Informationen zur Freischaltung für das Fachverfahren finden Sie hier.

Ja, unter DORA dient der LEI-Code als Identifikationscode für sämtliche Finanzunternehmen. Melder eines Finanzunternehmens können daher nur für das Fachverfahren „Digital Operational Resilience Act (DORA)“ freigeschaltet werden, wenn für ihr Finanzunternehmen ein LEI-Code in der MVP hinterlegt ist. Eine Anleitung hierzu finden Sie unter hier in dem Kapitel „Standardprozess zur Beantragung des DORA-Fachverfahrens“, in Schritt 2. Weitere Informationen zur LEI finden Sie auf der Homepage von GLEIF – Global Legal Entity Identifier Foundation.

Sollte die MVP nicht verfügbar sein, so hat das Unternehmen die Meldung an IKT-Vorfall@bafin.de zu senden. In diesen Fällen ist es ausnahmsweise auch gestattet, das ausgefüllte Excel-Template per Mail an die BaFin zu senden. Hierbei sollte eine gesicherte E-Mail-Kommunikation verwendet werden.
Hat das Finanzunternehmen keinen Zugriff auf seine E-Mail-Postfächer, ist ein Vorfall telefonisch über +49228 4108 4999 zu melden.
In sämtlichen Fällen ist eine ordentliche Meldung über die MVP sobald wie möglich nachzureichen.

Für die Meldung erheblicher Cyberbedrohungen nutzen Sie bitte das hierfür vorgesehene Excel-Template und senden dieses per Mail an IKT-Vorfall@bafin.de. Weitere Informationen finden Sie hier.

Ein „IKT-bezogener Vorfall“ ist ein von dem Institut oder Unternehmen nicht geplantes Ereignis bzw. eine Reihe verbundener Ereignisse, das bzw. die die Sicherheit der Netzwerk- und Informationssysteme beeinträchtigt und nachteilige Auswirkungen auf die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Daten oder auf die vom Finanzunternehmen erbrachten Dienstleistungen hat (Art. 3 Absatz 1 Nr. 8 DORA).

Die BaFin fungiert als zentraler Meldehub für alle unter ihrer Aufsicht stehenden Finanzunternehmen. Die Meldungen sollen über das MVP-Portal eingereicht werden.Ein IKT-bezogener Vorfall ist dann zu melden, wenn der Vorfall die entsprechenden Klassifikationskriterien erfüllt. Der Klassifikationsprozess sowie die Klassifikationskriterien basieren auf den in Artikel 18 DORA genannten Anforderungen und werden in der Delegierten Verordnung (EU) 2024/1772 genauer geregelt.

Die BaFin fungiert als zentraler Melde-Hub für alle unter ihrer Aufsicht stehenden Finanzunternehmen sowie bedeutende Institute (significant institutions – SIs) unter EZB Aufsicht mit Sitz in Deutschland. Die Meldungen müssen über das MVP-Portal eingereicht werden.

DORA ist eine unmittelbar geltende europäische Verordnung, die das Meldewesen für Finanzunternehmen in Bezug auf IKT-Resilienz harmonisiert. Deshalb hat der europäische Gesetzgeber in der Begleitrichtlinie zu DORA (Richtlinie (EU) 2022/2556) vorgesehen, dass die Meldepflicht gem. Artikel 96 Abs. 1 PSD2 für Zahlungsdienstleister, die Finanzunternehmen im Sinne der DORA darstellen, nicht mehr gelten soll (vgl. Artikel 7 Nr. 5 der Richtlinie (EU) 2022/2556). Artikel 12 Nr. 14 des Gesetzes zur Digitalisierung des Finanzmarktes (FinmadiG) setzt diese Anforderungen der Begleitrichtlinie um, indem es die Meldepflicht gem. § 54 Abs. 1 ZAG für Zahlungsdienstleister im Sinne des § 1 Abs. 1 Satz 1 Nr. 1, 2 oder Nr. 3 ZAG aufhebt. Das Rundschreiben 03/2022 (BA) der BaFin zur Ausgestaltung der Meldepflicht gem. § 54 Abs. 1 ZAG wurde zum 17. Januar 2025 aufgehoben.
Gem. Erwägungsgrund 16 DORA ist DORA Lex specialis zur NIS2. Dementsprechend ist DORA für Finanzunternehmen, die unter beide Rechtsakte fallen, vorrangig zu beachten. Folglich entfällt die Meldepflicht gem. NIS2 für den Meldepflichtigen für die Fälle, in welchen er eine DORA Meldung abgibt.
Auf Meldungen nach der DSGVO hat DORA keinen Einfluss, diese bestehen uneingeschränkt und unabhängig von DORA fort.

