Finanzunternehmen sind gemäß Artikel 19 des Digital Operation Resilience Act (DORA) dazu verpflichtet, schwerwiegende IKT-bezogene Vorfälle der zuständigen Behörde zu melden. Für Finanzunternehmen in Deutschland agiert die BaFin als zentraler Melde-Hub für diese Meldungen. Sämtliche Finanzunternehmen unter BaFin Aufsicht sowie bedeutende Institute (significant institutions – SIs) unter EZB Aufsicht mit Sitz in Deutschland müssen ihre Vorfallsmeldungen bei der BaFin einreichen. Die BaFin wird sämtliche Meldungen anschließend gemäß Artikel 19 Absatz 6 DORA an alle weiteren zuständigen Behörden weiterleiten. Meldungen über erhebliche Cyberbedrohungen tragen dazu bei, dass die BaFin ein ganzheitliches Bild der aktuellen Cybersicherheitslage des Finanzsektors hat.

Meldeprozess für IKT-Vorfallsmeldungen

Schwerwiegende IKT-bezogene Vorfälle müssen der BaFin über ihre Melde- und Veröffentlichungsplattform (MVP) eingereicht werden. Melderinnen und Melder der Unternehmen müssen daher in der MVP registriert und für das Fachverfahren „Digital Operational Resilience Act (DORA)“ freigeschaltet sein. Informationen darüber, wie Sie sich in der MVP registrieren und für das Fachverfahren freischalten lassen können, finden Sie hier.

Wenn Sie eine Meldung eines schwerwiegenden IKT-bezogenen Vorfalls bei der BaFin einreichen müssen, ist ein hierfür vorgesehenes Formular in der MVP ausfüllen. Zum 17. Januar 2025 wird ausschließlich dieser Meldeweg zur Verfügung stehen. Voraussichtlich im dritten Quartal 2025 wird die BaFin zudem die Einreichung von Vorfallsmeldungen über eine SOAP Webservice Schnittstelle sowie als Dateiupload im JSON Format ermöglichen.

Zur Abgabe der Meldung wählen Sie unter „Meldung einreichen“ in der MVP das Fachverfahren „Digital Operational Resilience Act (DORA)“ und anschließend unter „Einreichung“ die Option „Meldung schwerwiegender IKT-bezogener Vorfälle“ aus. Anschließend können Sie das Meldeformular zur Abgabe der Meldung eines schwerwiegenden IKT-bezogenen Vorfalls befüllen. Das Formular umfasst sämtliche Felder der Erst-, Zwischen- und Abschlussmeldung gemäß der Durchführungsverordnung zum Vorfallsmeldewesen unter DORA. Zudem können gemeldete Vorfälle, die sich auf Basis neuerer Einschätzungen als nicht schwerwiegend erwiesen haben, hier auch reklassifiziert werden.

Eine Orientierung über das Meldeformular liefert neben dem Anhang der Durchführungsverordnung, der die Datenfelder definiert, auch das Excel Template der ESAs. Finanzunternehmen können dieses Template intern als Orientierung verwenden. Wichtig ist jedoch, dass das Excel-Template nicht über die MVP bei der BaFin eingereicht werden kann. Es darf somit nicht für die Meldung eines schwerwiegenden IKT-bezogenen Vorfalls genutzt werden. Lediglich im Falle einer Nichtverfügbarkeit der MVP sollten Finanzunternehmen das Excel-Template als alternativen Meldekanal nutzen und ausgefüllt an IKT-Vorfall@bafin.de senden. Hierbei sollten die Hinweise zur gesicherten E-Mail-Kommunikation beachtet werden. Eine Meldung über die MVP ist in diesem Fall sobald wie möglich nachzureichen.

