DORA – IKT-bezogene Vorfälle

JC 2026 16 Report on major ICT-related incidents 2025

Gemäß Delegierte Verordnung (EU) 2025/301 ergeben sich folgende Fristen:

Erstmeldung

Die Erstmeldung muss ehestmöglich erfolgen, in jedem Fall aber innerhalb von 4 Stunden ab Klassifizierung als schwerwiegend und spätestens 24 Stunden ab Entdeckung (Siehe Artikel 5 Absatz 1a Delegierte Verordnung (EU) 2025/301).

Zwischenmeldung

Die Zwischenmeldung muss 72 Stunden nach Übermittlung der Erstmeldung erfolgen, auch wenn sich gemäß Artikel 19 Absatz 4 Buchstabe b der Verordnung (EU) 2022/2554 der Status oder die Handhabung des Vorfalls nicht geändert hat. Die Finanzunternehmen übermitteln unverzüglich etwaige aktualisierte Zwischenmeldungen, in jedem Fall aber, sobald der reguläre Geschäftsbetrieb wiederaufgenommen wurde (Siehe Artikel 5 Absatz 1b Delegierte Verordnung (EU) 2025/301).

Abschlussmeldung

Die Abschlussmeldung darf nicht später als einen Monat ab Übermittlung der aktuellsten Zwischenmeldung erfolgen  (Siehe Artikel 5 Absatz 1c Delegierte Verordnung (EU) 2025/301).

Wochenend- und Feiertagsbestimmungen

Wenn das Ende der Meldefrist auf ein Wochenende bzw. einen Feiertag fällt, werden bestimmten Finanzunternehmen verlängerte Meldefristen bis 12:00 Uhr des nächsten Arbeitstages ermöglicht  (Siehe Artikel 5 Absatz 4 Delegierte Verordnung (EU) 2025/301).

Das Formular steht auf der Incoming Plattform der FMA zum Download bereit

Siehe dazu insbesondere Durchführungsverordnung (EU) 2025/302 der Kommission vom 23. Oktober 2024 zur Festlegung technischer Durchführungsstandards für die Anwendung der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates im Hinblick auf Standardformulare, Vorlagen und Verfahren für Finanzunternehmen zur Meldung eines schwerwiegenden IKT-bezogenen Vorfalls oder einer erheblichen Cyberbedrohung.

Grundsätzlich sind Meldungen schwerwiegender IKT-bezogener Vorfälle gem. Art 19 Abs 1 DORA auf der Incoming Plattform der FMA einzubringen.

Im Falle von technischen Problemen mit der Incoming Plattform werden Finanzunternehmen ersucht, Kontakt mit der FMA aufzunehmen (SPOC). In diesem Fall erfolgt die Meldung über eine sichere Datentransferapplikation.“

Herzanzuziehende Kriterien für die Klassifizierung von IKT-bezogenen Vorfällen sind in Delegierte Verordnung (EU) 2024/1772 zur Festlegung der Kriterien für die Klassifizierung von IKT-bezogenen Vorfällen und Cyberbedrohungen, der Wesentlichkeitsschwellen und der Einzelheiten von Meldungen schwerwiegender Vorfälle (Klassifizierungs-VO) geregelt.

Gem. Artikel 8 dieser VO hat für die Einstufung eines Vorfalls als ‚schwerwiegend‘ die Grundvoraussetzung, dass kritische Dienste beeinträchtigt sind, erfüllt zu sein. Dafür sind die in Artikel 6 der Verordnung genannten Kriterien heranzuziehen. Demnach ist zu bewerten, ob der Vorfall

1. IKT-Dienste oder Netzwerk- und Informationssysteme zur Unterstützung kritischer oder wichtiger Funktionen des Finanzunternehmens beeinträchtigt oder beeinträchtigt hat;
2. von dem Finanzunternehmen erbrachte Finanzdienstleistungen beeinträchtigt oder beeinträchtigt hat, die einer Zulassung oder Registrierung bedürfen oder von den zuständigen Behörden beaufsichtigt werden;
3. einen erfolgreichen, böswilligen und unbefugten Zugriff auf die Netzwerk- und Informationssysteme des Finanzunternehmens darstellt oder dargestellt hat.

In Q&A mit ID 2024_7047 wird klargestellt, dass bereits eine Auswirkung auf eine der unter a) bis c) angeführten Komponenten als Beeinträchtigung kritischer Dienste betrachtet wird.
Im Anschluss an die Prüfung zur Erfüllung der Grundvoraussetzung, die in Artikel 6 Klassifizierungs-VO definiert, ist, wird geprüft, ob die weiteren Voraussetzungen zur Einstufung als ‚schwerwiegender Vorfall‘ erfüllt sind. Diese sind in Artikel 8 der genannten Verordnung spezifiziert.

Auch wiederholte Vorfälle können bei kumulierter Betrachtungsweise als schwerwiegende Vorfälle meldepflichtig werden, falls sie auf der gleichen Ursache basieren und innerhalb von sechs Monaten mindestens zwei Mal auftreten, als schwerwiegende Vorfälle meldepflichtig werden (Art. 8 Abs. 2 Klassifizierungs-VO).

