Wer kennt das nicht? Man schaltet morgens den Rechner ein – und eine wichtige Software funktioniert nicht: Es gibt ein Problem in der Informations- und Kommunikationstechnologie (IKT). Ob es sich dabei um einen harmlosen „Bug“ handelt, der schnell wieder behoben werden kann, oder ob der Ausfall spürbare, dauerhafte Auswirklungen haben wird, kann man in diesem Moment noch nicht wissen.

Trotz umfangreicher Sicherheitsmaßnahmen und eines funktionierenden IKT-Risikomanagements kann es in Unternehmen jederzeit zu solchen Vorfällen kommen. Auslöser sind nur selten böswillige Angriffe. Meistens verursachen interne operationelle Probleme IKT-Vorfälle, die sich erheblich auf die Geschäftstätigkeit auswirken können.

Der Digital Operational Resilience Act (DORA) definiert Anforderungen an das Vorfallsmanagement von Unternehmen des Finanzsektors. Außerdem führt die europäische Verordnung ein harmonisiertes Meldewesen für schwerwiegende IKT-Vorfälle und signifikante Cyber-Bedrohungen ein.

Vorfallsmeldewesen: ein wichtiger Bestandteil von DORA

Ziel dieses Meldewesens ist es, dass relevante Informationen schnell an alle verantwortlichen Behörden fließen. Nur so ist es für sie möglich, die Auswirkungen eines Vorfalls auf das Unternehmen und den Finanzmarkt zeitnah abschätzen und, wenn notwendig, entsprechend reagieren zu können. Neben dem Meldewesen sollen Anforderungen an das Vorfallsmanagement der Unternehmen dazu beitragen, die Resilienz der Unternehmen zu erhöhen.

Artikel 17 DORA verpflichtet Unternehmen dazu, Prozesse zur Überwachung der IT-Systeme und zum Management von IKT-Vorfällen und erheblichen Cyber-Bedrohungen zu implementieren. Unternehmen sollen solche Vorfälle schnell erkennen und managen. Das bedeutet beispielsweise, dass sie Frühwarnindikatoren definieren müssen. Zudem müssen die Unternehmen Rollen und Verantwortungen sowie die Kommunikation an alle relevanten Stakeholder klar regeln. DORA verlangt auch, dass die Geschäftsleitung über jeden schwerwiegenden Vorfall informiert wird.

Jeder IKT-Vorfall muss gemäß der in Artikel 18 DORA genannten Kriterien klassifiziert werden (siehe Abbildung 1). Die Regulatory Technical Standards (RTS) on classification of incidents spezifizieren diesen Klassifikationsprozess. Als schwerwiegend klassifizierte Vorfälle muss das betroffene Unternehmen gemäß Artikel 19 DORA der Finanzaufsicht melden. Dies geschieht durch eine Erst-, eine Zwischen- und eine Abschlussmeldung.

Abbildung 1: Klassifikationsprozess für schwerwiegende IKT-Vorfälle

*Die Abkürzung VIVA steht für die vier Schutzziele der IT-Sicherheit: Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität. Quelle: BaFin-eigene Darstellung auf Basis der Regulatory Technical Standards (RTS) on classification of incidents

Die Erstmeldung muss erfolgen, kurz nachdem ein Vorfall als schwerwiegend klassifiziert wurde. Die Aufsicht sollte nicht erst über die Presse von einem Vorfall erfahren. Die Frist für die Meldung definieren die RTS on reporting of major incidents. In der Erstmeldung soll das betroffene Unternehmen die Aufsicht über den Vorfall informieren – und zwar so, dass Aufseherinnen und Aufseher als sachkundige Dritte den Sachverhalt verstehen. Schon die Erstmeldung soll die Aufsicht in der Lage versetzen, die Situation treffend einzuschätzen (siehe Kasten „Auf einen Blick: Erstmeldung“).

Wie gravierend sind die Auswirkungen des Vorfalls? Diese Einschätzung ist ein wichtiger Bestandteil der Erstmeldung. Gravierende Auswirkungen könnten sich zum Beispiel ergeben, wenn der Zahlungsverkehr oder der Börsenhandel für eine längere Zeit gestört ist. Oder auch, wenn Unberechtigte Zugriff auf Daten erhalten haben, Daten verschlüsselt oder ungewollt verändert wurden. Gravierend sind Vorfälle auch, wenn IKT-Systeme, die kritische oder wichtige Funktionen unterstützen, für längere Zeit ausfallen – wenn also die Recovery Time Objective (RTO), die maximal zulässige Zeitspanne für Ausfälle kritischer Funktionen, überschritten wurde.

Falls die Ursache eines Vorfalls nicht beim Unternehmen selbst, sondern bei einem seiner Dienstleister liegt, muss das Unternehmen dies ebenfalls der Aufsicht melden. So kann die BaFin auf Basis ihrer Auslagerungsdatenbank analysieren, welche weiteren Unternehmen ebenfalls von dem Vorfall betroffen sein könnten – und diese gegebenenfalls sensibilisieren. Durch die Auslagerungsdatenbank ist die BaFin in der Lage, die Auswirkungen des Vorfalls auf den gesamten Finanzmarkt besser abzuschätzen.

Mit der Zwischenmeldung erhält die BaFin konkrete Daten über das Ausmaß sowie eine detailliertere Analyse des Vorfalls. Damit soll die Aufsicht noch besser abschätzen können, welche Auswirkungen der Vorfall auf das Unternehmen, seine Kundinnen und Kunden, Gegenparteien und den Finanzmarkt hat.

