DORA: Das Vorfallmeldewesen kurz erklärt

Artikel von Martin Oberberger·29. August 2025

Der Digital Operational Resilience Act (DORA) beinhaltet auch die Verpflichtung zur Meldung schwerwiegender IKT-bezogener Vorfälle. Wir möchten Ihnen einen kurzen Überblick geben, wie Sie die Anforderungen von DORA zur Vorfallmeldung umsetzen und welche Schritte im Ernstfall zu beachten sind.

Der Inhalt im Überblick

Was ist DORA und warum betrifft es die Vorfallmeldung?
Welche Vorfälle müssen nach DORA gemeldet werden?
Nach welchen Kriterien werden Vorfälle nach DORA klassifiziert?
Bedingungen für eine Klassifizierung als schwerwiegend
Welche Arten der Vorfallmeldung verlangt DORA konkret?
Wie gestaltet sich der Meldeweg zur Aufsichtsbehörde (BaFin)?
Was ist sonst noch bei der Meldung zu beachten?
DORA und Vorfallmeldung als Chance für mehr Resilienz

Was ist DORA und warum betrifft es die Vorfallmeldung?

Die wesentlichen Elemente der EU-Verordnung DORA haben wir in unserer Blogserie zum Digital Operational Resilience Act bereits beleuchtet.

Dennoch in Kürze: DORA zielt grundsätzlich darauf ab, die digitale Widerstandsfähigkeit von Finanzunternehmen zu stärken. Dabei werden Banken, Versicherungen und andere Finanzunternehmen verpflichtet, regulatorische Anforderungen zur Vorfallmeldung umzusetzen und schwerwiegende IKT-Vorfälle schnell und strukturiert an die zuständigen Aufsichtsbehörden zu melden. Die Zielsetzung heißt, Risiken für das Finanzsystem frühzeitig zu erkennen und so die Stabilität des Finanzsystems zu sichern.

Welche Vorfälle müssen nach DORA gemeldet werden?

Für die Praxis bedeutet das: Sobald ein relevanter IKT-Vorfall entdeckt wird, muss Ihr Unternehmen innerhalb von 24 Stunden eine Erstmeldung an die BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) als zuständige Aufsichtsbehörde senden.

Das betrifft zum Beispiel:

Cyberangriffe, die zu Datenverlust oder Systemausfällen führen
Störungen durch interne Fehler oder technische Defekte
Vorfälle mit Auswirkungen auf Kunden oder Geschäftspartner
Ereignisse, die die Integrität, Verfügbarkeit oder Vertraulichkeit von Daten gefährden

Finanzunternehmen müssen daher Prozesse und Richtlinien etablieren, um relevante Vorfälle schnell zu erkennen und zu bewerten und die Meldepflicht zu prüfen. So vermeiden Sie Verzögerungen, erfüllen regulatorische Anforderungen und behalten den Überblick.

Nach welchen Kriterien werden Vorfälle nach DORA klassifiziert?

DORA gibt klare Vorgaben zur Klassifizierung der Vorfälle. Diese Kriterien helfen den Finanzunternehmen, Vorfälle systematisch zu bewerten, die Schwere zu bestimmen und die Meldepflicht entsprechend einzuschätzen. Die wichtigsten Klassifizierungskriterien sind:

Anzahl der Kunden, finanzielle Gegenparteien und Transaktionen

Ein Vorfall wird als relevant eingestuft, wenn mehr als 10 % oder über 100.000 Kunden den betroffenen Dienst nicht nutzen können. Ebenso gilt dies, wenn mehr als 30 % der finanziellen Gegenparteien betroffen sind oder wenn die betroffenen Transaktionen mehr als 10 % des durchschnittlichen Tagesvolumens ausmachen. Darüber hinaus kann ein Vorfall als relevant angesehen werden, wenn die betroffenen Kunden oder finanziellen Gegenparteien vom Finanzunternehmen als relevant definiert wurden.

Reputationsschäden

Ein Reputationsschaden liegt dann vor, wenn der Vorfall mediale Aufmerksamkeit erlangt oder wiederholte Beschwerden über die betroffenen Dienstleistungen auftreten. Ebenso ist ein Reputationsschaden anzunehmen, wenn regulatorische Anforderungen nicht erfüllt werden oder der Vorfall zu einem Verlust von Kunden oder finanziellen Gegenparteien führt.

Dauer und Ausfallzeiten

Auch die Dauer des Vorfalls ist ein wesentlicher Faktor. Ausfallzeiten kritischer Dienste von mehr als zwei Stunden oder eine Gesamtdauer des Vorfalls von über 24 Stunden sind hierbei von besonderer Bedeutung.

