Kapitel III DORA umfasst zudem die Verpflichtung einen Managementprozess zu implementieren, der neben der Behandlung von IKT-bezogenen Vorfällen auch die Überwachung, Protokollierung und ggf. Meldung von IKT-bezogenen Vorfällen umfasst. Einen derartigen IKT-bezogenen Vorfall definiert die Verordnung als ein von dem Finanzunternehmen nicht geplantes Ereignis […], das die Sicherheit der Netzwerk- und Informationssysteme beeinträchtigt und nachteilige Auswirkungen auf die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Daten oder auf die vom Finanzunternehmen erbrachten Dienstleistungen hat (vgl. Art. 3 Nr. 8 & 10 DORA). Sämtliche Vorfälle müssen von Finanzunternehmen gemäß den in Artikel 18 DORA genannten Kriterien klassifiziert werden. Die genaue Ausgestaltung dieser Kriterien geschieht im entsprechenden RTS. Wird ein Vorfall als schwerwiegend klassifiziert, so unterliegt er der Meldepflicht. Die Meldepflicht besteht insb. auch für schwerwiegende zahlungsbezogene Betrieb- und Sicherheitsvorfälle. Hierunter fallen Vorfälle, die sich negativ auf die Bereitstellung von zahlungsbezogenen Diensten auswirken (vgl. Art. 3 Nr. 9 & 11 DORA).

Ähnliche Berichts- und Meldepflichten bestehen aktuell einerseits durch die Zweite Zahlungsdiensterichtlinie (PSD II-Richtlinie) für Zahlungsdienstleister und andererseits durch die NIS-Richtlinie für Finanzunternehmen, die kritische Infrastrukturen im Sinne des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) sind. DORA weitet diese Pflicht auf den gesamten Finanzsektor aus, vereinheitlicht diese – und legt fest, dass die BaFin, soweit sie die zuständige Behörde ist, die Empfängerin solcher Meldungen ist. Die BaFin leitet die Meldungen unverzüglich an das Bundesamt für Sicherheit in der Informationstechnik (BSI), an die jeweilige Europäische Aufsichtsbehörde (EIOPA, ESMA oder EBA) und gegebenenfalls weitere Akteure (z. B. die Europäische Zentralbank) weiter.

Mit Blick auf die aktuell geltende Meldepflicht an das BSI für zur kritischen Infrastruktur zählenden Unternehmen kommt die Lex-specialis-Regelung zum Tragen. Sie regelt die Fälle, in denen sowohl DORA als auch die europäische Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (NIS2-Richtlinie, nationale Umsetzung unter anderem im BSIG) Vorgaben definieren: Sofern die Anforderungen in DORA spezifischer sind, müssen diese im Vergleich zu den Anforderungen der NIS2-Richtlinie vorrangig beachtet werden. Dadurch sind die Finanzunternehmen, welche sowohl unter die NIS2-Richtlinie als auch unter DORA fallen, nur zu einer Vorfallmeldung gemäß DORA an die BaFin verpflichtet. Die BaFin sorgt in solchen Fällen dafür, dass diese Meldungen dem BSI unmittelbar ebenfalls zur Verfügung stehen, damit keine Informationslücken entstehen.

Neben dem Meldewesen für IKT-bezogene Vorfälle führt DORA auch ein freiwilliges Meldewesen für erhebliche Cyberbedrohungen ein (vgl. Art. 19(2) DORA). Hiermit sollen Finanzunternehmen die Aufsicht über Bedrohungen informieren können, welche das Potential haben, einen schwerwiegenden IKT-Vorfall herbeizuführen (vgl. Art. 3 Nr. 13 DORA). Die Meldungen sollen dem Informationsaustausch dienen und der Aufsicht dabei helfen, insbesondere das Risiko für den Finanzmarkt besser beurteilen und ggf. relevante Akteure informieren zu können. Die BaFin wird diesen Informationsaustausch zukünftig aktiv fördern.

Was müssen Sie wissen?

Der Fragenkatalog vermittelt, ohne Anspruch auf Vollständigkeit, einen ersten Überblick über die wichtigsten Fragestellungen und deren Umsetzung. Dieser Fragenkatalog wird fortlaufend aktualisiert.