Purpose

DORA verlangt von Finanzunternehmen einen geschlossenen Prozess zur Behandlung, Klassifizierung und Meldung IKT-bezogener Vorfälle. Anders als bei einer freien Risikoabwägung sind die Schwellen (RTS 2024/1772) und die Meldefristen rechtlich determiniert. Dieser Skill prüft die Erheblichkeit, klassifiziert den Vorfall und orchestriert die Meldekette an die zuständige Behörde (in DE: BaFin/Deutsche Bundesbank).

Inputs

  • Art des Finanzunternehmens (CRR-Institut, Versicherer, KVG, Zahlungsinstitut, CASP)
  • Vorfallsbeschreibung (Ausfall, Cyberangriff, Datenintegritätsverlust, Drittparteienvorfall)
  • Zeitpunkt der Entdeckung des Vorfalls
  • Betroffene kritische oder wichtige Funktionen, Anzahl betroffener Kunden, geografische Ausbreitung
  • Dauer der Betriebsunterbrechung, Datenverlust, wirtschaftliche Auswirkungen
  • Bereits informierte Stellen (BaFin, Bundesbank, andere Aufsicht)

Sub-Agent Architecture

Der Skill arbeitet in drei gedanklichen Rollen. Ein Klassifizierungs-Agent misst den Vorfall an den Primär- und Sekundärkriterien des Art. 18 DORA und der RTS 2024/1772 (betroffene Kunden, Reputationswirkung, Dauer/Ausfallzeit, geografische Ausbreitung, Datenverlust, wirtschaftliche Auswirkungen) und entscheidet, ob „schwerwiegend". Ein Fristen-Agent legt aus dem Entdeckungszeitpunkt die drei Meldetermine fest und überwacht sie. Ein Verzahnungs-Agent prüft, ob parallel eine NIS2- (§ 32 BSIG) oder DSGVO-Meldung (Art. 33 DSGVO) ausgelöst wird. Die Rollen schreiben in ein gemeinsames Meldedossier; der Mensch (Leitungsorgan) gibt frei.

Process

1. Behandlungsprozess (Art. 17 DORA)

  • Erfassung, Protokollierung, Kategorisierung jedes IKT-Vorfalls nach dokumentiertem Verfahren.
  • Frühwarnindikatoren, Eskalationswege und Rollen müssen vorab definiert sein.
  • Auch erhebliche Cyberbedrohungen (ohne Vorfall) können freiwillig gemeldet werden.

2. Klassifizierung (Art. 18 DORA)

Ein Vorfall ist schwerwiegend, wenn die Schwellen der RTS 2024/1772 erreicht werden. Kriterien:

KriteriumInhalt
Betroffene Kunden / GegenparteienAnzahl und Anteil
Dauer und AusfallzeitStunden bis zur Wiederherstellung
Geografische Ausbreitunggrenzüberschreitend?
DatenverlustVerfügbarkeit, Authentizität, Integrität, Vertraulichkeit
Auswirkung auf kritische Dienstekritische oder wichtige Funktionen betroffen
Wirtschaftliche Auswirkungenabsolute/relative Verluste

3. Erstmeldung — 4-Stunden-/24-Stunden-Frist (Art. 19 DORA)

  • Erstmeldung schnellstmöglich, spätestens 4 Stunden nach Klassifizierung als schwerwiegend, in jedem Fall spätestens 24 Stunden nach Entdeckung.
  • Adressat: zuständige Behörde (BaFin/Bundesbank über das Meldeportal).

4. Zwischenmeldung — 72 Stunden (Art. 19 DORA)

  • Zwischenmeldung spätestens 72 Stunden nach der Erstmeldung mit aktualisiertem Status und ersten Auswirkungen.

5. Abschlussbericht — 1 Monat (Art. 19 DORA)

  • Abschlussbericht spätestens einen Monat nach der jüngsten aktualisierten Zwischenmeldung: Ursachenanalyse (Root Cause), ergriffene Abhilfemaßnahmen, endgültige Auswirkungen.

6. Kundeninformation und Verzahnung

  • Bei Auswirkungen auf finanzielle Interessen: unverzügliche Kundeninformation (Art. 19 DORA).
  • Doppelmeldung prüfen: NIS2 (§ 32 BSIG), DSGVO (Art. 33 DSGVO), ggf. ZAC-Strafanzeige.

Risks and Common Mistakes

  • 4-Stunden-Frist ab Klassifizierung übersehen — die Uhr läuft ab Einstufung als schwerwiegend, spätestens 24 h ab Entdeckung.
  • Klassifizierungsschwelle der RTS 2024/1772 unterschätzt — Sekundärkriterien (Datenverlust, Reputation) werden gerne ignoriert.
  • Doppelmeldung an NIS2-/DSGVO-Stellen vergessen — ein IKT-Vorfall kann drei Meldepflichten gleichzeitig auslösen.
  • Kundeninformation unterlassen — bei betroffenen finanziellen Interessen ist sie nach Art. 19 DORA Pflicht, nicht Kür.

Sources

Statute

Sekundärliteratur

  • Maume/Maute/Fromberger, DORA-Kommentar
  • BeckOK DORA (Online)

Output Format

DORA-VORFALLSMELDUNG — <Vorfall-ID> — <Datum>

I.    Behandlungsprozess (Art. 17 DORA)   [erfasst / kategorisiert]
II.   Klassifizierung (Art. 18 DORA)
      Schwerwiegend?                       [Ja / Nein]  Erreichte Kriterien: <…>
III.  Meldekette (Art. 19 DORA)
      Erstmeldung      Frist: <Entdeckung + 4h / +24h>   Status: <…>
      Zwischenmeldung  Frist: <Erstmeldung + 72h>         Status: <…>
      Abschlussbericht Frist: <+ 1 Monat>                 Status: <…>
IV.   Kundeninformation                    [N/A / erforderlich]
V.    Verzahnung NIS2 / DSGVO              [§ 32 BSIG / Art. 33 DSGVO]

Eskalationspfad: <Leitungsorgan wann>
Nächster Schritt: <…>

Related Skills in DORA

View SKILL.md on GitHub