Aktualisiert 26/04/2025
In Kraft

Ursprungsrechtsakt
Änderungen
Suche im Rechtsakt
DORA ToolDurchführungsverordnung 2025/302
ANHANG II

ANHANG II - Durchführungsverordnung 2025/302

ANHANG II

DATENGLOSSAR UND ANLEITUNG FÜR DIE MELDUNG SCHWERWIEGENDER SICHERHEITSVORFÄLLE

Datenfeld

Beschreibung

Verpflichtend für die Erstmeldung

Verpflich-tend für die Zwischen-meldung

Verpflich-tend für die Abschluss-meldung

Feldtyp

Allgemeine Angaben zum Finanzunternehmen

1.1.

Art der Übermittlung

Geben Sie die Art der Meldung des Vorfalls an, die der zuständigen Behörde übermittelt wird.

Ja

Ja

Ja

Auswahl:

Erstmeldung;

Zwischenmeldung;

Abschlussmeldung;

Schwerwiegender Vorfall, der in nicht schwerwiegend zurückgestuft wurde.

1.2.

Name des Unternehmens, das die Meldung übermittelt

Vollständige juristische Bezeichnung des Unternehmens, das die Meldung übermittelt.

Ja

Ja

Ja

Alphanumerisch

1.3.

Identifikations- code des Unternehmens, das die Meldung übermittelt

Identifikationscode des Unternehmens, das die Meldung übermittelt.

Übermitteln Finanzunternehmen die Meldung, ist die Rechtsträgerkennung (Legal Entity Identifier; LEI-Code), ein eindeutiger alphanumerischer 20-stelliger Code nach ISO 17442-1:2020.

Ein Drittdienstleister, der eine Meldung für ein Finanzunternehmen übermittelt, kann eine Rechtsträgerkennung verwenden, die in den gemäß Artikel 28 Absatz 9 der Verordnung (EU) 2022/2554 angenommenen technischen Durchführungsstandards festgelegt ist.

Ja

Ja

Ja

Alphanumerisch

1.4.

Art des betroffenen Finanz-unternehmens

Art des Unternehmens gemäß Artikel 2 Absatz 1 Buchstaben a bis t der Verordnung (EU) 2022/2554, für das die Meldung übermittelt wird.

Bei einer aggregierten Meldung gemäß Artikel 7 dieser Verordnung sind die verschiedenen Arten von Finanzunternehmen auszuwählen, die in der aggregierten Meldung erfasst sind.

Ja

Ja

Ja

Auswahl (Mehrfach-auswahl):

Kreditinstitut;

Zahlungs-institut;

Ausge-nommenes Zahlungs-institut;

Kontoinfor-mationsdienst-leister;

E-Geld-Institut;

Ausge-nommenes E-Geld-Institut;

Wertpapier-firma;

Anbieter von Kryptowerte-Dienstleis-tungen;

Emittent wertreferen-zierter Token;

Zentral-verwahrer;

Zentrale Gegenpartei;

Handelsplatz;

Transak-tionsregister;

Verwalter alternativer Investment-fonds;

Verwaltungs-gesellschaft;

Datenbereit-stellungsdienst;

Versicherungs- und Rückversiche-rungsunter-nehmen;

Versicherungs-vermittler, Rückversiche-rungsvermittler und Versicherungs-vermittler in Nebentätigkeit;

Einrichtung der betrieblichen Altersversor-gung;

Ratingagentur;

Administrator kritischer Referenzwerte;

Schwarm-finanzierungs-dienstleister;

Verbriefungs-register.

1.5.

Name des betroffenen Finanzunter-nehmens

Vollständige juristische Bezeichnung des von dem schwerwiegenden IKT-bezogenen Vorfall betroffenen Finanzunternehmens, das gemäß Artikel 19 der Verordnung (EU) 2022/2554 seiner zuständigen Behörde den schwerwiegenden Vorfall melden muss.

