Bedrohungen, Vorfälle und Angriffe unter DORA – Was Finanzunternehmen wissen müssen

Seit dem 17. Januar 2025 ist die Verordnung (EU) 2022/2554 – besser bekannt als DORA – für Finanzunternehmen verbindlich anzuwenden. Ein zentrales Anliegen der Verordnung ist es, die digitale operationale Resilienz der Finanzbranche zu stärken und klare Strukturen für den Umgang mit IKT-Risiken zu schaffen. Doch nicht alle Risiken sind gleich: DORA unterscheidet präzise zwischen Bedrohungen, Vorfällen und Angriffen – und knüpft an jede Kategorie unterschiedliche Pflichten. Während Bedrohungen als potenzielle Gefahrenquellen primär intern zu analysieren sind, lösen tatsächliche Vorfälle und Angriffe konkrete Melde- und Handlungsverpflichtungen aus. Besonders relevant wird diese Unterscheidung bei der Frage, wann Finanzunternehmen verpflichtet sind, Behörden oder Betroffene zu informieren. Die Verordnung definiert dabei nicht nur, was unter einer Cyberbedrohung, einem IKT-bezogenen Vorfall oder einem Cyberangriff zu verstehen ist, sondern legt auch fest, welche Schritte Unternehmen in jedem Fall ergreifen müssen. Die genaue Einordnung ist nicht nur für die Compliance, sondern auch für die strategische Ausrichtung des IKT-Risikomanagements von zentraler Bedeutung.

Was sind Bedrohungen, Vorfälle und Angriffe unter DORA

DORA kennt eine Reihe unterschiedlicher Begriffe für Angriffe und Vorfälle. Die Begriffe lassen sich grob in zwei Kategorien einteilen: Bedrohungen (die potenziell Schaden anrichten können) und Vorfälle/Angriffe (die tatsächlichen Ereignisse, die Schaden verursacht haben oder verursachen). Bedrohungen beziehen sich auf mögliche Umstände oder Handlungen, die Netzwerk- und Informationssysteme (IKT) beeinträchtigen können. Nach Art. 3 Nr. 12 DORA, bezeichnet eine Cyberbedrohung einen möglichen Umstand, ein mögliches Ereignis oder eine mögliche Handlung, der/das/die Netz- und Informationssysteme, die Nutzer dieser Systeme und andere Personen schädigen, stören oder anderweitig beeinträchtigen könnte. Eine erhebliche Cyberbedrohung ist gemäß Art. 3 Nr. 13 DORA eine Cyberbedrohung, deren technische Merkmale darauf hindeuten, dass sie das Potenzial haben könnte, einen schwerwiegenden IKT-bezogenen Vorfall oder einen schwerwiegenden zahlungsbezogenen Betriebs- oder Sicherheitsvorfall zu verursachen. Ein IKT-bezogener Vorfall ist die allgemeinste Kategorie eines negativen Ereignisses im IKT-Bereich. Er wird nach Art. 3 Nr. 8 DORA definiert als ein von dem Finanzunternehmen nicht geplantes Ereignis bzw. eine entsprechende Reihe verbundener Ereignisse, das bzw. die die Sicherheit der Netzwerk- und Informationssysteme beeinträchtigt und nachteilige Auswirkungen auf die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Daten oder auf die vom Finanzunternehmen erbrachten Dienstleistungen hat. Weiter unterteilt werden die IKT-bezogenen Vorfälle in schwerwiegende IKT-bezogene Vorfälle und schwerwiegende zahlungsbezogene Betriebs- oder Sicherheitsvorfälle i.S.d. Art. 3 Nr. 10 und Nr. 11 DORA. Dagegen meint ein Cyberangriff nach Art. 3 Nr. 14 DORA einen böswilligen IKT-bezogenen Vorfall, der auf den Versuch eines Angreifers zurückgeht, einen Vermögenswert zu zerstören, freizulegen, zu verändern, zu deaktivieren, zu entwenden oder auf unberechtigte Weise auf diesen Vermögenswert zuzugreifen oder ihn auf unberechtigte Weise zu nutzen.

Welche Pflichten gehen mit den jeweiligen Kategorien einher?

Die DORA knüpft unterschiedliche Rechtsfolgen und Pflichten an Bedrohungen, Vorfälle und Angriffe. Für Cyberbedrohungen als generelle Bedrohungskategorie besteht keine externe Meldepflicht. Die Informationen dienen primär der internen Analyse und Weiterentwicklung der digitalen operationalen Resilienz. Die Meldung einer erheblichen Cyberbedrohung an die zuständigen Behörden ist nach Art. 19 Abs. 2 DORA freiwillig. Finanzunternehmen können diese Informationen austauschen, wenn sie die Bedrohung für das Finanzsystem, Dienstnutzer oder Kunden als relevant erachten. Sowohl IKT-bezogene Vorfälle als auch Cyberangriffe lösen nur dann eine externe Meldepflicht aus, wenn sie eine bestimmte Schwere erreichen, d. h., wenn sie als schwerwiegend klassifiziert werden. Finanzunternehmen müssen nach Art. 19 Abs. 1 DORA schwerwiegende IKT-bezogene Vorfälle also zwingend der zuständigen Behörde melden. Kreditinstitute, E-Geld-Institute, Zahlungsinstitute und Kontoinformationsdienstleister müssen gemäß Art. 23 DORA außerdem schwerwiegende zahlungsbezogene Betriebs- oder Sicherheitsvorfälle zwingend melden. Aus den Erwägungsgründen 23 und 54 der DORA folgt, dass diese spezielle Meldepflicht die entsprechenden Meldepflichten aus der PSD2 ersetzt, um doppelte Anforderungen zu vermeiden. Doch die Pflichten der Finanzunternehmen sind nicht auf Meldepflichten beschränkt. Nach Störungen der Haupttätigkeiten infolge schwerwiegender IKT-bezogener Vorfälle müssen Finanzunternehmen nachträgliche Prüfungen des IKT-bezogenen Vorfalls vorsehen. Diese Prüfungen sollen die Ursachen untersuchen und Verbesserungen an IKT-Vorgängen oder in der IKT-Geschäftsfortführungsleitlinie identifizieren. Außerdem müssen Finanzunternehmen, die keine Kleinstunternehmen sind, den zuständigen Behörden nach Art. 13 DORA auf Verlangen die Änderungen mitteilen, die nach der Prüfung IKT-bezogener Vorfälle vorgenommen wurden. Folglich setzt DORA bei Bedrohungen auf proaktive Integration in das Risikomanagement und freiwilligen Informationsaustausch, während bei Vorfällen/Angriffen klare reaktive Pflichten wie Meldung, Schadensbegrenzung, Wiederherstellung und Ursachenanalyse im Vordergrund stehen.

Rechtsanwalt Anton Schröder

I.  https://fin-law.de

E. info@fin-law.de