Es werden deutschsprachige und englischsprachige Vorfallsmeldungen akzeptiert.

Artikel 8 Abs. 2 Delegierte Verordnung (EU) 2024/1772 legt fest, wann wiederholte Vorfälle, die einzeln betrachtet keine schwerwiegenden Vorfälle sind, zusammengenommen als schwerwiegend zu betrachten sind. Finanzunternehmen müssen das Vorliegen wiederholter Vorfälle monatlich bewerten.
Gem. Artikel 3 Durchführungsverordnung (EU) 2025/302 sind sich wiederholende nicht schwerwiegende IKT-bezogene Vorfälle, die jedoch zusammen die Voraussetzungen für einen schwerwiegenden IKT-bezogenen Vorfall gem. Artikel 8 Abs. 2 Delegierte Verordnung (EU) 2024/1772 erfüllen, in aggregierter Form zu melden und nicht einzeln.

Gem. Artikel 6 Delegierte Verordnung (EU) 2024/1772 ist zur Bestimmung der Kritikalität der betroffenen Dienste zu bewerten, „ob der Vorfall

Ist einer der drei genannten Punkte erfüllt, so ist das Kriterium Kritikalität der betroffenen Dienste als erfüllt anzusehen. Das Kriterium Kritikalität der betroffenen Dienste umfasst somit nicht nur die Betroffenheit von IKT-Diensten oder Netzwerk- und Informationssystemen zur Unterstützung kritischer oder wichtiger Funktionen, sondern auch die Punkte unter Artikel 6 lit. b) und c) Delegierte Verordnung (EU) 2024/1772.

Kritische oder wichtige Funktionen sind gem. Artikel 3 Abs. 22 DORA definiert als „eine Funktion, deren Ausfall die finanzielle Leistungsfähigkeit eines Finanzunternehmens oder die Solidität oder Fortführung seiner Geschäftstätigkeiten und Dienstleistungen erheblich beeinträchtigen würde oder deren unterbrochene, fehlerhafte oder unterbliebene Leistung die fortdauernde Einhaltung der Zulassungsbedingungen und -verpflichtungen eines Finanzunternehmens oder seiner sonstigen Verpflichtungen nach dem anwendbaren Finanzdienstleistungsrecht erheblich beeinträchtigen würde.“ Auf Basis dieser Definition müssen Finanzunternehmen selbstständig ermitteln, welche Funktionen in ihrem Unternehmen kritische oder wichtig sind.

Grundsätzlich gilt gem. Artikel 5 Abs. 1 lit. a Delegierte Verordnung (EU) 2025/301 eine Meldefrist von 4 Stunden nach Klassifizierung des Vorfalls als schwerwiegend, wobei die Meldung innerhalb von 24 Stunden nach Erkennung zu erfolgen hat. Dabei ist die Meldung so schnell wie möglich abzugeben. Eine Erleichterung für Wochenenden und Feiertage gem. Artikel 5 Abs. 4 Delegierte Verordnung (EU) 2025/301, wonach eine Vorfallsmeldung (Erst-, Zwischen- oder Abschlussmeldung) bis 12 Uhr am nächsten Werktag abgegeben werden darf, gilt gem. Artikel 5 Abs. 5 Delegierte Verordnung (EU) 2025/301 nur für Finanzunternehmen, die

sind.