Bei aggregierter Meldung:

a)

Auflistung aller Namen der von dem schwerwiegenden IKT-bezogenen Vorfall betroffenen Finanzunternehmen, getrennt durch ein Semikolon.

b)

Der Drittdienstleister, der eine Meldung eines schwerwiegenden Vorfalls oder in aggregierter Form gemäß Artikel 7 dieser Verordnung übermittelt, führt die Namen aller von dem Vorfall betroffenen Finanzunternehmen auf, getrennt durch ein Semikolon.

Ja, wenn es sich bei dem von dem Vorfall betroffenen Finanzunter-nehmen nicht um das Unternehmen handelt, das die Meldung übermittelt, und im Falle einer aggregierten Meldung

Ja, wenn es sich bei dem von dem Vorfall betroffe-nen Finanz-unter-nehmen nicht um das Unter-nehmen handelt, das die Meldung übermit-telt, und im Falle einer aggre-gierten Meldung

Ja, wenn es sich bei dem von dem Vorfall betroffenen Finanzun-ternehmen nicht um das Unterneh-men handelt, das die Meldung übermittelt, und im Falle einer aggregierten Meldung

Alphanumerisch

1.6.

LEI-Code des betroffenen Finanzunterneh-mens

Der nach der Internationalen Organisation für Normung zugewiesene LEI-Code des von dem schwerwiegenden IKT-bezogenen Vorfall betroffenen Finanzunternehmens.

Bei aggregierter Meldung:

a)

Auflistung aller LEI-Codes der von dem schwerwiegenden IKT-bezogenen Vorfall betroffenen Finanzunternehmen, getrennt durch ein Semikolon;

b)

der Drittdienstleister, der eine Meldung eines schwerwiegenden Vorfalls in aggregierter Form gemäß Artikel 7 dieser Verordnung übermittelt, führt die LEI-Codes aller von dem Vorfall betroffenen Finanzunternehmen auf, getrennt durch ein Semikolon.

Die Reihenfolge der Auflistung der LEI-Codes muss mit derjenigen der Namen der Finanzunternehmen identisch sein.

Ja, wenn es sich bei dem von dem schwerwiegenden IKT-bezogenen Vorfall betroffenen Finanzunter-nehmen nicht um das Unternehmen handelt, das die Meldung übermittelt, und bei einer aggregierten Meldung

Ja, wenn es sich bei dem von dem schwer-wiegenden IKT-bezogenen Vorfall betroffe-nen Finanz-unterneh-men nicht um das Unterneh-men handelt, das die Meldung übermittelt, und bei einer aggre-gierten Meldung

Ja, wenn es sich bei dem von dem schwer-wiegenden IKT-bezogenen Vorfall betroffenen Finanzun-ternehmen nicht um das Unterneh-men handelt, das die Meldung übermittelt, und bei einer aggregierten Meldung

Eindeutiger alphanumerischer Code mit 20 Zeichen nach ISO 17442-1:2020

1.7.

Name des Hauptansprech-partners

Vor- und Nachname des Hauptansprechpartners des Finanzunternehmens.

Bei einer aggregierten Meldung gemäß Artikel 7 dieser Verordnung der Name des Hauptansprechpartners in dem Unternehmen, das die aggregierte Meldung übermittelt.

Ja

Ja

Ja

Alphanumerisch

1.8.

E-Mail-Adresse des Hauptansprech-partners

E-Mail-Adresse des Hauptansprechpartners, an den sich die zuständige Behörde in der Folgemitteilung wenden kann.

Bei einer aggregierten Meldung gemäß Artikel 7 dieser Verordnung die E-Mail-Adresse des Hauptansprechpartners in dem Unternehmen, das die aggregierte Meldung übermittelt.

Ja

Ja

Ja

Alphanumerisch

1.9.

