DORA-Anforderungen an die Berichterstattung IKT-bezogener Vorfälle

Finanzunternehmen stehen aufgrund der neuen DORA-Verordnung (Digital Operational Resilience Act) vor der Herausforderung, IKT-Vorfälle strukturiert zu melden. Ziel der Verordnung ist es, die digitale operative Widerstandsfähigkeit im Finanzsektor zu stärken. Unternehmen müssen nun sicherstellen, dass sie umfassende und detaillierte Berichte über Vorfälle im Bereich der Informations- und Kommunikationstechnologie (IKT) vorlegen können.

DORA legt besonderen Wert auf Transparenz und Sicherheit in der IKT-Infrastruktur, um Risiken zu minimieren und eine stabile Betriebsumgebung zu gewährleisten. Dies betrifft nicht nur die internen Prozesse der Finanzinstitute, sondern auch die Zusammenarbeit mit externen IKT-Dienstleistern. Die Verordnung fordert eine enge Integration und klare Kommunikationswege zwischen allen Beteiligten, um einheitliche und robuste Sicherheitsstandards zu etablieren.

Warum ist dieses Thema für uns als IT-Dienstleister relevant? 7P ist Ihr zuverlässiger Partner für Managed IT Services und maßgeschneiderte Softwareentwicklung, insbesondere für BaFin-regulierte Unternehmen. Im Rahmen von DORA agieren wir als IKT-Drittdienstleister. Ein zentrales Ziel der DORA-Verordnung ist es, die Einhaltung der neuen Regulierung entlang der gesamten Wertschöpfungskette sicherzustellen. Daher setzen wir uns intensiv mit den Anforderungen auseinander, um den Mehrwert für unsere Kunden zu maximieren.

Erfahren Sie mehr über unsere Dienstleistungen und unser Engagement auf unserer Homepage. Im Folgenden erläutern wir die neuen Anforderungen an die Berichterstattung von IKT-Vorfällen und wie wir Sie dabei unterstützen können.

Verschaffen Sie sich einen umfassenden Einblick in die DORA-Anforderungen und erfahren Sie, wie wir Ihnen helfen können, diese effektiv zu erfüllen.

Wir gehen nun auf die neuen Anforderungen an die Berichterstattung IKT-bezogener Vorfälle ein.

Bitte beachten Sie, dass die Informationen in diesem Blog teilweise noch im Konsultationsstatus von DORA sind. Der endgültige Stand zur Meldung IKT-bezogener Vorfälle wird mit der zweiten Tranche der finalen Releases der technischen Regulierungsstandards (RTS) und technischen Durchführungsstandards (ITS) am 17. Juli 2024 veröffentlicht.

IKT-bezogener Vorfall im Meldewesen nach DORA

DORA unterscheidet zwei Arten von IKT-bezogenen Vorfällen: „IKT-bezogene Vorfälle“ und „schwerwiegende IKT-bezogene Vorfälle“. Die Vorgaben für die Vorfallsmeldung unterscheiden sich in Abhängigkeit von der Klassifizierung.

Gemäß Artikel 3 der Verordnung wird ein „IKT-bezogener Vorfall“ als ein von dem Finanzunternehmen nicht geplantes Ereignis bzw. eine entsprechende Reihe verbundener Ereignisse definiert, welches bzw. welche die Sicherheit der Netzwerk- und Informationssysteme beeinträchtigt und nachteilige Auswirkungen auf die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Daten oder auf die vom Finanzunternehmen erbrachten Dienstleistungen hat.

Ein „schwerwiegender IKT-bezogener Vorfall“ ist ein IKT-Vorfall, der umfassende nachteilige Auswirkungen auf die Netzwerk- und Informationssysteme hat, die kritische oder wichtige Funktionen des Finanzunternehmens unterstützen.

Hierbei ist zu beachten, dass die Signalworte „kritische und oder wichtige Funktionen“ richtig interpretiert werden müssen. Unter dem Begriff versteht DORA diejenigen Aktivitäten und Prozesse, deren Beeinträchtigung eine erhebliche Beeinträchtigung der finanziellen Leistungsfähigkeit oder der Geschäftsfortführung zur Folge hätte. Dies kann sowohl auf finanzielle als auch auf regulatorische Aspekte zurückzuführen sein.

