Kapitel III DORA umfasst zudem die Verpflichtung einen Managementprozess zu implementieren, der neben der Behandlung von IKT-bezogenen Vorfällen auch die Überwachung, Protokollierung und ggf. Meldung von IKT-bezogenen Vorfällen umfasst. Einen derartigen IKT-bezogenen Vorfall definiert die Verordnung als ein von dem Finanzunternehmen nicht geplantes Ereignis […], das die Sicherheit der Netzwerk- und Informationssysteme beeinträchtigt und nachteilige Auswirkungen auf die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Daten oder auf die vom Finanzunternehmen erbrachten Dienstleistungen hat (vgl. Art. 3 Nr. 8 & 10 DORA). Sämtliche Vorfälle müssen von Finanzunternehmen gemäß den in Artikel 18 DORA genannten Kriterien klassifiziert werden. Die genaue Ausgestaltung dieser Kriterien geschieht im entsprechenden RTS. Wird ein Vorfall als schwerwiegend klassifiziert, so unterliegt er der Meldepflicht. Die Meldepflicht besteht insb. auch für schwerwiegende zahlungsbezogene Betrieb- und Sicherheitsvorfälle. Hierunter fallen Vorfälle, die sich negativ auf die Bereitstellung von zahlungsbezogenen Diensten auswirken (vgl. Art. 3 Nr. 9 & 11 DORA).
Ähnliche Berichts- und Meldepflichten bestehen aktuell einerseits durch die Zweite Zahlungsdiensterichtlinie (PSD II-Richtlinie) für Zahlungsdienstleister und andererseits durch die NIS-Richtlinie für Finanzunternehmen, die kritische Infrastrukturen im Sinne des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) sind. DORA weitet diese Pflicht auf den gesamten Finanzsektor aus, vereinheitlicht diese – und legt fest, dass die BaFin, soweit sie die zuständige Behörde ist, die Empfängerin solcher Meldungen ist. Die BaFin leitet die Meldungen unverzüglich an das Bundesamt für Sicherheit in der Informationstechnik (BSI), an die jeweilige Europäische Aufsichtsbehörde (EIOPA, ESMA oder EBA) und gegebenenfalls weitere Akteure (z. B. die Europäische Zentralbank) weiter.
Mit Blick auf die aktuell geltende Meldepflicht an das BSI für zur kritischen Infrastruktur zählenden Unternehmen kommt die Lex-specialis-Regelung zum Tragen. Sie regelt die Fälle, in denen sowohl DORA als auch die europäische Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (NIS2-Richtlinie, nationale Umsetzung unter anderem im BSIG) Vorgaben definieren: Sofern die Anforderungen in DORA spezifischer sind, müssen diese im Vergleich zu den Anforderungen der NIS2-Richtlinie vorrangig beachtet werden. Dadurch sind die Finanzunternehmen, welche sowohl unter die NIS2-Richtlinie als auch unter DORA fallen, nur zu einer Vorfallmeldung gemäß DORA an die BaFin verpflichtet. Die BaFin sorgt in solchen Fällen dafür, dass diese Meldungen dem BSI unmittelbar ebenfalls zur Verfügung stehen, damit keine Informationslücken entstehen.
Neben dem Meldewesen für IKT-bezogene Vorfälle führt DORA auch ein freiwilliges Meldewesen für erhebliche Cyberbedrohungen ein (vgl. Art. 19(2) DORA). Hiermit sollen Finanzunternehmen die Aufsicht über Bedrohungen informieren können, welche das Potential haben, einen schwerwiegenden IKT-Vorfall herbeizuführen (vgl. Art. 3 Nr. 13 DORA). Die Meldungen sollen dem Informationsaustausch dienen und der Aufsicht dabei helfen, insbesondere das Risiko für den Finanzmarkt besser beurteilen und ggf. relevante Akteure informieren zu können. Die BaFin wird diesen Informationsaustausch zukünftig aktiv fördern.
Was müssen Sie wissen?
Der Fragenkatalog vermittelt, ohne Anspruch auf Vollständigkeit, einen ersten Überblick über die wichtigsten Fragestellungen und deren Umsetzung. Dieser Fragenkatalog wird fortlaufend aktualisiert.
Wie wird ein IKT-bezogener Vorfall in DORA definiert?
Ein „IKT-bezogener Vorfall“ ist ein von dem Institut oder Unternehmen nicht geplantes Ereignis bzw. eine Reihe verbundener Ereignisse, das bzw. die die Sicherheit der Netzwerk- und Informationssysteme beeinträchtigt und nachteilige Auswirkungen auf die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Daten oder auf die vom Finanzunternehmen erbrachten Dienstleistungen hat (Art. 3 Absatz 1 Nr. 8 DORA).
