DORA Deep Dive: Meldepflicht IKT-bezogener Vorfälle

23. September 2024

Der Digital Operational Resilience Act (DORA) sieht vor, dass ab Januar 2025 schwerwiegende IKT-bezogene Vorfälle der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) gemeldet werden müssen.

Warum sollten Sie diese Anforderung zeitnah betrachten? Wo in DORA ist diese Verpflichtung geregelt? Und wie erfolgt die Meldung? In unserem Blogpost betrachten wir die Anforderungen an das IKT-bezogene Vorfallsmanagement sowie das neue, EU-weit harmonisierte Meldewesen für schwerwiegende IKT-bezogene Vorfälle genauer.

Die Meldepflicht sollte auf Ihre DORA-Prioritätenliste

Am 17. Januar 2025 wird DORA bereits Anwendung finden und die Liste der zu implementierenden Maßnahmen aus der EU-Verordnung ist lang. Daher heißt es für betroffene Finanzinstitute und IKT-Dienstleister: sinnvoll priorisieren. Unsere Security Consultants empfehlen dabei folgende, vereinfachte Auswahlkriterien für Ihre Prioritätenliste:

  • Dinge, die Sie ab dem 17.01.2025 vorlegen müssen.
  • Dinge, die ab dem 17.01.2025 etabliert sein müssen.
  • Dinge, die vom Leitungsgremium freigegeben werden müssen.
  • Alles, was die drei vorangegangenen Kriterien bedingt.

Das geforderte Meldewesen fällt in die zweite Kategorie „Dinge, die ab 17.01.2025 etabliert sein müssen“. Daher empfehlen wir Ihnen, sich diese Anforderung heute mit uns genauer anzuschauen.

Meldepflicht soll Resilienz des gesamten Finanzmarkts erhöhen

„Prozess für die Behandlung IKT-bezogener Vorfälle“
(DORA, Kapitel III, Artikel 17)

Artikel 17 verpflichtet Unternehmen, fortgeschrittene Überwachungsprozesse für IT-Systeme zu etablieren und ein umfassendes Management für IKT-bezogene Vorfälle zu gewährleisten. Es ist essenziell, dass Unternehmen die Fähigkeit besitzen, derartige Vorfälle umgehend zu identifizieren und effektiv zu bewältigen. Dies impliziert unter anderem die Notwendigkeit, präventive Frühwarnindikatoren zu definieren. Weiterhin ist es erforderlich, dass Unternehmen klare Richtlinien bezüglich der Rollen und Verantwortlichkeiten festlegen und eine transparente Kommunikation mit allen betroffenen Interessengruppen sicherstellen. Die Verordnung fordert zudem, dass die Geschäftsleitung umgehend über jeden gravierenden IKT-bezogenen Vorfall in Kenntnis gesetzt wird.

„Klassifizierung von IKT-bezogenen Vorfällen und Cyberbedrohungen“
(DORA, Kapitel III, Artikel 18)

Jeder IKT-bezogene Vorfall im Bereich der Informations- und Kommunikationstechnologie ist entsprechend der in Artikel 18 festgelegten Kriterien sorgfältig zu klassifizieren. Diese Kriterien werden im Regulatory Technical Standard (RTS) zur Klassifizierung von IKT-bezogenen Vorfällen nochmals genauer spezifiziert.

„Meldung schwerwiegender IKT-bezogener Vorfälle und freiwillige Meldung erheblicher Cyberbedrohungen“
(DORA, Kapitel III, Artikel 19)

Unternehmen sind verpflichtet, Vorfälle, die als schwerwiegend eingestuft werden, in Übereinstimmung mit Artikel 19 an die zuständigen Finanzaufsichtsbehörden zu berichten. Diese Meldepflicht umfasst eine Erstmeldung, eine Zwischenmeldung und eine Abschlussmeldung.

Das primäre Ziel der DORA-Anforderungen im Bereich des IKT-bezogenen Vorfallsmanagements ist es, die Widerstandsfähigkeit der betroffenen Unternehmen zu stärken. Im Falle eines IKT-bezogenen Vorfalls gewährleistet das Meldewesen, dass wichtige Informationen unverzüglich an alle zuständigen Behörden kommuniziert werden. Dies ist insbesondere von Bedeutung, um sicherzustellen, dass die Folgen eines IKT-bezogenen Vorfalls nicht nur für das betroffene Unternehmen, sondern auch für den gesamten Finanzsektor zeitnah bewertet werden können, sodass die verantwortlichen Behörden bei Bedarf umgehend handeln können.

