Fachwissen DORA - DORA Verordnung, Kapitel 3

Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 zur digitalen Betriebsstabilität des Finanzsektors und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014 und (EU) Nr. 909/2014 (Digital Operational Resilience Act – DORA)

Diese Verordnung wird allgemein als Digital Operational Resilience Act (DORA) bezeichnet und ist Teil des Digital Finance Package der Europäischen Union, das darauf abzielt, die digitale Resilienz von Finanzinstituten zu stärken und eine einheitliche Grundlage für IT-Sicherheitsstandards im Finanzsektor zu schaffen.

Kapitel 3: Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle

Kapitel 3 des Digital Operational Resilience Act (DORA) legt fest, wie Finanzunternehmen mit IKT-bezogenen Vorfällen umgehen, diese klassifizieren und an die zuständigen Behörden melden sollen. Ziel ist es, sicherzustellen, dass Finanzunternehmen auf Cyberbedrohungen und technische Störungen effektiv reagieren können und schwerwiegende Vorfälle zeitnah melden, um Risiken für das Finanzsystem frühzeitig zu erkennen und zu minimieren.

Die Anforderungen dieses Kapitels sind darauf ausgelegt, die Transparenz und Sicherheit in Bezug auf Vorfälle, die die digitale Infrastruktur von Finanzunternehmen betreffen, zu erhöhen. Durch eine klare Struktur für die Erkennung, Klassifizierung und Berichterstattung von Vorfällen soll ein besseres Krisenmanagement und eine optimierte Kommunikation mit Aufsichtsbehörden gewährleistet werden.

Wesentliche Anforderungen und Maßnahmen

Prozess für die Behandlung von IKT-bezogenen Vorfällen
- Finanzunternehmen müssen einen strukturierten und dokumentierten Prozess für die Behandlung von IKT-bezogenen Vorfällen entwickeln und implementieren. Dieser Prozess soll sicherstellen, dass alle IKT-bezogenen Vorfälle effizient erkannt, dokumentiert, kategorisiert und nachverfolgt werden.
- Ein zentraler Aspekt ist die schnelle Identifikation und Reaktion auf Vorfälle. Dazu gehören Mechanismen wie Frühwarnsysteme, Eskalationsstufen und die klare Zuordnung von Verantwortlichkeiten, um sicherzustellen, dass Vorfälle schnell und effektiv gemanagt werden.
Klassifizierung und Priorisierung von Vorfällen
- Finanzunternehmen sind verpflichtet, IKT-bezogene Vorfälle und Cyberbedrohungen nach bestimmten Kriterien zu klassifizieren und zu priorisieren. Zu den Kriterien gehören unter anderem die betroffene Kundenzahl, die geografische Reichweite, die Auswirkungen auf Datenintegrität und -vertraulichkeit sowie die wirtschaftlichen Auswirkungen.
- Diese Klassifizierung hilft dabei, die Bedeutung und den potenziellen Schaden eines Vorfalls einzuschätzen und die notwendigen Maßnahmen zu priorisieren. Besonders kritische Vorfälle, die das Potenzial haben, den Geschäftsbetrieb erheblich zu beeinträchtigen, erhalten eine hohe Priorität und werden entsprechend schnell eskaliert.
Meldepflichten für schwerwiegende IKT-bezogene Vorfälle
- Finanzunternehmen müssen schwerwiegende IKT-bezogene Vorfälle an die zuständigen Aufsichtsbehörden melden. Die Meldepflicht umfasst eine Erstmeldung, Zwischenberichte und eine Abschlussmeldung, die jeweils detaillierte Informationen über den Vorfall und die ergriffenen Maßnahmen enthalten.
- Durch diese Meldepflicht sollen die Aufsichtsbehörden in die Lage versetzt werden, potenzielle systemische Risiken frühzeitig zu erkennen und eine koordinierte Reaktion sicherzustellen, insbesondere bei Vorfällen mit potenziellen Auswirkungen auf den gesamten Finanzsektor.
- Die Berichterstattung erfolgt in einem standardisierten Format, das von den europäischen Aufsichtsbehörden (ESA) entwickelt wurde, um die Konsistenz und Vergleichbarkeit der Berichte zu gewährleisten.
Freiwillige Meldung erheblicher Cyberbedrohungen
- Neben der Pflicht zur Meldung schwerwiegender IKT-bezogener Vorfälle können Finanzunternehmen auf freiwilliger Basis auch erhebliche Cyberbedrohungen melden, die möglicherweise eine ernsthafte Gefahr für den Finanzsektor darstellen.
- Diese freiwilligen Meldungen tragen dazu bei, das Verständnis und die Präventionsmaßnahmen für Cyberbedrohungen zu verbessern, da dadurch wertvolle Informationen über aufkommende Bedrohungen gesammelt werden, die auch für andere Unternehmen und Behörden von Nutzen sein können.
Informationspflicht gegenüber Kunden
- Falls ein schwerwiegender IKT-bezogener Vorfall die finanziellen Interessen von Kunden beeinflusst, sind Finanzunternehmen verpflichtet, ihre Kunden zeitnah über den Vorfall und die ergriffenen Maßnahmen zu informieren.
- Dies stärkt das Vertrauen der Kunden und verbessert die Transparenz im Umgang mit Cyberbedrohungen. Bei erheblichen Cyberbedrohungen können Finanzunternehmen ihre Kunden ebenfalls über präventive Schutzmaßnahmen informieren, die diese ergreifen können.
Zentralisierung und Harmonisierung des Meldeprozesses
- Die europäische Aufsicht arbeitet an einer Harmonisierung der Meldeverfahren für schwerwiegende IKT-bezogene Vorfälle, um die Berichterstattung effizienter zu gestalten. Langfristig soll eine zentrale Plattform eingerichtet werden, über die Finanzunternehmen ihre Meldungen einreichen können.
- Die zentrale Plattform wird es den Aufsichtsbehörden ermöglichen, einen vollständigen Überblick über die IKT-bezogenen Vorfälle im Finanzsektor zu erhalten und so schnell und effektiv auf Bedrohungen zu reagieren.

