Artikel 45 Vereinbarungen über den Austausch von Informationen und Erkenntnissen zu Cyberbedrohungen

Summary What does Article 45 of the DORA regulation say?

This article addresses the voluntary sharing of cyber threat information between financial entities.

It permits financial entities to exchange threat intelligence — such as indicators of compromise, tactics, and procedures — provided that this sharing is aimed at strengthening digital operational resilience, takes place within trusted communities, and is conducted under formal arrangements that safeguard business confidentiality, personal data, and competition rules.

The article also sets out what those information-sharing arrangements must cover in terms of governance and participation, and imposes a notification obligation on financial entities toward their competent authorities.

Important points:

You may share cyber threat information and intelligence with other financial entities, but only within trusted communities and under formal arrangements that comply with data protection and competition rules.
Information-sharing arrangements must define conditions for participation, including the potential roles of public authorities and ICT third-party service providers.
Notify your competent authority upon joining or leaving any such information-sharing arrangement.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. Finanzunternehmen können Informationen und Erkenntnisse über Cyberbedrohungen untereinander austauschen, einschließlich Indikatoren für Beeinträchtigungen, Taktiken, Techniken und Verfahren, Cybersicherheitswarnungen und Konfigurationstools, soweit dieser Austausch von Informationen und Erkenntnissen
  1. darauf abzielt, die digitale operationale Resilienz von Finanzunternehmen zu stärken, insbesondere indem für Cyberbedrohungen sensibilisiert, die Verbreitung von Cyberbedrohungen eingeschränkt oder verhindert wird und die Verteidigungsfähigkeiten, Techniken zur Erkennung von Bedrohungen, Abmilderungsstrategien oder Phasen der Reaktion und Wiederherstellung unterstützt werden;
  2. innerhalb vertrauenswürdiger Gemeinschaften von Finanzunternehmen erfolgt;
  3. durch Vereinbarungen über den Austausch von Informationen umgesetzt wird, die den potenziell sensiblen Charakter der ausgetauschten Informationen schützen und Verhaltensregeln unterliegen, in deren Rahmen die Wahrung des Geschäftsgeheimnisses, der Schutz personenbezogener Daten im Einklang mit der Verordnung (EU) 2016/679 und Leitlinien für die Wettbewerbspolitik vollumfänglich befolgt werden.
1. Für die Zwecke von Absatz 1 Buchstabe c werden in den Vereinbarungen über den Austausch von Informationen die Voraussetzungen für die Teilnahme und gegebenenfalls die Einzelheiten zur Einbindung staatlicher Behörden und der Eigenschaft, in der diese in die Vereinbarungen über den Austausch von Informationen eingebunden werden können, zur Einbindung von IKT-Drittdienstleistern sowie zu operativen Aspekten, einschließlich der Nutzung spezieller IT-Plattformen, festgelegt.
1. Finanzunternehmen teilen zuständigen Behörden ihre Einbindung in die in Absatz 1 genannten Vereinbarungen über den Austausch von Informationen mit, sobald ihre Mitwirkung bestätigt wurde bzw. endet und diese Beendigung in Kraft ist.

Relevant recitals

Erwägungsgrund 32 Importance of information sharing to prevent cyber threats

Da IKT- Risiken immer komplexer und technisch ausgereifter werden, hängen gute Maßnahmen für die Erkennung und Prävention von IKT-Risiken in hohem Maße von einem regelmäßigen Informationsaustausch zwischen Finanzunternehmen über Bedrohungen und Schwachstellen ab. Ein Informationsaustausch trägt dazu bei, das Bewusstsein für Cyberbedrohungen zu schärfen. Dies wiederum verstärkt die Fähigkeit der Finanzunternehmen, zu verhindern, dass Cyberbedrohungen in reale IKT-bezogene Vorfälle münden, und versetzt Finanzunternehmen in die Lage, die Auswirkungen IKT-bezogener Vorfälle wirksamer einzudämmen und sich schneller zu erholen. In Ermangelung von Leitlinien auf Unionsebene scheinen mehrere Faktoren einen solchen Wissensaustausch verhindert zu haben, darunter insbesondere die Unsicherheit hinsichtlich der Vereinbarkeit mit den Datenschutz-, Kartell- und Haftungsvorschriften.