Telefonnummer des Hauptansprech-partners

Telefonnummer des Hauptansprechpartners, an den sich die zuständige Behörde in der Folgemitteilung wenden kann.

Bei einer aggregierten Meldung gemäß Artikel 7 dieser Verordnung die Telefonnummer des Hauptansprechpartners in dem Unternehmen, das die aggregierte Meldung übermittelt.

Die Telefonnummer ist mit allen internationalen Vorwahlen anzugeben (z. B. +33 XXXXXXXXX).

Ja

Ja

Ja

Alphanumerisch

1.10.

Name des zweiten Ansprech-partners

Vor- und Nachname des zweiten Ansprechpartners oder Name des verantwortlichen Teams des Finanzunternehmens oder des Unternehmens, das die Meldung im Namen des Finanzunternehmens übermittelt

Ja

Ja

Ja

Alphanumerisch

1.11.

E-Mail-Adresse des zweiten Ansprech-partners

E-Mail-Adresse des zweiten Ansprechpartners oder die funktionale E-Mail-Adresse des Teams, an die bzw. das sich die zuständige Behörde in der Folgemitteilung wenden kann.

Ja

Ja

Ja

Alphanumerisch

1.12.

Telefonnummer des zweiten Ansprech-partners

Telefonnummer des zweiten Ansprechpartners oder eines Teams, an den bzw. das sich die zuständige Behörde in der Folgemitteilung wenden kann.

Die Telefonnummer ist mit allen internationalen Vorwahlen anzugeben (z. B. +33 XXXXXXXXX).

Ja

Ja

Ja

Alphanumerisch

1.13.

Name des obersten Mutterunter-nehmens

Gegebenenfalls Name des obersten Mutterunternehmens der Gruppe, der das betroffene Finanzunternehmen angehört.

Ja, wenn das Finanzunter-nehmen einer Gruppe angehört

Ja, wenn das Finanz-unterneh-men einer Gruppe angehört

Ja, wenn das Finanzun-ternehmen einer Gruppe angehört

Alphanumerisch

1.14.

LEI-Code des obersten Mutterunter-nehmens

Gegebenenfalls LEI-Code des obersten Mutterunternehmens der Gruppe, der das betroffene Finanzunternehmen angehört. Zugewiesen gemäß der Internationalen Organisation für Normung.

Ja, wenn das Finanzunter-nehmen einer Gruppe angehört

Ja, wenn das Finanz-unter-nehmen einer Gruppe angehört

Ja, wenn das Finanzun-ternehmen einer Gruppe angehört

Eindeutiger alphanumerischer Code mit 20 Zeichen nach ISO 17442-1:2020

1.15.

Meldewährung

Währung, die für die Meldung des Vorfalls verwendet wird.

Ja

Ja

Ja

Auswahl ist anhand der ISO 4217 Währungscodes zu treffen

Inhalt der Erstmeldung

2.1.

Vom Finanzunter-nehmen zugewiesener Referenzcode für den Vorfall

Vom Finanzunternehmen vergebener eindeutiger Referenzcode zur eindeutigen Identifizierung des schwerwiegenden IKT-bezogenen Vorfalls.

Bei einer aggregierten Meldung gemäß Artikel 7 der vorliegenden Verordnung der vom Drittdienstleister zugewiesene Referenzcode für den Vorfall.

Ja

Ja

Ja

Alphanumerisch

2.2.

Datum und Uhrzeit der Feststellung des IKT-bezogenen Vorfalls

Datum und Uhrzeit der Kenntnisnahme des IKT-bezogenen Vorfalls durch das Finanzunternehmen.

Bei wiederholten Vorfällen das Datum und die Uhrzeit der Feststellung des letzten IKT-bezogenen Vorfalls.

Ja

Ja

Ja

ISO 8601 UTC-Format (JJJJ-MM-TT hh: mm:ss)

2.3.

