Datum: 31.07.2024Welche Meldeformate werden mit der IKT-Vorfallsmeldung nach DORA abgelöst?
DORA ist eine unmittelbar geltende europäische Verordnung, die das Meldewesen für Finanzunternehmen in Bezug auf IKT-Resilienz harmonisiert. Deshalb hat der europäische Gesetzgeber in der Begleitrichtlinie zu DORA (Richtlinie (EU) 2022/2556) vorgesehen, dass die Meldepflicht gem. Artikel 96 Abs. 1 PSD2 für Zahlungsdienstleister, die Finanzunternehmen im Sinne der DORA darstellen, nicht mehr gelten soll (vgl. Artikel 7 Nr. 5 der Richtlinie (EU) 2022/2556). Artikel 12 Nr. 14 des Gesetzes zur Digitalisierung des Finanzmarktes (FinmadiG) setzt diese Anforderungen der Begleitrichtlinie um, indem es die Meldepflicht gem. § 54 Abs. 1 ZAG für Zahlungsdienstleister im Sinne des § 1 Abs. 1 Satz 1 Nr. 1, 2 oder Nr. 3 ZAG aufhebt. Das Rundschreiben 03/2022 (BA) der BaFin zur Ausgestaltung der Meldepflicht gem. § 54 Abs. 1 ZAG wurde zum 17. Januar 2025 aufgehoben.
Gem. Erwägungsgrund 16 DORA ist DORA Lex specialis zur NIS2. Dementsprechend ist DORA für Finanzunternehmen, die unter beide Rechtsakte fallen, vorrangig zu beachten. Folglich entfällt die Meldepflicht gem. NIS2 für den Meldepflichtigen für die Fälle, in welchen er eine DORA Meldung abgibt.
Auf Meldungen nach der DSGVO hat DORA keinen Einfluss, diese bestehen uneingeschränkt und unabhängig von DORA fort.