Was gilt als schwerwiegender IKT-bezogener Vorfall?

Ein IKT-bezogener Vorfall ist ein vom Unternehmen nicht geplantes Ereignis oder eine Reihe zusammenhängender Ereignisse, die die Sicherheit der Netzwerk- und Informationssysteme beeinträchtigen und sich negativ auf die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Daten oder auf die vom Finanzunternehmen erbrachten Dienstleistungen auswirken.

Die Artikel 18-19 sowie der RTS zu IKT-Vorfällen definieren den Klassifikationsprozess, welcher zur Bewertung und Einordnung einzelner IKT-Vorfälle dient. Die dabei als schwerwiegend klassifizierten Vorfälle müssen der Finanzaufsicht gemeldet werden.

Dabei gilt ein IKT-bezogener Vorfall als schwerwiegend, sobald kritische Dienste beeinträchtigt sind und entweder die Wesentlichkeitsschwelle für „Verlust von Daten“ erreicht ist, oder mindestens zwei Wesentlichkeitsschwellen für die Klassifizierungskriterien überschritten wurden. Die Definitionen für Wesentlichkeitsschwellen finden Sie hier.

Der Klassifizierungsprozess lässt sich vereinfacht anhand des folgenden Schaubilds nachvollziehen:

Klassifizierungsprozess [Eigene Darstellung auf Basis des BaFinJournal Artikels „Transparenz dank Meldeplicht“]  

Mit der vorgebebenen Klassifizierung aus dem RTS wird ein einheitliches und anschauliches Verfahren im gesamten Finanzsektor etabliert. Der RTS basiert auf den Bestimmungen aus den EU-Richtlinien NIS-2 und PSD-2. Diese Angleichung hilft Finanzinstituten, den Anpassungsaufwand für ihre bestehenden IKT-bezogenen Meldeprozesse zu reduzieren. Für Unternehmen, die bereits an diese beiden Richtlinien gebunden sind, dürfte der zusätzliche Implementierungsaufwand minimal sein. Andere Unternehmen müssen möglicherweise ihre bestehenden Bewertungs- und Meldeverfahren sowie die betroffenen Systeme anpassen, was zusätzliche Kosten verursachen kann.

Der Meldeprozess und die involvierten Akteure

Die BaFin agiert als zentrale Meldestelle für alle IKT-bezogenen Vorfälle in Deutschland. Sie leitet die Meldungen umgehend an andere zuständige Behörden weiter. Bei Vorfällen, die signifikante Auswirkungen in anderen Mitgliedsstaaten des Europäischen Wirtschaftsraums haben, werden die Aufsichtsbehörden der betroffenen Staaten durch die jeweilige Europäische Aufsichtsbehörde informiert:

Meldeprozess und die involvierten Akteure [Eigene Darstellung auf Basis des BaFinJournal Artikels „Transparenz dank Meldeplicht“] 

Für den Fall, dass Sie sowohl unter NIS-2 als auch unter DORA fallen, beachten Sie bitte, dass sich die Anforderungen teilweise überschneiden. Hier kommt wieder die Regelung „lex specialis“ zum Tragen, d. h. die Anforderungen aus DORA müssen vorrangig beachtet werden, wenn sie spezifischer sind als die der NIS-2-Richtlinie. Somit müssen Finanzunternehmen, die unter die NIS-2-Richtlinie fallen, künftig nur eine Vorfallsmeldung gemäß DORA bei der BaFin einreichen. Diese leitet die Meldung unverzüglich an das Bundesamt für Sicherheit in der Informationstechnik (BSI) weiter.

Sämtliche Informationen werden zukünftig von der BaFin in ihrem Lagebild zum Cyber-Risiko im Finanzsektor verarbeitet.

Die Erstmeldung
Kurz nach dem Eintreten eines als schwerwiegend klassifizierten IKT-bezogenen Vorfalls muss das jeweilige Unternehmen die BaFin informieren. Die Erstmeldung muss eine Aussagekraft besitzen, die ausreicht, der Aufsicht eine zutreffende Bewertung zu ermöglichen. Dazu sollen beispielsweise folgende Fragen beantwortet werden: Welche Services sind betroffen? Welche Auswirkungen hat der IKT-bezogene Vorfall auf die Kunden oder andere Finanzmarktakteure? Wie gravierend sind die Auswirkungen, z.B. aufgrund von unberechtigtem Datenzugriff oder Datenverschlüsselung?
Darüber hinaus müssen auch Vorfälle gemeldet werden, die bei einem vom Unternehmen beauftragten Dienstleister auftreten. Danach kann die BaFin anhand ihrer Auslagerungsdatenbank die Auswirkungen auf den gesamten Finanzmarkt evaluieren und ggf. weitere davon betroffene Akteure benachrichtigen.

