DORA Incident-Reporting: wie läuft das in der Praxis?

Stand: 2026-05-16 · ComplyCheck-Redaktion · Keine Rechtsberatung iSd RDG § 2.

Was ist ein "schwerwiegender" Vorfall?

Art. 3 Nr. 8 DORA definiert einen IKT-bezogenen Vorfall als einzelnes Ereignis oder eine Reihe verknüpfter Ereignisse, die die Sicherheit der Netz- und Informationssysteme beeinträchtigen und nachteilige Auswirkungen auf die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Daten oder die Verfügbarkeit von Diensten haben.

Detail

Die EBA Final Draft RTS definieren sieben Klassifizierungskriterien zur Identifikation schwerwiegender Vorfälle:

1. Anzahl betroffener Kunden und gegebenenfalls Anzahl betroffener Transaktionen
2. Dauer der Beeinträchtigung der kritischen Geschäftsfunktion
3. Geografischer Verbreitungsgrad (mehrere EU-Mitgliedstaaten)
4. Datenverlust und Auswirkungen auf Verfügbarkeit, Authentizität, Integrität, Vertraulichkeit
5. Auswirkung auf kritische Dienste
6. Wirtschaftliche Auswirkungen (direkte und indirekte Kosten)
7. Reputationsschaden

Jedes Kriterium ist mit konkreten Schwellwerten hinterlegt. Sind mindestens zwei dieser Schwellwerte überschritten oder ein einzelnes Schwellwert-Kriterium "high impact", gilt der Vorfall als schwerwiegend und ist meldepflichtig.

Die drei Meldungstypen im Detail

Initial Notification (Erstmeldung)

• Frist: spätestens 4 Stunden nach Klassifizierung als schwerwiegend, in jedem Fall innerhalb von 24 Stunden nach Bekanntwerden des Vorfalls
• Inhalt (gemäß ESMA-Template):
  • Identifikator (Vorfall-ID des meldenden Instituts)
  • Datum und Uhrzeit der Erkennung
  • Klassifizierungskriterien, die erfüllt sind
  • betroffene kritische Funktionen (high-level)
  • Erstindikation der Ursache (sofern bekannt)
  • eingeleitete Sofortmaßnahmen
• Empfänger: BaFin (deutsche Finanzunternehmen) über die elektronische MVP-Plattform

Intermediate Report (Zwischenbericht)

• Frist: binnen 72 Stunden nach der Initial Notification
• Inhalt:
  • vollständige Klassifizierungsbewertung mit aktualisierten Schwellwerten
  • betroffene Geschäftsbereiche und Anzahl betroffener Kunden
  • Status der Wiederherstellungs-Maßnahmen
  • vorläufige Ursachenanalyse
  • Auswirkungen auf Drittparteien
  • Hinweise auf grenzüberschreitende Auswirkungen
• Aktualisierungen: Falls neue erhebliche Erkenntnisse hinzukommen, sind weitere Intermediate Reports nötig

Final Report (Abschlussbericht)

• Frist: spätestens einen Monat nach Schließung des Vorfalls
• Inhalt:
  • vollständige Root-Cause-Analyse
  • vollständige Liste umgesetzter Korrekturmaßnahmen
  • Lessons Learned und Anpassungen am IKT-Risikomanagement
  • finale Schadensbezifferung
  • Stellungnahme zur Wiederholungsfreiheit

Wer meldet an wen?

Die Meldekette nach Art. 19 Abs. 1 DORA ist mehrstufig:

1. Finanzunternehmen → zuständige nationale Behörde (in Deutschland: BaFin)
2. BaFin → European Supervisory Authorities (ESAs)
3. Bei grenzüberschreitenden Vorfällen: ESAs koordinieren mit den jeweiligen nationalen Behörden anderer Mitgliedstaaten

Parallel können je nach Sektor weitere Meldepflichten ausgelöst werden:

• DSGVO Art. 33: Meldung an die zuständige Datenschutzaufsicht binnen 72 Stunden, falls personenbezogene Daten betroffen sind
• NIS2 / BSIG: Meldung an das BSI bei zusätzlicher NIS2-Betroffenheit (bei Doppel-Regulierung)
• Strafverfolgungsbehörden: bei Straftatbeständen wie Erpressung oder Computersabotage

Die Doppelmeldung an mehrere Behörden ist üblich. DORA selbst sieht eine "Single Hub"-Lösung in Diskussion, die ist aber noch nicht operativ.

Praxis-Setup: was vor dem Ernstfall stehen muss

Damit die 4-Stunden-Frist überhaupt einhaltbar ist, braucht es vorab:

• 24/7-Bereitschaft im Incident-Response-Team (intern oder über Retainer mit externem IR-Provider)
• Klare Klassifizierungs-Entscheidungs-Matrix — wer klassifiziert wann nach welchen EBA-Kriterien?
• Vorbefüllte Meldetemplates (ESMA-Format) inklusive Master-Daten zum Unternehmen
• Zugang zur BaFin-MVP-Plattform — Accounts, Rollen, Stellvertretung
• Eskalationsleitfaden intern: Wer informiert den Vorstand, wer die Kommunikationsabteilung, wer die Aufsicht
• Mock-Drill mindestens jährlich — die 4-Stunden-Frist wird in der Realität nicht eingehalten, wenn das Verfahren nie geübt wurde

Häufige Fallstricke

Verzögerte Klassifizierung: Die 4-Stunden-Frist beginnt mit der Klassifizierung als schwerwiegend — nicht mit der Erstdetektion. Das verleitet dazu, die Klassifizierung hinauszuzögern. Die Aufsicht erwartet aber eine "ohne unangemessene Verzögerung"-Bewertung. Eine bewusst verzögerte Einstufung kann als Verstoß gegen Art. 17 ausgelegt werden.

