2025 nr. 78 24. nóvember/ Lög um stafrænan viðnámsþrótt fjármálamarkaðar

Lagasafn. Íslensk lög 17. janúar 2026. Útgáfa 157a. Prenta í tveimur dálkum.

Lög um stafrænan viðnámsþrótt fjármálamarkaðar

2025 nr. 78 24. nóvember

Ferill málsins á Alþingi. Frumvarp til laga.

Tóku gildi 1. jan. 2026. EES-samningurinn: IX. viðauki reglugerð 2022/2554.
Ef í lögum þessum er getið um ráðherra eða ráðuneyti án þess að málefnasvið sé tilgreint sérstaklega eða til þess vísað, er átt við fjármála- og efnahagsráðherra eða fjármála- og efnahagsráðuneyti sem fer með lög þessi. Upplýsingar um málefnasvið ráðuneyta skv. forsetaúrskurði.

1. gr. Lögfesting.

Reglugerð Evrópuþingsins og ráðsins (ESB) 2022/2554 frá 14. desember 2022 um stafrænan rekstrarlegan viðnámsþrótt fyrir fjármálageirann og um breytingu á reglugerðum (EB) nr. 1060/2009, (ESB) nr. 648/2012, (ESB) nr. 600/2014, (ESB) nr. 909/2014 og (ESB) 2016/1011, sem er birt á bls. 1–79 í EES-viðbæti við Stjórnartíðindi Evrópusambandsins nr. 15 frá 13. mars 2025, hefur lagagildi hér á landi með þeim aðlögunum sem leiðir af bókun 1 um altæka aðlögun við samninginn um Evrópska efnahagssvæðið og ákvörðun sameiginlegu EES-nefndarinnar nr. 40/2025 frá 20. febrúar 2025, sem er birt á bls. 65–68 í EES-viðbæti við Stjórnartíðindi Evrópusambandsins nr. 30 frá 8. maí 2025.

2. gr. Vísanir til tilskipana.

