BaFin veröffentlicht Leitfaden zur Meldung von Sicherheitsvorfällen gemäß DORA

(DORA) wird am 17. Januar 2025 in Kraft treten und den betroffenen Unternehmen eine Reihe von Anforderungen in Bezug auf Risiken in der Informations- und Kommunikationstechnik (IKT) auferlegen, darunter auch neue Meldepflichten für Finanzunternehmen. Ein nun von der Bundesanstalt für Finanzaufsicht (BaFin) veröffentlichter Leitfaden erläutert, worum es bei den neuen Meldepflichten gemäß DORA geht, welche Rolle die BaFin dabei spielt und was passiert, wenn sie eine Meldung erhält.

Daniel Widmann, Experte für Cybersicherheit bei Pinsent Masons: „In ihrem Leitfaden gibt die BaFin einige nützliche Beispiele, was sie als ‚schwerwiegende IKT-Vorfälle‘ ansieht, die der BaFin gemäß DORA gemeldet werden müssen. Laut BaFin handelt es sich um einen schwerwiegenden IKT-Vorfall, wenn der Zahlungsverkehr oder der Börsenhandel über einen längeren Zeitraum gestört ist oder wenn sich unbefugte Dritte Zugang zu Daten verschafft haben oder Daten verschlüsselt wurden. Dies zeigt, dass die Meldeschwelle für schwerwiegende IKT-Vorfälle aus Sicht der BaFin nicht allzu hoch ist, so dass sich die nach DORA regulierten Unternehmen auf die Abläufe und Formalitäten solcher Meldepflichten einstellen sollten.“

DORA definiert Anforderungen für das Management von IKT-Vorfällen im Finanzsektor und führt ein harmonisiertes Meldesystem für schwerwiegende Vorfälle und erhebliche Cyberbedrohungen ein. Gemäß Artikel 17 DORA müssen Finanzunternehmen Verfahren zur Überwachung ihrer IT-Systeme und zur schnellen Bewältigung von Vorfällen und erheblichen Cyberbedrohungen einführen. Das bedeutet zum Beispiel, dass sie Frühwarnindikatoren definieren müssen. Außerdem müssen sie die Rollen und Verantwortlichkeiten sowie die Kommunikation mit allen relevanten Beteiligten klar regeln.

DORA verlangt auch, dass die Geschäftsleitung über jeden schwerwiegenden Vorfall informiert werden muss.

„Deutsche Unternehmen des Finanz- und Versicherungssektors sind in einer guten Ausgangsposition für die Anwendung der DORA ab 2025, da sich darin einzelne Instrumente, die die BaFin bereits in der Vergangenheit zur Erhöhung der IKT-Sicherheit des deutschen Finanzsektors geschaffen hat, wiederfinden", so Florian Elsinghorst, Experte für regulierte Industrien bei Pinsent Masons.

„Dennoch sollten die Unternehmen jetzt damit beginnen, ihre Prozesse anzupassen. Dazu gehört auch, die Voraussetzungen dafür zu schaffen, dass sie im Falle eines IKT-Vorfalls alle notwendigen Daten übermitteln können. Darüber hinaus sollten die Verantwortlichen im Unternehmen in die Lage versetzt werden, Vorfälle entsprechend den neuen Anforderungen zu erkennen, zu managen und zu melden.“

Jeder IKT-Vorfall muss nach den in Artikel 18 der DORA festgelegten Kriterien klassifiziert werden. Die technischen Regulierungsstandards (RTS) zur Einstufung von Vorfällen legen das Verfahren hierfür fest. Als schwerwiegend eingestufte IKT-Vorfälle müssen der BaFin durch eine Erst- und eine Abschlussmeldung gemeldet werden. Die Erstmeldung muss erfolgen, kurz nachdem der Vorfall als schwerwiegend eingestuft wurde.

