DORA – IKT-bezogene Vorfälle

Gemäß des Final Reports zu den Draft Regulatory Technical Standards on the content of the notification and reports for major incidents and significant cyber threats and determining the time limits for reporting major incidents ergeben sich folgende Fristen:

Erstmeldung

Die Erstmeldung muss ehestmöglich erfolgen, innerhalb von 4 Stunden ab Klassifizierung als schwerwiegend, aber nicht später als 24 Stunden ab Entdeckung. Siehe Artikel 6 Absatz 1a Draft Regulatory Technical Standards (Art. 6 Abs. 1a Draft RTS).

Zwischenmeldung

Die Zwischenmeldung muss 72 Stunden ab Übermittlung der Erstmeldung oder wenn der reguläre Geschäftsbetrieb wiederhergestellt wurde (Art. 6 Abs.1 b des Draft RTS) sowie sobald sich der Status des ursprünglichen Vorfalls erheblich geändert hat oder sich die Handhabung des schwerwiegenden IKT-bezogenen Vorfalls auf der Grundlage neuer verfügbarer Informationen geändert hat, gegebenenfalls gefolgt von aktualisierten Meldungen, wann immer eine entsprechende Statusaktualisierung vorliegt, sowie auf ausdrücklichen Antrag der zuständigen Behörde erfolgen (Art. 19 Abs. 4 DORA-Verordnung (DORA-VO)).

Abschlussmeldung

Die Abschlussmeldung darf nicht später als einen Monat ab Übermittlung der aktuellsten Zwischenmeldung erfolgen (Art. 6 Abs. 1 c des u.a. Draft RTS).

Wochenend- und Feiertagsbestimmungen

Wenn das Ende der Meldefrist auf ein Wochenende bzw. einen Feiertag fällt, werden bestimmten Finanzunternehmen verlängerte Meldefristen bis 12:00 Uhr des nächsten Arbeitstages ermöglicht (Art 6 Abs. 4 und 5 Draft RTS).

Ja, siehe dazu insbesondere Annex I des Final Reports zu den Draft Implementing Technical Standards on the standard forms, templates and procedures for financial entities to report a major incident and to notify a significant cyber threat.

Gs. wird die FMA Incoming-Plattform als Meldeweg zur Übermittlung der Meldeformulare herangezogen werden.

Falls es aus technischen Gründen nicht möglich ist, die Erstmeldung unter Verwendung der Vorlage zu übermitteln, teilen die Finanzunternehmen dies der zuständigen Behörde auf anderem Wege mit (Art. 19 Abs. 1 DORA-VO). Ein solcher alternativer Weg wird von der FMA bereitgestellt werden.

Schwerwiegende Vorfälle sind insbesondere in Aritkel 8 der Delegierte Verordnung (EU) 2024/1772 zur Festlegung der Kriterien für die Klassifizierung von IKT-bezogenen Vorfällen und Cyberbedrohungen, der Wesentlichkeitsschwellen und der Einzelheiten von Meldungen schwerwiegender Vorfälle präzisiert.

Auch wiederholte Vorfälle können bei kumulierter Betrachtungsweise als schwerwiegende Vorfälle meldepflichtig werden, falls sie auf der gleichen Ursache basieren und innerhalb von sechs Monaten mindestens zwei Mal auftreten, als schwerwiegende Vorfälle meldepflichtig werden (Art. 8 Abs. 2 Delegierte Verordnung (EU) 2024/1772).

Die Wesentlichkeitsschwellen für die Bestimmung erheblicher Cyberbedrohungen, die freiwillig gemeldet werden können, sind in Artikel 10 Delegierte Verordnung (EU) 2024/1772 definiert.

Die zuständige Behörde bestätigt den Empfang jeder Meldung und kann, wenn möglich, dem Finanzunternehmen zeitnah sachdienliche und angemessene Rückmeldungen oder allgemein gehaltene Orientierungshilfen übermitteln, insbesondere durch Zurverfügungstellung relevanter anonymisierter Informationen und Erkenntnisse zu ähnlichen Bedrohungen, sowie auf Ebene des Unternehmens angewandte Abhilfemaßnahmen und Möglichkeiten zur Minimierung und Minderung nachteiliger Auswirkungen auf den gesamten Finanzsektor erörtern (Art. 22 Abs. 1 DORA-VO).

Die drei Europäischen Finanzaufsichtsbehörden (ESA) berichten jährlich über den Gemeinsamen Ausschuss in anonymisierter und aggregierter Form über schwerwiegende IKT-bezogene Vorfälle, deren Einzelheiten von den zuständigen Behörden gemäß Art. 19 Abs. 6 übermittelt werden und geben dabei mindestens die Zahl schwerwiegender IKT-bezogener Vorfälle, ihre Art und ihre Auswirkungen auf die Geschäftstätigkeit von Finanzunternehmen oder Kunden sowie die ergriffenen Abhilfemaßnahmen und die Kosten an (Art. 22 Abs. 2 DORA-VO).