Eftirfarandi vísanir til tilskipana í reglugerð (ESB) 2022/2554 skulu skiljast svo:
   1. Aðilar á fjármálamarkaði sem eru tilgreindir sem nauðsynlegar eða mikilvægar rekstrareiningar samkvæmt landslögum sem lögleiða 3. gr. tilskipunar (ESB) 2022/2555: Rekstraraðilar nauðsynlegrar þjónustu á sviði bankastarfsemi og innviða fjármálamarkaða samkvæmt lögum um öryggi net- og upplýsingakerfa mikilvægra innviða sem jafnframt teljast til aðila á fjármálamarkaði samkvæmt lögum þessum.
   2. Aðilar sem um getur í 4.–23. lið 5. mgr. 2. gr. tilskipunar 2013/36/ESB: Aðilar sem um getur í 1. og 3. málsl. 2. mgr. 1. gr. a laga um fjármálafyrirtæki, nr. 161/2002.
   3. Dótturfélag í skilningi 10. liðar 2. gr. og 22. gr. tilskipunar 2013/34/ESB: Dótturfélag samkvæmt lögum um ársreikninga.
   4. Einstaklingar eða lögaðilar sem njóta undanþágu skv. 2. og 3. gr. tilskipunar 2014/65/ESB: Einstaklingar eða lögaðilar sem njóta undanþágu skv. 1. mgr. 2. gr. laga um markaði fyrir fjármálagerninga, nr. 115/2021.
   5. Endurtryggingafélag skv. 4. lið 13. gr. tilskipunar 2009/138/EB: Endurtryggingafélag samkvæmt lögum um vátryggingastarfsemi.
   6. Endurtryggingamiðlari skv. 5. lið 1. mgr. 2. gr. tilskipunar (ESB) 2016/97: Vátryggingamiðlari í skilningi laga um dreifingu vátrygginga.
   7. Greiðslustofnun skv. 4. lið 4. gr. tilskipunar (ESB) 2015/2366: Greiðslustofnun samkvæmt lögum um greiðsluþjónustu.
   8. Greiðslustofnun sem er undanþegin samkvæmt tilskipun (ESB) 2015/2366: Greiðslustofnun með takmarkað starfsleyfi skv. 34. gr. laga um greiðsluþjónustu, nr. 114/2021.
   9. Móðurfyrirtæki í skilningi 9. liðar 2. gr. og 22. gr. tilskipunar 2013/34/ESB: Móðurfélag samkvæmt lögum um ársreikninga.
   10. Nauðsynleg eða mikilvæg rekstrareining sem fellur undir tilskipun (ESB) 2022/2555: Mikilvægir innviðir í skilningi laga um öryggi net- og upplýsingakerfa mikilvægra innviða sem jafnframt teljast til aðila á fjármálamarkaði samkvæmt lögum þessum.
   11. Nauðsynlegir starfsþættir í skilningi 35. liðar 1. mgr. 2. gr. tilskipunar 2014/59/ESB: Nauðsynleg starfsemi samkvæmt lögum um skilameðferð lánastofnana og verðbréfafyrirtækja.
   12. Net- og upplýsingakerfi skv. 1. lið 6. gr. tilskipunar (ESB) 2022/2555: Net- og upplýsingakerfi samkvæmt lögum um öryggi net- og upplýsingakerfa mikilvægra innviða.
   13. Rafeyrisfyrirtæki skv. 1. lið 2. gr. tilskipunar Evrópuþingsins og ráðsins 2009/110/EB: Rafeyrisfyrirtæki samkvæmt lögum um útgáfu og meðferð rafeyris.
   14. Rafeyrisfyrirtæki sem njóta undanþágu samkvæmt tilskipun 2009/110/EB: Aðilar með takmarkað starfsleyfi skv. 16. gr. laga um útgáfu og meðferð rafeyris, nr. 17/2013.
