Ist Phishing gegen Kunden ein IKT-Vorfall im Sinne von DORA?

Die Europäische Bankenaufsichtsbehörde (EBA) hat am 9. Februar 2026 mit der Q&A Nr. 7613/2025 eine wichtige Klarstellung zur Einordnung von Phishing-Angriffen gegen Bankkunden im Rahmen der DORA-Verordnung veröffentlicht. Die Frage, ob solche Angriffe als meldepflichtige IKT-Vorfälle einzustufen sind, war bislang nicht einheitlich geregelt und wurde von nationalen Aufsichtsbehörden unterschiedlich beurteilt. Die EBA schafft nun Rechtssicherheit.

Hintergrund: Phishing als IKT-Vorfall - wo liegt das Problem?

Phishing-Angriffe auf Kunden von Finanzinstituten sind alltägliche Realität. Dabei imitieren Angreifer etwa die Webseite oder E-Mail-Kommunikation einer Bank, um Kunden zur Preisgabe ihrer Zugangsdaten zu verleiten. Die entscheidende Frage lautet: Fällt ein solcher Angriff, der sich in der "privaten Sphäre" des Kunden abspielt - also etwa beim Klick auf einen Phishing-Link in der privaten E-Mail-Box -, unter die DORA-Definition eines IKT-Vorfalls?

Gemäß Art. 3 Nr. 8 DORA (Verordnung (EU) 2022/2554) liegt ein IKT-bezogener Vorfall vor, wenn die Sicherheit von Netz- und Informationssystemen beeinträchtigt wird. Unklar war jedoch, ob sich diese Beeinträchtigung zwingend auf die Systeme des Finanzinstituts selbst beziehen muss, oder ob auch Auswirkungen auf Kundensysteme ausreichen.

Erschwerend kam hinzu, dass der delegierte Rechtsakt (EU) 2024/1772 - der die Klassifizierungskriterien und Relevanzschwellen für schwere IKT-Vorfälle konkretisiert - nach Einschätzung der Anfragenden keine ausreichende Klarheit über das Verhältnis zwischen Art. 6 dieses Rechtsakts und der DORA-Grunddefinition bot. Die Folge war eine uneinheitliche Handhabung durch nationale Aufsichtsbehörden.

Die Klarstellung der EBA: Wo liegt die Trennlinie?

Die EBA stellt in Q&A 7613/2025 klar, dass Phishing-Vorfälle, die ausschließlich der privaten Sphäre des Kunden stattfinden und die Dienste des Finanzinstituts nicht direkt beeinträchtigen, keine IKT-bezogenen Vorfälle im Sinne von DORA darstellen - weder als IKT-bezogener Vorfall noch als operativer oder zahlungssicherheitsbezogener Vorfall.

Konkret bedeutet dies: Phishing fällt dann nicht unter DORA, wenn

• der Angriff ausschließlich den Kunden in seiner privaten Umgebung trifft (z.B. privates E-Mail-Konto, privaten Geräte),

• die Netz- und Informationssysteme des Finanzinstituts oder seiner IKT-Drittdienstleister nicht direkt betroffen sind,

• keine Beeinträchtigung der vom Institute erbrachten Finanzdienstleistungen entsteht.

In solchen Fälle lösen auch die Relevanzschwellen gemäß Art. 8 Abs. 1 lit. a) und Art. 9 Abs. 5 lit. a) des Delegierte Rechtsakts (EU) 2024/1772 keine Meldepflicht aus.

Wann wird Phishing zum meldepflichtigen IKT-Vorfall?

Ein Phishing-Angriff kann jedoch sehr wohl zum meldepflichtigen schwerwiegenden IKT-Vorfall werden, wenn die folgenden Konstellationen vorliegen:

• Das Finanzinstitut selbst wird angegriffen, etwa durch Phishing-E-Mails an Mitarbeiterinnen und Mitarbeiter, die zu einem unbefugten Zugriff auf interne Systeme führen.

• Eine großangelegte Phishing-Kampagne führt letztlich dazu, dass die Dienste des Finanzinstituts beeinträchtigt werden - etwa durch den Missbrauch erlangter Zugangsdaten für Angriffe auf das Online-Banking-System.

