Erscheinung:10.03.2022 Sicherheitsvorfälle bei Zahlungsdienstleistern: BaFin-Rundschreiben konkretisiert Meldepflichten
Die BaFin informiert mit dem Rundschreiben 03/2022 (BA) die Zahlungsdienstleister über die neuen Regelungen, die ab dem 1. Oktober 2022 für die Meldung schwerwiegender Sicherheitsvorfälle gemäß § 54 Absatz 1 Satz 1 Zahlungsdiensteaufsichtsgesetz (ZAG) gelten. Das Rundschreiben konkretisiert die Meldepflichten des ZAG und ersetzt zugleich die Vorgaben des noch bis zum 30. September 2022 geltenden Rundschreibens 08/2018 (BA).
Gemäß § 54 Absatz 1 Satz 1 ZAG hat ein Zahlungsdienstleister die BaFin unverzüglich über einen schwerwiegenden Betriebs- oder Sicherheitsvorfall zu unterrichten. Mit dem „Rundschreiben 08/2018 (BA) zur Meldung schwerwiegender Sicherheitsvorfälle“ vom 7. Juni 2018 waren die Zahlungsdienstleister darüber informiert worden, wann ein Betriebs- oder Sicherheitsvorfall als schwerwiegend und damit meldepflichtig einzustufen und wie die Meldung zu erstatten ist. Dieses Rundschreiben basiert auf den von der Europäischen Bankenaufsichtsbehörde (EBA) am 19. Dezember 2017 herausgegebenen Leitlinien gemäß Artikel 96 Absatz 3 der Richtlinie (EU) 2015/2366 des Europäischen Parlaments und des Rates vom 25. November 2015. Diese wurden von der EBA im vergangenen Jahr überprüft und aktualisiert.