Wann müssen beaufsichtigte Unternehmen einen IKT-bezogenen Vorfall melden?
Ein IKT-bezogener Vorfall ist dann zu melden, wenn der Vorfall die entsprechenden Klassifikationskriterien erfüllt. Der Klassifikationsprozess sowie die Klassifikationskriterien basieren auf den in Artikel 18 DORA genannten Anforderungen und werden in einem Regulatory Technical Standard (RTS) genauer geregelt. Das Konsultationspapier des RTS wurde im Zeitraum vom 19. Juni – 11. September öffentlich konsultiert und wird nach abschließender Bearbeitung im kommenden Jahr veröffentlicht. Nach der Veröffentlichung des RTS werden Sie hier auf der DORA-Informationsseite der BaFin über die genaue Ausgestaltung des Klassifikationsprozesses und der Klassifikationskriterien informiert.
An wen sind diese Meldungen eines IKT-bezogenen Vorfalls zu erstatten?
Die BaFin fungiert als zentraler Meldehub für alle unter ihrer Aufsicht stehenden Finanzunternehmen. Die Meldungen sollen über das MVP-Portal eingereicht werden.
Müssen auch Cyberbedrohungen gemeldet werden?
Gemäß Artikel 19 Absatz 2 DORA ist die Meldung von Cyberbedrohungen freiwillig. Finanzunternehmen können auf freiwilliger Basis erhebliche Cyberbedrohungen melden, wenn sie der Auffassung sind, dass die Bedrohung für das Finanzsystem, die Dienstnutzer oder die Kundinnen und Kunden relevant ist. Die BaFin begrüßt die Nutzung dieser freiwilligen Meldung außerordentlich und wird einen entsprechenden Meldeweg zur Verfügung stellen.
Einreichung der Meldung schwerwiegender IKT-bezogener Vorfälle und erheblicher Cyberbedrohungen
Die Einreichung der Meldungen IKT-bezogener Vorfälle wird über das MVP-Portal der BaFin erfolgen. In einem ersten Schritt stellt die BaFin Formulare zur Verfügung, welche über die Webseite des MVP-Portals befüllt werden. In diesem ersten Schritt ist eine Einreichung via SOAP Web-Service Schnittstelle sowie ein Dateiupload nicht möglich. Bezüglich der Registrierung für das entsprechende Fachverfahren werden hier weitere Informationen zur Verfügung gestellt.
In einem zweiten Schritt wird die Einreichung via SOAP Web-Service Schnittstelle sowie ein Dateiupload freigeschaltet. Neben der Einreichung mittels MVP-Formular wird hierdurch Einreichung über ein strukturiertes Datenformat ermöglicht. Diese Funktionalitäten werden noch nicht am 17.01.2025 zur Verfügung stehen.
Wann müssen beaufsichtigte Unternehmen einen IKT- bezogenen Vorfall melden?
Ein IKT-bezogener Vorfall ist dann zu melden, wenn der Vorfall die entsprechenden Klassifikationskriterien erfüllt. Der Klassifikationsprozess sowie die Klassifikationskriterien basieren auf den in Artikel 18 DORA genannten Anforderungen und werden in einem Regulatory Technical Standard (RTS) genauer geregelt. Das Konsultationspapier des RTS wurde im Zeitraum vom 19. Juni – 11. September öffentlich konsultiert. Nach der Veröffentlichung des RTS werden Sie hier auf der DORA-Informationsseite der BaFin über die genaue Ausgestaltung des Klassifikationsprozesses und der Klassifikationskriterien informiert.
An wen sind diese Meldungen eines IKT-bezogenen Vorfalls zu erstatten?
Die BaFin fungiert als zentraler Meldehub für alle unter ihrer Aufsicht stehenden Finanzunternehmen. Die Meldungen sollen über das MVP-Portal eingereicht werden.
Müssen auch Cyberbedrohungen gemeldet werden?
Gemäß Artikel 19 Absatz 2 DORA ist die Meldung von Cyberbedrohungen freiwillig. Finanzunternehmen können auf freiwilliger Basis erhebliche Cyberbedrohungen melden, wenn sie der Auffassung sind, dass die Bedrohung für das Finanzsystem, die Dienstnutzer oder die Kundinnen und Kunden relevant ist. Die BaFin begrüßt die Nutzung dieser freiwilligen Meldung außerordentlich und wird einen entsprechenden Meldeweg zur Verfügung stellen.