Praktische Auswirkungen und Herausforderungen für den Finanzsektor

Die Anforderungen an die Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle haben weitreichende Auswirkungen auf den Finanzsektor und erfordern sowohl technologische als auch organisatorische Anpassungen:

Erhöhte Transparenz und Reaktionsfähigkeit bei Cybervorfällen
Die strikte Einhaltung der Meldepflichten und die Implementierung klarer Prozesse zur Vorfallsbehandlung und -klassifizierung führen zu einer höheren Transparenz gegenüber den Aufsichtsbehörden. Dadurch wird sichergestellt, dass ernsthafte Vorfälle nicht nur erkannt, sondern auch angemessen gehandhabt und kommuniziert werden.
Verstärkte Zusammenarbeit mit Aufsichtsbehörde
Die Anforderungen zur Meldung schwerwiegender IKT-bezogener Vorfälle fördern eine engere Zusammenarbeit zwischen Finanzunternehmen und Aufsichtsbehörden. Finanzinstitute müssen den Informationsaustausch mit Behörden intensivieren, was eine größere Bereitschaft zur Offenlegung und Transparenz erfordert.
Notwendigkeit eines klaren Eskalations- und Kommunikationsplans
Um die Anforderungen von DORA zu erfüllen, müssen Finanzunternehmen detaillierte Eskalationspläne und Kommunikationsprozesse festlegen. Diese Pläne müssen sicherstellen, dass alle relevanten Stakeholder, einschließlich Kunden und Behörden, im Falle eines schwerwiegenden Vorfalls schnell informiert werden.
Erhöhter administrativer Aufwand für Dokumentation und Berichterstattung
Die Anforderungen zur detaillierten Berichterstattung und Klassifizierung von Vorfällen bedeuten einen erhöhten administrativen Aufwand. Finanzunternehmen müssen sicherstellen, dass alle Vorfälle sorgfältig dokumentiert und die relevanten Informationen in einer standardisierten Form an die Behörden gemeldet werden. Dazu gehören regelmäßige Zwischenberichte und Abschlussmeldungen, die detaillierte Informationen über den Vorfall und die ergriffenen Maßnahmen enthalten.
Verbesserung der internen Sicherheitsprozesse
Die strikten Anforderungen an die Klassifizierung und Behandlung von Vorfällen zwingen Unternehmen dazu, ihre internen Prozesse zur Erkennung und Reaktion auf Vorfälle zu optimieren. Dies umfasst die Einrichtung effizienter Monitoring- und Incident-Response-Systeme, die kontinuierliche Schulung von Mitarbeitern und die Investition in fortschrittliche Technologien zur Erkennung und Prävention von Cyberbedrohungen.
Herausforderungen bei der Klassifizierung und Priorisierung
Die Anforderungen zur Klassifizierung von Vorfällen basieren auf bestimmten Kriterien wie geografischer Reichweite, Kundenzahl und wirtschaftlichen Auswirkungen. Finanzunternehmen müssen daher klare Prozesse zur schnellen Einschätzung und Priorisierung von Vorfällen entwickeln, um sicherzustellen, dass die gravierendsten Vorfälle die höchste Aufmerksamkeit erhalten und zeitnah gemeldet werden.
Potenzielle Auswirkungen auf den Kundenservice
Da Finanzunternehmen bei schwerwiegenden Vorfällen verpflichtet sind, betroffene Kunden zu informieren, können solche Vorfälle das Vertrauen der Kunden beeinträchtigen. Andererseits bietet die transparente Kommunikation auch die Chance, das Vertrauen der Kunden in die Sicherheitsmaßnahmen des Unternehmens zu stärken und eine enge Kundenbeziehung aufrechtzuerhalten.
Investitionen in Incident-Management-Systeme
Um die Anforderungen an die Erkennung und Meldung von Vorfällen zu erfüllen, müssen Finanzunternehmen möglicherweise in spezialisierte Incident-Management-Systeme investieren, die eine kontinuierliche Überwachung und schnelle Eskalation ermöglichen. Diese Systeme helfen, Vorfälle schnell zu identifizieren und die notwendigen Informationen für eine standardisierte Berichterstattung zu sammeln.