Einreichen der Erst-, Zwischen- und Abschlussmeldung

Der Meldeprozess unter DORA verfolgt das Ziel, dass Sie mit jeder Meldung Ihre Vorfallsmeldung vervollständigen, bis Sie mit der Abschlussmeldung eine vollständige Meldung bestehend aus Erst-, Zwischen- und Abschlussmeldung eingereicht haben. Dies bedeutet, dass Sie immer auch die Informationen aus den vorherigen Meldungen (Informationen aus der Erstmeldung bei einer Zwischenmeldung sowie Informationen aus Erst- und Zwischenmeldung bei einer Abschlussmeldung) mit einreichen und aktualisieren müssen. Aus Sicherheitsgründen werden die Informationen aus vorherigen Meldungen nicht in der MVP gespeichert, so dass Sie diese dort nicht aktualisieren und um weitere Meldungen ergänzen können.

Für die Aktualisierung können Sie die XML-Ex- und Import Funktionalität nutzen. Unmittelbar vor der Abgabe einer Meldung können Sie einen XML-Export der Meldung durchführen.

Abbildung 1: XML-Export Feld

Die XML-Datei sollten Sie auf Ihren lokalen Servern speichern und vor dem Einreichen weiterer Meldungen im MVP-Portal wieder hochladen.

Abbildung 2: XML-Import Feld

Hierdurch werden die in der vorherigen Meldung bereits ausgefüllten Felder automatisch mit den importierten Werten befüllt. Anschließend müssen Sie lediglich die weiteren Felder der Zwischen- bzw. Abschlussmeldung befüllen sowie Änderungen bzw. Aktualisierungen der vorherigen Angaben vornehmen.

Um nachzuvollziehen, ob Sie eine Meldung erfolgreich eingereicht haben, prüfen Sie bitte nach dem Absenden der Meldung den Status der Meldung. Kontrollieren Sie hierfür unter dem Menüpunkt „Protokoll einsehen“ der MVP, ob als Status der Meldung „Meldung akzeptiert“ angezeigt wird.

Abbildung 3: Meldungsstatus

Bei der Abgabe einer Zwischen- und Abschlussmeldung sowie bei einer Reklassifizierung ist zwingend das Datenfeld 3.1. Incident ID zu befüllen. In dieses Feld muss die durch die BaFin erstellte Incident ID des entsprechenden Vorfalls eingetragen werden. Nach dem erfolgreichen Einreichen einer Erstmeldung erhalten Sie diese ID ebenfalls über das Protokoll der Meldung. Bei der ID handelt es sich um einen zehnstelligen Code in folgender Kombination: D + neun Ziffern.

Abbildung 4: Incident ID

Erlaubte Identifikationscodes

Der Legal Entity Identifier (LEI) dient unter DORA als zentraler Identifikationscode für Finanzunternehmen. Jedes Finanzunternehmen ist dazu verpflichtet, über einen LEI zu verfügen. Bei der Meldung eines schwerwiegenden IKT-bezogenen Vorfalls, muss das betroffene Finanzunternehmen per LEI identifiziert werden. Dies gilt auch für den Fall, dass für Gruppen oder Konzerne aggregierte Vorfallsmeldungen eingereicht werden. Auch in diesem Fall müssen sämtliche Finanzunternehmen, die die jeweilige Meldung umfasst, hierin per LEI identifiziert werden. Hierbei muss das entsprechende Datenfeld 1.6. LEI Nummer(n) des/der betroffenen Finanzunternehmen(s) mit einer Liste der LEI-Codes aller betroffenen Finanzunternehmen, jeweils durch ein Semikolon getrennt, befüllt werden.

Sollte die Meldepflicht an einen Dienstleister ausgelagert sein, so darf dieser neben dem LEI auch den European Unique Identifier (EUID) als Identifikationscode nutzen. Eine Übersicht darüber, welche Codes für welche Unternehmen zulässig sind, liefert die nachfolgende Grafik:

European Unique Identifier (EUID)

Die BaFin betont die Notwendigkeit einer hohen Datenqualität

Sämtliche Vorfallsmeldungen sind stets korrekt und vollständig auszufüllen. Pflichtfelder sind hierfür durch einen roten Stern im Formular markiert. Ohne das vollständige Ausfüllen von Pflichtfeldern kann eine Vorfallsmeldung nicht eingereicht werden. Weitere Validierungsregeln und Plausibilitätsprüfungen stellen sicher, dass Datenfelder passend befüllt werden. Einen Überblick über die hinterlegten Plausibilitätsprüfungen finden Sie im hier hinterlegten Dokument. Es ist möglich, dass es bei den hinterlegten Prüfungen in Zukunft noch zu geringfügigen Anpassungen kommen wird. In diesem Fall wird dieses Dokument aktualisiert.