   15. Reikningsupplýsingaþjónustuveitandi skv. 1. mgr. 33. gr. tilskipunar (ESB) 2015/2366: Reikningsupplýsingaþjónustuveitandi samkvæmt lögum um greiðsluþjónustu.
   16. Rekstraraðili sérhæfðra sjóða eins og um getur í 2. mgr. 3. gr. tilskipunar 2011/61/ESB: Rekstraraðilar sérhæfðra sjóða sem falla ekki undir 1. mgr. 6. gr. laga um rekstraraðila sérhæfðra sjóða, nr. 45/2020.
   17. Rekstraraðili skv. b-lið 1. mgr. 4. gr. tilskipunar 2011/61/ESB: Rekstraraðili samkvæmt lögum um rekstraraðila sérhæfðra sjóða.
   18. Rekstrarfélag skv. b-lið 1. mgr. 2. gr. tilskipunar 2009/65/EB: Rekstrarfélag verðbréfasjóða samkvæmt lögum um verðbréfasjóði.
   19. Sameiginlegur tengiliður sem er tilnefndur eða komið á fót í samræmi við tilskipun (ESB) 2022/2555: Fjarskiptastofa samkvæmt lögum um öryggi net- og upplýsingakerfa mikilvægra innviða.
   20. Samstæða í skilningi 11. liðar 2. gr. tilskipunar 2013/34/ESB: Samstæða samkvæmt lögum um ársreikninga.
   21. Skilastjórnvald skv. 3. gr. tilskipunar 2014/59/ESB: Skilastjórnvald samkvæmt lögum um skilameðferð lánastofnana og verðbréfafyrirtækja.
   22. Stjórn og/eða framkvæmdastjórn í skilningi 36. liðar 1. mgr. 4. gr. tilskipunar 2014/65/ESB, 7. liðar 1. mgr. 3. gr. tilskipunar 2013/36/ESB og s-liðar 1. mgr. 2. gr. tilskipunar Evrópuþingsins og ráðsins 2009/65/EB: Stjórn og/eða framkvæmdastjórn.
   23. Stofnun um starfstengdan lífeyri skv. 1. lið 6. gr. tilskipunar (ESB) 2016/2341: Starfstengdur eftirlaunasjóður samkvæmt lögum um starfstengda eftirlaunasjóði.
   24. Vátrygginga- og endurtryggingafélög eins og um getur í 4. gr. tilskipunar 2009/138/EB: Vátryggingafélag sem eru undanþegin gildissviði vegna stærðar skv. 3. mgr. 3. gr. laga um vátryggingastarfsemi, nr. 100/2016.
   25. Vátryggingafélag skv. 1. lið 13. gr. tilskipunar 2009/138/EB: Vátryggingafélag samkvæmt lögum um vátryggingastarfsemi.
   26. Vátryggingamiðlari í hliðarstarfsemi skv. 4. lið 1. mgr. 2. gr. tilskipunar (ESB) 2016/97: Aðili sem dreifir vátryggingu sem aukaafurð samkvæmt lögum um dreifingu vátrygginga.
   27. Verðbréfafyrirtæki skv. 1. lið 1. mgr. 4. gr. tilskipunar 2014/65/ESB: Verðbréfafyrirtæki samkvæmt lögum um markaði fyrir fjármálagerninga.
   28. Viðbragðsteymi vegna váatvika er varða tölvuöryggi sem er tilnefnt eða komið á fót í samræmi við tilskipun (ESB) 2022/2555: Netöryggissveit samkvæmt varnarmálalögum.
   29. Viðskiptavettvangur skv. 24. lið 1. mgr. 4. gr. tilskipunar 2014/65/ESB: Viðskiptavettvangur samkvæmt lögum um markaði fyrir fjármálagerninga.
   30. Öryggi net- og upplýsingakerfa skv. 2. lið 6. gr. tilskipunar (ESB) 2022/2555: Öryggi net- og upplýsingakerfa samkvæmt lögum um öryggi net- og upplýsingakerfa mikilvægra innviða.

