Meldetatbestände nach DORA

Auf dieser Seite werden weiterführende Informationen zu spezifischen Meldetatbeständen nach DORA, welche über die Incoming Plattform eingebracht werden können, dargestellt:

    Hinweis: seit 17.01.2025 ersetzt die Meldeverpflichtung schwerwiegender IKT-bezogener Vorfälle nach Art. 19 Abs. 1 DORA die bisher für Zahlungsdienstleister geltende Meldeverpflichtung von schwerwiegenden Betriebs- oder Sicherheitsvorfällen nach § 86 Abs. 1 ZaDiG 2018.

    Im Falle eines schwerwiegenden IKT-bezogenen Vorfalls hat ein Finanzunternehmen dies der FMA unverzüglich über die Incoming-Plattform mitzuteilen. Falls sich der Vorfall auf die finanziellen Interessen der Zahlungsdienstnutzer auswirkt oder auswirken könnte, müssen diese unverzüglich informiert werden.

    Meldung schwerwiegender IKT-bezogener Vorfälle nach Art. 19 Abs. 1 DORA

    • Finanzunternehmen müssen schwerwiegende IKT-bezogene Vorfälle an die FMA melden.
    • Signifikante Kreditinstitute (SIs) müssen ebenfalls Meldungen an die FMA erstatten, die diese umgehend an die EZB weiterleitet.

    DORA gilt als lex specialis zu NIS/NIS2. Die Meldeverpflichtung nach Art. 19 Abs. 1 DORA erfüllt daher auch die Anforderungen von NIS/NIS2. Die FMA leitet die Meldungen an die zuständige NIS-Behörde weiter.

    Klassifizierung eines Vorfalls als schwerwiegend

    • Die Einstufung erfolgt gemäß Art. 18 Abs. 1 DORA in Verbindung mit Art. 1-7 der Delegierten Verordnung (EU) 2024/1772.

    Meldearten

    • Erstmeldung
    • Zwischenmeldung
    • Abschlussmeldung

    Fristen

    • An Wochenenden und Feiertagen gelten verlängerte Meldefristen bis 12:00 Uhr des nächsten Arbeitstages (gilt nicht für Kreditinstitute, die gemäß Artikel 3 der Richtlinie (EU) 2022/2555 als wesentliche oder wichtige Einrichtungen eingestuft sind).

    Einbringung der Meldungen

    • über die FMA-Incoming-Plattform (für registrierte Nutzer)
      • Das Formular ist auf der Incoming-Plattform verfügbar.
      • Pfad zur Meldung schwerwiegender IKT-bezogener Vorfälle:
        • Menüleiste „DORA“ > „Neue Meldung“ > „Neue Meldung eines schwerwiegenden IKT-bezogenen Vorfalls“
      • Pfad zur Stellungnahme zu angeforderten Informationen:
        • Menüleiste „Einbringungen“ > „Neue Einbringung“ > „Banken“ > „DORA“ > „Allgemein“ > „Stellungnahme zu schwerwiegendem IKT-bezogenen Vorfall“
    • Alternativer Meldeweg (bei technischen Problemen)
      • Finanzunternehmen sollen sich mit der FMA (SPOC) in Verbindung setzen.
      • In diesem Fall erfolgt die Meldung über eine sichere Datentransferapplikation.

    Konsolidierte Meldungen

    • Meldungen können auf Gruppenebene erfolgen.
    • Rechenzentren können weiterhin Meldungen für beaufsichtigte Unternehmen einbringen.
    • LSIs: Konsolidierte Meldungen sind möglich.
    • SIs, Betreiber von Handelsplätzen und zentrale Gegenparteien: Konsolidierte Meldungen sind grundsätzlich nicht vorgesehen, jedoch erlaubt die FMA technisch konsolidierte Meldungen für SIs. Kontakt mit dem SPOC ist erforderlich, um ein gesondertes Meldetemplate zu erhalten.

    Weiterleitung an relevante Behörden

    • Die FMA leitet Meldungen an ESAs, EZB und die NIS-Behörde weiter.

    Stellungnahme zu offenen Fragen

    • Falls erforderlich, kann die FMA eine Stellungnahme nach § 70 Abs. 1 Z. 1 BWG anfordern.
    • Die Stellungnahme ist über die Incoming-Plattform einzubringen (Menüleiste „Einbringungen“).

    Finanzunternehmen können der FMA auf freiwilliger Basis erhebliche Cyberbedrohungen melden, wenn sie der Auffassung sind, dass die Bedrohung für das Finanzsystem, die Dienstnutzer oder die Kunden relevant ist. Falls die Informationen für den gesamten österreichischen Finanzsektor relevant sind, erwägt die FMA jeweils im Einzelfall eine (anonymisierte) Veröffentlichung auf der FMA-Homepage.

