Alle Beiträge

Drei Schritte zur Meldung von IKT-Vorfällen gemäß DORA

Mit dem Digital Operational Resilience Act (DORA wird die Meldung von IKT-Vorfällen für Finanzunternehmen zu einer verbindlichen regulatorischen Pflicht. Dabei handelt es sich nicht um eine einmalige Anzeige, sondern um einen mehrstufigen, klar strukturierten Prozess, der fundierte Entscheidungen, umfangreiche Datenerhebungen und eine enge interne Abstimmung erfordert.

Der Meldeprozess lässt sich in drei zentrale Schritte gliedern.

Schritt 1: Klassifikation – Liegt ein IKT-bezogener Vorfall vor?

Zu Beginn ist zu prüfen, ob ein Ereignis als IKT-bezogener Vorfall im Sinne von DORA einzustufen ist.

Gemäß DORA Artikel 3 Absatz 8 ist ein „IKT-bezogener Vorfall“ ein von dem Finanzunternehmen nicht geplantes Ereignis bzw. eine entsprechende Reihe verbundener Ereignisse, das bzw. die die Sicherheit der Netzwerk- und Informationssysteme beeinträchtigt und nachteilige Auswirkungen auf die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Daten oder auf die vom Finanzunternehmen erbrachten Dienstleistungen hat.

Bereits in dieser frühen Phase müssen Finanzunternehmen relevante Informationen erfassen und bewerten, insbesondere:

  • Art und Ursache des Ereignisses
  • ob es sich um ein Einzelereignis oder eine Reihe verbundener Ereignisse handelt
  • Auswirkungen auf die Sicherheit der Netzwerk- und Informationssysteme
  • Beeinträchtigungen der Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Daten oder der erbrachten Dienstleistungen

Eine fehlerhafte Klassifikation kann dazu führen, dass meldepflichtige Vorfälle nicht erkannt oder unnötige Meldungen ausgelöst werden.

Schritt 2: Bewertung – Ist der IKT-Vorfall schwerwiegend?

Wird ein IKT-bezogener Vorfall festgestellt, folgt die Einstufung des Schweregrads. Nur schwerwiegende IKT-bezogene Vorfälle unterliegen der verpflichtenden Meldung an die zuständigen Aufsichtsbehörden.

Nach DORA Artikel 3 Absatz 10 ist ein „schwerwiegender IKT-bezogener Vorfall“ ein IKT-Vorfall, der umfassende nachteilige Auswirkungen auf die Netzwerk- und Informationssysteme hat, die kritische oder wichtige Funktionen des Finanzunternehmens unterstützen.

Die Bewertung erfolgt anhand definierter Kriterien, unter anderem:

  • Beeinträchtigung kritischer oder wichtiger Funktionen
  • Verlust, Kompromittierung oder unbefugter Zugriff auf Daten
  • Anzahl betroffener Kunden oder Geschäftsprozesse
  • Dauer, Ausmaß und gegebenenfalls geografische Ausbreitung der Störung
  • finanzieller Schaden
  • Reputationsschäden

Diese Bewertung muss nachvollziehbar dokumentiert werden und bildet die Grundlage für den weiteren Meldeprozess.

Schritt 3: Meldung – Erst-, Zwischen- und Abschlussmeldungen

Wird ein Vorfall als schwerwiegend eingestuft, beginnt die Meldung als fortlaufender Prozess über den gesamten Lebenszyklus des Vorfalls hinweg.

1. Erstmeldung

Unmittelbar nach der Identifikation ist eine Erstmeldung einzureichen. Diese enthält eine erste Beschreibung des Vorfalls, seiner Auswirkungen sowie der bereits eingeleiteten Maßnahmen.

2. Zwischenmeldungen

Während der Bearbeitung des Vorfalls sind Zwischenmeldungen abzugeben, sobald neue relevante Informationen vorliegen, beispielsweise:

  • aktualisierte Ursachenanalysen
  • veränderte oder präzisierte Auswirkungen
  • Fortschritte bei der Behebung und Wiederherstellung

3. Abschlussmeldung

Nach Behebung des Vorfalls ist eine Abschlussmeldung einzureichen. Diese umfasst insbesondere:

  • eine detaillierte Ursachen- bzw. Root-Cause-Analyse
  • eine Beschreibung der umgesetzten Lösungen und Maßnahmen
  • die durch den IKT-Vorfall entstandenen Verluste und Kosten

Alle Meldestufen beinhalten zahlreiche strukturierte Pflichtfelder, die vollständig, konsistent und fristgerecht zu befüllen sind.

Hoher operativer Aufwand ohne strukturierte Unterstützung

Die Umsetzung dieses Drei-Schritte-Prozesses ist ohne geeignete Prozesse und technische Unterstützung äußerst ressourcenintensiv. Dazu zählen mehrfache manuelle Datenerfassungen, ein hoher Abstimmungsaufwand zwischen IT, Informationssicherheit, Risikomanagement und Compliance, die wiederholte Aktualisierung identischer Informationen über mehrere Meldestufen hinweg sowie ein erhöhtes Fehlerrisiko unter Zeitdruck.

DORA macht deutlich: Die Meldung von IKT-Vorfällen ist ein dauerhafter Governance- und Kontrollprozess und kein Ad-hoc-Reporting.

Fazit

Die Meldung von IKT-Vorfällen gemäß DORA stellt viele Finanzunternehmen vor erhebliche Herausforderungen. Wer diesen Prozess frühzeitig standardisiert und technisch unterstützt, minimiert nicht nur regulatorische Risiken, sondern stärkt nachhaltig die digitale operative Resilienz. Mit einer passenden Lösung wie Leno sind Sie optimal auf diese Anforderungen vorbereitet.

👉Nächster Beitrag

Lernen Sie Leno kennen

Demo buchen
Vereinbaren Sie noch heute einen Termin, um Leno kennenzulernen.

Wie können wir Ihnen helfen?
Kontaktieren Sie uns.

Zu unserem Trust Center
UnternehmenKarriereAktuelles
Kontakt
© 2026 LeanMind. All rights reserved.