Die BaFin begrüßt grundsätzlich alle Maßnahmen von Teilnehmern des Finanzsektors, um die operationale Resilienz zu erhöhen und die Auswirkungen von IKT-Risiken und -Vorfällen zu reduzieren.

Der Austausch von Informationen und Erkenntnissen zu Cyberbedrohungen mit anderen Finanzunternehmen ist freiwillig. Um die operationale Resilienz des Finanzsektors zu stärken, empfehlen die EU-Gesetzgeber – genauso wie die BaFin – dass sich Finanzunternehmen zu Informationen und Erkenntnisse zu Cyberbedrohungen mit anderen Marktteilnehmern austauschen.

Artikel 45 DORA sieht vor, dass sich die teilnehmenden Finanzunternehmen durch Vereinbarungen Regeln für den Austausch von Informationen und Erkenntnissen zu Cyberbedrohungen geben, die den potenziell sensiblen Charakter dieser Informationen schützen und Verhaltensregeln zum Schutz personenbezogener Daten, Geschäftsgeheimnissen und auch des Wettbewerbs beinhalten. Ferner können die Vereinbarungen auch die Einbindung staatlicher Behörden und IKT-Drittdienstleister vorsehen sowie Regeln zur Nutzung von IT-Plattformen.

Sofern sich Finanzunternehmen an Vereinbarungen zum freiwilligen Austausch von Informationen und Erkenntnissen über Cyberbedrohungen untereinander beteiligen, ist dies zeitnah an deren zuständige Aufsichtsbehörde zu melden. Im Falle von durch die BaFin beaufsichtigten Finanzunternehmen erfolgt die Meldung gegenüber der BaFin. Für bedeutend eingestufte Kreditinstitute ist die EZB die zuständige Aufsichtsbehörde.

Auch die Beendigung der Beteiligung an solchen Vereinbarungen ist gegenüber der zuständigen Aufsichtsbehörde zu melden. Weitere Informationen dazu sind nachfolgend zu finden.