Der Begriff Transaktionen ist weit auszulegen. Es sind alle Geldströme einschließlich solcher für Wertpapiertransaktionen zwischen dem Finanzunternehmen und Kunden oder anderen Gegenparteien im Finanzbereich zu betrachten.

Die Bestimmung der wirtschaftlichen Auswirkungen (Kosten) hat nach Artikel 7 Delegierte Verordnung (EU) 2024/1772 zu erfolgen. Demnach berücksichtigen Finanzunternehmen, ohne Einrechnung von finanziellen Wiedereinziehungen, die folgenden Arten von direkten und indirekten Kosten und Verlusten, die ihnen infolge des Vorfalls entstanden sind:

Kosten, die für den alltäglichen Geschäftsbetrieb notwendig sind, insbesondere

sind nicht zu berücksichtigen.

Ja, Meldungen können gem. Artikel 19 Abs. 5 DORA ausgelagert werden. Die Auslagerung ist der BaFin anzuzeigen. Die Verantwortung für die Einhaltung gesetzlicher Bestimmungen verbleibt bei dem Finanzunternehmen. Aufsichtliche Anforderungen dürfen nicht durch Auslagerungen unterlaufen werden. Im Rahmen der Auslagerung sind wirksame Mechanismen zu vereinbaren, die das Finanzunternehmen befähigen, der eigenen Meldeverpflichtung nachzukommen.
Im Falle einer Auslagerung der Meldepflicht ist es weiterhin zulässig, dass das meldepflichtige Unternehmen auch selbst meldet (z. B. falls der Dienstleister aufgrund vertraglicher Vereinbarung nur bestimmte Vorfälle meldet). Es ist sicherzustellen, dass im Namen des Meldepflichtigen Vorfälle nicht mehrfach gemeldet werden. Weitere Informationen finden Sie hier.

Die Auslagerung der Meldepflicht an einen Dienstleister können Finanzunternehmen der BaFin über ein Excel-Formular anzeigen. Weitere Informationen finden Sie hier.

Gem. Artikel 2 Abs. 2 DORA sind IKT-Drittdienstleister i.S.v. Artikel 2 Abs. 1 lit. u DORA keine Finanzunternehmen. Da die Meldepflicht gem. Artikel 19 Abs.1 DORA für Finanzunternehmen gilt, unterliegen IKT-Drittdienstleister keiner Meldepflicht. Nichtsdestotrotz besteht bei einem Finanzunternehmen eine Meldepflicht, wenn ein Vorfall bei einem IKT-Drittdienstleister zu einem meldepflichtigen Vorfall bei dem Finanzunternehmen führt.

Gem. Artikel 7 Durchführungsverordnung (EU) 2025/302 kann ein Drittdienstleister unter bestimmten Voraussetzungen eine aggregierte Vorfallsmeldung für mehrere von einem Vorfall betroffene Finanzunternehmen einreichen, sofern diese die Meldepflicht an diesen Drittdienstleister ausgelagert haben. Hierbei sind die Bedingungen gem. Artikel 7 lit. a) – e) Durchführungsverordnung (EU) 2025/302 zwingend zu beachten.
Die aggregierte Meldung sollte aggregierte Informationen über den Vorfall unter Beachtung von Anhang II Durchführungsverordnung (EU) 2025/302 umfassen.

Ja, konzerninterne Drittdienstleister können aggregierte Vorfallsmeldungen einreichen, sofern die Finanzunternehmen des Konzerns die Meldepflicht an diesen Drittdienstleiter ausgelagert haben und die Bedingungen gem. Artikel 7 Durchführungsverordnung (EU) 2025/302 erfüllt sind.

Sollten Finanzunternehmen die in Artikel 7 der Durchführungsverordnung (EU) 2025/302 genannten Voraussetzungen erfüllen, sind für die Nutzung des aggregierten Meldens keine weiteren Schritte wie z.B. ein Antrag bei der BaFin erforderlich. Zu beachten sind lediglich die Anforderungen an die Auslagerung der Meldepflichten für schwerwiegende IKT-bezogene Vorfälle.

Ja, dies ist rechtlich nicht ausgeschlossen.