Datum und Uhrzeit der Einstufung des Vorfalls als schwerwiegend

Datum und Uhrzeit der Einstufung des IKT-bezogenen Vorfall als schwerwiegend gemäß den in der Delegierten Verordnung (EU) 2024/1772 festgelegten Einstufungskriterien.

Ja

Ja

Ja

ISO 8601 UTC-Format (JJJJ-MM-TT hh: mm:ss)

2.4.

Beschreibung des IKT-bezogenen Vorfalls

Beschreibung der relevantesten Aspekte des schwerwiegenden IKT-bezogenen Vorfalls.

Finanzunternehmen geben einen allgemeinen Überblick über die folgenden Informationen, z. B. mögliche Ursachen, unmittelbare Auswirkungen, betroffene Systeme usw. Finanzunternehmen geben an, sofern bekannt oder nach vernünftigem Ermessen zu erwarten, ob sich der Vorfall auf Drittdienstleister oder andere Finanzunternehmen auswirkt, die Art des Dienstleisters oder Finanzunternehmens, ihren Namen, ihre jeweiligen Identifikationscodes und die Art des Identifikationscodes (z. B. LEI-Code oder EUID).

In nachfolgenden Meldungen kann sich der Feldinhalt im Zeitverlauf ändern, um dem jeweils aktuellen Verständnis des IKT-bezogenen Vorfalls Rechnung zu tragen und andere relevante Informationen über den IKT-bezogenen Vorfall zu beschreiben, die nicht von den Datenfeldern erfasst werden, einschließlich der internen Bewertung der Schwere des IKT-bezogenen Vorfalls durch das Finanzunternehmen (z. B. sehr niedrig, niedrig, mittel, hoch, sehr hoch) und eines Hinweises auf Ebene und Name der höchsten Entscheidungsstrukturen, die an der Reaktion auf den IKT-bezogenen Vorfall beteiligt waren.

Ja

Ja

Ja

Alphanumerisch

2.5.

Einstufungs- kriterien, die die Meldung des Vorfalls ausgelöst haben

Einstufungskriterien gemäß der Delegierten Verordnung (EU) 2024/1772, die dazu geführt haben, dass der IKT-bezogene Vorfall als schwerwiegender Vorfall eingestuft und gemeldet wurde.

Bei einer aggregierten Meldung gemäß Artikel 7 der vorliegenden Verordnung die Einstufungskriterien, die dazu geführt haben, dass der IKT-bezogene Vorfall für mindestens ein oder mehrere Finanzunternehmen als schwerwiegend eingestuft wurde.

Ja

Ja

Ja

Auswahl (Mehrfachauswahl):

Betroffene Kunden, Gegenparteien im Finanzbereich und Transaktionen;

Reputations-schaden;

Dauer und Ausfallzeiten;

Geografische Ausbreitung;

Datenverluste;

Betroffene kritische Dienstleistun-gen;

Wirtschaftliche Auswirkungen.

2.6.

Wesentlichkeits- schwellen für das Einstufungs-kriterium „Geografische Ausbreitung“

EWR-Mitgliedstaaten, die von dem schwerwiegenden IKT-bezogenen Vorfall betroffen sind.

Bei der Bewertung der Auswirkungen des schwerwiegenden IKT-bezogenen Vorfalls in anderen Mitgliedstaaten berücksichtigen Finanzunternehmen die Artikel 4 und 12 der Delegierten Verordnung (EU) 2024/1772.

Ja, wenn der Schwellenwert für „Geografische Ausbreitung“ erreicht ist

Ja, wenn der Schwel-lenwert für „Geogra-fische Ausbrei-tung“ erreicht ist

Ja, wenn der Schwellen-wert für „Geografi-sche Ausbrei-tung“ erreicht ist

Die Auswahl (Mehrfachauswahl) wird mithilfe von ISO 3166 ALPHA-2 der betroffenen Länder ausgefüllt

2.7.