Unvollständige Initial Notification: Felder, die zu diesem Zeitpunkt noch unbekannt sind, werden mit "TBD" gekennzeichnet und im Intermediate Report ergänzt — nicht weggelassen.

Vergessene Drittanbieter-Information: Bei Vorfällen mit Auswirkungen auf IKT-Drittanbieter sind diese unverzüglich zu informieren, damit sie ihre eigenen Meldepflichten erfüllen können.

Final Report wird vergessen: Nach der Krise vergessen viele Institute den Final Report. Die Frist "ein Monat nach Schließung" läuft automatisch — eine Erinnerung im Ticket-System verhindert versäumte Meldungen.

Sanktionen bei verspäteter oder unterlassener Meldung

Nach Art. 50-51 DORA sind die Mitgliedstaaten verpflichtet, wirksame, verhältnismäßige und abschreckende Sanktionen vorzusehen. In Deutschland setzt das DORA-Durchführungsgesetz die Sanktionspraxis um. In der Praxis sind Bußgelder bis 1 % des durchschnittlichen Tagesumsatzes je Tag des Verstoßes möglich, in schweren Fällen höhere Sanktionen einschließlich Tätigkeitsbeschränkungen.

Schnittstelle zu internen Forensik-Prozessen

Die Meldepflicht trifft die Forensik-Aktivität an einer kritischen Stelle: Initial Notification muss raus, bevor die forensische Analyse vollständig abgeschlossen ist. Marktstandard für funktionierendes Reporting unter DORA:

• Forensik-Provider auf Retainer: Vertrag, der innerhalb von 2-4 Stunden Aktivierung erlaubt
• Beweissicherung-Trennung von Reporting: Die Initial Notification basiert auf den ersten verlässlichen Beobachtungen, nicht auf der finalen Root-Cause-Analyse
• Kontinuierliches Log-Trace: Speicherung relevanter Logs für mindestens 6 Monate; sonst fehlt im Final Report die Beweis-Basis
• Rolle "Notification-Officer": eine benannte Person mit Vertretung, die die ESMA-Templates ausfüllt und die MVP-Plattform bedient

Berichts-Häufigkeit über die Lebensdauer eines Vorfalls

In einem schwerwiegenden Vorfall produziert ein Institut in der Regel mehrere Reports parallel:

• 1× Initial Notification binnen 4 h / 24 h
• 1-3× Intermediate Reports in den ersten Tagen, abhängig von Vorfall-Dauer und neuen Erkenntnissen
• 1× Final Report spätestens einen Monat nach Schließung

Das ergibt typischerweise 3-5 formelle Meldungen je Vorfall. Wer pro Jahr 2-3 schwerwiegende Vorfälle hat, produziert 10-15 Meldungen — eine erhebliche Compliance-Last, die mit dedizierten Prozessen und Templates beherrschbar wird.

FAQ

Welche Vorfälle muss ich nicht melden?

Vorfälle, die nicht die EBA-RTS-Schwellwerte für "schwerwiegend" erreichen, sind nicht meldepflichtig — wohl aber intern zu dokumentieren. Beispiel: Eine 30-Minuten-Outage einer nicht-kritischen Anwendung mit weniger als der Schwellwert-Zahl betroffener Kunden bleibt intern.

Wer übermittelt die Meldung bei einem Konzern?

Maßgeblich ist das regulierte Finanzunternehmen als Adressat von DORA. Wenn ein Konzern mehrere DORA-pflichtige Tochtergesellschaften hat, meldet jede einzeln. Eine Konzernmutter kann die operative Meldung übernehmen, die rechtliche Verantwortung verbleibt aber bei der jeweiligen Tochter.

Was, wenn der Vorfall sich nachträglich als nicht schwerwiegend herausstellt?

Eine voreilige Initial Notification kann zurückgezogen werden, sobald die Klassifizierungsbewertung eindeutig zeigt, dass die Schwellwerte nicht erreicht sind. Der Rückzug wird selbst dokumentiert.

Müssen freiwillige Meldungen erfolgen?

Art. 20 Abs. 6 DORA sieht ein freiwilliges Notification-Regime für signifikante Cyber-Bedrohungen vor, die noch keinen Vorfall ausgelöst haben. Diese sind nicht verpflichtend, werden aber von der Aufsicht erwartet — Stichwort: Sektor-Resilienz durch Information-Sharing.

Wie verhält sich die DORA-Meldung zur DSGVO-Meldung?

Beide Meldungen können denselben Vorfall betreffen. Es gibt keine "Konsolidierungs"-Möglichkeit — die DSGVO-Meldung geht an die zuständige Datenschutzaufsicht (in Deutschland je nach Sitz BfDI oder Landesdatenschutzbehörde), die DORA-Meldung an die BaFin. Inhaltlich überlappen sich Teile der Templates, müssen aber separat eingereicht werden.