Die ESA geben Warnungen heraus und erstellen allgemein gehaltene Statistiken, um die Bewertungen von Bedrohungen und Schwachstellen im IKT-Bereich zu unterstützen (Art. 22 Abs. 2 DORA-VO).

Auch die FMA plant, Informationen zu den erhaltenen Meldungen in anonymisierter und aggregierter Form zu veröffentlichen.

Die Kommunikationspläne, die je nach Sachlage eine verantwortungsbewusste Offenlegung zumindest von schwerwiegenden IKT-bezogenen Vorfällen oder Schwachstellen gegenüber Kund:innen und anderen Finanzunternehmen sowie der Öffentlichkeit ermöglichen, sind durch das Finanzunternehmen zu erstellen (Art. 14 Abs. 1 DORA-VO).

Bei Auswirkungen auf finanzielle Interessen von Kund:innen, sind diese unverzüglich über den IKT-bezogenen Vorfall und die Maßnahmen, die zur Minderung der nachteiligen Auswirkungen ergriffen worden sind, zu informieren. Auch im Fall einer erheblichen Cyberbedrohung informieren Finanzunternehmen ggf. ihre potenziell betroffenen Kund:innen über angemessene Schutzmaßnahmen, die diese ergreifen könnten (Art. 19 Abs. 3 DORA-VO).

Hinsichtlich der Meldung eines schwerwiegenden IKT-Vorfalls ist Authentizität bzgl. Daten in Bezug auf die Kompromittierung der Vertrauenswürdigkeit der Datenquelle beschrieben (Art. 5 b Delegierte Verordnung (EU) 2024/1772 zur Festlegung der Kriterien für die Klassifizierung von IKT-bezogenen Vorfällen und Cyberbedrohungen, der Wesentlichkeitsschwellen und der Einzelheiten von Meldungen schwerwiegender Vorfälle).

Die Meldevorgaben sind einzuhalten. FMA-Bestätigungen zum Erhalt erfolgen nach Einbringung, unabhängig vom Wochentag.

Siehe dazu insb Art 6 Delegierte Verordnung 2024/1772; sowie zur Frage, ob ein schwerwiegender Vorfall iSv DORA vorliegt, Art 8 DelVO (EU) 2024/1772.

In Erwägungsgrund 23 DORA wird erläutert, dass für bestimmte Finanzunternehmen der Verwaltungsaufwand verringert und potenziell doppelte Meldepflichten vermieden werden sollen und sollte daher die Verpflichtung zur Meldung von Vorfällen gemäß der Richtlinie (EU) 2015/2366 (PSD2) nicht mehr für Zahlungsdienstleister gelten, die in den Geltungsbereich dieser Verordnung fallen.

Folglich sollten Kreditinstitute, E-Geld-Institute, Zahlungsinstitute und Kontoinformationsdienstleister im Sinne von Artikel 33 Absatz 1 der genannten Richtlinie alle zahlungsbezogenen Betriebs- oder Sicherheitsvorfälle, die vormals gemäß der PSD2 gemeldet wurden, ab dem Geltungsbeginn von DORA gemäß dieser melden.

In Bezug auf das SSM Cyber Incident Reprting Framework ist festzuhalten, dass die EZB bereits in ihrer Stellungnahme vom 04.06.2021 zum DORA-Vorschlag in Rz. 4.2.1 festgehalten hat, dass eine mögliche Aufhebung durch die DORA-Meldungen in Betracht gezogen wird.

DORA stellt auch eine lex specialis zur RL (EU) 2022/2555 (NIS2-RL)  dar. Insofern werden DORA-Meldungen gem Art 19 von der FMA an die NIS-Behörde weitergeleitet werden.

Das Meldetemplate wird über die Incoming Plattform verfügbar sein, sobald eine finale Version zur Verfügung steht. Ab diesem Zeitpunkt (voraussichtlich 2. Dezemberhälfte 2024) wird dann ein Testen der Meldung möglich sein.

Die FMA hat die Meldungen von IKT-bezogenen Vorfällen gemäß Art 19 Abs 6 lit b DORA an die EZB weiterzuleiten, sofern es sich beim Melder um Kreditinstitute, Zahlungsinstitute oder E-Geld Institute handelt. Finanzunternehmen haben dementsprechend keine zusätzliche Meldung an die EZB zu übermitteln.

Nein. Meldungen werden an jene in Art. 19 Abs. 6 DORA-VO genannten Institutionen weitergeleitet.