DORA Content Hub
DORA Meldepflicht: IKT-Vorfälle melden
DORA-Meldefristen für IKT-Vorfälle: 4h Erstmeldung, 72h Zwischenbericht, 30 Tage Abschluss. Klassifizierung und Meldestellen.
DORA-Meldepflicht: IKT-Vorfalle richtig melden
Kapitel III der DORA-Verordnung (Artikel 17-23) regelt die Meldepflichten fur IKT-bezogene Vorfalle. Erstmals werden damit EU-weit einheitliche Meldefristen, Klassifizierungskriterien und Meldewege fur den gesamten Finanzsektor festgelegt. Diese Harmonisierung beseitigt das bisherige Flickwerk nationaler Regelungen und schafft ein konsistentes Meldesystem von der BaFin bis zur ESMA.
Die Meldepflichten gelten fur alle Finanzunternehmen, die unter den DORA-Anwendungsbereich fallen — unabhangig von Grosse oder Komplexitat. Es gibt keine Erleichterung fur Kleinstunternehmen bei den Meldepflichten.
Klassifizierung von IKT-Vorfallen (Art. 18)
Nicht jeder IKT-Vorfall lost eine Meldepflicht aus. Artikel 18 definiert sechs Kriterien, anhand derer Finanzunternehmen die Schwere eines IKT-Vorfalls bewerten mussen:
| Kriterium | Beschreibung | Beispiel |
|---|---|---|
| Betroffene Kunden | Anzahl der betroffenen Kunden oder Finanzgegenparteien | Online-Banking-Ausfall betrifft 100.000+ Kunden |
| Dauer des Vorfalls | Zeitraum der Storung oder Nichtverfugbarkeit | Zahlungssystem uber 4 Stunden nicht erreichbar |
| Geographische Ausbreitung | Raumliche Auswirkung des Vorfalls | Ausfall betrifft mehrere EU-Mitgliedstaaten |
| Datenverlust | Verlust der Vertraulichkeit, Integritat oder Verfugbarkeit von Daten | Unbefugter Zugriff auf Kundendaten, Ransomware-Verschlusselung |
| Kritikalitat der Dienste | Betroffenheit kritischer oder wichtiger Funktionen | Kernbankensystem, Wertpapierabwicklung, Versicherungsleistungen |
| Wirtschaftliche Auswirkungen | Direkte und indirekte finanzielle Verluste | Transaktionsausfall mit messbarem Umsatzverlust |
Ein IKT-Vorfall gilt als schwerwiegend, wenn er die definierten Schwellenwerte bei einem oder mehreren dieser Kriterien uberschreitet. Die konkreten Schwellenwerte werden durch delegierte Rechtsakte der Europaischen Aufsichtsbehorden (ESAs) prazisiert.
Schwerwiegende IKT-Vorfalle vs. erhebliche Cyberbedrohungen
DORA unterscheidet zwei Meldekategorien mit unterschiedlichen Pflichten:
- Schwerwiegende IKT-Vorfalle (Art. 19): Meldepflicht ist verpflichtend. Finanzunternehmen mussen diese Vorfalle innerhalb der definierten Fristen an die zustandige Aufsichtsbehorde melden.
- Erhebliche Cyberbedrohungen (Art. 19 Abs. 2): Die Meldung ist freiwillig, wird aber von den Aufsichtsbehorden ausdrucklich ermutigt. Finanzunternehmen konnen erhebliche Cyberbedrohungen melden, die sie als relevant fur das Finanzsystem oder andere Marktteilnehmer einschatzen — auch wenn kein tatsachlicher Vorfall eingetreten ist.
Die freiwillige Meldung erheblicher Cyberbedrohungen dient dem Informationsaustausch und der Fruhwarnung im Finanzsektor. Die Aufsichtsbehorden konnen die gemeldeten Informationen anonymisiert an andere Marktteilnehmer weitergeben.