Erwägungsgrund 33 Fragmented information sharing and the need for strengthening communication channels

Darüber hinaus führen Zweifel bezüglich der Art von Informationen, die mit anderen Marktteilnehmern oder mit Nicht-Aufsichtsbehörden (z. B. ENISA für analytische Eingaben oder Europol für Strafverfolgungszwecke) ausgetauscht werden können, dazu, dass nützliche Informationen vorenthalten werden. Deswegen sind Umfang und Qualität des Informationsaustauschs derzeit nach wie vor begrenzt und fragmentiert, wobei der einschlägige Austausch hauptsächlich auf lokaler Ebene (über nationale Initiativen) erfolgt und keine einheitlichen unionsweiten Regelungen für den Informationsaustausch bestehen, die auf die Bedürfnisse eines integrierten Finanzsystems zugeschnitten sind. Aus diesem Grund ist es wichtig, diese Kommunikationskanäle zu stärken.

Erwägungsgrund 34 Voluntary information-sharing arrangements for financial entities

Finanzunternehmen sollten ermutigt werden, Informationen und Erkenntnisse zu Cyberbedrohungen untereinander auszutauschen und ihre individuellen Kenntnisse und praktischen Erfahrungen auf strategischer, taktischer und operativer Ebene gemeinsam zu nutzen, damit sich ihre Fähigkeit verbessert, Cyberbedrohungen angemessen zu bewerten, zu überwachen, abzuwehren und auf sie zu reagieren, indem sie an Vereinbarungen über den Austausch von Informationen teilnehmen. Daher muss auf Unionsebene die Einrichtung von Regelungen für freiwillige Vereinbarungen über den Informationsaustausch ermöglicht werden, die — bei der Umsetzung in vertrauenswürdigen Umgebungen — der Finanzwelt dabei helfen würden, Cyberbedrohungen vorzubeugen und gemeinsam auf diese zu reagieren, indem die Ausbreitung von IKT-Risiken rasch eingedämmt und potenzielle Ansteckungseffekte über alle Finanzkanäle hinweg verhindert werden. Diese Regelungen sollten mit dem anwendbaren Wettbewerbsrecht der Union, das in der Mitteilung der Kommission vom 14. Januar 2011 mit dem Titel „Leitlinien zur Anwendbarkeit des Artikels 101 des Vertrags über die Arbeitsweise der Europäischen Union auf Vereinbarungen über horizontale Zusammenarbeit“ sowie den Datenschutzvorschriften der Union und insbesondere der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates(¹³) im Einklang stehen. Sie sollten auf der Grundlage einer oder mehrerer der in Artikel 6 jener Verordnung festgelegten Rechtsgrundlagen tätig werden, beispielsweise im Zusammenhang mit der Verarbeitung personenbezogener Daten, die zur Wahrung der berechtigten Interessen des für die Verarbeitung Verantwortlichen oder eines Dritten gemäß Artikel 6 Absatz 1 Buchstabe f jener Verordnung erforderlich ist, sowie im Zusammenhang mit der Verarbeitung personenbezogener Daten, die für die Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt, oder für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde, gemäß Artikel 6 Absatz 1 Buchstabe c bzw. e jener Verordnung erforderlich ist.

Erwägungsgrund 52 Information sharing between authorities and financial entities

Die direkte Meldung sollte Finanzaufsichtsbehörden den direkten Zugang zu Informationen über schwerwiegende IKT-bezogene Vorfälle ermöglichen. Finanzaufsichtsbehörden sollten Einzelheiten über schwerwiegende IKT-bezogene Vorfälle wiederum an Nicht-Finanzbehörden (z. B gemäß der Richtlinie (EU) 2022/2555 benannte zuständige Behörden und zentrale Anlaufstellen, nationale Datenschutzbehörden und Strafverfolgungsbehörden bei schwerwiegenden IKT-bezogenen Vorfällen strafrechtlicher Art) weiterleiten, um diese Behörden für diese Vorfälle zu sensibilisieren und bei CSIRT gegebenenfalls die unverzügliche Unterstützung von Finanzunternehmen zu erleichtern. Darüber hinaus sollten die Mitgliedstaaten festlegen können, dass Finanzunternehmen selbst derartige Informationen an Behörden außerhalb des Finanzdienstleistungsbereichs weitergeben sollten. Diese Informationsflüsse sollten es Finanzunternehmen ermöglichen, rasch von allen einschlägigen technischen Informationen, der Beratung über Abhilfemaßnahmen und den anschließenden Folgemaßnahmen dieser Behörden zu profitieren. Die Informationen über schwerwiegende IKT-bezogene Vorfälle sollten wechselseitig gelenkt werden: Die Finanzaufsichtsbehörden sollten dem Finanzunternehmen alle erforderlichen Rückmeldungen oder Orientierungshilfen geben, während die ESA anonymisierte Daten über Cyberbedrohungen und Schwachstellen im Zusammenhang mit einem Vorfall austauschen sollten, um eine umfassende kollektive Verteidigung zu unterstützen.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.