Kapitel III der Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (DORA) widmet sich der Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle.
Kapitel III DORA (Art. 17 bis 23 DORA) wird flankiert von RTS zur Festlegung des Inhalts der Meldungen schwerwiegender IKT-Vorfälle gemäß Art. 20 a) DORA (Regulatory Technical Standards on the content of the notification and reports for major incidents and significant cyber threats and determining the time limits for reporting major incidents) sowie ITS zur Festlegung der Einzelheiten der Berichterstattung über schwerwiegende IKT-bezogene Vorfälle gemäß Art. 20 b) DORA (Implementing Technical Standards on the standard forms, templates and procedures for financial entities to report a major incident and to notify a significant cyber threat).
Diese RTS/ITS befanden sich vom 08.12.2023 bis zum 04.03.2024 in öffentlicher Konsultation der Europäischen Aufsichtsbehörden EBA, ESMA und EIOPA und wurden in den vergangenen Monaten von den europäischen Arbeitsgruppen ausgewertet mit dem Ziel, in Übereinstimmung mit Art. 20 DORA bis zum 17.07.2024 die finalen Entwürfe an die Europäische Kommission zu senden.
Seit dem 17.07.2024 sind diese finalen Entwürfe nun im Internet abrufbar (JC 2024 33 – Final Report on the draft RTS and ITS on incident reporting (EN)).
Die wesentlichen Regelungen des Kapitels III DORA zu Incident-Meldungen
Kerninhalt des Kapitels III DORA ist die Verpflichtung für Finanzunternehmen in der Europäischen Union (EU), einen Prozess zur Behandlung von IKT-bezogenen Vorfällen sowie zur Überwachung, Protokollierung und ggf. Meldung von IKT-bezogenen Vorfällen zu bestimmen.
Gegenstand der Berichterstattung durch Finanzunternehmen sind ein IKT-bezogener Vorfall sowie ein schwerwiegender IKT-bezogener Vorfall. Unter einem Vorfall im Bereich der Informations- und Kommunikationstechnologie (IKT) bzw. einem IKT-bezogenen Vorfall sind nach Art. 3 Nr. 8 DORA ein von dem Finanzunternehmen nicht geplantes Ereignis bzw. eine entsprechende Reihe verbundener Ereignisse zu verstehen, das bzw. die die Sicherheit der Netzwerk- und Informationssysteme beeinträchtigt und nachteilige Auswirkungen auf die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Daten oder auf die vom Finanzunternehmen erbrachten Dienstleistungen hat. Ein schwerwiegender IKT-bezogener Vorfall ist nach Art. 3 Nr. 10 DORA bei einem IKT-Vorfall gegeben, der umfassende nachteilige Auswirkungen auf die Netzwerk- und Informationssysteme hat, die kritische oder wichtige Funktionen des Finanzunternehmens unterstützen.
Art. 17 DORA beschreibt im Rahmen des Incident-Meldewesens zunächst den Prozess der Erkennung und Behandlung von IKT-bezogenen Vorfällen.
Nach Art. 18 DORA sind IKT-bezogene Vorfälle und Cyberbedrohungen von den Finanzunternehmen zu klassifizieren. Dabei sind als Kriterien zu beachten beispielsweise die Anzahl und/oder Relevanz betroffener Kunden, die den Service nicht nutzen können, oder Gegenparteien im Finanzbereich, ggf. der Wert und die Anzahl betroffener Transaktionen sowie die Verursachung eines möglichen Reputationsschadens (z.B. aufgrund Berichterstattung in den Medien); die Dauer des IKT-bezogenen Vorfalls; die geografische Ausbreitung der von dem IKT-bezogenen Vorfall betroffenen Gebiete; die mit dem IKT-bezogenen Vorfall verbundenen Verfügbarkeits-, Authentizitäts-, Integritäts- oder Vertraulichkeitsverluste von Daten; die Kritikalität der betroffenen Dienste, einschließlich der Transaktionen und Geschäfte des Finanzunternehmens sowie wirtschaftliche Auswirkungen — insbesondere direkte und indirekte Kosten und Verluste — des IKT-bezogenen Vorfalls auf absoluter und relativer Basis.
Diese Kriterien werden in der Delegierten Verordnung (EU) 2024/1772 der Kommission vom 13.03.2024 zur Ergänzung der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates durch technische Regulierungsstandards zur Festlegung der Kriterien für die Klassifizierung von IKT-bezogenen Vorfällen und Cyberbedrohungen, der Wesentlichkeitsschwellen und der Einzelheiten von Meldungen schwerwiegender Vorfälle konkretisiert.
Führt die Klassifizierung eines IKT-bezogenen Vorfalls zur Einordnung als schwerwiegend, ist das Finanzunternehmen gemäß Art. 19 DORA zur Meldung an die zuständige Aufsichtsbehörde verpflichtet.
RTS zur Festlegung des Inhalts der Meldungen schwerwiegender IKT-Vorfälle gemäß Art. 20 a) DORA
Der RTS (finaler Entwurf vom 17.07.2024) konkretisiert den Ablauf des Meldeverfahren im Falle eines schwerwiegenden IKT-bezogenen Vorfalls. Dies betrifft Inhalte der Erst-, Zwischen- und Abschlussmeldungen ebenso wie Fristen zur Meldungsabgabe sowie die Inhalte im Falle einer freiwilligen Meldung von Cyberbedrohungen.
ITS zur Festlegung der Einzelheiten der Berichterstattung über schwerwiegende IKT-bezogene Vorfälle gemäß Art. 20 b) DORA
Regelungsgegenstand des ITS (finaler Entwurf vom 17.07.2024) sind Formulare, Vorlagen und Meldeverfahren. Die entsprechenden Vorlagen sind insbesondere in Annex I (Templates for the reporting of major incidents), Annex II (Data glossary and instructions for the reporting of major incidents) und Anex III (Templates for notification of significant cyber threats) enthalten.
