Ab dem 17.01.2025 gilt für Finanzunternehmen

• die Pflicht zur Meldung schwerwiegender IKT-bezogener Vorfälle gemäß Art. 19 Abs. 1 DORA,
• die Möglichkeit zur freiwilligen Meldung erheblicher Cyberbedrohungen gemäß Art. 19 Abs. 2 DORA und
• die Pflicht zur Vorlage des Informationsregisters mit allen vertraglichen Vereinbarungen über die Nutzung von durch IKT-Drittdienstleistern bereitgestellten IKT-Dienstleistungen gemäß Art. 28 Abs. 3 UAbs. 4 DORA.

Um diese Meldungen bzw. Einreichungen vornehmen zu können, müssen die zuständigen Personen als Ansprechpartner eines Unternehmens im BaFin-Portal zur Melde- und Veröffentlichungsplattform (MVP-Portal) registriert sein und zusätzlich für das korrekte Fachverfahren „Digital Operational Resilience Act (DORA)“ (im Folgenden „DORA-Fachverfahren“) freigeschaltet werden.

Initiale Melderfreischaltung

Im Oktober und Dezember 2024 wurden zwei Durchläufe der initialen Melderfreischaltung durchgeführt, um eine große Zahl von Meldern gleichzeitig für das DORA-Fachverfahren freizuschalten.

Unternehmen, die an einem dieser Durchläufe teilgenommen haben, sollten überprüfen, ob alle angegebenen Melder korrekt für das DORA-Fachverfahren freigeschaltet wurden. Aktuell erfolgen noch bis zum 16.01.2025 Freischaltungen von Meldern des zweiten Durchlaufs. Nach dem 16.01.2025 können auch Melder des zweiten Durchlaufs abschließend prüfen, ob sie freigeschaltet sind. Dazu loggen sich die Melder im MVP-Portal ein und kontrollieren, ob unter „Fachverfahren – Antragsliste aufrufen“ das DORA-Fachverfahren als akzeptiert angezeigt wird. Sofern dies gegeben ist, sind keine weiteren Schritte erforderlich.

Melder, bei denen die initiale Melderfreischaltung nicht erfolgreich war oder die an dieser nicht teilgenommen haben, können die Freischaltung für das DORA-Fachverfahren ab dem 17.01.2025 eigenständig über die MVP beantragen.

Standardprozess zur Beantragung des DORA-Fachverfahrens

Der Standardprozess zur Beantragung des DORA-Fachverfahrens für Melder eines Finanzunternehmens besteht aus mehreren Schritten:

1. Voraussetzung für die Beantragung des DORA-Fachverfahrens ist zunächst die Registrierung des Melders im MVP-Portal, sofern diese nicht bereits für andere Fachverfahren vorgenommen wurde.
2. Danach muss im MVP-Portal auf der Seite „Benutzerdaten ändern“ der LEI-Code des Unternehmens, dem der Melder angehört, eingetragen werden. Hierfür ist als Referenzart „LEI“ auszuwählen und als Referenz der LEI-Code des eigenen Unternehmens einzutragen. Der LEI-Code ist Voraussetzung für die Freischaltung zum DORA-Fachverfahren.
3. Anschließend kann auf der Seite „Fachverfahren beantragen“ im MVP-Portal das Fachverfahren „Digital Operational Resilience Act (DORA)“ beantragt werden.
4. Unter „Antragsliste aufrufen“ wird das DORA-Fachverfahren nach Beantragung mit dem Status „vorläufig“ angezeigt. Mit einem Klick auf die Antragsnummer kann der Antrag geöffnet werden. Dieser muss unterschrieben werden (wahlweise mit einer qualifizierten elektronischen Signatur oder handschriftlich auf dem Ausdruck mit späterem Scan des Dokuments).
5. Über das Feld „Anzeigen/Hochladen“ neben dem DORA-Fachverfahren muss der unterschriebene Antrag hochgeladen werden. Ein zusätzliches Einreichen des Antrags auf dem Postweg ist nicht notwendig.

Nachdem der Antrag unterschrieben hochgeladen wurde, erfolgt die Freischaltung durch die BaFin. Melder werden per E-Mail über die erfolgreiche Freischaltung informiert. Eine erfolgreiche Freischaltung wird ebenfalls durch den Status des DORA-Fachverfahrens auf „akzeptiert“ angezeigt.

Ausgelagerte Meldepflichten

Finanzunternehmen, die ihre Melde- und Einreichungspflichten an einen externen Dienstleister oder ein anderes (Finanz-)Unternehmen innerhalb ihrer Gruppe oder ihres Konzerns ausgelagert haben (im Folgenden „Auslagerungsunternehmen“) oder planen dies zu tun, und Beschäftigte des Auslagerungsunternehmens als Melder freischalten lassen möchten, müssen

• das hier verlinkte Excel-Formular vollständig ausfüllen und an DORA-Melderfreischaltung@bafin.de übermitteln.
• sicherstellen, dass das Auslagerungsunternehmen seine Beschäftigten als Melder für das DORA-Fachverfahren bei der BaFin freischalten lässt.

Melder des Auslagerungsunternehmens müssen den unter Standardprozess zur Melderfreischaltung beschriebenen Prozess ebenfalls durchlaufen. Es gelten jedoch die nachfolgenden Besonderheiten:

• Als „Meldepflichtiges Unternehmen“ muss bei Beantragung des DORA-Fachverfahrens immer das Auslagerungsunternehmen angegeben werden (auch wenn die Meldung später für ein anderes Unternehmen erfolgt).
• Falls das Auslagerungsunternehmen kein Finanzunternehmen ist und über keine LEI verfügt, kann Schritt 2) des Standardprozesses zur Beantragung des DORA-Fachverfahrens übersprungen werden. Stattdessen muss dann nach Schritt 4) des Standardprozesses zur Beantragung des DORA-Fachverfahrens auf Seite 3 des Antrags die EUID ergänzt und dann erst Antragsdokumente hochgeladen werden.
  Hinweis: Eine Freischaltung ohne LEI oder EUID ist nicht möglich!

Finanzunternehmen, die ihre Meldepflichten auslagern, können zusätzlich zu den Meldern des Auslagerungsunternehmens auch eigene Melder freischalten lassen. Für diese gilt der oben beschriebene Standardprozess zur Beantragung des DORA-Fachverfahrens.

Weitere Informationen zum Verfahren zur Auslagerung der Meldepflichten und zur Einreichung aggregierter Meldungen werden hier zur Verfügung gestellt.