Die Europäische Bankenaufsichtsbehörde (EBA) hat am 9. Februar 2026 mit der Q&A Nr. 7613/2025 eine wichtige Klarstellung zur Einordnung von Phishing-Angriffen gegen Bankkunden im Rahmen der DORA-Verordnung veröffentlicht. Die Frage, ob solche Angriffe als meldepflichtige IKT-Vorfälle einzustufen sind, war bislang nicht einheitlich geregelt und wurde von nationalen Aufsichtsbehörden unterschiedlich beurteilt. Die EBA schafft nun Rechtssicherheit. Hintergrund: Phishing als IKT-