Ein IKT-bezogener Vorfall ist dann zu melden, wenn der Vorfall die entsprechenden Klassifikationskriterien erfüllt. Der Klassifikationsprozess sowie die Klassifikationskriterien basieren auf den in Artikel 18 DORA genannten Anforderungen und werden in einem Regulatory Technical Standard (RTS) genauer geregelt. Das Konsultationspapier des RTS wurde im Zeitraum vom 19. Juni – 11. September öffentlich konsultiert und wird nach abschließender Bearbeitung im kommenden Jahr veröffentlicht. Nach der Veröffentlichung des RTS werden Sie hier auf der DORA-Informationsseite der BaFin über die genaue Ausgestaltung des Klassifikationsprozesses und der Klassifikationskriterien informiert.

Die BaFin fungiert als zentraler Meldehub für alle unter ihrer Aufsicht stehenden Finanzunternehmen. Die Meldungen sollen über das MVP-Portal eingereicht werden.

Gemäß Artikel 19 Absatz 2 DORA ist die Meldung von Cyberbedrohungen freiwillig. Finanzunternehmen können auf freiwilliger Basis erhebliche Cyberbedrohungen melden, wenn sie der Auffassung sind, dass die Bedrohung für das Finanzsystem, die Dienstnutzer oder die Kundinnen und Kunden relevant ist. Die BaFin begrüßt die Nutzung dieser freiwilligen Meldung außerordentlich und wird einen entsprechenden Meldeweg zur Verfügung stellen.

Die Einreichung der Meldungen IKT-bezogener Vorfälle wird über das MVP-Portal der BaFin erfolgen. In einem ersten Schritt stellt die BaFin Formulare zur Verfügung, welche über die Webseite des MVP-Portals befüllt werden. In diesem ersten Schritt ist eine Einreichung via SOAP Web-Service Schnittstelle sowie ein Dateiupload nicht möglich. Bezüglich der Registrierung für das entsprechende Fachverfahren werden hier weitere Informationen zur Verfügung gestellt.

In einem zweiten Schritt wird die Einreichung via SOAP Web-Service Schnittstelle sowie ein Dateiupload freigeschaltet. Neben der Einreichung mittels MVP-Formular wird hierdurch Einreichung über ein strukturiertes Datenformat ermöglicht. Diese Funktionalitäten werden noch nicht am 17.01.2025 zur Verfügung stehen.

Ein IKT-bezogener Vorfall ist dann zu melden, wenn der Vorfall die entsprechenden Klassifikationskriterien erfüllt. Der Klassifikationsprozess sowie die Klassifikationskriterien basieren auf den in Artikel 18 DORA genannten Anforderungen und werden in einem Regulatory Technical Standard (RTS) genauer geregelt. Das Konsultationspapier des RTS wurde im Zeitraum vom 19. Juni – 11. September öffentlich konsultiert. Nach der Veröffentlichung des RTS werden Sie hier auf der DORA-Informationsseite der BaFin über die genaue Ausgestaltung des Klassifikationsprozesses und der Klassifikationskriterien informiert.

Die BaFin fungiert als zentraler Meldehub für alle unter ihrer Aufsicht stehenden Finanzunternehmen. Die Meldungen sollen über das MVP-Portal eingereicht werden.

Ein „IKT-bezogener Vorfall“ ist ein von dem Institut oder Unternehmen nicht geplantes Ereignis bzw. eine Reihe verbundener Ereignisse, das bzw. die die Sicherheit der Netzwerk- und Informationssysteme beeinträchtigt und nachteilige Auswirkungen auf die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Daten oder auf die vom Finanzunternehmen erbrachten Dienstleistungen hat (Art. 3 Absatz 1 Nr. 8 DORA).

Die Auslagerung der Meldepflicht an einen Dienstleister können Finanzunternehmen der BaFin über ein Excel-Formular anzeigen. Weitere Informationen finden Sie hier.

Sollten Finanzunternehmen die in Art. 7 des ITS-E zum Vorfallsmeldewesen genannten Voraussetzungen erfüllen, sind für die Nutzung des aggregierten Meldens keine weiteren Schritte wie z.B. ein Antrag bei der BaFin erforderlich. Zu beachten sind lediglich die oben aufgeführten Anforderungen an die Auslagerung der Meldepflichten für schwerwiegende IKT-bezogene Vorfälle.

Die Auslagerung der Meldepflicht an einen Dienstleister können Finanzunternehmen der BaFin über ein Excel-Formular anzeigen. Weitere Informationen finden Sie hier.

Sollten Finanzunternehmen die in Art. 7 des ITS-E zum Vorfallsmeldewesen genannten Voraussetzungen erfüllen, sind für die Nutzung des aggregierten Meldens keine weiteren Schritte wie z.B. ein Antrag bei der BaFin erforderlich. Zu beachten sind lediglich die oben aufgeführten Anforderungen an die Auslagerung der Meldepflichten für schwerwiegende IKT-bezogene Vorfälle.