Die drei Meldestufen: Fristen und Inhalte
DORA sieht ein dreistufiges Meldeverfahren fur schwerwiegende IKT-Vorfalle vor. Jede Stufe hat eigene Fristen und inhaltliche Anforderungen:
Stufe 1: Erstmeldung (innerhalb von 4 Stunden)
Die Erstmeldung muss innerhalb von 4 Stunden nach der Klassifizierung des Vorfalls als schwerwiegend erfolgen, spatestens jedoch innerhalb von 24 Stunden nach Feststellung des Vorfalls. Sie enthalt die grundlegenden Informationen: Art des Vorfalls, betroffene Systeme und Dienste, erste Einschatzung der Auswirkungen und eingeleitete Sofortmassnahmen.
Stufe 2: Zwischenbericht (innerhalb von 72 Stunden)
Der Zwischenbericht ist innerhalb von 72 Stunden nach der Erstmeldung einzureichen. Er aktualisiert die Informationen der Erstmeldung und enthalt zusatzlich: detaillierte Beschreibung des Vorfalls, Ursachenanalyse (soweit bekannt), aktuelle Auswirkungsbewertung, Status der Eindammungs- und Wiederherstellungsmassnahmen sowie eine vorlaufige Bewertung der finanziellen Auswirkungen.
Stufe 3: Abschlussbericht (innerhalb von 1 Monat)
Der Abschlussbericht ist innerhalb eines Monats nach der Erstmeldung vorzulegen. Er enthalt die vollstandige Analyse: Grundursache des Vorfalls, tatsachliche Auswirkungen (einschliesslich finanzieller Verluste), detaillierte Beschreibung der ergriffenen Massnahmen, Lessons Learned und geplante Verbesserungsmassnahmen zur Verhinderung zukunftiger Vorfalle.
| Meldestufe | Frist | Wesentliche Inhalte |
|---|---|---|
| Erstmeldung | 4 h nach Klassifizierung, max. 24 h nach Feststellung | Art des Vorfalls, betroffene Systeme, erste Einschatzung, Sofortmassnahmen |
| Zwischenbericht | 72 h nach Erstmeldung | Detailanalyse, Ursache, Auswirkungen, Status der Wiederherstellung |
| Abschlussbericht | 1 Monat nach Erstmeldung | Grundursache, finanzielle Auswirkungen, Lessons Learned, Verbesserungen |
Meldestellen: Wer meldet wohin?
Die zustandige Meldestelle hangt vom Typ des Finanzunternehmens ab. In Deutschland ist die BaFin die primere Meldestelle, die eingehende Meldungen an die zustandige europaische Aufsichtsbehorde weiterleitet:
- Kreditinstitute und Wertpapierfirmen: BaFin → EBA (Europaische Bankenaufsichtsbehorde)
- Versicherungs- und Ruckversicherungsunternehmen: BaFin → EIOPA (Europaische Aufsichtsbehorde fur das Versicherungswesen)
- Kapitalverwaltungsgesellschaften und Handelsplatze: BaFin → ESMA (Europaische Wertpapier- und Marktaufsichtsbehorde)
- Zahlungsdienstleister und E-Geld-Institute: BaFin → EBA
Inhalt der Meldungen (Art. 19)
Artikel 19 definiert die Mindestinhalte jeder Meldung. Die Meldung muss in einem standardisierten Format erfolgen und mindestens folgende Informationen enthalten:
- Eindeutige Vorfallkennung und Zeitpunkt der Feststellung
- Beschreibung des Vorfalls: Art, betroffene Systeme, Angriffsvektoren (falls bekannt)
- Auswirkungsbewertung: betroffene Kunden, betroffene Transaktionen, Datenverlust
- Klassifizierung anhand der Schwerekriterien nach Art. 18
- Ergriffene Massnahmen: Sofortmassnahmen, Eindammung, Wiederherstellung
- Kontaktperson fur Ruckfragen der Aufsichtsbehorde
Zentrale EU-Meldestelle (Art. 21)
Artikel 21 sieht die Einrichtung einer zentralen EU-Meldestelle (EU Hub) vor. Langfristiges Ziel ist ein einheitlicher europaischer Meldepunkt, uber den alle schwerwiegenden IKT-Vorfalle im Finanzsektor gemeldet und ausgewertet werden. Die zentrale Stelle soll Doppelmeldungen vermeiden und den Informationsaustausch zwischen nationalen Behorden und europaischen Aufsichtsorganen verbessern.