Artikel 17 - Prozess für die Behandlung IKT-bezogener Vorfälle

Artikel 17 des DORA beschreibt den Prozess für die Behandlung IKT-bezogener Vorfälle. Hierbei müssen Finanzunternehmen Maßnahmen und Prozesse zur Erkennung, Bearbeitung und Meldung von IKT-bezogenen Vorfällen und Cyberbedrohungen festlegen und anwenden. Der Artikel stellt sicher, dass Finanzunternehmen nicht nur auf Vorfälle reagieren, sondern auch präventive Maßnahmen implementieren, um zukünftige Vorfälle zu verhindern.

Kerninhalte:

Prozesse zur Vorfallerkennung und -meldung
Finanzunternehmen sind verpflichtet, einen systematischen Prozess zur Erkennung und Meldung von IKT-Vorfällen zu etablieren. Dieser Prozess umfasst alle Schritte von der Identifikation bis zur Dokumentation und Berichterstattung.
Erfassung und Dokumentation
Alle IKT-bezogenen Vorfälle sowie erhebliche Cyberbedrohungen müssen vollständig erfasst und dokumentiert werden. Diese Dokumentation dient nicht nur der Transparenz, sondern auch der Ursachenanalyse, um künftige Vorfälle proaktiv zu vermeiden.
Frühwarnindikatoren und Eskalationsstufen
Zur präventiven Erkennung von Bedrohungen werden Frühwarnindikatoren eingeführt, die es ermöglichen, auf Anomalien schnell zu reagieren und Eskalationen entsprechend der Schwere des Vorfalls zu steuern.

Original

(1) Finanzunternehmen bestimmen einen Prozess für die Behandlung IKT-bezogener Vorfälle, richten diese ein und wenden sie an, um IKT-bezogene Vorfälle zu erkennen, zu behandeln und zu melden.

(2) Finanzunternehmen erfassen alle IKT-bezogenen Vorfälle und erheblichen Cyberbedrohungen. Finanzunternehmen richten angemessene Verfahren und Prozesse ein, um die kohärente und integrierte Überwachung, Handhabung und Weiterverfolgung IKT-bezogener Vorfälle zu gewährleisten, um sicherzustellen, dass Ursachen ermittelt, dokumentiert und angegangen werden, um das Auftreten solcher Vorfälle zu verhindern.

(3) Durch den in Absatz 1 genannten Prozess für die Behandlung IKT-bezogener Vorfälle

a)	werden Frühwarnindikatoren eingesetzt;

b)	werden Verfahren zur Ermittlung, Nachverfolgung, Protokollierung, Kategorisierung und Klassifizierung IKT-bezogener Vorfälle entsprechend ihrer Priorität und Schwere und entsprechend der Kritikalität der betroffenen Dienste entsprechend den in Artikel 18 Absatz 1 genannten Kriterien eingerichtet;

c)	werden Funktionen und Zuständigkeiten zugewiesen, die bei verschiedenen Arten von IKT-bezogenen Vorfällen und -Szenarien aktiviert werden müssen;

d)

werden gemäß Artikel 14 Pläne für die Kommunikation mit Personal, externen Interessenträgern und Medien sowie für die Benachrichtigung von Kunden, für interne Eskalationsverfahren, einschließlich IKT-bezogener Kundenbeschwerden, und für die Bereitstellung von Informationen an andere Finanzunternehmen, die als Gegenparteien fungieren, ausgearbeitet, je nach Sachlage;