Die Zwischenmeldung
In ihrer Zwischenmeldung liefern Unternehmen der BaFin konkrete Daten zum Ausmaß des IKT-bezogenen Vorfalls sowie eine detailliertere Analyse. Damit erhält die Aufsicht mehr Informationen, um die Auswirkungen des IKT-bezogenen Vorfalls auf das Unternehmen, seine Kunden, Gegenparteien und den Finanzmarkt abschätzen zu können. In der Zwischenmeldung sind insbesondere Änderungen des Status anzuzeigen, etwa Informationen zu andauernden Einschränkungen, zur Wiederherstellung des Geschäftsbetriebs oder zu einer Verschärfung des IKT-bezogenen Vorfalls. Gegebenenfalls müssen mehrere Zwischenmeldung erfolgen.

Die Abschlussmeldung
Sobald der IKT-bezogene Vorfall behoben und die Ursachen analysiert worden sind, informiert das Unternehmen die Aufsicht mit einer Abschlussmeldung. Die Abschlussmeldung muss die Ursache des IKT-bezogenen Vorfalls, getroffene Maßnahmen, entstandene Kosten und Verluste beinhalten.

Weitere Informationen über den Meldeprozess finden Sie in den dazugehörigen RTS (Art. 20a) und ITS (Art. 20b) Meldung größerer IKT-bezogener Vorfälle und erheblicher Cyber-Bedrohungen.

Die wichtigsten Fragen nochmals zusammengefasst

Was ist ein IKT-bezogener Vorfall? Ein IKT-bezogener Vorfall ist ein vom Unternehmen nicht geplantes Ereignis oder eine Reihe zusammenhängender Ereignisse, die die Sicherheit der Netzwerk- und Informationssysteme beeinträchtigen und sich negativ auf die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Daten oder auf die vom Finanzunternehmen erbrachten Dienstleistungen auswirken.
Was muss mein Unternehmen zur Behandlung von IKT-bezogenen Vorfällen tun? Setzen Sie Indikatoren zur Frühwarnung ein und nehmen Sie anhand der Klassifizierungskriterien eine Einstufung hinsichtlich eines schwerwiegenden IKT-bezogenen Vorfalls ein. Führen Sie zusätzlich externe und interne Meldungen durch und richten Sie Maßnahmen zur Reaktion ein.
Wann muss ein IKT-bezogener Vorfall gemeldet werden? Ein IKT-bezogener Vorfall ist meldepflichtig, wenn er die entsprechenden Klassifizierungskriterien erfüllt und als schwerwiegend gilt.
An wen muss ich die Meldung über einen IKT-bezogener Vorfall übermitteln? Die BaFin ist der Meldehub für alle unter ihrer Aufsicht stehenden Finanzunternehmen.


Benötigen Sie Unterstützung? Wir helfen Ihnen gerne!

Mit der Anwendung von DORA am 17. Januar 2025 startet auch die Meldepflicht für schwerwiegende IKT-Vorfälle. Wir empfehlen Ihnen, bereits jetzt mit der Anpassung Ihrer Prozesse zu beginnen. Dazu ist es erforderlich, die Voraussetzungen zu schaffen, um im Falle eines IKT-bezogenen Vorfalls alle erforderlichen Daten einreichen zu können. Des Weiteren ist sicherzustellen, dass die verantwortlichen Mitarbeiter*innen in der Lage sind, Vorfälle gemäß den neuen Anforderungen zu identifizieren, zu managen und zu melden. Wir unterstützen Sie gerne dabei!

Auch interessant:

„DORA: How the Next Wave of Requirements Is Hitting the Payment Card Industry”: usd Experten auf der Bühne des 2024 PCI SSC Europe Community Meeting

„DORA: How the Next Wave of Requirements Is Hitting the Payment Card Industry”: usd Experten auf der Bühne des 2024 PCI SSC Europe Community Meeting

Christopher Kristes, Head of Security Audits & PCI und Vorstand der usd AG, und Dr. Christian Schwartz, Head of InfoSec in Finance der usd AG, stehen am Mittwoch, den 09. Oktober 2024 zum Thema „DORA: How the Next Wave of Requirements Is Hitting the Payment Card...

mehr lesen

Kategorien

Kategorien