Artikel 19 Meldung schwerwiegender IKT-bezogener Vorfälle und freiwillige Meldung erheblicher Cyberbedrohungen

Summary What does Article 19 of the DORA regulation say?

This article is the core incident reporting article in DORA, establishing the mandatory obligation for financial entities to report major ICT-related incidents to their relevant competent authority.

It builds directly on Article 18, which sets out how incidents are classified, and connects to Article 20, which defines the templates and timelines used for the actual reports.

The article structures reporting as a staged process — an initial notification, intermediate updates, and a final report — and also addresses the voluntary notification of significant cyber threats.

Beyond the obligations on financial entities, the article maps out a detailed information-sharing chain that flows upward from competent authorities to the ESAs, the ECB, resolution authorities, and CSIRTs, ensuring that major incidents can be assessed for cross-border impact across the EU financial system.

Important points:

Report major ICT-related incidents to your relevant competent authority using a staged reporting process: an initial notification, intermediate updates, and a final report once root cause analysis is complete.
You may outsource the reporting obligation to a third-party service provider, but responsibility for fulfilling the requirements remains entirely with the financial entity.
Competent authorities are required to cascade incident details to a broad network of bodies, including the ESAs, the ECB, resolution authorities, and CSIRTs, to enable assessment of cross-border impact and coordinated response.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. Finanzunternehmen melden der nach Artikel 46 jeweils zuständigen Behörde gemäß Absatz 4 schwerwiegende IKT-bezogene Vorfälle.
2. Unterliegt ein Finanzunternehmen der Aufsicht mehr als einer nach Artikel 46 zuständigen nationalen Behörde, so benennen die Mitgliedstaaten eine einzige zuständige Behörde als einschlägige zuständige Behörde, die für die Wahrnehmung der im vorliegenden Artikel aufgeführten Funktionen und Aufgaben verantwortlich ist.
3. Kreditinstitute, die gemäß Artikel 6 Absatz 4 der Verordnung (EU) Nr. 1024/2013 als bedeutend eingestuft wurden, melden schwerwiegende IKT-bezogene Vorfälle der gemäß Artikel 4 der Richtlinie 2013/36/EU benannten jeweils zuständigen nationalen Behörde, die diese Meldung unverzüglich an die EZB weiterleitet.
4. Für die Zwecke von Unterabsatz 1 erstellen Finanzunternehmen nach Erfassung und Analyse aller relevanten Informationen unter Verwendung der in Artikel 20 genannten Vorlage die Erstmeldung und die Meldungen nach Absatz 4 und übermitteln diese der zuständigen Behörde. Falls es aus technischen Gründen nicht möglich ist, die Erstmeldung unter Verwendung der Vorlage zu übermitteln, teilen die Finanzunternehmen dies der zuständigen Behörde auf anderem Wege mit.
5. Die Erstmeldung und die Meldungen nach Absatz 4 enthalten alle Informationen, die die zuständige Behörde benötigt, um die Signifikanz des schwerwiegenden IKT-bezogenen Vorfalls zu ermitteln und mögliche grenzüberschreitende Auswirkungen zu bewerten.
6. Unbeschadet der Meldung gemäß Unterabsatz 1 durch das Finanzunternehmen an die jeweils zuständige Behörde können die Mitgliedstaaten zusätzlich festlegen, dass einige oder alle Finanzunternehmen die Erstmeldung und jede Meldung nach Absatz 4 auch den gemäß der Richtlinie (EU) 2022/2555 benannten oder eingerichteten zuständigen Behörden oder Computer-Notfallteams (computer security incident response teams — CSIRT) unter Verwendung der in Artikel 20 genannten Vorlage zur Verfügung stellen müssen.
1. Finanzunternehmen können der jeweils zuständigen Behörde auf freiwilliger Basis erhebliche Cyberbedrohungen melden, wenn sie der Auffassung sind, dass die Bedrohung für das Finanzsystem, die Dienstnutzer oder die Kunden relevant ist. Die jeweils zuständige Behörde kann derartige Informationen anderen in Absatz 6 genannten einschlägigen Behörden zur Verfügung stellen.
2. Kreditinstitute, die gemäß Artikel 6 Absatz 4 der Verordnung (EU) Nr. 1024/2013 als bedeutend eingestuft wurden, können erhebliche Cyberbedrohungen auf freiwilliger Basis der gemäß Artikel 4 der Richtlinie 2013/36/EU benannten jeweils zuständigen nationalen Behörde melden, die diese Meldung unverzüglich an die EZB weiterleitet.
3. Die Mitgliedstaaten können festlegen, dass die Finanzunternehmen, die auf freiwilliger Basis eine Meldung gemäß Unterabsatz 1 vornehmen, diese Meldung auch an die gemäß der Richtlinie (EU) 2022/2555 benannten oder eingerichteten CSIRT erstatten können.
