhet for å sikre kontinuitet og digital operasjonell motstandsdyktighet, 6. I lov 4. desember 2015 nr. 95 om fastsettelse av finansielle referanseverdier skal § 1 første ledd lyde: (1) EØS-avtalen vedlegg IX (forordning (EU) 2016/1011) om indekser brukt som referanseverdier i finansielle instrumenter og finansielle kontrakter eller for å måle resultatet i investeringsfond (referanseverdiforordningen), som endret ved forordning (EU) 2022/2554, jf. lov om digital operasjonell motstandsdyktighet i finanssektoren § 1, gjelder som lov med de tilpasninger som følger av vedlegg IX, protokoll 1 til avtalen og avtalen for øvrig. 7. I lov 15. mars 2019 nr. 6 om verdipapirsentraler og verdipapiroppgjør mv. § 1-1 skal første ledd lyde: EØS-avtalen vedlegg IX forordning (EU) nr. 909/2014 (om forbedring av verdipapiroppgjør i Den europeiske union og om verdipapirsentraler samt om endring av direktiv 98/26/EF og 2014/65/EU og forordning (EU) nr. 236/2012 (verdipapirsentralforordningen)) som endret ved forordning (EU) 2022/2554, jf. lov om digital operasjonell motstandsdyktighet i finanssektoren § 1, gjelder som lov med de tilpasninger som følger av vedlegg IX til avtalen, protokoll 1 til avtalen og avtalen for øvrig. 8. I lov 21. juni 2024 nr. 41 om Finanstilsynet (finanstilsynsloven) skal § 4-6 første ledd lyde: (1) Med unntak av avtaler om bruk av tjenester fra IKT-leverandører som nevnt i forordning (EU) 2022/2554 kapittel V, jf. lov om digital operasjonell motstandsdyktighet i finanssektoren §§ 1 og 2, skal foretak under tilsyn melde fra til Finanstilsynet ved inngåelse av avtale om utkontraktering av virksomhet som er kritisk eller viktig for foretaket, og ved endringer av slike avtaler. Meldingen skal gis minst 60 dager før iverksettelsen av avtalen eller avtaleendringen. B. Vedtak til lov om endringer i hvitvaskingsloven (gjennomføring av forordning (EU) 2023/1113) I I lov 1. juni 2018 nr. 23 om tiltak mot hvitvasking og terrorfinansiering gjøres følgende endringer: § 2 bokstav i nr. 2 skal lyde: 2. forbindelsene mellom rapporteringspliktige som nevnt i § 4 første ledd bokstav a til c, e, g til l og n til p seg imellom, herunder der lignende tjenester ytes av en korrespondentinstitusjon til en respondentinstitusjon, samt forbindelsene som er opprettet med sikte på verdipapirtransaksjoner, pengeoverføringer og overføringer av kryptoeiendeler. § 2 ny bokstav l, m og n skal lyde: l. kryptoeiendeler: eiendeler som nevnt i forordning (EU) 2023/1114 artikkel 3 nr. 1 punkt 5, med unntak av eiendeler som nevnt i artikkel 2 nr. 2 til 4 og eiendeler som nevnt i forordning (EU) 2023/1113 artikkel 3 punkt 8. m. kryptoeiendelstjenesteyter: person som nevnt i forordning (EU) 2023/1114 artikkel 3 nr. 1 punkt 15, når vedkommende yter tjenester som nevnt i artikkel 3 nr. 1 punkt 16, unntatt når vedkommende yter rådgivning som nevnt i artikkel 3 nr. 1 punkt 16 bokstav h. n. frittstående adresse: frittstående adresse som nevnt i forordning (EU) 2023/1113 artikkel 3 punkt 20. § 4 første ledd ny bokstav p skal lyde: p. kryptoeiendelstjenesteytere § 4 femte ledd skal lyde: (5) Departementet kan i forskrift gi regler som gir loven anvendelse for foretak som formidler finansiering ved donasjon. § 10 første ledd ny bokstav d skal lyde: d. pengeoverføringer og overføringer av kryptoeiendeler når dette er påkrevd etter forordning (EU) 2023/1113, jf. § 52. Ny § 17 a skal lyde: § 17 a Forsterkede kundetiltak for transaksjoner på frittstående adresse Ved gjennomføring av transaksjoner til eller fra frittstående adresser skal kryptoeiendelstjenesteytere foreta en konkret risikovurdering av transaksjonen. Minst ett av følgende forsterkede kundetiltak