Rainer Cloos | Digitalberatung

DORA regulierte Unternehmen

DORA etabliert einen einheitlichen Ordnungsrahmen zur Sicherstellung der digitalen operativen Resilienz im Finanzsektor. Dieser umfasst insbesondere das Management von IKT-Risiken, regelmäßige Resilienztests sowie die Überwachung von Drittanbietern. Ein zentrales Element ist das standardisierte Meldeverfahren für schwerwiegende IKT-Vorfälle (Initial-, Zwischen- und Abschlussmeldung) an die zuständigen Aufsichtsbehörden, in Deutschland gebündelt über die BaFin. Ziel ist es, die Funktionsfähigkeit und Stabilität des Finanzsystems auch bei Cyberangriffen und IT-Ausfällen aufrechtzuerhalten.

01
Rechtsgrundlage

- DORA - Kap. III
02
Wer ist betroffen?

Finanzsektor: Banken, Zahlungs-/E-Geld-Institute, Versicherer, Wertpapierfirmen, KVGs, Handelsplätze, Kritis-FMIs etc.; inkl. gem. DORA erfasste IKT-Drittdienstleister (über Aufsicht)
03
Was ist zu melden?

- “Major ICT-related incidents”
- Signifikante Cyber-Bedrohungen (freiwillig/aufsichtsabhängig)
04
Fristenregelung

- Initial innerhalb 4 h nach Einstufung als„major“ (spätestens innerhalb 24 h nach Entdeckung)
- Interim innerhalb 72 h
- Final innerhalb 1 Monat
05
Meldeempfänger

- BaFin Bundesanstalt für Finanzdienstleistungsaufsicht (Meldeweg / Melde- und
Veröffentlichungsplattform MVP der BaFin)

Meldestelle in Deutschland (Aufsichtsbehörde)

BaFin

Bundesanstalt für Finanzdienstleistungsaufsicht