Die zuständige Behörde bestätigt den Empfang jeder Meldung und kann, wenn möglich, dem Finanzunternehmen zeitnah sachdienliche und angemessene Rückmeldungen oder allgemein gehaltene Orientierungshilfen übermitteln, insbesondere durch Zurverfügungstellung relevanter anonymisierter Informationen und Erkenntnisse zu ähnlichen Bedrohungen, sowie auf Ebene des Unternehmens angewandte Abhilfemaßnahmen und Möglichkeiten zur Minimierung und Minderung nachteiliger Auswirkungen auf den gesamten Finanzsektor erörtern (Art. 22 Abs. 1 DORA-VO).

Die drei Europäischen Finanzaufsichtsbehörden (ESA) berichten jährlich über den Gemeinsamen Ausschuss in anonymisierter und aggregierter Form über schwerwiegende IKT-bezogene Vorfälle, deren Einzelheiten von den zuständigen Behörden gemäß Art. 19 Abs. 6 übermittelt werden und geben dabei mindestens die Zahl schwerwiegender IKT-bezogener Vorfälle, ihre Art und ihre Auswirkungen auf die Geschäftstätigkeit von Finanzunternehmen oder Kunden sowie die ergriffenen Abhilfemaßnahmen und die Kosten an (Art. 22 Abs. 2 DORA-VO).

Die ESA geben Warnungen heraus und erstellen allgemein gehaltene Statistiken, um die Bewertungen von Bedrohungen und Schwachstellen im IKT-Bereich zu unterstützen (Art. 22 Abs. 2 DORA-VO).

Auch die FMA plant, Informationen zu den erhaltenen Meldungen in anonymisierter und aggregierter Form zu veröffentlichen.

Die Kommunikationspläne, die je nach Sachlage eine verantwortungsbewusste Offenlegung zumindest von schwerwiegenden IKT-bezogenen Vorfällen oder Schwachstellen gegenüber Kund:innen und anderen Finanzunternehmen sowie der Öffentlichkeit ermöglichen, sind durch das Finanzunternehmen zu erstellen (Art. 14 Abs. 1 DORA-VO).

Bei Auswirkungen auf finanzielle Interessen von Kund:innen, sind diese unverzüglich über den IKT-bezogenen Vorfall und die Maßnahmen, die zur Minderung der nachteiligen Auswirkungen ergriffen worden sind, zu informieren. Auch im Fall einer erheblichen Cyberbedrohung informieren Finanzunternehmen ggf. ihre potenziell betroffenen Kund:innen über angemessene Schutzmaßnahmen, die diese ergreifen könnten (Art. 19 Abs. 3 DORA-VO).

Hinsichtlich der Meldung eines schwerwiegenden IKT-Vorfalls ist Authentizität bzgl. Daten in Bezug auf die Kompromittierung der Vertrauenswürdigkeit der Datenquelle beschrieben (Art. 5 b Delegierte Verordnung (EU) 2024/1772 zur Festlegung der Kriterien für die Klassifizierung von IKT-bezogenen Vorfällen und Cyberbedrohungen, der Wesentlichkeitsschwellen und der Einzelheiten von Meldungen schwerwiegender Vorfälle).

Die Meldevorgaben sind einzuhalten. FMA-Bestätigungen zum Erhalt erfolgen nach Einbringung, unabhängig vom Wochentag.

Siehe dazu insb Art 6 Delegierte Verordnung 2024/1772; sowie zur Frage, ob ein schwerwiegender Vorfall iSv DORA vorliegt, Art 8 DelVO (EU) 2024/1772.

In Erwägungsgrund 23 DORA wird erläutert, dass für bestimmte Finanzunternehmen der Verwaltungsaufwand verringert und potenziell doppelte Meldepflichten vermieden werden sollen und sollte daher die Verpflichtung zur Meldung von Vorfällen gemäß der Richtlinie (EU) 2015/2366 (PSD2) nicht mehr für Zahlungsdienstleister gelten, die in den Geltungsbereich dieser Verordnung fallen.

Folglich sollten Kreditinstitute, E-Geld-Institute, Zahlungsinstitute und Kontoinformationsdienstleister im Sinne von Artikel 33 Absatz 1 der genannten Richtlinie alle zahlungsbezogenen Betriebs- oder Sicherheitsvorfälle, die vormals gemäß der PSD2 gemeldet wurden, ab dem Geltungsbeginn von DORA gemäß dieser melden.

Das SSM Cyber Incident Reporting Framework wurde ebenso durch die DORA-Meldeverpflichtung ersetzt und bereits von der EZB aufgehoben.

DORA stellt auch eine lex specialis zur RL (EU) 2022/2555 (NIS2-RL)  dar. Insofern werden DORA-Meldungen gem Art 19 von der FMA an die NIS-Behörde weitergeleitet werden.

Das Meldeformular kann über die Incoming Plattform getestet werden.

Die FMA leitet alle EZB-relevanten Meldungen gem Art 19 Abs 6 lit b DORA-Verordnung an die EZB weiter. Finanzunternehmen haben dementsprechend keine zusätzliche Meldung an die EZB zu übermitteln.

Nein. Meldungen werden an jene in Art. 19 Abs. 6 DORA-VO genannten Institutionen weitergeleitet.