e)

wird sichergestellt, dass zumindest schwerwiegende IKT-bezogene Vorfälle der zuständigen höheren Führungsebene gemeldet werden und die Geschäftsleitung informiert wird, wobei die Auswirkungen und Gegenmaßnahmen und zusätzliche Kontrollen erläutert werden, die infolge dieser IKT-bezogenen Vorfälle einzurichten sind;

f)	werden Verfahren für Reaktionsmaßnahmen bei IKT-bezogenen Vorfällen eingerichtet, um Auswirkungen zu mindern und sicherzustellen, dass die Dienste zeitnah verfügbar und sicher werden.

Artikel 18 - Klassifizierung von IKT-bezogenen Vorfällen und Cyberbedrohungen

(1) Finanzunternehmen klassifizieren IKT-bezogene Vorfälle und bestimmen deren Auswirkungen anhand folgender Kriterien:

a)	Anzahl und/oder Relevanz der Kunden oder anderer Gegenparteien im Finanzbereich, die von dem IKT-bezogenen Vorfall betroffen sind, und gegebenenfalls des Werts oder der Anzahl der davon betroffenen Transaktionen und ob der IKT-bezogene Vorfall einen Reputationsschaden verursacht hat;

b)	Dauer des IKT-bezogenen Vorfalls, einschließlich der Ausfallzeiten des Dienstes;

c)	geografische Ausbreitung der von dem IKT-bezogenen Vorfall betroffenen Gebiete, insbesondere wenn mehr als zwei Mitgliedstaaten betroffen sind;

d)	die mit dem IKT-bezogenen Vorfall verbundenen Verfügbarkeits-, Authentizitäts-, Integritäts- oder Vertraulichkeitsverluste von Daten;

e)	Kritikalität der betroffenen Dienste, einschließlich der Transaktionen und Geschäfte des Finanzunternehmens;

f)	wirtschaftliche Auswirkungen — insbesondere direkte und indirekte Kosten und Verluste — des IKT-bezogenen Vorfalls auf absoluter und relativer Basis.

(2) Finanzunternehmen stufen Cyberbedrohungen auf der Grundlage der Kritikalität der risikobehafteten Dienste, einschließlich der Transaktionen und Geschäfte des Finanzunternehmens, der Anzahl und/oder Relevanz der betroffenen Kunden oder Gegenparteien im Finanzbereich und der geografischen Ausbreitung der Risikogebiete als erheblich ein.

(3) Die ESA erarbeiten über den Gemeinsamen Ausschuss in Abstimmung mit der EZB und der ENISA gemeinsame Entwürfe technischer Regulierungsstandards, in denen Folgendes präzisiert wird:

a)	die in Absatz 1 genannten Kriterien, einschließlich der Wesentlichkeitsschwellen für die Bestimmung schwerwiegender IKT-bezogener Vorfälle oder gegebenenfalls schwerwiegender zahlungsbezogener Betriebs- oder Sicherheitsvorfälle, die der Meldepflicht nach Artikel 19 Absatz 1 unterliegen;

b)

die Kriterien, die von den zuständigen Behörden anzuwenden sind, um die Relevanz schwerwiegender IKT-bezogener Vorfälle oder gegebenenfalls schwerwiegender zahlungsbezogener Betriebs- oder Sicherheitsvorfälle für die jeweils zuständigen Behörden in anderen Mitgliedstaaten zu bewerten, sowie die Einzelheiten in den Meldungen über schwerwiegende IKT-bezogene Vorfälle oder gegebenenfalls schwerwiegende zahlungsbezogene Betriebs- oder Sicherheitsvorfälle, die anderen zuständigen Behörden gemäß Artikel 19 Absätze 6 und 7 übermittelt werden müssen;

c)	die in Absatz 2 genannten Kriterien, einschließlich hoher Wesentlichkeitsschwellen für die Bestimmung erheblicher Cyberbedrohungen.

(4) Bei der Ausarbeitung der in Absatz 3 genannten gemeinsamen Entwürfe technischer Regulierungsstandards berücksichtigen die ESA die in Artikel 4 Absatz 2 genannten Kriterien sowie von der ENISA entwickelte und veröffentlichte internationale Standards, Leitlinien und Spezifikationen, gegebenenfalls einschließlich Spezifikationen für andere Wirtschaftszweige. Für die Zwecke der Anwendung der in Artikel 4 Absatz 2 festgelegten Kriterien berücksichtigen die ESA gebührend, dass Kleinstunternehmen sowie kleine und mittlere Unternehmen ausreichende Ressourcen und Kapazitäten mobilisieren können müssen, um sicherzustellen, dass IKT-bezogene Vorfälle rasch bewältigt werden.