3. gr. Lögbært yfirvald og eftirlit.

Seðlabanki Íslands er lögbært yfirvald hér á landi í skilningi laga þessara og ber ábyrgð á málum sem tengjast ógnamiðaðri innbrotsprófun samkvæmt reglugerð (ESB) 2022/2554.

Fjármálaeftirlitið hefur eftirlit með því að farið sé að lögum þessum og fer með önnur þau verkefni sem reglugerð (ESB) 2022/2554 felur lögbæru yfirvaldi. Um eftirlitið fer samkvæmt ákvæðum laga þessara, laga um opinbert eftirlit með fjármálastarfsemi og laga um evrópskt eftirlitskerfi á fjármálamarkaði.

4. gr. Úrbætur.

Komi í ljós að ákvæðum laga þessara, eða stjórnvaldsfyrirmæla settra með stoð í þeim, sé ekki fylgt skal Fjármálaeftirlitið krefjast þess að úr sé bætt innan hæfilegs frests.

5. gr. Stjórnvaldssektir.

Fjármálaeftirlitið getur lagt stjórnvaldssektir á hvern þann sem brýtur gegn eftirtöldum ákvæðum reglugerðar (ESB) 2022/2554 og stjórnvaldsfyrirmælum settum á grundvelli laga þessara:
   1. 5.–14. gr. um kröfur um stýringu upplýsinga- og fjarskiptatækniáhættu,
   2. 16. gr. um kröfur um einfaldaðan áhættustýringarramma fyrir upplýsinga- og fjarskiptatækni,
   3. 17. gr. um kröfur um atvikastjórnunarferli sem tengist upplýsinga- og fjarskiptatækni, eftir atvikum, sbr. 23. gr.,
   4. 1. og 2. mgr. 18. gr. um skyldu til að flokka atvik sem tengjast upplýsinga- og fjarskiptatækni og netógnum, eftir atvikum, sbr. 23. gr.,
   5. 1., 3. og 4. mgr. 19. gr. um skyldu til að tilkynna alvarleg atvik sem tengjast upplýsinga- og fjarskiptatækni, eftir atvikum, sbr. 23. gr.,
   6. 24. gr. um almennar kröfur um framkvæmd prófunar á stafrænum viðnámsþrótti,
   7. 25. gr. um prófun á upplýsinga- og fjarskiptatæknibúnaði og -kerfum,
   8. 26. gr. um kröfur um auknar prófanir á upplýsinga- og fjarskiptatæknibúnaði, tilheyrandi kerfum og ferlum sem byggjast á ógnamiðaðri innbrotsprófun,
   9. 27. gr. um kröfur fyrir prófunaraðila til að framkvæma ógnamiðaða innbrotsprófun,
   10. 28. og 29. gr. um kröfur um stýringu upplýsinga- og fjarskiptatækniáhættu vegna þriðju aðila sem veita upplýsinga- og fjarskiptatækniþjónustu,
   11. 1.–3. mgr. 30. gr. um kröfur varðandi samninga við þriðju aðila sem veita upplýsinga- og fjarskiptatækniþjónustu,
   12. 12. mgr. 31. gr. um kröfur sem gerðar eru varðandi nýtingu þjónustu mikilvægs þriðja aðila með staðfestu í þriðja ríki,
   13. 3. og 6. mgr. 42. gr. um skyldu aðila á fjármálamarkaði til að taka tillit til áhættu sem tilgreind er í tilmælum aðaleftirlitsaðila til mikilvægra þriðju aðila sem veita upplýsinga- og fjarskiptaþjónustu og, ef við á, um skyldu til að hlíta ákvörðun Fjármálaeftirlitsins um notkun eða nýtingu þjónustu slíkra aðila.

Sektir sem lagðar eru á einstaklinga geta numið frá 100 þús. kr. til 65 millj. kr. Sektir sem lagðar eru á lögaðila geta numið frá 500 þús. kr. til 800 millj. kr., en geta þó verið hærri eða allt að 10% af heildarveltu samkvæmt síðasta samþykkta ársreikningi lögaðilans eða 10% af síðasta samþykkta samstæðureikningi ef lögaðili er hluti af samstæðu.

Þrátt fyrir 2. mgr. er heimilt að ákvarða einstaklingi eða lögaðila sem brýtur af sér með þeim hætti sem í 1. mgr. greinir stjórnvaldssekt sem nemur allt að tvöfaldri þeirri fjárhæð sem fjárhagslegur ávinningur af brotinu nemur.

Ákvarðanir Fjármálaeftirlitsins um stjórnvaldssektir eru aðfararhæfar. Sektir renna í ríkissjóð að frádregnum kostnaði við innheimtuna. Séu stjórnvaldssektir ekki greiddar innan mánaðar frá ákvörðun Fjármálaeftirlitsins skal greiða dráttarvexti af fjárhæð sektarinnar. Um ákvörðun og útreikning dráttarvaxta fer eftir lögum um vexti og verðtryggingu.

6. gr. Saknæmi.

Stjórnsýsluviðurlögum verður beitt óháð því hvort lögbrot eru framin af ásetningi eða gáleysi.

7. gr. Ákvörðun stjórnsýsluviðurlaga.

Við ákvörðun stjórnsýsluviðurlaga, þar á meðal um fjárhæð stjórnvaldssekta, skal tekið tillit til saknæmisstigs og allra annarra atvika sem máli skipta, þ.m.t. eftirfarandi eftir því sem við á:
   1. alvarleika brots og hvað það hefur staðið lengi,
   2. ábyrgðar hins brotlega einstaklings eða lögaðila,
   3. fjárhagsstöðu hins brotlega, sér í lagi með hliðsjón af ársveltu lögaðila eða árstekjum og eignum einstaklings,
   4. þýðingar ávinnings eða taps sem forðað var með broti fyrir hinn brotlega,
   5. hvort brot hafi leitt til tjóns þriðja aðila,
   6. samstarfsvilja hins brotlega,
   7. fyrri brota hins brotlega og hvort um ítrekað brot er að ræða.

