Die Meldung durch ein Finanzunternehmen gegenüber der BaFin ist dann erforderlich, wenn sich das Finanzunternehmen an Vereinbarungen zum Austausch von Informationen und Erkenntnissen über Cyberbedrohungen mit anderen Finanzunternehmen beteiligt und das Finanzunternehmen unter Aufsicht der BaFin steht. Eine Meldung gegenüber der BaFin ist ebenfalls dann erforderlich, wenn die Beteiligung an der Vereinbarung beendet wird.

Die Meldepflicht erstreckt sich auf Vereinbarungen zwischen Finanzunternehmen im Anwendungsbereich von DORA. Dazu gehören neben den Finanzunternehmen im Sinne des Artikel 2 Absatz 2 DORA auch die in § 1a Absatz 2a KWG oder § 293 Absatz 5 VAG genannten Unternehmen.

Die Teilnahme einzelner Nicht-Finanzunternehmen an der Vereinbarung führt nicht zum Ausschluss der Meldepflicht. Allerdings sind Vereinbarungen, an denen überwiegend Nicht-Finanzunternehmen beteiligt sind, gegenüber der BaFin nicht meldepflichtig. Nicht meldepflichtig sind beispielsweise solche Vereinbarungen, die einen Austausch mit Unternehmen auch außerhalb des Finanzsektors ermöglichen und an denen überwiegend Unternehmen aus Branchen außerhalb des Finanzsektors beteiligt sind.

Die Meldepflicht erfasst nur Vereinbarungen, die einen regelmäßigen und auf Dauer angelegten Austausch zwischen den beteiligten Finanzunternehmen ermöglichen. Ein punktueller oder situativer Austausch zwischen Finanzunternehmen, der auf keiner Vereinbarung zum Austausch beruht, ist nicht meldepflichtig.

Gruppen- oder verbundinterne Vereinbarungen zum Austausch von Informationen und Erkenntnissen über Cyberbedrohungen sind nicht meldepflichtig gegenüber der BaFin. Eine verbundinterne Vereinbarung beschränkt sich auf Finanzunternehmen, die demselben institutsbezogenen Sicherungssystem angehören.

Bestehende Fragen zu Artikel 45 DORA richten Sie bitte an die Funktionsadresse Artikel45DORA@bafin.de.