Geografische Ausbreitung

Die geografische Ausbreitung eines Vorfalls ist anhand der Auswirkungen in anderen Mitgliedstaaten zu bewerten. Dies betrifft unter anderem Kunden und finanzielle Gegenparteien, Niederlassungen oder Gruppenunternehmen sowie Finanzmarktinfrastrukturen oder Drittdienstleister.

Verluste von Daten nach dem VIVA-Prinzip

Die Auswirkungen eines IKT-Vorfalls auf den Verlust von Daten werden gemäß dem VIVA-Prinzip klassifiziert, das die Aspekte Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität umfasst. Dabei sind mögliche negative Auswirkungen auf die Geschäftsziele oder die Erfüllung regulatorischer Anforderungen zu berücksichtigen.

Kritikalität der betroffenen Dienste

Finanzunternehmen bewerten die Kritikalität eines Vorfalls, indem sie prüfen, ob wichtige IT-Dienste oder Systeme beeinträchtigt wurden, die für zentrale Funktionen des Unternehmens notwendig sind. Sie untersuchen außerdem, ob die Erbringung beaufsichtigter Finanzdienstleistungen gestört wurde oder ob ein unbefugter und böswilliger Zugriff auf ihre IT-Systeme stattgefunden hat.

Wirtschaftliche Auswirkungen

Die wirtschaftlichen Auswirkungen eines Vorfalls belaufen sich auf mehr als 100.000 Euro, basierend auf direkten und indirekten Kosten. Falls die tatsächlichen Werte nicht verfügbar sind, können Schätzungen herangezogen werden.

Bedingungen für eine Klassifizierung als schwerwiegend

Ein Vorfall wird als schwerwiegend eingestuft, wenn die betroffenen Dienste als kritisch gelten. Dieses Kriterium muss in jedem Fall erfüllt sein. Zusätzlich muss entweder ein böswilliger oder unbefugter Zugriff auf Netzwerke und IT-Systeme erfolgt sein, oder es müssen mindestens zwei weitere relevante Kriterien erfüllt sein, wie etwa wirtschaftliche Auswirkungen, Reputationsschäden oder Ausfallzeiten.

Die Bewertung der Schwere eines Vorfalls erfolgt auf Grundlage der verfügbaren Informationen. Falls noch nicht alle Daten vorliegen, wird eine vorläufige Einschätzung vorgenommen, die bei neuen Erkenntnissen entsprechend angepasst wird.

Zusätzlich können wiederholte Vorfälle, die einzeln nicht schwerwiegend sind, zusammengenommen als schwerwiegend gelten, wenn sie innerhalb von sechs Monaten mindestens zweimal auftreten, dieselbe Ursache haben und zusammen die Kriterien für einen schwerwiegenden Vorfall erfüllen.

Welche Arten der Vorfallmeldung verlangt DORA konkret?

Die Vorfallmeldung nach DORA folgt einem klaren Ablauf und unterscheidet drei Arten von Meldungen, die Sie in der Praxis beachten müssen:

Erstmeldung

Die Erstmeldung enthält eine kurze, aber präzise Beschreibung des Vorfalls, einschließlich der Ereignisse und ihrer Auswirkungen. Außerdem muss die interne Einschätzung des Schweregrades sowie Informationen zu den betroffenen Diensten angegeben werden. Es ist auch anzugeben, ob der Vorfall noch andauert.

Die Meldung muss spätestens 4 Stunden nach der Einstufung als schwerwiegend oder innerhalb von 24 Stunden nach der Entdeckung des Vorfalls erfolgen. Wird der Vorfall erst nach mehr als 24 Stunden als schwerwiegend eingestuft, muss die Meldung spätestens 4 Stunden nach dieser Einstufung erfolgen.

Zwischenmeldung

Die Zwischenmeldung enthält konkrete Informationen über das Ausmaß des Vorfalls und eine detaillierte Analyse. Dabei werden die Auswirkungen auf das Finanzunternehmen, dessen Kunden, finanzielle Gegenparteien und gegebenenfalls den Finanzmarkt beschrieben.

Die Zwischenmeldung ist einzureichen, sobald der Geschäftsbetrieb wiederhergestellt ist oder sich der Status oder die Handhabung des Vorfalls ändert. Sie muss spätestens 72 Stunden nach der Erstmeldung erfolgen oder auf Anforderung der BaFin.