    Einstufung von Cyberbedrohungen als erheblich

    • Auf Grundlage der Kritikalität der risikobehafteten Dienste, einschließlich der Transaktionen und Geschäfte des Finanzunternehmens, der Anzahl und/oder Relevanz der betroffenen Kunden oder Gegenparteien im Finanzbereich sowie der geografischen Ausbreitung der Risikogebiete (Art. 18 Abs. 2 DORA iVm Art. 10 DelVO (EU) 2024/1772).

    Einbringung

    • FMA-Incoming-Plattform (für registrierte Nutzer)
      • Das Formular ist auf der Incoming-Plattform verfügbar.
      • Pfad zur Einbringung: Menüleiste „DORA“ > „Neue Meldung“ > „Freiwillige Meldung erheblicher Cyberbedrohungen“.

    Gemäß Art. 28 Abs. 3 letzter Satz DORA ist eine geplante vertragliche Vereinbarung über die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen der FMA anzuzeigen. Zudem ist der FMA anzuzeigen, wenn im Zusammenhang mit einer geplanten vertraglichen Vereinbarung eine Funktion kritisch oder wichtig geworden ist.

    Gegebenenfalls ist mit einer Anzeige gemäß Art. 28 Abs. 3 letzter Satz DORA auch eine Auslagerungsanzeige gemäß § 25 Abs. 5 BWG erforderlich. Beide Anzeigen können in einem Formular auf der FMA-Incoming-Plattform eingebracht werden.

    • Frist:
      • Die Anzeige ist binnen einer Frist von 4 Wochen ab interner Beschlussfassung bei der FMA einzubringen.
      • Ist mit einer ex-ante Anzeige nach Art. 28 Abs. 3 letzter Satz DORA ebenso eine Auslagerungsanzeige gemäß § 25 Abs. 5 BWG erforderlich, so ist die Anzeige zumindest vier Wochen vor dem geplanten Vertragsabschluss zu übermitteln.
    • Zuständigkeit bei SIs:
      • Für ex-ante-Anzeigen gemäß DORA bzw. Auslagerungen ist bei SIs ausschließlich die EZB zuständig. Einbringungen erfolgen ausschließlich an die EZB.

    Einbringung

    • FMA-Incoming-Plattform (für registrierte Nutzer)
      • Das Formular ist auf der Incoming-Plattform verfügbar.
      • Pfad bei einer Anzeige gemäß Art. 28 Abs. 3 letzter Satz DORA ohne Auslagerungsanzeige gemäß § 25 Abs. 5 BWG: Menüleiste „Einbringungen“ > „Neue Einbringung“ > „Banken“ > „DORA“ > „Anzeige gemäß Art. 28 Abs. 3 letzter Satz DORA“.
      • Pfad bei einer Anzeige gemäß Art. 28 Abs. 3 letzter Satz DORA mit gleichzeitiger Auslagerungsanzeige gemäß § 25 Abs. 5 BWG: Menüleiste „Einbringungen“ > „Neue Einbringung“ > „Banken“ > „Bankwesengesetz“ > „§ 25“ > „§ 25 Abs. 5 (optional inkl. Art. 28 Abs. 3 DORA)“.

    Finanzunternehmen haben ein Informationsregister zu führen und stetig zu aktualisieren, das sich auf alle vertraglichen Vereinbarungen über die Nutzung von durch IKT-Drittdienstleister bereitgestellten IKT-Dienstleistungen bezieht.

    • Frist:
      • Finanzunternehmen haben der FMA mindestens einmal jährlich Bericht zur Anzahl neuer Vereinbarungen über die Nutzung von IKT-Dienstleistungen, den Kategorien von IKT-Drittdienstleistern, der Art der vertraglichen Vereinbarungen sowie den bereitgestellten IKT-Dienstleistungen und -Funktionen zu erstatten.
      • Das Informationsregister ist mit dem Referenzdatum 31.03.2025 aufzubereiten.
      • Die Meldung des Informationsregisters an die FMA hat zwischen 01. und 11. April 2025 zu erfolgen.
      • Die Meldung von signifikanten Kreditinstituten erfolgt nicht an die FMA.
      • Die FMA selbst hat das Informationsregister bis zum 30.04.2025 an die ESAs zu übermitteln.

    Einbringung

    • FMA-Incoming-Plattform (für registrierte Nutzer)
      • Eine von der FMA erstellte xls-Datei wird im Februar 2025 auf der Incoming-Plattform zur Verfügung gestellt.

    Detailinformationen zum Informationsregister werden im Februar 2025 von der FMA an die betroffenen Unternehmen ausgesandt.

    Weitere Informationen können Sie der FMA-DORA-Website entnehmen. Auch auf der Website der Europäischen Kommission findet sich ein Überblick zum Stand der rechtlichen DORA-Spezifizierungen.