DORA etabliert einen einheitlichen Ordnungsrahmen zur Sicherstellung der digitalen operativen Resilienz im Finanzsektor. Dieser umfasst insbesondere das Management von IKT-Risiken, regelmäßige Resilienztests sowie die Überwachung von Drittanbietern. Ein zentrales Element ist das standardisierte Meldeverfahren für schwerwiegende IKT-Vorfälle (Initial-, Zwischen- und Abschlussmeldung) an die zuständigen Aufsichtsbehörden, in Deutschland gebündelt über die BaFin. Ziel ist es, die Funktionsfähigkeit und Stabilität des Finanzsystems auch bei Cyberangriffen und IT-Ausfällen aufrechtzuerhalten.
02
Finanzsektor: Banken, Zahlungs-/E-Geld-Institute, Versicherer, Wertpapierfirmen, KVGs, Handelsplätze, Kritis-FMIs etc.; inkl. gem. DORA erfasste IKT-Drittdienstleister (über Aufsicht)
Wer ist betroffen?
Finanzsektor: Banken, Zahlungs-/E-Geld-Institute, Versicherer, Wertpapierfirmen, KVGs, Handelsplätze, Kritis-FMIs etc.; inkl. gem. DORA erfasste IKT-Drittdienstleister (über Aufsicht)
03
- “Major ICT-related incidents”
- Signifikante Cyber-Bedrohungen (freiwillig/aufsichtsabhängig)
Was ist zu melden?
- “Major ICT-related incidents”
- Signifikante Cyber-Bedrohungen (freiwillig/aufsichtsabhängig)
04
- Initial innerhalb 4 h nach Einstufung als„major“ (spätestens innerhalb 24 h nach Entdeckung)
- Interim innerhalb 72 h
- Final innerhalb 1 Monat
Fristenregelung
- Initial innerhalb 4 h nach Einstufung als„major“ (spätestens innerhalb 24 h nach Entdeckung)
- Interim innerhalb 72 h
- Final innerhalb 1 Monat
05
- BaFin Bundesanstalt für Finanzdienstleistungsaufsicht (Meldeweg / Melde- und
Veröffentlichungsplattform MVP der BaFin)
Meldeempfänger
- BaFin Bundesanstalt für Finanzdienstleistungsaufsicht (Meldeweg / Melde- und
Veröffentlichungsplattform MVP der BaFin)
Meldestelle in Deutschland (Aufsichtsbehörde)
BaFin
Bundesanstalt für Finanzdienstleistungsaufsicht
