Compliance-Lexikon · DORA
DORA-Meldepflicht
auch: DORA Incident Reporting, IKT-Vorfallsmeldung
Die DORA-Meldepflicht verpflichtet Finanzunternehmen, schwerwiegende IKT-bezogene Vorfaelle an die zuständige Aufsichtsbehoerde zu melden -- nach einem dreistufigen Melderegime mit Fristen von 4 Stunden (Erstmeldung), 72 Stunden (Zwischenmeldung) und einem Monat (Abschlussmeldung).
Warum die DORA-Meldepflicht wichtig ist
DORA gilt ab Januar 2025 fuer Banken, Versicherungen, Zahlungsdienstleister und weitere Finanzunternehmen. Die Meldepflicht fuer IKT-Vorfaelle ist eine der konkretesten und operativ anspruchsvollsten Anforderungen: Eine 4-Stunden-Frist fuer die Erstmeldung setzt voraus, dass Erkennungs-, Bewertungs- und Meldeprozesse nicht erst im Ernstfall aufgebaut werden.
Wo die DORA-Meldepflicht gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| DORA | Art. 19 | Meldung schwerwiegender IKT-bezogener Vorfaelle: Dreistufiges Melderegime mit Fristen und Mindestinhalten. |
| DORA | Art. 18 | Klassifizierung IKT-bezogener Vorfaelle: Kriterien fuer die Einstufung als schwerwiegend (Dauer, Auswirkungen, geographische Ausdehnung). |
| DORA | Art. 20 | Harmonisierung der Meldepflichten: Abstimmung der DORA-Meldepflicht mit DSGVO-Datenpannen-Meldung (Art. 33). |
| DORA | Art. 17 | Verwaltung IKT-bezogener Vorfaelle: Prozess fuer Erkennung, Klassifizierung und Meldung muss dokumentiert sein. |
| EBA/ESMA/EIOPA | RTS Art. 18 | Technische Regulierungsstandards konkretisieren Schwellenwerte und Meldeinhalte. |
BAM-Objektreferenz
Haeufige Audit-Fehler
- Kein dokumentierter Klassifizierungsprozess fuer IKT-Vorfaelle
- 4-Stunden-Frist fuer Erstmeldung nicht in Incident-Response-Prozessen verankert
- Unklarheit ueber Abgrenzung zwischen DSGVO-Datenpanne und DORA-IKT-Vorfall
- Meldeprozess nicht an Auftragsverarbeiter und Drittanbieter kommuniziert
Klassifizierungskriterien nach Art. 18 DORA
Nicht jeder IKT-Vorfall ist meldepflichtig -- nur schwerwiegende. Die Klassifizierung erfolgt anhand von Kriterien: betroffene Kunden (Anzahl und Art), Dauer des Ausfalls, geographische Ausdehnung, Kritikalitaet der betroffenen Dienste, wirtschaftliche Auswirkungen (Transaktionsverluste, Gebuhren), Datenverluste. Die technischen Regulierungsstandards (RTS) der ESAs konkretisieren Schwellenwerte fuer jede Kategorie. Fuer die Praxis empfiehlt sich eine Klassifizierungsmatrix, die Vorfaelle automatisiert gegen diese Kriterien prueft.
Das dreistufige Melderegime
Erste Meldung: innerhalb von 4 Stunden nach Klassifizierung als schwerwiegend -- enthaelt erste Informationen ueber Art, Schwere und Auswirkungen des Vorfalls. Zwischenmeldung: innerhalb von 72 Stunden -- enthaelt aktualisierte Informationen und vorlaefige Ursachenanalyse. Abschlussmeldung: innerhalb von einem Monat nach Losung des Vorfalls -- vollstaendige Root-Cause-Analyse und Massnahmen zur Verhinderung des Wiederauftretens. Alle drei Meldungen muessen spezifische Mindestinhalte nach DORA Art. 19 enthalten.
Naechste Ebene
DORA-Meldepflicht in der Praxis: Prozess, Fristen und Evidence
Wie Meldeprozess und Klassifizierungsmatrix aufgebaut werden und was Auditoren pruefen.