Die Erstmeldung muss Informationen darüber enthalten, was passiert ist, welche Dienstleistungen betroffen waren, welche Auswirkungen dies auf Verbraucher und Finanzmarktteilnehmer hat und wie lange der Vorfall gedauert hat oder andauern wird.

Ziel der neuen Meldepflichten ist es laut BaFin, den Behörden alle relevanten Informationen zur Verfügung zu stellen, damit sie die voraussichtlichen Auswirkungen auf den Finanzmarkt abschätzen können.

Liegt die Ursache für einen Vorfall nicht beim Unternehmen selbst, sondern bei einem seiner Dienstleister, muss das Unternehmen den Vorfall dennoch melden.

Je nach Entwicklung des Vorfalls muss das Unternehmen die BaFin mit mehreren Zwischenberichten auf dem Laufenden halten. Insbesondere muss es die BaFin über jede Änderung des Status informieren.

Sobald der Vorfall aufgeklärt und die Ursachenanalyse abgeschlossen ist, informiert das Unternehmen die BaFin mit einem Abschlussbericht. Darin müssen unter anderem die Ursache des Vorfalls, die ergriffenen Maßnahmen, die entstandenen Kosten und die Verluste beschrieben werden. Die RTS geben Auskunft darüber, welche Arten von Kosten zu berücksichtigen sind.

Luke Scanlon, Experte für die Regulierung von Finanztechnologie bei Pinsent Masons, betont die grenzüberschreitenden Auswirkungen des BaFin-Ansatzes: „Während DORA als EU-Verordnung nicht durch lokale Gesetzgebung umgesetzt werden muss, wird der Ansatz der Regulierungsbehörden in den verschiedenen EU-Mitgliedsstaaten bestimmen, inwieweit die Anforderungen in der Praxis von Finanzinstituten erfüllt werden können, die in mehreren Rechtsordnungen tätig sind. Die Empfehlungen der BaFin zeigen, in welche Richtung der Trend unter den Regulierungsbehörden wahrscheinlich gehen wird, wenn es darum geht, auf granularer Ebene festzulegen, wie die DORA-Pflichten zu erfüllen sind.“

Viele deutsche Finanzunternehmen unterliegen bereits ähnlichen Verpflichtungen, zum Beispiel nach dem Zahlungsdiensteaufsichtsgesetz (ZAG) und der überarbeiteten Zahlungsdiensterichtlinie (PSD 2-Richtlinie). DORA weitet jedoch die Meldepflicht für schwerwiegende IKT-Vorfälle auf ein viel breiteres Spektrum von Finanzunternehmen aus und definiert einheitliche Standards.

Außerdem wird ab Oktober 2024 die Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau (NIS-2-Richtlinie) für einige Unternehmen des Finanzsektors gelten. Manche der Anforderungen überschneiden sich mit DORA. Die BaFin teilte jedoch mit, dass die Anforderungen aus DORA vorrangig zu berücksichtigen sind, sofern sie spezifischer sind als die der NIS-2-Richtlinie: „Finanzunternehmen, die unter die NIS-2-Richtlinie fallen, müssen also künftig nur eine Vorfallsmeldung gemäß DORA bei der BaFin einreichen. Die BaFin stellt die Meldung unverzüglich dem Bundesamt für Sicherheit in der Informationstechnik zur Verfügung.“

Widmann: „Derzeit sehen wir eine große Unsicherheit bei unseren Mandanten aus dem Finanzsektor, ob sie der DORA oder der NIS-2 unterliegen. Grundsätzlich raten wir unseren Mandanten, sich auf die DORA vorzubereiten, da die NIS-2 bestimmte Ausnahmen für Unternehmen vorsieht, die bereits unter die DORA fallen. Die BaFin stößt nun ins gleiche Horn. Da die NIS-2 jedoch noch nicht in allen EU-Mitgliedsstaaten umgesetzt ist, besteht weiterhin Rechtsunsicherheit, bis die nationalen NIS-2-Gesetze endgültig beschlossen sind.“