1. Wenn ein schwerwiegender IKT-bezogener Vorfall auftritt und Auswirkungen auf die finanziellen Interessen von Kunden hat, unterrichten die Finanzunternehmen, sobald sie hiervon Kenntnis erlangt haben, ihre Kunden unverzüglich über den schwerwiegenden IKT-bezogenen Vorfall und die Maßnahmen, die ergriffen wurden, um die nachteiligen Auswirkungen eines solchen Vorfalls zu mindern.
2. Im Falle einer erheblichen Cyberbedrohung unterrichten die Finanzunternehmen gegebenenfalls ihre potenziell betroffenen Kunden über angemessene Schutzmaßnahmen, die diese ergreifen könnten.
1. Finanzunternehmen legen innerhalb der in Artikel 20 Absatz 1 Buchstabe a Ziffer ii festzulegenden Fristen der jeweils zuständigen Behörde Folgendes vor:
  1. eine Erstmeldung;
  2. nach der Erstmeldung gemäß Buchstabe a eine Zwischenmeldung, sobald sich der Status des ursprünglichen Vorfalls erheblich geändert hat oder sich die Handhabung des schwerwiegenden IKT-bezogenen Vorfalls auf der Grundlage neuer verfügbarer Informationen geändert hat, gegebenenfalls gefolgt von aktualisierten Meldungen, wann immer eine entsprechende Statusaktualisierung vorliegt, sowie auf ausdrücklichen Antrag der zuständigen Behörde;
  3. eine Abschlussmeldung, wenn die Ursachenanalyse abgeschlossen ist — unabhängig davon, ob bereits Minderungsmaßnahmen getroffen wurden oder nicht — und sich die tatsächlichen Auswirkungen beziffern lassen und Schätzungen ersetzen.
1. Finanzunternehmen dürfen im Einklang mit den sektorspezifischen Rechtsvorschriften der Union und der Mitgliedstaaten die Meldepflichten nach diesem Artikel an einen Drittdienstleister auslagern. Bei einer solchen Auslagerung bleibt das Finanzunternehmen in vollem Umfang für die Erfüllung der Anforderungen für die Meldung von Vorfällen verantwortlich.
1. Nach Eingang der Erstmeldung und jeder Meldung nach Absatz 4 übermittelt die zuständige Behörde auf der Grundlage der je nach Sachlage bestehenden jeweiligen Zuständigkeiten zeitnah Einzelheiten zu dem schwerwiegenden IKT-bezogenen Vorfall an die folgenden Empfänger:
  1. die EBA, die ESMA oder die EIOPA;
  2. die EZB, sofern es sich um Finanzunternehmen im Sinne von Artikel 2 Absatz 1 Buchstaben a, b und d handelt;
  3. die zuständigen Behörden, die zentrale Anlaufstelle oder die CSIRT, die jeweils gemäß der Richtlinie (EU) 2022/2555 benannt oder eingerichtet werden;
  4. die in Artikel 3 der Richtlinie 2014/59/EU genannten Abwicklungsbehörden und den Einheitlichen Abwicklungsausschuss (Single Resolution Board — SRB) in Bezug auf die in Artikel 7 Absatz 2 der Verordnung (EU) Nr. 806/2014 des Europäischen Parlaments und des Rates(³⁷) genannten Unternehmen sowie in Bezug auf die in Artikel 7 Absatz 4 Buchstabe b und Absatz 5 der Verordnung (EU) Nr. 806/2014 genannten Unternehmen und Gruppen, wenn diese Einzelheiten Vorfälle betreffen, die ein Risiko für die Sicherstellung kritischer Funktionen im Sinne von Artikel 2 Absatz 1 Nummer 35 der Richtlinie 2014/59/EU darstellen; und
  5. andere einschlägige Behörden nach nationalem Recht.
1. Nach Erhalt der Informationen gemäß Absatz 6 bewerten die EBA, die ESMA oder die EIOPA und die EZB in Abstimmung mit der ENISA und in Zusammenarbeit mit der jeweils zuständigen Behörde, ob der schwerwiegende IKT-bezogene Vorfall für die zuständigen Behörden in anderen Mitgliedstaaten von Belang ist. Im Anschluss an diese Bewertung benachrichtigen die EBA, die ESMA oder die EIOPA die jeweils zuständigen Behörden in anderen Mitgliedstaaten entsprechend. Die EZB unterrichtet die Mitglieder des Europäischen Systems der Zentralbanken über die für das Zahlungssystem relevanten Aspekte. Auf der Grundlage dieser Unterrichtung treffen die zuständigen Behörden gegebenenfalls alle für die unmittelbare Stabilität des Finanzsystems notwendigen Schutzvorkehrungen.
1. Die von der ESMA gemäß Absatz 7 vorzunehmende Meldung berührt nicht die Verantwortung der zuständigen Behörde, die Einzelheiten des schwerwiegenden IKT-bezogenen Vorfalls umgehend an die einschlägige Behörde des Aufnahmemitgliedstaats weiterzuleiten, wenn ein Zentralverwahrer eine umfassende grenzüberschreitende Tätigkeit in dem Aufnahmemitgliedstaat ausübt, der schwerwiegende IKT-bezogene Vorfall wahrscheinlich schwerwiegende Folgen für die Finanzmärkte des Aufnahmemitgliedstaats hat und zwischen den zuständigen Behörden Kooperationsvereinbarungen in Bezug auf die Beaufsichtigung von Finanzunternehmen bestehen.