Die ESA übermitteln der Kommission diese allgemeinen Entwürfe technischer Regulierungsstandards bis zum 17. Januar 2024.

Der Kommission wird die Befugnis übertragen, diese Verordnung durch Annahme der in Absatz 3 genannten technischen Regulierungsstandards gemäß den Artikeln 10 bis 14 der Verordnungen (EU) Nr. 1093/2010, (EU) Nr. 1094/2010 und (EU) Nr. 1095/2010 zu ergänzen.

Artikel 19 - Meldung schwerwiegender IKT-bezogener Vorfälle und freiwillige Meldung erheblicher Cyberbedrohungen

(1) Finanzunternehmen melden der nach Artikel 46 jeweils zuständigen Behörde gemäß Absatz 4 schwerwiegende IKT-bezogene Vorfälle.

Unterliegt ein Finanzunternehmen der Aufsicht mehr als einer nach Artikel 46 zuständigen nationalen Behörde, so benennen die Mitgliedstaaten eine einzige zuständige Behörde als einschlägige zuständige Behörde, die für die Wahrnehmung der im vorliegenden Artikel aufgeführten Funktionen und Aufgaben verantwortlich ist.

Kreditinstitute, die gemäß Artikel 6 Absatz 4 der Verordnung (EU) Nr. 1024/2013 als bedeutend eingestuft wurden, melden schwerwiegende IKT-bezogene Vorfälle der gemäß Artikel 4 der Richtlinie 2013/36/EU benannten jeweils zuständigen nationalen Behörde, die diese Meldung unverzüglich an die EZB weiterleitet.

Für die Zwecke von Unterabsatz 1 erstellen Finanzunternehmen nach Erfassung und Analyse aller relevanten Informationen unter Verwendung der in Artikel 20 genannten Vorlage die Erstmeldung und die Meldungen nach Absatz 4 und übermitteln diese der zuständigen Behörde. Falls es aus technischen Gründen nicht möglich ist, die Erstmeldung unter Verwendung der Vorlage zu übermitteln, teilen die Finanzunternehmen dies der zuständigen Behörde auf anderem Wege mit.

Die Erstmeldung und die Meldungen nach Absatz 4 enthalten alle Informationen, die die zuständige Behörde benötigt, um die Signifikanz des schwerwiegenden IKT-bezogenen Vorfalls zu ermitteln und mögliche grenzüberschreitende Auswirkungen zu bewerten.

Unbeschadet der Meldung gemäß Unterabsatz 1 durch das Finanzunternehmen an die jeweils zuständige Behörde können die Mitgliedstaaten zusätzlich festlegen, dass einige oder alle Finanzunternehmen die Erstmeldung und jede Meldung nach Absatz 4 auch den gemäß der Richtlinie (EU) 2022/2555 benannten oder eingerichteten zuständigen Behörden oder Computer-Notfallteams (computer security incident response teams — CSIRT) unter Verwendung der in Artikel 20 genannten Vorlage zur Verfügung stellen müssen.

(2) Finanzunternehmen können der jeweils zuständigen Behörde auf freiwilliger Basis erhebliche Cyberbedrohungen melden, wenn sie der Auffassung sind, dass die Bedrohung für das Finanzsystem, die Dienstnutzer oder die Kunden relevant ist. Die jeweils zuständige Behörde kann derartige Informationen anderen in Absatz 6 genannten einschlägigen Behörden zur Verfügung stellen.

Kreditinstitute, die gemäß Artikel 6 Absatz 4 der Verordnung (EU) Nr. 1024/2013 als bedeutend eingestuft wurden, können erhebliche Cyberbedrohungen auf freiwilliger Basis der gemäß Artikel 4 der Richtlinie 2013/36/EU benannten jeweils zuständigen nationalen Behörde melden, die diese Meldung unverzüglich an die EZB weiterleitet.

Die Mitgliedstaaten können festlegen, dass die Finanzunternehmen, die auf freiwilliger Basis eine Meldung gemäß Unterabsatz 1 vornehmen, diese Meldung auch an die gemäß der Richtlinie (EU) 2022/2555 benannten oder eingerichteten CSIRT erstatten können.