Änderung im Incident Management Prozess

Die Vorgaben von DORA erfordern eine Anpassung der heute auf breiter Fläche eingeführten Incident- und Problem-Management-Prozesse. Eine vereinfachte Darstellung der Prozessänderung zeigt die folgende Gegenüberstellung:

Bisher:

Meldung einer Störung (Ticket)
Analyse des Tickets
_ Handelt es sich um eine Datenschutzverletzung?
_ Handelt es sich um einen Informations-sicherheitsvorfall?
_ Handelt es sich um eine „klassische“ IT-Störung“
Entsprechend der Analyse wird das Ticket bearbeitet und die Störung wird behoben

Mit DORA:

Meldung einer Störung (Ticket)
IKT-bezogene Vorfallsanalyse: Bewertung als IKT-Vorfall:
_ Sind kritische oder wichtige Funktionen betroffen?
_ Bewertung der Kritikalität (schwerwiegend / nicht schwerwiegend)
_ Gegebenenfalls Meldeprozess nach DORA anstoßen
Falls zutreffend: IKT-bezogene Vorfallsmeldung gemäß Meldeprozess
Analyse (vergleichbar zum bisherigen Prozess)
*ggf. Zwischenmeldungen je nach Klassifizierung
Behebung (vergleichbar zum bisherigen Prozess)
*ggf Abschlussbericht je nach Klassifizierung

Vorgaben zur Klassifizierung im Meldewesen nach DORA

Der Prozessschritt der IKT-bezogenen Vorfallsanalyse hat die Aufgabe, den Vorfall gemäß DORA zu klassifizieren. DORA stellt in diesem Kontext ein Instrument dar, welches die Einstufung des Vorfalls gemäß den Vorgaben des Meldewesens unterstützt, indem es konkrete Kriterien und Schwellwerte definiert.

Kriterium	Schwellenwerte
Kritische Funktion betroffen	Die Wesentlichkeitsschwelle ist immer erfüllt.
Kunden, Gegenparteien und Transaktionen	Die Wesentlichkeitsschwelle ist erfüllt, wenn eine der folgenden Bedingungen zutrifft: > 10% aller Kunden sind betroffen, die den betroffenen Dienst nutzen. > 100.000 Kunden sind betroffen, die den betroffenen Dienst nutzen. > 30% aller Gegenparteien des Finanzinstituts sind betroffen. > 10% der durchschnittlichen täglichen Anzahl von Transaktionen sind betroffen. > 10% des durchschnittlichen täglichen Transaktionsvolumen ist betroffen. alle festgestellten Auswirkungen auf Kunden oder finanzielle Gegenparteien, die vom Finanzunternehmen als relevant eingestuft werden.
Datenverluste	Die Wesentlichkeitsschwelle ist erfüllt, wenn eine der folgenden Bedingungen zutrifft: Jede Auswirkung auf die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Daten, die sich nachteilig auf die Umsetzung der Geschäftsziele des Finanzunternehmens oder auf die Erfüllung aufsichtsrechtlicher Anforderungen auswirkt oder auswirken wird. Ein erfolgreicher, böswilliger und unbefugter Zugriff auf das Netzwerk und die Informationssysteme des Finanzunternehmens erfolgt ist, die nicht unter den ersten Punkt fallen.
Auswirkung auf die Reputation	Die Wesentlichkeitsschwelle ist erfüllt, wenn eine der folgenden Auswirkungen zutrifft: Ein IKT-bezogener Vorfall, über den in den Medien berichtet wurde. Wiederholte Beschwerden von verschiedenen Kunden. Nichteinhaltung aufsichtsrechtlicher Anforderungen. Wahrscheinlicher Verlust von Kunden oder finanziellen Gegenparteien mit erheblichen Auswirkungen auf die Geschäftstätigkeit des Finanzunternehmens. Bei der Bewertung ist auch der Bekanntheitsgrad zu berücksichtigen, den der Vorfall erlangt hat oder vermutlich erlangen wird.
Geografische Ausbreitung	Alle Auswirkungen des IKT-bezogenen Vorfalls, die im Hoheitsgebiet von mindestens zwei Mitgliedstaaten festgestellt wurden. Berücksichtigt werden hierbei: Kunden und finanzielle Gegenparteien Zweigniederlassungen Finanzmarktinfrastrukturen oder Drittdrittdienstleister
Dauer des Vorfalls und Ausfallzeit der Funktion	Die Wesentlichkeitsschwelle ist erfüllt, wenn: die Dauer des IKT-bezogenen Vorfalls länger als 24 Stunden ist die Ausfallzeit bei IKT-Diensten, die kritische oder wichtige Funktionen unterstützen, länger als 2 Stunden ist.
Wirtschaftliche Auswirkungen	Die dem Finanzunternehmen entstandenen Kosten und Verluste übersteigen 100.000 € oder werden voraussichtlich übersteigen (kann auf Schätzungen beruhen, wenn die tatsächlichen Werte nicht ermittelt werden können). Berücksichtigt werden direkt und indirekt entstandene Kosten und Verluste.

