Die Verordnung (EU) 2022/2554 (DORA) verpflichtet Finanzunternehmen, schwerwiegende IKT-bezogene Vorfälle innerhalb klar definierter Fristen an die zuständige Behörde zu melden. Dieser Leitfaden erklärt Ihnen die Einstufung, die Meldefristen (4 Stunden, 72 Stunden, 1 Monat) und die harmonisierten Meldebögen.
Kapitel III von DORA (Artikel 17 bis 23) begründet einen einheitlichen Rahmen für das Management, die Klassifizierung und die Meldung von IKT-bezogenen Vorfällen. Finanzunternehmen müssen ein Verfahren einrichten, das alle IKT-bezogenen Vorfälle erkennt, dokumentiert und nach festgelegten Kriterien einstuft.
Die zentrale Verpflichtung ergibt sich aus Artikel 19 DORA: Schwerwiegende IKT-bezogene Vorfälle sind der zuständigen Behörde zu melden. Daneben gelten:
Die Pflicht gilt für nahezu alle Finanzunternehmen im Sinne des Art. 2 DORA, also unter anderem für Kreditinstitute, Zahlungsinstitute, Wertpapierfirmen, Versicherungs- und Rückversicherungsunternehmen sowie deren kritische IKT-Drittdienstleister.
Ob ein Vorfall meldepflichtig ist, entscheidet die Einstufung nach der Delegierten Verordnung (EU) 2024/1772 (RTS zur Klassifizierung). Diese technischen Regulierungsstandards definieren sieben Kriterien sowie zugehörige Schwellenwerte (Materialitätsschwellen):
Ein Vorfall gilt grundsätzlich als schwerwiegend, wenn die kritischen Dienste betroffen sind und entweder die Schwellenwerte zweier weiterer Kriterien überschritten werden oder ein einzelnes Kriterium (z. B. erfolgreicher böswilliger Zugriff mit Datenverlust) für sich genommen erfüllt ist. Wir empfehlen, die Einstufung zu dokumentieren und im Zweifel konservativ zu melden.
DORA sieht ein dreistufiges Meldeverfahren mit verbindlichen Fristen vor. Maßgeblich sind die Konkretisierungen der RTS/ITS (EU) 2025/301 und 2025/302:
| Meldung | Frist | Inhalt |
|---|---|---|
| Erstmeldung (initial notification) | So früh wie möglich, spätestens 4 Stunden nach Einstufung als schwerwiegend und nicht später als 24 Stunden nach Kenntnisnahme des Vorfalls | Grunddaten zum Unternehmen und erste Beschreibung des Vorfalls |
| Zwischenmeldung (intermediate report) | Innerhalb von 72 Stunden nach der Erstmeldung; danach Aktualisierung bei jeder wesentlichen Statusänderung | Aktueller Status, ergriffene Maßnahmen, aktualisierte Auswirkungen, sobald die Regeltätigkeit wiederhergestellt ist |
| Abschlussmeldung (final report) | Spätestens 1 Monat nach der Zwischenmeldung bzw. nach Abschluss der Ursachenanalyse | Grundursachenanalyse (Root-Cause), tatsächliche Auswirkungen, dauerhafte Abhilfemaßnahmen |
Wichtig: Die 4-Stunden-Frist beginnt mit der Einstufung des Vorfalls als schwerwiegend, die übergeordnete 24-Stunden-Frist hingegen mit der Kenntnisnahme. Fällt eine Frist auf ein Wochenende oder einen Feiertag, gelten besondere Regelungen der RTS, die jedoch keine generelle Aussetzung der Fristen bewirken.
Mit der Delegierten Verordnung (EU) 2025/301 (RTS) und der Durchführungsverordnung (EU) 2025/302 (ITS) wurden Inhalt, Format und Standardvorlagen der Meldungen unionsweit harmonisiert. Damit verwenden alle Finanzunternehmen dieselben Felder und Datenpunkte, was die Vergleichbarkeit und die behördliche Auswertung erleichtert.
Die Meldebögen sehen unter anderem folgende Datenfelder vor:
Da dieselbe Vorlage über alle drei Meldestufen hinweg fortgeschrieben wird, sollten Sie die Datenfelder bereits in Ihrer Incident-Response-Dokumentation strukturiert erfassen. Unser Generator unterstützt Sie dabei, alle Pflichtfelder fristgerecht und vollständig auszufüllen.
