Ab dem 17.01.2025 gilt für Finanzunternehmen die Pflicht zur Meldung schwerwiegender IKT-bezogener Vorfälle gemäß Art. 19 Abs. 1 DORA. Finanzunternehmen können diese Meldungen entweder selbst vornehmen oder ihre Meldepflichten gemäß Art. 19 Abs. 5 DORA an einen Dienstleister auslagern.
Nach Art. 7 des Draft Implementing Technical Standards on the standard forms, templates and procedures for financial entities to report a major incident and to notify a significant cyber threat (im Folgenden: ITS-E zum Vorfallsmeldewesen) hat ein Dienstleister, an den Finanzunternehmen ihre Meldepflichten ausgelagert haben, zudem die Möglichkeit, aggregierte Meldungen für mehrere Finanzunternehmen zu demselben schwerwiegenden IKT-bezogenen Vorfall abzugeben.
Im Folgenden werden die Verfahren und Voraussetzungen zur Auslagerung der Meldepflichten und zur Einreichung aggregierter Meldungen dargestellt.

Auslagerung der Meldepflichten

Gemäß Art. 19 Abs. 5 DORA können Finanzunternehmen die Meldepflichten für schwerwiegende IKT-bezogene Vorfälle an Dienstleister auslagern. Machen meldepflichtige Finanzunternehmen von dieser Möglichkeit Gebrauch, sind sie nach Art. 6 des ITS-E zum Vorfallsmeldewesen verpflichtet, der BaFin diese Auslagerung anzuzeigen. Ungeachtet sonstiger sektorspezifischer gesetzlicher Verpflichtungen aus der Anzeige von Auslagerungen bzw. Ausgliederungen müssen der BaFin hierfür folgende Daten übermittelt werden:

• Name, BaFin-ID und LEI-Code des meldepflichtigen Finanzunternehmens
• Name und LEI-Code des Dienstleisters
• Falls vorhanden: BaFin-ID des Dienstleisters, andernfalls postalische Adresse des Dienstleisters

Die Übermittlung dieser Daten an die BaFin muss durch das Finanzunternehmen unverzüglich nach Abschluss einer Auslagerungsvereinbarung i. S. d. Art. 19 Abs. 5 DORA mit einem Dienstleister erfolgen. In jedem Fall muss diese Auslagerungsanzeige vor der ersten Vorfallsmeldung durch diesen Dienstleister für das Finanzunternehmen erfolgen. Die BaFin muss ebenfalls informiert werden, wenn die angezeigte Auslagerungsvereinbarung nicht länger Bestand hat oder aufgelöst wurde.
Weitere Informationen zum Prozess der Datenübermittlung an die BaFin sind hier zusammengefasst.

Einreichung aggregierter Meldungen

Nach Art. 7 des ITS-E zum Vorfallsmeldewesen kann ein Dienstleister, an den Finanzunternehmen ihre Pflicht zur Vorfallsmeldung nach Art. 19 Abs. 5 DORA ausgelagert haben, auch aggregiert für mehrere Finanzunternehmen Meldungen zu demselben schwerwiegenden IKT-bezogenen Vorfall abgeben.
Die BaFin ermöglicht gemäß Art. 7 Abs. 1 lit. f des ITS-E zum Vorfallsmeldewesen allen Finanzunternehmen, für die sie die zuständige Behörde gemäß Art. 46 DORA ist, die Möglichkeit des aggregierten Meldens, sofern die in Art. 7 des ITS-E zum Vorfallsmeldewesen genannten Voraussetzungen erfüllt sind. Dies umfasst insbesondere die Voraussetzung, dass Gegenstand der aggregierten Meldung ein einzelner schwerwiegender Vorfall bei einem Dienstleister ist, der mehrere Finanzunternehmen betrifft. Da sich die von einem Vorfall betroffenen Finanzunternehmen sehr stark in ihrer Struktur oder ihrem Geschäftsmodell unterscheiden können, empfiehlt die BaFin zudem, dass Dienstleister nur für Finanzunternehmen aggregiert Meldungen abgeben, die in einer rechtlichen Beziehung zueinanderstehen. Eine solche rechtliche Beziehung besteht beispielsweise bei Finanzunternehmen innerhalb von Verbünden oder Konzernen.

Gemäß Artikel 19 Abs. 6 DORA werden bei einer Vorfallsmeldung Einzelheiten zu dem schwerwiegenden IKT-bezogenen Vorfall auch an weitere zuständige Behörden übermittelt. Bei einer aggregierten Meldung kann sich die Zuständigkeit dieser Behörden für die einzelnen Finanzunternehmen innerhalb einer Meldung unterscheiden. Die BaFin empfiehlt daher, dass Dienstleister bei der Erstellung einer aggregierten Meldung nur die Finanzunternehmen zusammenfassen, für die ausschließlich dieselben in Artikel 19 Abs. 6 DORA gelisteten Behörden zuständig sind. Insbesondere sollten Dienstleister darauf achten, dass alle Finanzunternehmen einer aggregierten Meldung derselben europäischen Aufsichtsbehörde unterstehen. In davon abweichenden Fällen kann die BaFin nicht sicherstellen, dass die Meldungen der Finanzunternehmen nur an die dafür in Artikel 19 Abs. 6 DORA vorgesehenen Behörden weitergeleitet werden und behält sich gemäß Art. 7 Abs. 3 des ITS-E zum Vorfallsmeldewesen vor, in diesen Fällen von den Finanzunternehmen eine Einzelmeldung anfordern.

Die BaFin weist zusätzlich darauf hin, dass die europäischen Behörden nach Artikel 19 Abs. 7 DORA weitere zuständige Behörden in anderen EU-Mitgliedsstaaten über den Vorfall benachrichtigen können. Dies hat bei aggregierten Meldungen zur Konsequenz, dass aufgrund der Weiterleitung einer einzelnen aggregierten Meldung mit Informationen über eine Mehrzahl betroffener Finanzunternehmen auch Informationen über jene Finanzunternehmen weitergeleitet werden, die für diesen EU-Mitgliedstaaten keine Relevanz haben. Da die BaFin eine Aufspaltung der aggregierten Meldung nicht vornehmen kann, sollten Finanzunternehmen, die damit nicht einverstanden sind, das Verfahren zum aggregierten Melden nicht nutzen.

Was müssen Sie wissen?

Der Fragenkatalog vermittelt, ohne Anspruch auf Vollständigkeit, einen ersten Überblick über die wichtigsten Fragestellungen und deren Umsetzung. Dieser Fragenkatalog wird fortlaufend aktualisiert.

Wie muss der BaFin die Auslagerung der Meldepflicht an einen Dienstleister mitgeteilt werden?

Die Auslagerung der Meldepflicht an einen Dienstleister können Finanzunternehmen der BaFin im Rahmen der initialen Melderfreischaltung anzeigen. Weitere Informationen finden Sie hier.

Muss für das Einreichen aggregierter Meldungen ein gesonderter Antrag bei der BaFin gestellt werden?

Sollten Finanzunternehmen die in Art. 7 des ITS-E zum Vorfallsmeldewesen genannten Voraussetzungen erfüllen, sind für die Nutzung des aggregierten Meldens keine weiteren Schritte wie z.B. ein Antrag bei der BaFin erforderlich. Zu beachten sind lediglich die oben aufgeführten Anforderungen an die Auslagerung der Meldepflichten für schwerwiegende IKT-bezogene Vorfälle.