Die BaFin begrüßt grundsätzlich alle Maßnahmen von Teilnehmern des Finanzsektors, um die operationale Resilienz zu erhöhen und die Auswirkungen von IKT-Risiken und -Vorfällen zu reduzieren.

Der Austausch von Informationen und Erkenntnissen zu Cyberbedrohungen mit anderen Finanzunternehmen ist freiwillig. Um die operationale Resilienz des Finanzsektors zu stärken, empfehlen die EU-Gesetzgeber – genauso wie die BaFin – dass sich Finanzunternehmen zu Informationen und Erkenntnisse zu Cyberbedrohungen mit anderen Marktteilnehmern austauschen.

Artikel 45 DORA sieht vor, dass sich die teilnehmenden Finanzunternehmen durch Vereinbarungen Regeln für den Austausch von Informationen und Erkenntnissen zu Cyberbedrohungen geben, die den potenziell sensiblen Charakter dieser Informationen schützen und Verhaltensregeln zum Schutz personenbezogener Daten, Geschäftsgeheimnissen und auch des Wettbewerbs beinhalten. Ferner können die Vereinbarungen auch die Einbindung staatlicher Behörden und IKT-Drittdienstleister vorsehen sowie Regeln zur Nutzung von IT-Plattformen.

Sofern sich Finanzunternehmen an Vereinbarungen zum freiwilligen Austausch von Informationen und Erkenntnissen über Cyberbedrohungen untereinander beteiligen, ist dies zeitnah an deren zuständige Aufsichtsbehörde zu melden. Im Falle von durch die BaFin beaufsichtigten Finanzunternehmen erfolgt die Meldung gegenüber der BaFin. Für bedeutend eingestufte Kreditinstitute ist die EZB die zuständige Aufsichtsbehörde.

Auch die Beendigung der Beteiligung an solchen Vereinbarungen ist gegenüber der zuständigen Aufsichtsbehörde zu melden. Weitere Informationen dazu sind nachfolgend zu finden.

Ein Austausch von Informationen und Erkenntnissen zu Cyberbedrohungen zwischen Finanzunternehmen im Sinne von Artikel 45 DORA ist ein Austausch, der

Die Meldung durch ein Finanzunternehmen gegenüber der BaFin ist dann erforderlich, wenn sich das Finanzunternehmen an Vereinbarungen zum Austausch von Informationen und Erkenntnissen über Cyberbedrohungen mit anderen Finanzunternehmen beteiligt und das Finanzunternehmen unter Aufsicht der BaFin steht. Eine Meldung gegenüber der BaFin ist ebenfalls dann erforderlich, wenn die Beteiligung an der Vereinbarung beendet wird.

Die Meldepflicht erstreckt sich auf Vereinbarungen zwischen Finanzunternehmen im Anwendungsbereich von DORA. Dazu gehören neben den Finanzunternehmen im Sinne des Artikel 2 Absatz 2 DORA auch die in § 1a Absatz 2a KWG oder § 293 Absatz 5 VAG genannten Unternehmen.

Die Teilnahme einzelner Nicht-Finanzunternehmen an der Vereinbarung führt nicht zum Ausschluss der Meldepflicht. Allerdings sind Vereinbarungen, an denen überwiegend Nicht-Finanzunternehmen beteiligt sind, gegenüber der BaFin nicht meldepflichtig. Nicht meldepflichtig sind beispielsweise solche Vereinbarungen, die einen Austausch mit Unternehmen auch außerhalb des Finanzsektors ermöglichen und an denen überwiegend Unternehmen aus Branchen außerhalb des Finanzsektors beteiligt sind.

Die Meldepflicht erfasst nur Vereinbarungen, die einen regelmäßigen und auf Dauer angelegten Austausch zwischen den beteiligten Finanzunternehmen ermöglichen. Ein punktueller oder situativer Austausch zwischen Finanzunternehmen, der auf keiner Vereinbarung zum Austausch beruht, ist nicht meldepflichtig.

Gruppen- oder verbundinterne Vereinbarungen zum Austausch von Informationen und Erkenntnissen über Cyberbedrohungen sind nicht meldepflichtig gegenüber der BaFin. Eine verbundinterne Vereinbarung beschränkt sich auf Finanzunternehmen, die demselben institutsbezogenen Sicherungssystem angehören.

Bestehende Fragen zu Artikel 45 DORA richten Sie bitte an die Funktionsadresse Artikel45DORA@bafin.de.

Die Meldung ist innerhalb von vier Wochen nach Wirksamwerden der Teilnahme an einer Vereinbarung zum Austausch von Informationen und Erkenntnissen über Cyberbedrohungen gegenüber der BaFin abzugeben.

Die Beendigung der Teilnahme an solchen Vereinbarungen ist der BaFin gegenüber vier Wochen nach Wirksamwerden zu melden.

Eine Meldepflicht ergibt sich für den wirksamen Beitritt zu, oder die wirksame Beendigung an solchen Vereinbarungen, mit dem Datum der Anwendbarkeit von DORA.

Eine Erstmeldung zur Beteiligung oder Beendigung an Vereinbarungen zum Austausch von Informationen und Erkenntnissen über Cyberbedrohungen im ersten Halbjahr 2025 kann bis zum 30.09.2025 erfolgen.

In der Meldung sind

• der vollständige Unternehmensname (Firma) des meldenden Finanzunternehmens,
• die BaFin-ID des meldenden Finanzunternehmens,
• das Datum des Wirksamwerdens des Eintritts bzw. der Beendigung sowie
• die Bezeichnung (der Name) des freiwilligen Informationsaustauschs, die die teilnehmenden Finanzunternehmen dem Austausch bzw. der Vereinbarung gegeben haben,
  

anzugeben.

Die Meldung erfolgt an das Funktionspostfach Artikel45DORA@bafin.de.

Bestehende Fragen zu Artikel 45 DORA richten Sie bitte an die Funktionsadresse Artikel45DORA@bafin.de.

Nein. Die Erstellung, Etablierung und das Testen von Krisen- und Notfallplänen ist Teil des IKT-Risikomanagementrahmens und liegt in der Verantwortung der Finanzunternehmen. Europäischen und nationalen Aufsichtsbehörden wird in Artikel 49 DORA-VO die Möglichkeit eingeräumt, sektorübergreifende Krisen- und Notfallübungen zu konzipieren, um Kommunikationskanäle zu entwickeln und schrittweise eine wirksame koordinierte Reaktion auf Unionsebene zu ermöglichen sowie Mechanismen für den Austausch wirksamer Verfahren einzurichten, um die Lageerfassung zu verbessern und sektorübergreifend gemeinsame Cyberrisiken zu ermitteln.

Die BaFin hat bereits in der Vergangenheit an internationalen Cyber-Krisenübungen teilgenommen (https://www.bafin.de/ref/19725450) oder hat solche national durchgeführt (https://www.bafin.de/ref/19677678).