Neben der formalen Datenqualität ist es wichtig, dass die Meldungen so ausgefüllt werden, dass Aufseherinnen und Aufseher auf Basis der bereitgestellten Informationen in der Lange sind, den Vorfall sowie seine Auswirkungen und seine Kritikalität angemessen einschätzen zu können. Dies ist insb. bei der Beschreibung des Vorfalls in der Erstmeldung von großer Relevanz. Diese sollte daher stets eine Antwort auf die folgenden Fragen umfassen:

• Was ist passiert?
• Welche Services sind betroffen?
• Welche Auswirkungen hat der Vorfall auf Kundinnen und Kunden, Gegenparteien oder andere Finanzmarktakteure?
• Dauert der Vorfall noch an und falls ja, wie lange wird er voraussichtlich noch andauern?
• Liegt dem Vorfall vermutlich eine böswillige Handlung zugrunde?
• Wie gravierend ist der Vorfall aus Sicht des Finanzunternehmens zum Zeitpunkt der Meldungsabgabe? Einschätzung des Schweregrades: sehr niedrig, niedrig, mittel, hoch, sehr hoch.
• Sind nachhaltige Auswirkungen auf das Finanzunternehmen, seine Kundschaft oder gar den Finanzmarkt zu erwarten – oder sind diese bereits sichtbar?
• Ist es wahrscheinlich, dass andere Finanzunternehmen von diesem Vorfall betroffen sind?

Sollten exakte Daten zum Zeitpunkt der Erst- und Zwischenmeldung noch nicht vorliegen, können zunächst Schätzungen vorgenommen werden. Hierfür sollten historische Daten aus Vergleichsperioden genutzt werden. Spätestens mit der Abgabe der Abschlussmeldung müssen Schätzungen jedoch durch exakte Informationen ersetzt werden, sofern dies möglich ist.

Neben den automatisierten Datenqualitätsprüfungen werden sämtliche Vorfallsmeldungen auch durch das Incident Management Team (IMT) der BaFin geprüft und analysiert. Sollte das IMT zu dem Schluss kommen, dass Datenfelder nicht korrekt oder nicht vollständig ausgefüllt worden sind, kann es sie dazu auffordern, eine überarbeitete Meldung einzureichen. Dies kann auch der Fall ein, wenn die Informationen dem IMT nicht ausreichen, um die Auswirkungen des Vorfalls abschätzen zu können. In solchen Fällen sowie bei weiteren Nachfragen bzgl. des gemeldeten Vorfalls, wendet sich das IMT der BaFin an die in der Vorfallsmeldung genannten Ansprechpartnerinnen und Ansprechpartner des Unternehmens. Unternehmen sollten daher sicherstellen, dass die angegebenen Personen stets für Rückfragen erreichbar sind.

Die BaFin informiert über die Meldung erheblicher Cyberbedrohungen

Gemäß Artikel 19 Absatz 2 DORA sind Finanzunternehmen dazu aufgefordert, auf freiwilliger Basis signifikante Cyberbedrohungen zu melden. Hierfür sollen Unternehmen zunächst das für diese Meldungen vorgesehene Excel-Template ausfüllen und per E-Mail an IKT-Vorfall@bafin.de senden.

Meldungen erheblicher Cyberbedrohungen sind für die BaFin von großer Relevanz, um einen ganzheitlichen Blick über die aktuelle Bedrohungslage des Finanzmarktes zu erhalten. Sollten weitere Finanzunternehmen von einer gemeldeten Bedrohung betroffen sein, wird die BaFin die Meldungen nutzen, um diese Unternehmen zu warnen. Relevante Informationen werden zudem in das Cyberlagebild der BaFin miteinfließen.

Unter Fragen und Antworten sind häufige Fragestellungen zusammengefasst.