Vorgaben zu Meldefristen im Meldewesen nach DORA

Bei der Einstufung eines IKT-bezogenen Vorfalls als meldepflichtig sind die Vorgaben von DORA zu Meldefristen und Meldeformaten zu berücksichtigen.

Frist	Meldung
< 4 h	Abgabe einer Erstmeldung nach der Feststellung eines schwerwiegenden Vorfalls.
< 24 h	Innerhalb 24 Stunden nach Feststellung des Vorfalls.
Mind. alle 72 h	Zwischenberichte bei Statusänderungen (schwerwiegende Vorfälle).
< 30 h	Vorlage eines Abschlussberichtes, der Informationen zur Ursache des Vorfalls und zu den Maßnahmen enthält, die ergriffen wurden, um ihn zu beheben und ein erneutes Auftreten zu verhindern.

Vorgaben zum Meldeformat im Meldewesen nach DORA

Die DORA-Verordnung enthält eine klare Definition für die Meldung von IKT-Vorfällen. Die ITS stellen standardisierte Vorlagen bzw. Datensätze zur Verfügung, die bei der Meldung von Vorfällen zwingend zu verwenden sind.

Es werden vier Berichtsarten unterschieden: Erstmeldung, Zwischenbericht und Abschlussbericht. Zusätzlich sind Allgemeine Informationen bereitzustellen. Beim Meldeumfang wurde das Proportionalitätsprinzip berücksichtigt. Nur ungefähr die Hälfte der Meldefelder ist als obligatorisch eingestuft. Daraus ergibt sich die Aufgabe, zu definieren, welche Daten tatsächlich zu melden sind, haben wir uns entschlossen die Liste der berichtsspezifischen Datenfelder vollständig in diesen Beitrag aufzunehmen.

Allgemeine Informationen

Die Allgemeinen Informationen umfassen 18 Felder für das Meldewesen:

1.1 Art des Berichts
1.2 Name der Einrichtung, die den Bericht einreicht
1.3 LEI der Einrichtung, die den Bericht einreicht
1.4 Art der meldepflichtigen Einrichtung
1.5 Name des betroffenen Finanzunternehmens
1.6 Art des betroffenen Finanzunternehmens

1.7 LEI-Code des betroffenen Finanzunternehmens
1.8 Name des Hauptansprechpartners
1.9 E-Mail des Hauptansprechpartners
1.10 Telefonnummer des Hauptansprechpartners
1.11 Name des zweiten Ansprechpartners
1.12 Email des zweiten Ansprechpartners

1.13 Telefonnummer des zweiten Ansprechpartners.
1.14 Name des obersten Mutterunternehmens
1.15 LEI-Code des obersten Mutterunternehmens
1.16 Name der betroffenen Drittdrittdienstleister
1.17 LEI-Code der betroffenen Drittdrittdienstleister
1.18 Berichtswährung

DORA-Meldewesen: Erstmeldung

Die Erstmeldung umfasst 16 Felder für das Meldewesen:

2.1 Datum und Uhrzeit der Entdeckung des Vorfalls.
2.2 Datum und Uhrzeit der Einstufung des Vorfalls als schwerwiegend.
2.3 Beschreibung des Vorfalls.
2.4 Einstufungskriterien, die die Meldung des Vorfalls ausgelöst haben.
2.5 Wesentlichkeitsschwellen für das Klassifizierungskriterium "Geografische Ausbreitung".
2.6 Entdeckung des Vorfalls.

