DORA IKT-Vorfallsmeldewesen

Kapitel III der Verordnung über die digitale operationale Resilienz im Finanzsektor (DORA) (Verordnung (EU) 2022/2554) verpflichtet Finanzunternehmen, einen Managementprozess für IKT-bezogene Vorfälle zu implementieren. Diese Anforderungen werden ergänzt durch RTS zu Kriterien für die Klassifizierung von IKT-bezogenen Vorfällen (Delegierte Verordnung (EU) 2024/1772) sowie RTS (Delegierte Verordnung (EU) 2025/301) und ITS (Durchführungsverordnung (EU) 2025/302) zum Inhalt, Format, Zeitplan und Verfahren für die Meldung von schwerwiegenden IKT-bezogenen Vorfällen und erheblichen Cyber-Bedrohungen unter DORA. 

Ein IKT-bezogener Vorfall ist ein ungeplantes Ereignis, das die Sicherheit der Netzwerk- und Informationssysteme beeinträchtigt und negative Auswirkungen auf die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Daten oder Dienstleistungen hat (vgl. Art. 3 Nr. 8 und 10 DORA). 

Ähnliche Meldepflichten bestanden bereits durch die PSD II-Richtlinie (Zweite Zahlungsdienstrichtlinie für Zahlungsdienstleister) und die NIS-Richtlinie (EU-Richtlinie zur Netzwerk- und Informationssicherheit). DORA ersetzt und erweitert diese Pflichten auf den gesamten Finanzsektor und legt fest, dass die BaFin die zuständige Behörde für solche Meldungen ist. Die BaFin leitet die Meldungen an die Deutsche Bundesbank und weitere relevante Behörden (u. a. BSI (Bundesamt für Sicherheit in der Informationstechnik), EZB (Europäische Zentralbank)) weiter.

DORA Informationsregister und Anzeigepflichten

Artikel 28 Absatz 3 DORA verpflichtet Finanzunternehmen zur Führung eines Informationsregisters, das alle vertraglichen Vereinbarungen über die Nutzung von durch IKT-Drittdienstleister bereitgestellten IKT-Dienstleistungen enthält. Finanzunternehmen müssen der zuständigen Behörde das vollständige Informationsregister auf Anfrage zur Verfügung stellen. Diese Anforderungen werden durch ITS zur Erstellung einer Standardvorlage für das Informationsregister ergänzt (Durchführungsverordnung (EU) 2024/2956).

Daneben sieht DORA weitere Anzeigepflichten vor. So müssen Finanzunternehmen den zuständigen Behörden mindestens einmal jährlich zur Anzahl neuer IKT-Dienstleistungsvereinbarungen, über die Nutzung von IKT-Dienstleistungen, die Kategorien von IKT-Drittdienstleistern, die Art der vertraglichen Vereinbarungen sowie die bereitgestellten IKT-Dienstleistungen und -Funktionen berichten. Zudem müssen Finanzunternehmen die zuständige Behörde zeitnah über jede geplante vertragliche Vereinbarung über die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen sowie in dem Fall, dass eine Funktion kritisch oder wichtig geworden ist, unterrichten.