BaFin - Navigation & Service

Springe direkt zu:

Fragen und Antworten zur Vereinbarung über den Austausch von Informationen sowie Cyberkrisen- und Notfallübungen

Auf dieser Seite finden Sie die Antworten zu den häufigsten Fragen zur Vereinbarung über den Austausch von Informationen sowie Cyberkrisen- und Notfallübungen

Der Fragenkatalog vermittelt, ohne Anspruch auf Vollständigkeit, einen ersten Überblick über die wichtigsten Fragestellungen und deren Umsetzung. Dieser Fragenkatalog wird fortlaufend aktualisiert.

Müssen Finanzunternehmen nun verpflichtend Informationen und Erkenntnisse zu Cyberbedrohungen mit anderen Marktteilnehmern austauschen?

Die BaFin begrüßt grundsätzlich alle Maßnahmen von Teilnehmern des Finanzsektors, um die operationale Resilienz zu erhöhen und die Auswirkungen von IKT-Risiken und -Vorfällen zu reduzieren.


Der Austausch von Informationen und Erkenntnissen zu Cyberbedrohungen mit anderen Marktteilnehmern ist freiwillig. Um die operationale Resilienz des Finanzsektors zu stärken, empfehlen die EU-Gesetzgeber – genauso wie die BaFin – dass sich Finanzunternehmen zu Informationen und Erkenntnisse zu Cyberbedrohungen mit anderen Marktteilnehmern austauschen.


Art. 45 sieht vor, dass sich die teilnehmenden Finanzunternehmen durch Vereinbarungen Regeln für den Austausch von Informationen und Erkenntnissen zu Cyberbedrohungen geben, die den potenziell sensiblen Charakter dieser Informationen schützen und Verhaltensregeln zum Schutz personenbezogener Daten, Geschäftsgeheimnissen und auch des Wettbewerbs beinhalten. Ferner können die Vereinbarungen auch die Einbindung staatlicher Behörden und IKT-Drittdienstleister vorsehen sowie Regeln zur Nutzung von IT-Plattformen. Sofern Finanzunternehmen sich an Vereinbarungen zum freiwilligen Austausch von Informationen und Erkenntnissen zu Cyberbedrohungen nach Art. 45 beteiligen, ist dies zeitnah an deren zuständige Aufsichtsbehörde zu melden. Im Falle von durch die BaFin beaufsichtigten Finanzunternehmen, erfolgt die Meldung gegenüber der BaFin. Für bedeutend eingestufte Kreditinstitute ist die EZB die zuständige Aufsichtsbehörde. Auch die Beendigung der Beteiligung an solchen Vereinbarungen ist gegenüber der zuständigen Aufsichtsbehörde zu melden. Weitere Infos dazu sind nachfolgend zu finden.

Was ist ein Austausch von Informationen und Erkenntnisse zu Cyberbedrohungen zwischen Finanzunternehmen im Sinne von Artikel 45 DORA?

Ein Austausch von Informationen und Erkenntnissen zu Cyberbedrohungen zwischen Finanzunternehmen im Sinne von Artikel 45 DORA ist ein Austausch, der

a) darauf abzielt die digitale operationale Resilienz von Finanzunternehmen zu stärken, insbesondere indem für Cyberbedrohungen sensibilisiert, die Verbreitung von Cyberbedrohungen eingeschränkt oder verhindert wird und die Verteidigungsfähigkeiten, Techniken zur Erkennung von Bedrohungen, Abmilderungsstrategien oder Phasen der Reaktion und Wiederherstellung unterstützt werden;
b) innerhalb vertrauenswürdiger Gemeinschaften von Finanzunternehmen erfolgt;
c) durch Vereinbarungen über den Austausch von Informationen umgesetzt wird, die den potenziell sensiblen Charakter der ausgetauschten Informationen schützen und Verhaltensregeln unterliegen, in deren Rahmen die Wahrung des Geschäftsgeheimnisses, der Schutz personenbezogener Daten im Einklang mit der Verordnung (EU) 2016/679 und Leitlinien für die Wettbewerbspolitik vollumfänglich befolgt werden.

Meldung von Vereinbarungen gemäß Artikel 45 Abs. 3 DORA

Die BaFin wird Details zur Meldepflicht von Finanzunternehmen zur Beteiligung an Vereinbarungen über den Austausch von Informationen und Erkenntnissen zu Cyberbedrohungen nach Artikel 45 Abs. 3 DORA zeitnah auf dieser Seite veröffentlichen. Dabei wird berücksichtigt, dass die betroffenen Finanzunternehmen den Meldepflichten mit der notwendigen Sorgfalt innerhalb eines angemessenen zeitlichen Rahmens nachkommen können.


Die BaFin erwartet bis zur Veröffentlichung dieser Umsetzungsdetails keine Meldungen von Finanzunternehmen zu Artikel 45 Abs. 3 DORA.


Bereits aktuell bestehende Fragen zu Artikel 45 DORA richten Sie bitte an Artikel45DORA@bafin.de.

Führt die BaFin dedizierte Cyberkrisen- und Notfallübungen für alle Finanzunternehmen durch?

Nein. Die Erstellung, Etablierung und das Testen von Krisen- und Notfallplänen ist Teil des IKT-Risikomanagementrahmens und liegt in der Verantwortung der Finanzunternehmen. Europäischen und nationalen Aufsichtsbehörden wird in Artikel 49 DORA-VO die Möglichkeit eingeräumt, sektorübergreifende Krisen- und Notfallübungen zu konzipieren, um Kommunikationskanäle zu entwickeln und schrittweise eine wirksame koordinierte Reaktion auf Unionsebene zu ermöglichen sowie Mechanismen für den Austausch wirksamer Verfahren einzurichten, um die Lageerfassung zu verbessern und sektorübergreifend gemeinsame Cyberrisiken zu ermitteln.

Die BaFin hat bereits in der Vergangenheit an internationalen Cyber-Krisenübungen teilgenommen (https://www.bafin.de/ref/19725450) oder hat solche national durchgeführt (https://www.bafin.de/ref/19677678).

Fanden Sie den Beitrag hilfreich?

Wir freuen uns über Ihr Feedback

Es hilft uns, die Webseite kontinuierlich zu verbessern und aktuell zu halten. Bei Fragen, für deren Beantwortung wir Sie kontaktieren sollen, nutzen Sie bitte unser Kontaktformular.

Wir freuen uns über Ihr Feedback