DORA: Zur Meldung von IKT-Vorfällen an die Aufsichtsbehörden

Die EBA hat eine Q&A (Nr. 7050) im Rahmen von DORA veröffentlicht, die sich mit der Meldung von IKT-bezogenen Vorfällen durch als bedeutend eingestufte Institute gemäß Art. 6 Abs. 4 der Verordnung (EU) Nr. 1024/2013 befasst.

Die gestellte Frage lautet:

Zusätzlich zur Meldung von IKT-Vorfällen gemäß Art. 19 der DORA-Verordnung, ist eine doppelte Meldung der Vorfälle über den Rahmen zur Meldung von IT-Vorfällen des SSM der EZB erforderlich?

Erwägungsgrund 51 der DORA-Verordnung stellt klar, dass die Meldung von IKT-bezogenen Vorfällen harmonisiert werden muss, indem für alle Finanzinstitute die Verpflichtung eingeführt wird, direkt an die jeweiligen zuständigen Behörden zu melden.

Nach Ansicht der EBA sollten die Mitgliedstaaten, falls ein Finanzinstitut der Aufsicht mehrerer nationaler Behörden unterliegt, eine einzige zuständige Behörde als Empfänger dieser Meldung benennen.

Kreditinstitute, die gemäß Art. 6 Abs. 4 der Verordnung (EU) Nr. 1024/2013 als bedeutend eingestuft sind, sollten die Meldung an die nationalen zuständigen Behörden übermitteln. Diese sollten die Meldung anschließend an die EZB weiterleiten.

Daraus folgt, dass relevante Vorfälle im Zusammenhang mit IKT, einschließlich Cybervorfällen, die bedeutende Institute gemäß Art. 6 Abs. 4 der Verordnung (EU) Nr. 1024/2013 betreffen, ausschließlich nach den Vorgaben der DORA-Verordnung und den zugehörigen technischen Standards klassifiziert und gemeldet werden sollten.