• IKT-Drittdienstleister des Instituts werden kompromittiert und deren Dienste beeinträchtigt.

Ist eine dieser Bedingungen erfüllt und werden zudem die Relevanzschwellen des Delegierten Rechtsakts (EU) 2024/1772 überschritten, besteht die Meldepflicht gegenüber der zuständigen Behörde gemäß Art. 19 Abs. 1 DORA.

Relevanz für kleine und nicht komplexe Institute

Für kleine und nicht komplexe Institute (SNCI) ist diese Klarstellung aus mehreren Gründen bedeutsam:

• Phishing ist auch für kleinere Institute ein alltägliches Bedrohungsszenario, für das nun eine klare rechtliche Einordnung vorliegt.

• Die EBA-Klarstellung wirkt entlastend: Nicht jeder Phishing-Angriff auf Kunden löst automatisch einen aufwendigen Meldeprozess aus.

• Dennoch müssen Institute die Auswirkungen von Phishing-Kampagnen auf die eigenen Systeme sorgfältig beobachten und intern dokumentieren.

• Die Abgrenzung zwischen kundenseitigem Phishing und institutsseitigen Incident erfordert ein funktionsfähiges IKT-Incident-Management.

Hintergrund dieser proportionalen Auslegung ist auch der Erwägungsgrund 23 von DORA, der ausdrücklich auf die Vermeidung übermäßiger administrativer Belastungen abzielt - ein Anliegen, das gerade für SNCI relevant ist.

Meldepflichten unter DORA im Überblick

Zur Einordnung: Das DORA-Melderegime sieht bei schwerwiegenden IKT-Vorfällen ein dreistufiges Berichtsformat vor:

• Erstmeldung (Initial notification): spätestens 24 Stunden nach Identifizierung des schwerwiegenden Vorfalls

• Zwischenbericht (Intermediat report): innerhalb von 72 Stunden nach der Erstmeldung, auch wenn sich der Status nicht geändert hat

• Abschlussbericht (Final report): innerhalb eines Monats nach dem letzten Zwischenbericht

Das inhaltliche Framework für die Klassifizierung von Vorfällen ergibt sich aus dem Delegierten Rechtsakt (EU) 2024/1772, der sechs Hauptkriterien für die Einstufung als schwerwiegenden IKT-Vorfall festlegt: Anzahl betroffener Kunden, wirtschaftliche Auswirkungen, Kritikalität der betroffenen Dienste, geografische Reichweite, Dauer und Datenverlust. Die Meldepflicht greift nur beim Überschreiten definierter Schwellenwerte.

💡 Hinweis für keine und nicht komplexe Institute:

• Überprüfen Sie Ihre internen Incident-Management-Prozesse: Stellen Sie sicher, dass zwischen kundenseitigem Phishing (kein DORA-Vorfall) und Phishing-Angriffen, die Ihre eigenen Systeme oder Dienste berühren (potenziell meldepflichtiger IKT-Vorfall)

• Dokumentieren Sie alle Phishing-Ereignisse systematisch, auch wenn diese nach aktueller EBA-Lesart nicht meldepflichtig sind - dies stärkt Ihre Verteidigungslinie gegenüber der Aufsicht und erleichtert die Klassifizierung bei eskalierenden Angriffen.

• Schulen Sie Ihre Mitarbeiterinnen und Mitarbeiter regelmäßig zu Phishing-Risiken: Angriffe auf interne Systeme via Mitarbeiter-E-Mails sind gemäß EBA-Klarstellung klar meldepflichtige IKT-Vorfälle.

• Prüfen Sie, ob Ihre IKT-Drittdienstleister über geeignete Kontrollen gegen Phishing-Angriffe verfügen, da auch deren Kompromittierung Ihre Meldepflichten auslösen kann.

• Halten Sie die Relevanzschwellen des Delegierten Rechtsakts (EU) 2024/1772 präsent: Erst bei Überschreitung dieser Schwellen wird aus einem IKT-Vorfall ein meldepflichtiger schwerwiegender Vorfall.

Quelle / Eckdaten