Sehr geehrte Damen und Herren,

anbei übersende ich Ihnen das Rundschreiben 03/2022 (BA) über die Meldung schwerwiegender Zahlungssicherheitsvorfälle gemäß § 54 Abs. 1 Zahlungsdiensteaufsichtsgesetz (ZAG), welches das Rundschreiben 08/2018 (BA) vom 07.06.2018 ersetzt.

Das neue Rundschreiben setzt die Anforderungen der im vergangenen Jahr überarbeiteten EBA-Leitlinien für die Meldung schwerwiegender Vorfälle gemäß der Richtlinie (EU) 2015/2366 (PSD2) um und konkretisiert damit die Anforderungen des § 54 Absatz 1 Satz 1 ZAG.

Die aus Sicht der Zahlungsdienstleister wichtigsten Änderungen gegenüber den bisherigen Leitlinien sind:

1. Durch eine Anpassung der Kriterien für einen meldepflichtigen Betriebs- oder Sicherheitsvorfall sollen zukünftig mehr für die Aufsicht relevante und weniger unwichtige Vorfälle gemeldet werden. Zur Erreichung dieser Ziele wurde u. a. ein neues achtes Kriterium „Breach of security of network or information systems“ eingeführt. Im Falle eines Cyber-Angriffs wird eine Meldepflicht wahrscheinlicher, da neben diesem Kriterium nur noch zwei weitere Kriterien der niedrigen Auswirkungsstufe für eine Meldepflicht erfüllt werden müssen. Darüber hinaus wurde eine Anpassung der quantitativen Kriterien vorgenommen, sodass unbedeutende, für die Aufsicht weniger relevante Vorfälle seltener meldepflichtig werden.

2. Die von den Zahlungsdienstleistern für die Erstattung einer Meldung zu verwendenden Standardformulare wurden gründlich überarbeitet. Fragen, die sich in der Vergangenheit als nicht zielführend erwiesen haben, wurden ersatzlos gestrichen. Wichtige Aspekte werden differenzierter behandelt.

3. Die Fristen für die Klassifizierung des Vorfalls sowie für die Abgabe der Erst-, Zwischen- und Abschlussmeldungen wurden angepasst. Die Klassifizierung des Vorfalls muss zukünftig spätestens innerhalb von 24 Stunden nach seiner Erkennung erfolgen. Die Erstmeldung ist innerhalb von 4 Stunden nach der Klassifizierung abzugeben (früher: 4 Stunden nach der Erkennung). Die Verpflichtung für Zahlungsdienstleister, bis zur Einreichung der Abschlussmeldung regelmäßige (alle 3 Tage) Zwischenmeldungen einzureichen, selbst wenn keine neuen Entwicklungen vorliegen, entfällt. Die Frist für die Abgabe der Abschlussmeldungen wurde von 14 auf 20 Tage (nach der Wiederherstellung des Regelbetriebs) verlängert.

Meldungen über Zahlungssicherheitsvorfälle sind über die Melde- und Veröffentlichungsplattform (MVP-Portal) der BaFin zu übermitteln.

Für die Zahlungsdienstleister, die für die Erstattung der Meldung das über die MVP bereitgestellte Web-Formular benutzen, ergibt sich in Bezug auf die dafür eingesetzten Systeme kein Anpassungsbedarf. Erfolgt die Meldung hingegen durch das Hochladen einer XML-Datei über die MVP oder die SOAP-Webservice-Schnittstelle, ist eine Anpassung der dafür eingesetzten EDV-Systeme erforderlich.

Technische Details zum Meldeprozess wurden Ihnen erstmalig bereits im September 2017 übermittelt. Des Weiteren verweise ich auf die technischen Hinweise zur Abgabe von Meldungen über das MVP-Portal, die unter folgender URL zu finden sind: https://www.bafin.de/DE/DieBaFin/Service/MVPportal/PSD2/psd2_artikel.html

Eine gesonderte Meldung an die Bundesbank ist von Ihrer Seite weiterhin nicht erforderlich. Die entsprechenden Stellen bei der Bundesbank werden von der BaFin über Eingang und Inhalt der Meldungen informiert.

Um etwaigen Rückfragen vorzugreifen, möchte ich Ihnen im Folgenden noch einige Handlungsempfehlungen mitteilen:

Bei der Klassifizierung eines Vorfalls empfehle ich eine enge Orientierung an den vorgegebenen Kriterien und Schwellenwerten in diesem Rundschreiben. Falls genaue Werte zur Anzahl an betroffenen Zahlungsdienstnutzern, betroffenen Transaktionen oder dem betroffenen Transaktionsvolumen nicht oder nur mit unverhältnismäßig hohem Aufwand ermittelt werden können, greifen Sie bei der Ermittlung der jeweiligen Fallzahlen und Referenzwerte bei Bedarf auf plausible eigene Schätzungen zurück. Berücksichtigen Sie dabei Erfahrungswerte. Werden die Schwellenwerte offensichtlich nicht erreicht, ist keine Meldung erforderlich. Dies bedeutet zum Beispiel, dass ein Ausfall eines einzelnen Geldautomaten grundsätzlich nicht meldepflichtig ist, sofern bei diesem Vorfall die vorgegebenen Kriterien und Schwellenwerte nicht erfüllt werden.

Ich empfehle die Verwendung des XML-Formats um Meldungen über das MVP-Portal oder die bereitgestellte SOAP Web-Service Schnittstelle zu übermitteln. Als alternative Möglichkeit steht Ihnen ein Web-Formular im MVP-Portal zur Verfügung. Die in der Anlage beigefügten Meldeformulare dienen nur zur Ansicht.

Sollte das MVP-Portal ausnahmsweise einmal nicht zur Verfügung stehen, bitte ich Sie, eine kurze Beschreibung des zu meldenden Vorfalls formlos innerhalb der vorgesehenen Fristen mit dem Betreff „Sicherheitsvorfallmeldung für GIT 2“ an die E-Mail-Adresse ikt-vorfall@bafin.de zu senden. Dieser alternative Kommunikationsweg steht ausschließlich für den Fall der technischen Nichtverfügbarkeit des MVP-Portals zur Verfügung. Sobald dieses wieder zur Verfügung steht, bitte ich Sie, die vollständige Meldung über das MVP-Portal nachzureichen. Die oben genannte Mailadresse dient auch der direkten Kontaktaufnahme mit der BaFin bei allgemeinen Anfragen zum Meldeprozess und der Übermittlung etwaiger zusätzlicher Informationen. Beachten Sie bei Bedarf in diesem Zusammenhang auch die Hinweise zur sicheren Kommunikation (https://www.bafin.de/DE/DieBaFin/Kontakt/GesicherteKommunikation/gesicherte_kommunikation_node.html).

Das Rundschreiben tritt am 01.10.2022 in Kraft. Das Rundschreiben 08/2018 (BA) vom 07.06.2018 wird gleichzeitig aufgehoben.

Mit freundlichen Grüßen