Bis zur vollstandigen Inbetriebnahme des EU Hub melden Finanzunternehmen weiterhin an ihre nationale Aufsichtsbehorde, die die Daten an die zustandige ESA weiterleitet. Die gemeinsamen Meldevorlagen (ITS — Implementing Technical Standards) werden von den ESAs entwickelt und sind fur alle Finanzunternehmen verbindlich.
Praktische Vorbereitung auf die Meldepflicht
Die kurzen Meldefristen — insbesondere die 4-Stunden-Frist fur die Erstmeldung — erfordern eine vorbereitete und eingeubte Meldeinfrastruktur. Folgende Massnahmen sind essenziell:
- Vorfall-Klassifizierungsprozess: Ein dokumentierter Prozess, der innerhalb von Minuten feststellt, ob ein Vorfall die Schwellenwerte fur eine Meldepflicht uberschreitet
- Melde-Templates: Vorbereitete Formulare fur Erstmeldung, Zwischenbericht und Abschlussbericht, die im Ernstfall nur noch ausgefullt werden mussen
- 24/7-Bereitschaft: Eine Rufbereitschaft, die sicherstellt, dass auch nachts und an Wochenenden innerhalb der 4-Stunden-Frist gemeldet werden kann
- Regelmassige Ubungen: Simulation von Meldeprozessen (Tabletop Exercises), um die Reaktionsfahigkeit zu testen
- Integration mit IKT-Risikomanagement: Erkennungsmechanismen (Art. 10) mussen nahtlos in den Meldeprozess integriert sein
Konsequenzen bei Verstossen
Verstosse gegen die Meldepflichten konnen erhebliche Konsequenzen haben. Neben den regularen DORA-Sanktionen drohen Reputationsschaden, verstarkte Aufsichtsmassnahmen und der Verlust des Vertrauens von Kunden und Geschaftspartnern. Die Aufsichtsbehorden konnen bei wiederholten Verstossen verschärfte Aufsichtsmassnahmen anordnen, die den Geschaftsbetrieb erheblich einschranken.
Wie die Meldepflichten mit den ubrigen DORA-Saulen zusammenwirken — insbesondere mit den Resilienztests und dem IKT-Risikomanagement — erfährst du in unserer Gesamtubersicht der DORA-Anforderungen.
Meldeprozesse vorbereiten, bevor der Ernstfall eintritt
Kopexa unterstutzt dich beim Aufbau eines DORA-konformen Incident-Management-Prozesses mit vorbereiteten Melde-Templates, Klassifizierungshilfen und Fristenuberwachung. Sorge jetzt dafur, dass dein Team im Ernstfall innerhalb von 4 Stunden meldefahig ist.
Jetzt Meldeprozess aufsetzenWeitere DORA-Themen
DORA-Übersicht
Pillar Page und Gesamtüberblick
Anforderungen
Alle DORA-Anforderungen im Überblick
IKT-Risikomanagement
Risikorahmen, Governance und Strategie (Art. 5–16)
Resilienztests
Basis-Tests und TLPT (Art. 24–27)
Drittparteienrisiko
IKT-Dienstleister managen (Art. 28–44)
Informationsregister
Das DORA-Informationsregister (Art. 28 Abs. 3)
Checkliste
10 Schritte zur DORA-Compliance
Kosten & Ablauf
Timeline, Budget und Ressourcen
BAIT/VAIT-Migration
Von BAIT/VAIT/KAIT/ZAIT zu DORA
Proportionalität
Vereinfachter Rahmen für Kleinstunternehmen (Art. 16)
ISO 27001 Mapping
Cross-Mapping und Dual-Compliance
Strafen
Sanktionen und Enforcement
Lass uns gemeinsam prüfen, wo du stehst
Kostenlos & unverbindlich