Relevant recitals

Erwägungsgrund 22 Divergent incident reporting requirements

Die Schwellenwerte und Taxonomien für die Meldung IKT-bezogener Vorfälle unterscheiden sich auf nationaler Ebene erheblich. Wenngleich sich durch einschlägige Arbeiten der durch die Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates(¹¹) eingerichtete Agentur der Europäischen Union für Cybersicherheit (ENISA) und der Kooperationsgruppe im Sinne der Richtlinie (EU) 2022/2555 eine gemeinsame Grundlage schaffen lässt, bestehen für die übrigen Finanzunternehmen noch immer unterschiedliche Ansätze in Bezug auf die Festlegung der Schwellenwerte und die Verwendung von Taxonomien bzw. können sich für diese ergeben. Aufgrund dieser Unterschiede besteht eine Vielzahl von Anforderungen, die Finanzunternehmen einhalten müssen, insbesondere wenn sie in mehreren Mitgliedstaaten tätig sind und Teil einer Finanzgruppe sind. Darüber hinaus können derartige Unterschiede die Einrichtung weiterer einheitlicher oder zentralisierter Mechanismen der Union behindern, die das Meldeverfahren beschleunigen und einen raschen und reibungslosen Informationsaustausch zwischen den zuständigen Behörden unterstützen, was für die Bewältigung des IKT-Risikos bei Großangriffen mit potenziell systemischen Folgen von entscheidender Bedeutung ist.

