Ab dem 17.01.2025 gilt für Finanzunternehmen die Pflicht zur Meldung schwerwiegender IKT-bezogener Vorfälle gemäß Art. 19 Abs. 1 DORA. Finanzunternehmen können diese Meldungen entweder selbst vornehmen oder ihre Meldepflichten gemäß Art. 19 Abs. 5 DORA an einen Dienstleister auslagern.
Nach Art. 7 des Technischen Durchführungsstandards zur Meldung eines schwerwiegenden IKT-bezogenen Vorfalls oder einer erheblichen Cyberbedrohung (Durchführungsverordnung (EU) 2025/302) hat ein Dienstleister, an den Finanzunternehmen ihre Meldepflichten ausgelagert haben, zudem die Möglichkeit, aggregierte Meldungen für mehrere Finanzunternehmen zu demselben schwerwiegenden IKT-bezogenen Vorfall abzugeben.
Im Folgenden werden die Verfahren und Voraussetzungen zur Auslagerung der Meldepflichten und zur Einreichung aggregierter Meldungen dargestellt.

Auslagerung der Meldepflichten

Gemäß Art. 19 Abs. 5 DORA können Finanzunternehmen die Meldepflichten für schwerwiegende IKT-bezogene Vorfälle an Dienstleister auslagern. Machen meldepflichtige Finanzunternehmen von dieser Möglichkeit Gebrauch, sind sie nach Art. 6 der Durchführungsverordnung (EU) 2025/302 verpflichtet, der BaFin diese Auslagerung anzuzeigen. Ungeachtet sonstiger sektorspezifischer gesetzlicher Verpflichtungen aus der Anzeige von Auslagerungen bzw. Ausgliederungen müssen der BaFin hierfür folgende Daten übermittelt werden:

• Name, BaFin-ID und LEI-Code des meldepflichtigen Finanzunternehmens
• Name und LEI-Code des Dienstleisters
• Falls vorhanden: BaFin-ID des Dienstleisters, andernfalls postalische Adresse des Dienstleisters

Die Übermittlung dieser Daten an die BaFin muss durch das Finanzunternehmen unverzüglich nach Abschluss einer Auslagerungsvereinbarung i. S. d. Art. 19 Abs. 5 DORA mit einem Dienstleister erfolgen. In jedem Fall muss diese Auslagerungsanzeige vor der ersten Vorfallsmeldung durch diesen Dienstleister für das Finanzunternehmen erfolgen. Die BaFin muss ebenfalls informiert werden, wenn die angezeigte Auslagerungsvereinbarung nicht länger Bestand hat oder aufgelöst wurde.
Weitere Informationen zum Prozess der Datenübermittlung an die BaFin sind hier zusammengefasst.

Einreichung aggregierter Meldungen

Nach Art. 7 der Durchführungsverordnung (EU) 2025/302 zum Vorfallsmeldewesen kann ein Dienstleister, an den Finanzunternehmen ihre Pflicht zur Vorfallsmeldung nach Art. 19 Abs. 5 DORA ausgelagert haben, auch aggregiert für mehrere Finanzunternehmen Meldungen zu demselben schwerwiegenden IKT-bezogenen Vorfall abgeben.
Die BaFin ermöglicht gemäß Art. 7 Abs. 1 lit. e der Durchführungsverordnung (EU) 2025/302 allen Finanzunternehmen, für die sie die zuständige Behörde gemäß Art. 46 DORA ist, die Möglichkeit des aggregierten Meldens, sofern die in Art. 7 der Durchführungsverordnung (EU) 2025/302 genannten Voraussetzungen erfüllt sind. Dies umfasst insbesondere die Voraussetzung, dass Gegenstand der aggregierten Meldung ein einzelner schwerwiegender Vorfall bei einem Dienstleister ist, der mehrere Finanzunternehmen betrifft. Da sich die von einem Vorfall betroffenen Finanzunternehmen sehr stark in ihrer Struktur oder ihrem Geschäftsmodell unterscheiden können, empfiehlt die BaFin zudem, dass Dienstleister nur für Finanzunternehmen aggregiert Meldungen abgeben, die in einer rechtlichen Beziehung zueinanderstehen. Eine solche rechtliche Beziehung besteht beispielsweise bei Finanzunternehmen innerhalb von Verbünden oder Konzernen.

Gemäß Artikel 19 Abs. 6 DORA werden bei einer Vorfallsmeldung Einzelheiten zu dem schwerwiegenden IKT-bezogenen Vorfall auch an weitere zuständige Behörden übermittelt. Bei einer aggregierten Meldung kann sich die Zuständigkeit dieser Behörden für die einzelnen Finanzunternehmen innerhalb einer Meldung unterscheiden. Die BaFin empfiehlt daher, dass Dienstleister bei der Erstellung einer aggregierten Meldung nur die Finanzunternehmen zusammenfassen, für die ausschließlich dieselben in Artikel 19 Abs. 6 DORA gelisteten Behörden zuständig sind. Insbesondere sollten Dienstleister darauf achten, dass alle Finanzunternehmen einer aggregierten Meldung derselben europäischen Aufsichtsbehörde unterstehen. In davon abweichenden Fällen kann die BaFin nicht sicherstellen, dass die Meldungen der Finanzunternehmen nur an die dafür in Artikel 19 Abs. 6 DORA vorgesehenen Behörden weitergeleitet werden und behält sich gemäß Art. 7 Abs. 3 der Durchführungsverordnung (EU) 2025/302 vor, in diesen Fällen von den Finanzunternehmen eine Einzelmeldung anfordern.

Die BaFin weist zusätzlich darauf hin, dass die europäischen Behörden nach Artikel 19 Abs. 7 DORA weitere zuständige Behörden in anderen EU-Mitgliedsstaaten über den Vorfall benachrichtigen können. Dies hat bei aggregierten Meldungen zur Konsequenz, dass aufgrund der Weiterleitung einer einzelnen aggregierten Meldung mit Informationen über eine Mehrzahl betroffener Finanzunternehmen auch Informationen über jene Finanzunternehmen weitergeleitet werden, die für diesen EU-Mitgliedstaaten keine Relevanz haben. Da die BaFin eine Aufspaltung der aggregierten Meldung nicht vornehmen kann, sollten Finanzunternehmen, die damit nicht einverstanden sind, das Verfahren zum aggregierten Melden nicht nutzen.

Unter Fragen und Antworten sind häufige Fragestellungen zusammengefasst.