8. gr. Sátt.

Hafi aðili gerst brotlegur við ákvæði laga þessara eða ákvarðanir Fjármálaeftirlitsins á grundvelli þeirra er Fjármálaeftirlitinu heimilt að ljúka málinu með sátt með samþykki málsaðila, enda sé ekki um að ræða meiri háttar brot sem refsiviðurlög liggja við. Sátt er bindandi fyrir málsaðila þegar hann hefur samþykkt og staðfest efni hennar með undirskrift sinni.

Seðlabanki Íslands setur nánari reglur um framkvæmd 1. mgr.

9. gr. Réttur grunaðs manns.

Í máli sem beinist að einstaklingi og lokið getur með ákvörðun um stjórnsýsluviðurlög samkvæmt lögum þessum hefur sá sem rökstuddur grunur leikur á að hafi gerst sekur um lögbrot rétt til að neita að svara spurningum eða afhenda gögn eða muni nema hægt sé að útiloka að það geti haft þýðingu fyrir ákvörðun um brot hans. Fjármálaeftirlitið skal leiðbeina hinum grunaða um þennan rétt.

10. gr. Frestur til að beita stjórnsýsluviðurlögum.

Heimild Fjármálaeftirlitsins til að leggja á stjórnsýsluviðurlög samkvæmt lögum þessum fellur niður þegar fimm ár eru liðin frá því að háttsemi lauk.

Frestur skv. 1. mgr. rofnar þegar Fjármálaeftirlitið tilkynnir aðila um rannsókn á meintu broti. Rof frests hefur réttaráhrif gagnvart öllum sem staðið hafa að broti.

11. gr. Stjórnvaldsfyrirmæli.

Ráðherra setur reglugerð um nánari framkvæmd reglugerðar (ESB) 2022/2554 um þau atriði sem koma fram í:
1. 6. mgr. 31. gr. um viðmiðanir til grundvallar útnefningu mikilvægra þriðju aðila sem veita upplýsinga- og fjarskiptatækniþjónustu.
2. 2. mgr. 43. gr. um gjöld sem Eftirlitsstofnun EFTA leggur á mikilvæga þriðju aðila sem veita upplýsinga- og fjarskiptatækniþjónustu.

Seðlabanki Íslands setur reglur um nánari framkvæmd reglugerðar (ESB) 2022/2554 um þau atriði sem koma fram í:
   1. 15. gr. um frekari samhæfingu búnaðar, aðferða, ferla og stefna til stýringar á upplýsinga- og fjarskiptatækniáhættu.
   2. 3. mgr. 16. gr. um einfaldaðan áhættustýringarramma fyrir upplýsinga- og fjarskiptatækni.
   3. 3. og 4. mgr. 18. gr. um flokkun á atvikum sem tengjast upplýsinga- og fjarskiptatækni og netógnum.
   4. 20. gr. um samræmingu á efni og sniðmátum tilkynninga.
   5. 11. mgr. 26. gr. um auknar prófanir á upplýsinga- og fjarskiptatæknibúnaði og samsvarandi kerfum og ferlum sem byggjast á ógnamiðaðri innbrotsprófun.
   6. 9. og 10. mgr. 28. gr. um almennar meginreglur um trausta stýringu upplýsinga- og fjarskiptatækniáhættu vegna þriðju aðila.
   7. 5. mgr. 30. gr. um helstu samningsákvæði.
   8. 2. mgr. 41. gr. um samræmingu skilyrða vegna eftirlitsramma mikilvægra þriðju aðila sem veita upplýsinga- og fjarskiptatækniþjónustu.

12. gr. Undanþegnir aðilar.

Lög þessi gilda ekki um Byggðastofnun, Lánasjóð sveitarfélaga ohf. og Náttúruhamfaratryggingu Íslands.

13. gr. Gildistaka.

Lög þessi öðlast gildi 1. janúar 2026.

14. gr. Breyting á öðrum lögum. …