skal gjennomføres: a. identifisering og verifisering av identiteten til avsenderen og mottakeren og deres reelle rettighetshavere b. krav om ytterligere informasjon om midlenes opprinnelse og mottakeren av de overførte kryptoeiendelene c. forsterket løpende oppfølging av transaksjonene d. andre tiltak for å motvirke og håndtere risikoen for hvitvasking og terrorfinansiering e. tiltak for å motvirke og håndtere risiko knyttet til oppfølging av økonomiske sanksjoner og sanksjoner tilknyttet finansiering av masseødeleggelsesvåpen, som følger av regler om gjennomføring av internasjonale sanksjoner. § 19 skal lyde: § 19 Forsterkede kundetiltak ved korrespondentforbindelse (1) Ved inngåelse av en avtale om korrespondentforbindelse med en institusjon fra stat utenfor EØS som respondentinstitusjon, skal rapporteringspliktige som nevnt i § 4 første ledd bokstav a til c, e, g til l og n til p a. innhente tilstrekkelige opplysninger om respondentinstitusjonen for å forstå virksomhetens art og omdømme og tilsynets kvalitet. Rapporteringspliktige etter § 4 første ledd bokstav p skal også fastslå om respondentinstitusjonen er registrert eller har konsesjon. b. vurdere respondentinstitusjonens tiltak mot hvitvasking og terrorfinansiering c. påse at det innhentes godkjenning fra overordnet før etablering av ny korrespondentforbindelse d. dokumentere institusjonenes ansvar e. ved oppgjørskonti forsikre seg om at respondentinstitusjonen 1. har bekreftet identiteten til og fører løpende oppfølging av kunder som har direkte adgang til konti hos korrespondentinstitusjonen, og 2. på anmodning kan fremlegge relevante opplysninger fra kundetiltakene og den løpende oppfølgingen til korrespondentinstitusjonen. (2) Med oppgjørskonto som nevnt i første ledd bokstav e, menes konto eller konto for kryptoeiendeler hos rapporteringspliktig som kan disponeres av en tredjepart som er kunde av respondentinstitusjon. (3) En kryptoeiendelstjenesteyter som avslutter en korrespondentforbindelse på grunn av egne rutiner etter denne loven, skal dokumentere begrunnelsen for beslutningen. § 49 første ledd første punktum skal lyde: Dersom rapporteringspliktige eller noen som har handlet på vegne av et rapporteringspliktig foretak, har overtrådt §§ 6 til 8, kapittel 4, §§ 25, 26, 27, 28, 30, 35, 36, 39, 42 eller 52 eller forskrift gitt i medhold av disse bestemmelsene, kan tilsynsmyndigheten ilegge den rapporteringspliktige overtredelsesgebyr. § 49 femte ledd første og annet punktum skal lyde: Rapporteringspliktige som nevnt i § 4 første ledd bokstav a til c, e, g til k, n og p, kan ilegges overtredelsesgebyr på inntil 44 millioner kroner. Det samme gjelder styremedlemmer, ledere, ansatte og andre som utfører oppdrag på vegne av rapporteringspliktige som nevnt i § 4 første ledd bokstav a til c, e, g til k, n og p, dersom de kan ilegges overtredelsesgebyr etter annet og tredje ledd. § 52 skal lyde: § 52 Opplysninger som skal følge overføringer av penger og visse kryptoeiendeler (1) EØS-avtalen vedlegg IX nr. 23b (forordning (EU) 2023/1113) om opplysninger som skal følge overføringer av penger og visse kryptoeiendeler (TFR II) gjelder som lov med de tilpasninger som følger av vedlegg IX, protokoll 1 til avtalen og avtalen for øvrig. (2) Departementet kan i forskrift gi regler i tråd med forordning (EU) 2023/1113 artikkel 26 om lagring av personopplysninger utover fem år, men ikke i mer enn til sammen ti år. II 1. Loven gjelder fra den tid Kongen bestemmer. Kongen kan sette i kraft de enkelte bestemmelsene til forskjellig tid. 2. Departementet kan gi overgangsregler. Oslo, i finanskomiteen, den 6. mai 2025 Tuva Moflag Camilla Maria Brekke leder ordfører