2.7 Angabe, ob der Vorfall von einem Drittdrittdienstleister oder einem anderen Finanzinstitut ausgeht.
2.8 Auswirkungen oder mögliche Auswirkungen auf andere Finanzunternehmen und/oder Drittdienstleister.
2.9 Beschreibung, wie sich der Vorfall auf andere Finanzunternehmen auswirkt oder auswirken könnte.
2.10 Beschreibung, wie sich der Vorfall auf Drittdrittdienstleister auswirkt oder auswirken könnte.

2.11 Angabe, ob es sich um einen wiederkehrenden schweren Vorfall handelt.
2.12 Anzahl der Vorkommnisse desselben Vorfalls.
2.13 Angaben darüber, ob der Vorfall mit einem früheren Vorfall zusammenhängt.
2.14 Aktivierung des Business Continuity Plans, falls aktiviert
2.15 Plan zur Aufrechterhaltung des Geschäftsbetriebs: Beschreibung.
2.16 Sonstige Informationen.

DORA-Meldewesen: Zwischenbericht

Der Zwischenbericht umfasst 41 Felder für das Meldewesen:

3.1 Vom Finanzinstitut angegebener Referenzcode des Vorfalls.
3.2 Von der zuständigen Behörde übermittelter Referenzcode des Vorfalls.
3.3 Datum und Uhrzeit des Auftretens des Vorfalls.
3.4 Datum und Uhrzeit des Auftretens von wiederkehrenden Vorfällen.
3.5 Datum und Uhrzeit der Wiederherstellung der Dienstleistungen, Tätigkeiten und/oder des Betriebs.
3.6 Anzahl der betroffenen Kunden.
3.7 Prozentualer Anteil der betroffenen Kunden.
3.8 Anzahl der betroffenen finanziellen Gegenparteien.
3.9 Prozentualer Anteil der betroffenen finanziellen Gegenparteien.
3.10 Auswirkungen auf die betroffenen Kunden oder finanziellen Gegenparteien.
3.11 Anzahl der betroffenen Transaktionen.
3.12 Prozentualer Anteil der betroffenen Transaktionen.
3.13 Wert der betroffenen Transaktionen.
3.14 Angabe, ob es sich um tatsächliche oder geschätzte Zahlen handelt.

3.15 Auswirkungen auf den Ruf.
3.16 Kontextinformationen über die Auswirkungen auf das Ansehen.
3.17 Dauer des Vorfalls.
3.18 Ausfallzeit des Dienstes.
3.19 Angabe, ob es sich bei den Zahlen für Dauer und Ausfallzeit des Dienstes um tatsächliche oder geschätzte Werte handelt
3.20 Arten von Auswirkungen in den Mitgliedstaaten.
3.21 Beschreibung, wie sich der Vorfall auf andere Mitgliedstaaten auswirkt.
3.22 Wesentlichkeitsschwellen für das Klassifizierungskriterium "Datenverluste".
3.23 Beschreibung der Datenverluste.
3.24 Erheblichkeitsschwellen für das Klassifizierungskriterium "Kritische Dienste" betroffen.
3.25 Anmerkungen zu den Klassifizierungskriterien.
3.26 Art des Vorfalls.
3.27 Vom Bedrohungsakteur verwendete Bedrohungen und Techniken.
3.28 Andere Arten von Techniken.
3.29 Informationen über betroffene Funktionsbereiche und Geschäftsprozesse.

3.30 Betroffene Infrastrukturkomponenten, die Geschäftsprozesse unterstützen
3.31 Informationen über betroffene Infrastrukturkomponenten, die Geschäftsprozesse unterstützen.
3.32 Kommunikation mit Kunden/Finanzkontrahenten.
3.33 Informationen über die Kommunikation mit Kunden/Finanzkontrahenten.
3.34 Berichterstattung an andere Behörden.
3.35 Spezifizierung der "anderen" Behörden.
3.36 Vorübergehende Aktionen/Maßnahmen, die ergriffen wurden oder geplant sind, um den Vorfall zu beheben.
3.37 Beschreibung aller vorübergehenden Aktionen und Maßnahmen, die ergriffen wurden oder geplant sind, um sich von dem Vorfall zu erholen.
3.38 Informationen über die Beteiligung von CSIRTs an der Bewältigung des Vorfalls.
3.39 Informationen über die Beteiligung von CSIRTs an der Bewältigung des Vorfalls.
3.40 Indikatoren für eine Kompromittierung.
3.41 Ausgenutzte Schwachstellen.