(3) Wenn ein schwerwiegender IKT-bezogener Vorfall auftritt und Auswirkungen auf die finanziellen Interessen von Kunden hat, unterrichten die Finanzunternehmen, sobald sie hiervon Kenntnis erlangt haben, ihre Kunden unverzüglich über den schwerwiegenden IKT-bezogenen Vorfall und die Maßnahmen, die ergriffen wurden, um die nachteiligen Auswirkungen eines solchen Vorfalls zu mindern.

Im Falle einer erheblichen Cyberbedrohung unterrichten die Finanzunternehmen gegebenenfalls ihre potenziell betroffenen Kunden über angemessene Schutzmaßnahmen, die diese ergreifen könnten.

(4) Finanzunternehmen legen innerhalb der in Artikel 20 Absatz 1 Buchstabe a Ziffer ii festzulegenden Fristen der jeweils zuständigen Behörde Folgendes vor:

a)	eine Erstmeldung;

b)

nach der Erstmeldung gemäß Buchstabe a eine Zwischenmeldung, sobald sich der Status des ursprünglichen Vorfalls erheblich geändert hat oder sich die Handhabung des schwerwiegenden IKT-bezogenen Vorfalls auf der Grundlage neuer verfügbarer Informationen geändert hat, gegebenenfalls gefolgt von aktualisierten Meldungen, wann immer eine entsprechende Statusaktualisierung vorliegt, sowie auf ausdrücklichen Antrag der zuständigen Behörde;

c)	eine Abschlussmeldung, wenn die Ursachenanalyse abgeschlossen ist — unabhängig davon, ob bereits Minderungsmaßnahmen getroffen wurden oder nicht — und sich die tatsächlichen Auswirkungen beziffern lassen und Schätzungen ersetzen.

(5) Finanzunternehmen dürfen im Einklang mit den sektorspezifischen Rechtsvorschriften der Union und der Mitgliedstaaten die Meldepflichten nach diesem Artikel an einen Drittdienstleister auslagern. Bei einer solchen Auslagerung bleibt das Finanzunternehmen in vollem Umfang für die Erfüllung der Anforderungen für die Meldung von Vorfällen verantwortlich.

(6) Nach Eingang der Erstmeldung und jeder Meldung nach Absatz 4 übermittelt die zuständige Behörde auf der Grundlage der je nach Sachlage bestehenden jeweiligen Zuständigkeiten zeitnah Einzelheiten zu dem schwerwiegenden IKT-bezogenen Vorfall an die folgenden Empfänger:

a)	die EBA, die ESMA oder die EIOPA;

b)	die EZB, sofern es sich um Finanzunternehmen im Sinne von Artikel 2 Absatz 1 Buchstaben a, b und d handelt;

c)	die zuständigen Behörden, die zentrale Anlaufstelle oder die CSIRT, die jeweils gemäß der Richtlinie (EU) 2022/2555 benannt oder eingerichtet werden;

d)

die in Artikel 3 der Richtlinie 2014/59/EU genannten Abwicklungsbehörden und den Einheitlichen Abwicklungsausschuss (Single Resolution Board — SRB) in Bezug auf die in Artikel 7 Absatz 2 der Verordnung (EU) Nr. 806/2014 des Europäischen Parlaments und des Rates (37) genannten Unternehmen sowie in Bezug auf die in Artikel 7 Absatz 4 Buchstabe b und Absatz 5 der Verordnung (EU) Nr. 806/2014 genannten Unternehmen und Gruppen, wenn diese Einzelheiten Vorfälle betreffen, die ein Risiko für die Sicherstellung kritischer Funktionen im Sinne von Artikel 2 Absatz 1 Nummer 35 der Richtlinie 2014/59/EU darstellen; und

e)	andere einschlägige Behörden nach nationalem Recht.

(7) Nach Erhalt der Informationen gemäß Absatz 6 bewerten die EBA, die ESMA oder die EIOPA und die EZB in Abstimmung mit der ENISA und in Zusammenarbeit mit der jeweils zuständigen Behörde, ob der schwerwiegende IKT-bezogene Vorfall für die zuständigen Behörden in anderen Mitgliedstaaten von Belang ist. Im Anschluss an diese Bewertung benachrichtigen die EBA, die ESMA oder die EIOPA die jeweils zuständigen Behörden in anderen Mitgliedstaaten entsprechend. Die EZB unterrichtet die Mitglieder des Europäischen Systems der Zentralbanken über die für das Zahlungssystem relevanten Aspekte. Auf der Grundlage dieser Unterrichtung treffen die zuständigen Behörden gegebenenfalls alle für die unmittelbare Stabilität des Finanzsystems notwendigen Schutzvorkehrungen.