Je nachdem, wie sich der Vorfall entwickelt, muss das Unternehmen die BaFin mit mehreren Zwischenmeldungen auf dem aktuellen Stand halten. Vor allem Änderungen des Status muss es der BaFin anzeigen: ob also die Einschränkungen durch den Vorfall noch andauern, der Geschäftsbetrieb wiederhergestellt wurde oder ob sich der Vorfall sogar verschärft hat.

Ist der Vorfall behoben und die Ursachenanalyse abgeschlossen, informiert das Unternehmen die Aufsicht mit einer Abschlussmeldung. Darin muss es unter anderem die Ursache des Vorfalls, getroffene Maßnahmen, entstandene Kosten und Verluste schildern. Die RTS geben Auskunft darüber, welche Kostenarten hierbei zu beachten sind.

Für viele Finanzunternehmen sind diese Verpflichtungen nicht neu. Ähnliche Berichts- und Meldepflichten bestehen bereits für Zahlungsdienstleister gemäß § 54 Absatz 1 Zahlungsdiensteaufsichtsgesetz (ZAG). Dort sind die Meldepflichten aus der Zweiten Zahlungsdiensterichtlinie (PSD-2-Richtlinie) in Deutschland umgesetzt. DORA weitet die Meldeflicht für schwerwiegende IKT-Vorfälle auf alle Finanzunternehmen gemäß Artikel 2 DORA aus und definiert einheitliche Anforderungen.

Die BaFin wird zum zentralen Meldehub für IKT-Vorfälle von Finanzunternehmen in Deutschland, die unter DORA fallen. Sie leitet alle Meldungen unverzüglich an andere relevante Behörden weiter (siehe Abbildung 2). Sollte ein Vorfall signifikante Auswirkungen in anderen Mitgliedsstaaten des Europäischen Wirtschaftsraums haben, werden die Aufsichtsbehörden der betroffenen Staaten durch die jeweilige Europäische Aufsichtsbehörde über den Vorfall informiert.

Für einige Unternehmen des Finanzsektors gilt die europäische Netz- und Informationssicherheits-Richtlinie (NIS-Richtlinie, bzw. ab Oktober 2024 NIS-2-Richtlinie). Die Anforderungen überschneiden sich zum Teil mit DORA. Hier kommt die Lex-specialis-Regelung zum Tragen: Die Anforderungen aus DORA müssen vorrangig beachtet werden, wenn sie spezifischer sind als die NIS-2-Richtlinie. Finanzunternehmen, die unter die NIS-2-Richtlinie fallen, müssen also künftig nur eine Vorfallsmeldung gemäß DORA bei der BaFin einreichen. Die BaFin stellt die Meldung unverzüglich dem Bundesamt für Sicherheit in der Informationstechnik zur Verfügung.

Abbildung 2: Meldeprozess nach DORA

Quelle: BaFin-eigene Darstellung

Innerhalb der BaFin stellt ein Incident Management-Team die Datenqualität aus den Meldungen sicher (siehe Kasten „Auf einen Blick: Datenqualität“) und analysiert die Meldungen umgehend. Dabei hat es sowohl die mikro- als auch die makroprudenziellen Auswirkungen eines jeden Vorfalls im Blick, also die Auswirkungen auf das Unternehmen und den Finanzmarkt.

Das Incident Management-Team ist Teil der horizontalen Aufsicht über IT-Risiken. Das heißt, es ist zuständig für sämtliche Geschäftsbereiche und damit auch für alle Branchen des Finanzmarkts. Wenn notwendig, tauschen sich die Mitglieder des Teams mit Kolleginnen und Kollegen der Fachaufsicht und – sollten Kredit-, Zahlungs- oder E-Geld Institute betroffen sein – mit der Deutschen Bundesbank aus. Sofern erforderlich kann die BaFin das Gespräch mit dem betroffenen Unternehmen suchen, um die Hintergründe und Auswirkungen des IKT-Vorfalls besser zu verstehen. Bei Bedarf unterstützt das Incident Management-Team die Fachaufsicht bei der Umsetzung aufsichtlicher Maßnahmen.

Zusätzlich zur Meldepflicht für IKT-Vorfälle führt DORA auch ein freiwilliges Meldewesen für signifikante Cyber-Bedrohungen ein. Dazu zählen auch Schwachstellen, die für Angriffe ausgenutzt werden könnten. Solche freiwilligen Meldungen sind sehr wertvoll und helfen der BaFin, ein noch vollständigeres Bild der Sicherheits- bzw. Bedrohungslage im Finanzsektor zu gewinnen. Sämtliche Informationen – sowohl aus verpflichtenden als auch aus freiwilligen Meldungen – wird die BaFin künftig in ihrem Cyber-Lagebild des Finanzsektors verarbeiten.

Was ist nun zu tun?

Am 17. Januar 2025 – also mit der Anwendung von DORA – geht es los: Ab diesem Zeitpunkt müssen alle schwerwiegenden IKT-Vorfälle gemeldet werden. Die Unternehmen sollten schon jetzt beginnen, ihre Prozesse anzupassen. Dazu gehört es auch, die Voraussetzungen dafür zu schaffen, dass sie bei einem IKT-Vorfall alle erforderlichen Daten einreichen können. Zudem sollten die verantwortlichen Mitarbeiterinnen und Mitarbeiter in die Lage versetzt werden, Vorfälle gemäß den neuen Anforderungen entdecken, managen und melden zu können.

Über das Fachverfahren zur Freischaltung von Melderinnen und Meldern der Unternehmen sowie über die Ausgestaltung des Prozesses zur Einreichung der Meldungen wird die BaFin zu einem späteren Zeitpunkt gesondert informieren.