Erwägungsgrund 24 Robust ICT-related incident reporting regime

Um den zuständigen Behörden die Erfüllung von Aufsichtsaufgaben zu ermöglichen, indem sie einen vollständigen Überblick über Art, Häufigkeit, Ausmaß und Auswirkungen IKT-bezogener Vorfälle erhalten, und um den Informationsaustausch zwischen einschlägigen Behörden, einschließlich Strafverfolgungs- und Abwicklungsbehörden, zu verbessern, sollte diese Verordnung eine solide Regelung für die Meldung IKT-bezogener Vorfälle festlegen, wobei die einschlägigen Anforderungen derzeitige Lücken im Finanzdienstleistungsrecht schließen, und Überschneidungen und Doppelarbeit mit Blick auf eine Senkung der Kosten beseitigen. Es ist von entscheidender Bedeutung, die Regelung für die Meldung IKT-bezogener Vorfälle zu harmonisieren, indem alle Finanzunternehmen verpflichtet werden, ihren zuständigen Behörden in dem in dieser Verordnung vorgesehenen einheitlichen, gestrafften Rahmen Bericht zu erstatten. Darüber hinaus sollten die ESA ermächtigt werden, relevante Aspekte für den Rahmen für die Meldung IKT-bezogener Vorfälle — wie Taxonomie, Zeitrahmen, Datensätze, Vorlagen und anwendbare Schwellenwerte — näher zu spezifizieren. Um vollständige Übereinstimmung mit der Richtlinie (EU) 2022/2555 zu gewährleisten, sollten Finanzunternehmen der jeweils zuständigen Behörde auf freiwilliger Basis erhebliche Cyberbedrohungen melden können, wenn sie der Auffassung sind, dass die Cyberbedrohung für das Finanzsystem, die Dienstnutzer oder die Kunden relevant ist.

Erwägungsgrund 51 Streamlined ICT-related incident reporting

Die Urheber von Cyberangriffen neigen dazu, finanzielle Gewinne direkt an der Quelle zu erzielen, sodass Finanzunternehmen weitreichenden Folgen ausgesetzt sind. Um zu verhindern, dass IKT-Systeme ihre Integrität einbüßen oder nicht verfügbar werden, und somit zu vermeiden, dass vertrauliche Daten eingesehen oder physische IKT-Infrastrukturen beschädigt werden, sollte die Meldung schwerwiegender IKT-bezogener Vorfälle durch Finanzunternehmen erheblich verbessert und gestrafft werden. Die Meldung IKT-bezogener Vorfälle sollte für alle Finanzunternehmen harmonisiert werden, indem sie verpflichtet werden, ihren jeweils zuständigen Behörden direkt Bericht zu erstatten. Unterliegt ein Finanzunternehmen der Aufsicht von mehr als einer zuständigen nationalen Behörde, so sollten die Mitgliedstaaten eine einzige zuständige Behörde als Adressat einer solchen Meldung benennen. Kreditinstitute, die gemäß Artikel 6 Absatz 4 der Verordnung (EU) Nr. 1024/2013 des Rates(¹⁹) als bedeutend eingestuft werden, sollten die Meldungen den zuständigen nationalen Behörden übermitteln, die sie anschließend an die Europäische Zentralbank (EZB) weiterleiten sollten.

Erwägungsgrund 53 Materiality thresholds and reporting timelines

Zwar sollten alle Finanzunternehmen verpflichtet sein, Sicherheitsvorfälle zu melden, es ist jedoch davon auszugehen, dass diese Verpflichtung sie nicht alle in gleicher Weise betrifft. Die einschlägigen Wesentlichkeitsschwellen sowie die Fristen für die Meldung sollten im Rahmen delegierter Rechtsakte auf der Grundlage der von den ESA zu entwickelnden technischen Regulierungsstandards gebührend angepasst werden, um nur schwerwiegende IKT-bezogene Vorfälle abzudecken. Darüber hinaus sollten die Besonderheiten von Finanzunternehmen bei der Festlegung der Fristen für die Meldepflichten berücksichtigt werden.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.