(8) Die von der ESMA gemäß Absatz 7 vorzunehmende Meldung berührt nicht die Verantwortung der zuständigen Behörde, die Einzelheiten des schwerwiegenden IKT-bezogenen Vorfalls umgehend an die einschlägige Behörde des Aufnahmemitgliedstaats weiterzuleiten, wenn ein Zentralverwahrer eine umfassende grenzüberschreitende Tätigkeit in dem Aufnahmemitgliedstaat ausübt, der schwerwiegende IKT-bezogene Vorfall wahrscheinlich schwerwiegende Folgen für die Finanzmärkte des Aufnahmemitgliedstaats hat und zwischen den zuständigen Behörden Kooperationsvereinbarungen in Bezug auf die Beaufsichtigung von Finanzunternehmen bestehen.

Artikel 20 - Harmonisierung von Inhalt und Vorlagen von Meldungen

Die ESA erarbeiten über den Gemeinsamen Ausschuss und in Abstimmung mit der ENISA und der EZB

a)

gemeinsame Entwürfe technischer Regulierungsstandards, um

i)

den Inhalt von Meldungen über schwerwiegende IKT-bezogene Vorfälle festzulegen, damit den in Artikel 18 Absatz 1 aufgeführten Kriterien Rechnung getragen wird und weitere Elemente einbezogen werden, wie z. B. Einzelheiten zur Feststellung der Relevanz der Meldungen für andere Mitgliedstaaten und die Frage, ob es sich dabei um einen schwerwiegenden zahlungsbezogenen Betriebs- oder Sicherheitsvorfall handelt;

ii)	die Fristen für die Erstmeldung und jede Meldung nach Artikel 19 Absatz 4 festzulegen;

iii)	den Inhalt der Meldung erheblicher Cyberbedrohungen festzulegen.

Bei der Ausarbeitung dieser Entwürfe technischer Regulierungsstandards berücksichtigen die ESA die Größe und das Gesamtrisikoprofil des Finanzunternehmens sowie die Art, den Umfang und die Komplexität seiner Dienstleistungen, Tätigkeiten und Geschäfte, um insbesondere sicherzustellen, dass den Besonderheiten der Finanzsektoren für die Zwecke des vorliegenden Absatzes Buchstabe a Ziffer ii gegebenenfalls durch unterschiedliche Fristen Rechnung getragen wird, unbeschadet der Beibehaltung eines kohärenten Ansatzes für die Meldung IKT-bezogener Vorfälle gemäß dieser Verordnung und gemäß der Richtlinie (EU) 2022/2555. Die ESA legen — sofern zutreffend — eine Begründung vor, wenn sie von den im Rahmen jener Richtlinie verfolgten Ansätzen abweichen;

b)	gemeinsame Entwürfe technischer Durchführungsstandards zur Festlegung von Standardformularen, Vorlagen und Verfahren für Finanzunternehmen zur Meldung eines schwerwiegenden IKT-bezogenen Vorfalls oder einer erheblichen Cyberbedrohung.

Die ESA übermitteln der Kommission die in Absatz 1 Buchstabe a genannten gemeinsamen Entwürfe technischer Regulierungsstandards und die in Absatz 1 Buchstabe b genannten gemeinsamen Entwürfe technischer Durchführungsstandards bis zum 17. Juli 2024.

Der Kommission wird die Befugnis übertragen, diese Verordnung durch Annahme der in Absatz 1 Buchstabe a genannten gemeinsamen technischen Regulierungsstandards gemäß den Artikeln 10 bis 14 der Verordnungen (EU) Nr. 1093/2010, (EU) Nr. 1094/2010 und (EU) Nr. 1095/2010 zu ergänzen.

Der Kommission wird die Befugnis übertragen, die in Absatz 1 Buchstabe b genannten gemeinsamen technischen Durchführungsstandards gemäß Artikel 15 der Verordnungen (EU) Nr. 1093/2010, (EU) Nr. 1094/2010 (EU) Nr. 1095/2010 zu erlassen.

Artikel 21 - Zentralisierung der Berichterstattung über schwerwiegende IKT-bezogene Vorfälle

(1) Die ESA erstellen über den Gemeinsamen Ausschuss und in Abstimmung mit der EZB und der ENISA einen gemeinsamen Bericht, in dem sie die Durchführbarkeit einer weiteren Zentralisierung der Meldung von Vorfällen durch die Einrichtung einer einheitlichen EU-Plattform für die Meldung schwerwiegender IKT-bezogener Vorfälle durch Finanzunternehmen bewerten. In dem gemeinsamen Bericht werden Möglichkeiten sondiert, um den Meldefluss zu IKT-bezogenen Vorfällen zu erleichtern, damit verbundene Kosten zu senken und thematische Analysen zur Erhöhung aufsichtlicher Konvergenz zu unterstützen.

