DORA: RTS zur Meldung schwerwiegender IKT-Vorfälle veröffentlicht

Die delegierte Verordnung (EU) 2025/301 wurde am 20. Februar 2025 im Amtsblatt der Europäischen Union veröffentlicht. Diese ergänzt die Verordnung (EU) 2022/2554 (DORA) in Bezug auf die regulatorischen technischen Standards (RTS) zum Inhalt und zu den Fristen für die Meldung, die Betreiber bei schwerwiegenden IKT-Vorfällen verpflichtend an die zuständigen Behörden übermitteln müssen - sowie auf freiwilliger Basis bei bedeutenden Cyber-Bedrohungen.

Insbesondere sind Betreiber bei schwerwiegenden IKT-Vorfällen verpflichtet, eine Erstmeldung, anschließend einen Zwischenbericht und abschließend einen Abschlussbericht einzureichen.

Zur Harmonisierung und Vereinfachung der Melde- und Berichtspflichten für schwerwiegende IKT-Vorfälle gemäß Artikel 19 Absatz 4 der DORA-Verordnung wurden die Meldefristen für alle Arten von Finanzunternehmen einheitlich gestaltet.

Um die finanzielle Belastung für Unternehmen während der Bewältigung eines IKT-Vorfalls nicht übermäßig zu erhöhen, wurde der Inhalt der Erstmeldung auf die wesentlichsten Informationen beschränkt. Dadurch sollen die zuständigen Behörden so schnell wie möglich über schwerwiegende IKT-Vorfälle informiert werden, sobald ein Finanzinstitut einen Vorfall als schwerwiegend eingestuft hat.

Erst nach Eingang der Erstmeldung erhalten die zuständigen Behörden im Zwischenbericht detailliertere Informationen zum IKT-Vorfall. Schließlich wird im Abschlussbericht eine vollständige Darstellung aller relevanten Informationen bereitgestellt.

Die in diesen Berichten enthaltenen Informationen ermöglichen es den zuständigen Behörden, den IKT-Vorfall weiter zu untersuchen und etwaige aufsichtsrechtliche Maßnahmen zu bewerten.

Die in Artikel 20 Absatz 1 a), ii) von DORA festgelegten Meldefristen sollen ein Gleichgewicht zwischen dem Bedürfnis der Behörden nach einer schnellen Informationsübermittlung und dem Erfordernis, den Finanzinstituten genügend Zeit für die Beschaffung vollständiger und genauer Informationen zu geben, sicherstellen. Gleichzeitig sollen die Meldefristen keine unverhältnismäßige Belastung für Kleinstunternehmen und nicht bedeutende Finanzinstitute darstellen.

Da die Meldung von bedeutenden Cyber-Bedrohungen auf freiwilliger Basis erfolgt, wird der Inhalt dieser Meldung keine Belastung für Finanzinstitute darstellen und bleibt weniger umfangreich als die für schwerwiegende IKT-Vorfälle erforderlichen Informationen.