Skip to main content

Klassifizierung und Berichterstattung IKT-Vorfälle in Übereinstimmung mit DORA

Im Zuge der fortschreitenden Digitalisierung ist der Finanzsektor auf eine solide Cybersicherheitsstrategie angewiesen, die durch den Digital Operational Resilience Act (DORA) gestärkt wird. DORA setzt spezifische Standards für die Behandlung, Klassifizierung und Berichterstattung von IKT-bezogenen Vorfällen.

Kapitel III der Verordnung, Artikel 17 bis 23, definiert die Anforderungen und legt fest, dass IKT-bezogene Vorfälle und potenzielle Cyberbedrohungen zentral an die BaFin gemeldet werden müssen.

Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle gemäß DORA

1. Definition und Management von IKT-bezogenen Vorfällen

Ein IKT-bezogener Vorfall wird als unvorhergesehenes Ereignis beschrieben, das die Sicherheit der Netzwerk- und Informationssysteme eines Finanzunternehmens beeinträchtigt und Auswirkungen auf die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Daten haben kann (weitere Informationen auf der BaFin-Seite). Finanzunternehmen sind angehalten, solche Vorfälle zu dokumentieren und bei Erfüllung bestimmter Kriterien eine Meldung abzugeben.

2. Klassifikation und Meldepflicht

Gemäß Artikel 18 DORA müssen Vorfälle nach festgelegten Kriterien klassifiziert werden, die in einem Regulatory Technical Standard (RTS) spezifiziert werden. Die genaue Klassifizierung erfolgt anhand der Schwere und Auswirkungen des Vorfalls auf die Sicherheit und den Betrieb der Finanzdienstleistungen. Ein als „schwerwiegend“ klassifizierter Vorfall unterliegt der Meldepflicht und muss der BaFin gemeldet werden.

Artikel 18 DORA

3. Meldepflichten im Vergleich: DORA, DSGVO, NIS2 und PSD II

Gemäß Artikel 18 DORA müssen Vorfälle nach festgelegten Kriterien klassifiziert werden, die in einem Regulatory Technical Standard (RTS) spezifiziert werden. Die genaue Klassifizierung erfolgt anhand der Schwere und Auswirkungen des Vorfalls auf die Sicherheit und den Betrieb der Finanzdienstleistungen. Ein als „schwerwiegend“ klassifizierter Vorfall unterliegt der Meldepflicht und muss der BaFin gemeldet werden.

DORA, DSGVO, NIS2 und PSD II

4. Präventive Maßnahmen und Weiterbildungsangebote

Um die DORA-Anforderungen effizient umzusetzen und Risiken zu minimieren, sollten Finanzunternehmen regelmäßige Schulungen und Weiterbildungen für ihre Mitarbeiter anbieten. Das S+P Unternehmerforum bietet hierzu praxisorientierte Seminare und Schulungen an, die gezielt auf die Anforderungen der DORA-Regelungen und des Datenschutzes eingehen.

5. Fazit

Die Anforderungen von DORA setzen neue Standards für die Cybersicherheit im Finanzsektor und verbessern die Koordination bei der Meldung von IKT-bezogenen Vorfällen. Die zentrale Rolle der BaFin und der Fokus auf eine schnelle Berichterstattung sollen sicherstellen, dass potenzielle Bedrohungen für das Finanzsystem effizient gehandhabt werden. Die Seminare des S+P Unternehmerforums bieten die Möglichkeit, Fachwissen zu den neuen Meldepflichten aufzubauen und somit die operative Resilienz und Compliance im Finanzsektor zu stärken.