Ab dem 17. Januar 2025 gelten für Finanzunternehmen neue Meldepflichten im Rahmen der DORA-Verordnung (Digital Operational Resilience Act). Diese beinhalten die Pflicht zur Meldung schwerwiegender IKT-Vorfälle (Art. 19 Abs. 1 DORA) und die Möglichkeit zur freiwilligen Meldung erheblicher Cyber-Bedrohungen (Art. 19 Abs. 2 DORA). Zusätzlich müssen Unternehmen ein Informationsregister über vertragliche Vereinbarungen mit IKT-Drittdienstleistern (Art. 28 Abs. 3 DORA) einreichen.

Die Meldungen und das Informationsregister müssen über das BaFin-Portal zur Melde- und Veröffentlichungsplattform (MVP-Portal) eingereicht werden. Hierzu ist eine Registrierung im MVP-Portal notwendig. Nach der Registrierung im MVP-Portal müssen die Melder eine Freischaltung für das spezielle DORA-Fachverfahren beantragen (initiale Melderfreischaltung). Damit soll sichergestellt werden, dass die Freischaltung für die zu erwartende hohe Anzahl von Meldern rechtzeitig erfolgt. Weitere Informationen zum Ablauf der initialen Melderfreischaltung werden den betroffenen Unternehmen per E-Mail mitgeteilt. Die BaFin benötigt dafür Angaben zum jeweiligen Unternehmen sowie zu den Meldern, die freigeschaltet werden sollen.

Sofern die Melde- und Einreichungspflichten an einen externen Dienstleister gemäß Art. 19 Abs. 5 DORA ausgelagert werden, muss dieser ebenfalls das Freischaltungsverfahren durchlaufen. Zusätzlich ist das Finanzunternehmen verpflichtet, der BaFin folgende Informationen über den beauftragten Dienstleister bereitzustellen:

• Name, BaFin-ID und LEI-Code des meldepflichtigen Finanzunternehmens
• Name und LEI-Code des Dienstleisters
• Falls vorhanden: BaFin-ID des Dienstleisters, andernfalls postalische Adresse des Dienstleisters

Vor der Übermittlung dieser Daten an die BaFin muss das Finanzunternehmen mit dem Dienstleister eine Auslagerungsvereinbarung abschließen und diese bei der BaFin anzeigen.

Nach der initialen Melderfreischaltung über das MPV-Portal werden die Melder im Anschluss durch die BaFin für das Fachverfahren „Digital Operational Resilience Act (DORA)“ freigeschaltet. Weitere Informationen hierzu wird die BaFin zeitnah veröffentlichen.