DORA-Meldewesen: Abschlussbericht

Der Abschlussbericht umfasst 25 Felder für das Meldewesen:

4.1 Grundlegende Ursachen des Vorfalls.
4.2 Andere Arten von Grundursachen.
4.3 Informationen über die Grundursachen des Vorfalls.
4.4 Informationen über die Nichteinhaltung rechtlicher Anforderungen.
4.5 Informationen über die Verletzung von vertraglichen Vereinbarungen/SLAs.
4.6 Beschreibung der Maßnahmen und Aktionen, die zur dauerhaften Behebung des Vorfalls ergriffen wurden.
4.7 Bewertung der Wirksamkeit der ergriffenen Maßnahmen und der daraus gezogenen Lehren.
4.8 Datum und Uhrzeit, zu der die Störung behoben und die Ursache beseitigt wurde.
4.9 Informationen, falls das Datum der endgültigen Behebung der Störung von dem ursprünglich geplanten Durchführungsdatum abweicht.
4.10 Für Abwicklungsbehörden relevante Informationen.

4.11 Neueinstufung der Störung von schwerwiegend zu nicht schwerwiegend.
4.12 Gründe für die Neueinstufung.
4.13 Wesentlichkeitsschwelle für das Klassifizierungskriterium "Wirtschaftliche Auswirkungen".
4.14 Höhe der direkten und indirekten Bruttokosten und -verluste.
4.15 Höhe der entzogenen Mittel oder finanziellen Vermögenswerte, für die das Finanzinstitut haftet, einschließlich der durch Diebstahl verlorenen Vermögenswerte.
4.16 Höhe der Kosten für den Ersatz oder die Verlagerung von Software, Hardware oder Infrastruktur.
4.17 Höhe der Personalkosten, einschließlich der Kosten für die Ersetzung oder Verlegung von Personal, die Einstellung von zusätzlichem Personal, Vergütung von Überstunden und Wiederherstellung der verlorenen oder beeinträchtigten Fähigkeiten des Personals.

4.18 Höhe der Gebühren aufgrund der Nichteinhaltung vertraglicher Verpflichtungen.
4.19 Höhe der Kosten für Kundenentschädigung und Schadenersatz.
4.20 Höhe der Verluste aufgrund von Einnahmeausfällen.
4.21 Höhe der Kosten im Zusammenhang mit interner und externer Kommunikation.
4.22 Höhe der Beratungskosten, einschließlich der Kosten im Zusammenhang mit Rechtsberatung, Forensik und Sanierungsmaßnahmen.
4.23 Höhe der sonstigen Kosten und Verluste.
4.24 Höhe der finanziellen Rückflüsse.
4.25 Einzelheiten zu den wirtschaftlichen Auswirkungen.

Einbeziehung von IKT-Drittdienstleistern

Aus den in diesem Beitrag vorgestellten Informationen geht hervor, dass die Meldung von IKT-Vorfällen nach DORA eine Vielzahl von Informationen umfasst, die innerhalb kurzer Zeiträume gemeldet werden müssen. Das kürzeste Meldefenster beträgt nur vier Stunden nach Klassifizierung des Vorfalls. Bereits bei der Erstmeldung sind die Auswirkungen auf andere Finanzinstitute sowie IKT-Drittdrittdienstleister zu melden. In der knappen Zeit muss also eine umfassende Analyse durchgeführt werden. Betrachtet man die heute immer komplexer werdenden Lieferketten, bestehend aus dem Finanzinstitut und der Zulieferkette von IKT-Drittdrittdienstleistern, wird deutlich, dass der Meldeprozess daher idealerweise über die gesamte Weiterverlagerungskette ausgerollt werden sollte. Nur so können im Ernstfall die geforderten Informationen unter Einhaltung der engen Fristen bereitgestellt werden.

Tipp: Entscheiden Sie sich für einen IKT-Dienstleister, der Ihren Meldeprozess optimal unterstützt und auf Ihre spezifischen Anforderungen eingeht. Wir von 7P sind genau dieser Partner. Wir stehen Ihnen mit umfassendem Know-how und maßgeschneiderten Lösungen zur Seite.