(2) Der in Absatz 1 genannte gemeinsame Bericht umfasst mindestens die folgenden Aspekte:

a)	Voraussetzungen für die Einrichtung einer einheitlichen EU-Plattform;

b)	Vorteile, Grenzen und Risiken, einschließlich Risiken im Zusammenhang mit einer hohen Konzentration sensibler Informationen;

c)	die erforderliche Fähigkeit zur Gewährleistung der Interoperabilität im Hinblick auf andere einschlägige Meldesysteme;

d)	Elemente des Betriebsmanagements;

e)	Voraussetzungen für die Mitgliedschaft;

f)	technische Regelungen für den Zugang von Finanzunternehmen und zuständigen nationalen Behörden zur einheitlichen EU-Plattform;

g)	eine vorläufige Bewertung der finanziellen Kosten, die durch die Einrichtung der operativen Plattform zur Unterstützung der einheitlichen EU-Plattform entstehen, einschließlich des erforderlichen Fachwissens.

(3) Die ESA übermitteln dem Europäischen Parlament, dem Rat und der Kommission den in Absatz 1 genannten Bericht bis zum 17. Januar 2025.

Artikel 22 - Rückmeldungen von Aufsichtsbehörden

(1) Unbeschadet der technischen Informationen, Empfehlungen oder Abhilfe- und Folgemaßnahmen, die im Einklang mit dem nationalen Recht gegebenenfalls vom CSIRT gemäß Richtlinie (EU) 2022/2555 bereitgestellt werden können, bestätigt die zuständige Behörde nach Eingang der Erstmeldung und jeder Meldung nach Artikel 19 Absatz 4 den Eingang und kann, wenn möglich, dem Finanzunternehmen zeitnah sachdienliche und angemessene Rückmeldungen oder allgemein gehaltene Orientierungshilfen übermitteln, insbesondere durch Zurverfügungstellung relevanter anonymisierter Informationen und Erkenntnisse zu ähnlichen Bedrohungen, sowie auf Ebene des Unternehmens angewandte Abhilfemaßnahmen und Möglichkeiten zur Minimierung und Minderung nachteiliger Auswirkungen auf den gesamten Finanzsektor erörtern. Unbeschadet der aufsichtlichen Rückmeldung bleiben Finanzunternehmen in vollem Umfang für die Handhabung und die Folgen der gemäß Artikel 19 Absatz 1 gemeldeten IKT-bezogenen Vorfälle verantwortlich.

(2) Die ESA berichten jährlich über den Gemeinsamen Ausschuss in anonymisierter und aggregierter Form über schwerwiegende IKT-bezogene Vorfälle, deren Einzelheiten von den zuständigen Behörden gemäß Artikel 19 Absatz 6 übermittelt werden, und geben dabei mindestens die Zahl schwerwiegender IKT-bezogener Vorfälle, ihre Art und ihre Auswirkungen auf die Geschäftstätigkeit von Finanzunternehmen oder Kunden sowie die ergriffenen Abhilfemaßnahmen und die Kosten an.

Die ESA geben Warnungen heraus und erstellen allgemein gehaltene Statistiken, um die Bewertungen von Bedrohungen und Schwachstellen im IKT-Bereich zu unterstützen.

Artikel 23 - Zahlungsbezogene Betriebs- oder Sicherheitsvorfälle, die Kreditinstitute, Zahlungsinstitute, Kontoinformationsdienstleister und E-Geld-Institute betreffen

Die Anforderungen in diesem Kapitel gelten auch für zahlungsbezogene Betriebs- oder Sicherheitsvorfälle, auch schwerwiegender Art, wenn sie Kreditinstitute, Zahlungsinstitute, Kontoinformationsdienstleister und E-Geld-Institute betreffen.

Eine Beratung, so wie sie sein soll – Hettwer UnternehmensBeratung GmbH – Eine Beratung, so wie sie sein soll – Hettwer UnternehmensBeratung GmbH – Eine Beratung, so wie sie sein soll – Hettwer UnternehmensBeratung GmbH – Eine Beratung, so wie sie sein soll – Hettwer UnternehmensBeratung GmbH – Eine Beratung, so wie sie sein soll – Hettwer UnternehmensBeratung GmbH