Abschlussmeldung

Die Abschlussmeldung muss einen Monat nach der letzten Zwischenmeldung eingereicht werden. Schwerpunkt der Meldung bildet eine nachvollziehbare Ursachenanalyse und eine Übersicht über die ergriffenen Maßnahmen sowie Angaben zu den entstandenen Kosten sowie Lehren für die Zukunft. Dabei ist zu prüfen, ob der Vorfall durch Awareness-Maßnahmen vermeidbar oder abmilderungsfähig gewesen wäre. Falls ja, sind entsprechende Inhalte in den Trainingsplan aufzunehmen.

Wie gestaltet sich der Meldeweg zur Aufsichtsbehörde (BaFin)?

Für die Meldung eines schwerwiegenden IKT-Vorfalls sollte das Portal zur Melde- und Veröffentlichungsplattform (MVP-Portal) der BaFin genutzt werden. Finanzunternehmen sollten sicherstellen, dass die Zugänge zum Portal vorhanden sind und regelmäßig getestet werden.

Falls eine Meldung über das MVP-Portal nicht möglich ist, kann der Vorfall alternativ per E-Mail an die Adresse ikt-vorfall@bafin.de gemeldet werden.

Es ist wichtig, im Vorfeld klare Prozesse und Verantwortlichkeiten für die Meldung festzulegen. Dabei sollte darauf geachtet werden, dass genügend geschulte Melder verfügbar sind, um auch in arbeitsintensiven Zeiten oder während der Urlaubszeit eine fristgerechte Meldung sicherzustellen.

Was ist sonst noch bei der Meldung zu beachten?

Im Vorfallmanagement nach DORA ist die Identifikation und Klassifizierung von Vorfällen in komplexen IT-Landschaften eine zentrale Herausforderung. In modernen Finanzunternehmen mit vernetzten Systemen kann es schwierig sein, Vorfälle schnell zu erkennen und korrekt einzuordnen.

Die Einhaltung der engen Meldefristen erfordert eine schnelle und effiziente Bearbeitung, da Verzögerungen regulatorische Konsequenzen haben können. Ebenso ist eine enge Abstimmung zwischen IT, Compliance und Management notwendig, da Vorfälle oft mehrere Bereiche betreffen und alle relevanten Informationen zusammengetragen werden müssen.

Die Qualität und Vollständigkeit der Meldungen sind entscheidend, da ungenaue Angaben zu Rückfragen der Aufsichtsbehörden führen können. Eine strukturierte Herangehensweise und der Einsatz moderner Technologien, wie automatisierter Monitoring- und Reporting-Tools, können helfen, Vorfälle schneller zu erkennen, Daten effizient zu verarbeiten und die Zusammenarbeit zwischen Abteilungen zu verbessern.

DORA und Vorfallmeldung als Chance für mehr Resilienz

Die DORA-Verordnung und die damit verbundenen Anforderungen an die Vorfallmeldung sind für Finanzunternehmen mit einigem Aufwand verbunden. Gleichzeitig bieten sie die Chance, die eigene digitale Resilienz zu stärken und das Vertrauen von Kunden und Aufsichtsbehörden zu festigen.

Eine frühzeitige und strukturierte Umsetzung der Vorgaben ist daher essenziell für den nachhaltigen Erfolg im Finanzsektor.

Mit klaren Prozessen, geschulten Teams und digitaler Unterstützung sind Sie im Ernstfall handlungsfähig und erfüllen die regulatorischen Anforderungen zuverlässig.

- Datenschutzvorfall
  Fehlendes Berechtigungskonzept – Ist das ein Datenschutzvorfall?Fachbeitrag·27. August 2025
- Follow-me-Druckprinzip: Mehr Sicherheit für den DatenschutzFachbeitrag·22. August 2025
- NIS-2: Vereinfachung der Meldewege für IT- und DatenschutzvorfälleFachbeitrag·22. Juli 2025
Mehr zum Thema
- IT-Sicherheit
  Notfallnummer: Private Kontaktdaten rechtssicher organisierenFachbeitrag·9. Dezember 2025
- Zero-Day-Attacken: Unsichtbare Bedrohung und wirksamer SchutzFachbeitrag·28. November 2025
- Risiko und Risikomanagement: Vorteile für OrganisationenFachbeitrag·21. November 2025
Mehr zum Thema
- Sicherheitsvorfall
  Fehlendes Berechtigungskonzept – Ist das ein Datenschutzvorfall?Fachbeitrag·27. August 2025
- Was Unternehmen aus dem CrowdStrike-Vorfall lernen könnenFachbeitrag·15. August 2025
- IT-Forensik und Incident Response: Schutz vor CyberangriffenFachbeitrag·24. Januar 2025
Mehr zum Thema

Beitrag kommentieren

Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.

Klicken Sie hier, um den Kommentarbereich anzuzeigen. Kommentare verbergen.