Über die Pflichtmeldung von Vorfällen hinaus eröffnet Artikel 19 Absatz 2 DORA die Möglichkeit, erhebliche Cyberbedrohungen (significant cyber threats) auf freiwilliger Basis zu melden, wenn das Finanzunternehmen die Bedrohung als für das Finanzsystem, die Dienstnutzer oder Kunden relevant einschätzt.
Anders als bei eingetretenen Vorfällen handelt es sich hierbei um eine vorsorgliche Meldung, etwa bei erkannten Angriffsvorbereitungen, neuartigen Angriffsmustern oder gravierenden Schwachstellen. Die zuständige Behörde kann die Information anonymisiert mit anderen relevanten Stellen teilen, um die kollektive Cyberresilienz des Sektors zu stärken.
Empfehlung: Auch wenn keine rechtliche Pflicht besteht, kann eine freiwillige Bedrohungsmeldung Ihre Position bei einer späteren aufsichtlichen Bewertung positiv beeinflussen und ist Ausdruck eines reifen IKT-Risikomanagements.
Die Meldung erfolgt nicht zentral bei den Europäischen Aufsichtsbehörden (ESAs), sondern an die für das jeweilige Finanzunternehmen nach Art. 46 DORA zuständige nationale Behörde. In Deutschland ist dies in den meisten Fällen die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), je nach Institutsart in Zusammenarbeit mit der Deutschen Bundesbank.
Die zuständige Behörde leitet die Meldungen an die relevanten Stellen weiter, darunter gegebenenfalls die EBA, ESMA oder EIOPA, die EZB sowie das jeweils zuständige CSIRT nach der NIS-2-Richtlinie. Sie erhalten von der Behörde eine Empfangsbestätigung und gegebenenfalls eine Rückmeldung mit Hinweisen.
Praxistipp: Klären Sie vorab, über welchen technischen Kanal (Meldeportal, Schnittstelle) Ihre zuständige Behörde die DORA-Meldungen entgegennimmt, und hinterlegen Sie diese Information in Ihrem Notfall- und Eskalationsplan. So vermeiden Sie unter Zeitdruck Verzögerungen bei der Einhaltung der 4-Stunden-Frist.
Jetzt DORA-Vorfallmeldung erstellen →
DORA sieht ein dreistufiges Verfahren vor: die Erstmeldung so früh wie möglich, spätestens 4 Stunden nach Einstufung als schwerwiegend und nicht später als 24 Stunden nach Kenntnisnahme; die Zwischenmeldung innerhalb von 72 Stunden nach der Erstmeldung; und die Abschlussmeldung spätestens einen Monat nach der Zwischenmeldung.
Maßgeblich ist die Delegierte Verordnung (EU) 2024/1772 mit sieben Kriterien: betroffene Kunden und Transaktionen, Reputationsauswirkungen, Dauer und Ausfallzeit, geografische Ausbreitung, Datenverluste, Kritikalität der Dienste und wirtschaftliche Auswirkungen. Ein Vorfall ist in der Regel schwerwiegend, wenn kritische Dienste betroffen sind und weitere Schwellenwerte überschritten werden.
Die Meldung erfolgt an die nach Art. 46 DORA zuständige nationale Behörde. In Deutschland ist dies in der Regel die BaFin, je nach Institutsart in Zusammenarbeit mit der Deutschen Bundesbank. Die Behörde leitet die Meldung an die relevanten europäischen Stellen weiter.
Inhalt und Format der Meldungen sind durch die RTS (EU) 2025/301 und die ITS (EU) 2025/302 unionsweit harmonisiert. Es sind die dort festgelegten Standard-Meldebögen zu verwenden, die über alle drei Meldestufen hinweg fortgeschrieben werden.
Die Meldung erheblicher Cyberbedrohungen ist nach Art. 19 Abs. 2 DORA freiwillig. Finanzunternehmen können erhebliche Bedrohungen melden, wenn sie diese als relevant für das Finanzsystem, die Dienstnutzer oder Kunden einstufen. Eingetretene schwerwiegende Vorfälle sind hingegen verpflichtend zu melden.
Eine verspätete oder unterlassene Meldung stellt einen Verstoß gegen DORA dar und kann aufsichtsrechtliche Maßnahmen sowie Sanktionen der zuständigen Behörde nach sich ziehen. Wir empfehlen, Eskalations- und Meldeprozesse vorab zu definieren und regelmäßig zu testen, um die Fristen, insbesondere die 4-Stunden-Frist, zuverlässig einzuhalten.
Diese Seite ist eine fachliche Hilfestellung, keine Rechtsberatung. · English version