Feststellung des schwerwie-genden IKT-bezogenen Vorfalls

Angaben dazu, wie der schwerwiegende IKT-bezogene Vorfall festgestellt wurde.

Ja

Ja

Ja

Auswahl:

IT-Sicherheit;

Personal;

Interne Revision;

Externe Prüfung;

Kunden;

Gegenparteien im Finanzbereich;

Drittdienst-leister;

Angreifer;

Überwa-chungssysteme;

Staatliches Organ/Agentur/Strafverfol-gungsbehörde;

Sonstiges.

2.8.

Angaben dazu, ob der Vorfall bei einem Drittdienst-leister oder einem anderen Finanzunter-nehmen seinen Ursprung hat

Angaben dazu, ob der schwerwiegende IKT-bezogene Vorfall bei einem Drittdienstleister oder einem anderen Finanzunternehmen seinen Ursprung hat.

Finanzunternehmen geben an, ob der schwerwiegende IKT-bezogene Vorfall bei einem Drittdienstleister oder einem anderen Finanzunternehmen (einschließlich Finanzunternehmen, die derselben Gruppe wie das meldende Unternehmen angehören) seinen Ursprung hat, und nennen den Namen, den Identifikationscode des Drittdienstleisters oder des Finanzunternehmens und die Art des Identifikationscodes (z. B. LEI-Code oder EUID).

Ja, wenn der Vorfall seinen Ursprung bei einem Drittdienst-leister oder einem anderen Finanzunter-nehmen hat

Ja, wenn der Vorfall seinen Ursprung bei einem Dritt-dienst-leister oder einem anderen Finanz-unterneh-men hat

Ja, wenn der Vorfall seinen Ursprung bei einem Drittdienst-leister oder einem anderen Finanzun-ternehmen hat

Alphanumerisch

2.9.

Aktivierung des Plans zur Aufrechter-haltung des Geschäfts-betriebs, falls aktiviert

Angabe, ob die Maßnahmen zur Aufrechterhaltung des Geschäftsbetriebs des Finanzunternehmens formal aktiviert wurden.

Ja

Ja

Ja

Boolesch (Ja oder Nein)

2.10.

Sonstige zweckdienliche Angaben

Alle weiteren Informationen, die nicht in der Vorlage erfasst sind.

Finanzunternehmen, die einen schwerwiegenden IKT-bezogenen Vorfall in nicht schwerwiegend zurückgestuft haben, beschreiben die Gründe, aus denen der IKT-bezogene Vorfall die Kriterien für die Einstufung als schwerwiegend nicht erfüllt und voraussichtlich nicht erfüllen wird.

Ja, wenn es andere Informationen gibt, die nicht in der Vorlage erfasst sind, oder wenn der schwerwiegende IKT-bezogene Vorfall in nicht schwerwie-gend zurückgestuft wurde

Ja, wenn es andere Informationen gibt, die nicht in der Vorlage erfasst sind, oder wenn der schwer-wiegende IKT-bezogene Vorfall in nicht schwer-wiegend zurück-gestuft wurde

Ja, wenn es andere Informationen gibt, die nicht in der Vorlage erfasst sind, oder wenn der schwer-wiegende IKT-bezogene Vorfall in nicht schwer-wiegend zurück-gestuft wurde

Alphanumerisch

Inhalt der Zwischenmeldung

3.1.

Von der zuständigen Behörde bereitgestellter Referenzcode für den Vorfall

Von der zuständigen Behörde zum Zeitpunkt des Eingangs der Erstmeldung zugewiesener eindeutiger Referenzcode zur eindeutigen Identifizierung des schwerwiegenden IKT-bezogenen Vorfalls.

Nein

Ja, falls zutreffend

Ja, falls zutreffend

Alphanumerisch

3.2.

Datum und Uhrzeit des Eintretens des Vorfalls

Datum und Uhrzeit des Eintretens des schwerwiegenden IKT-bezogenen Vorfalls, falls abweichend von dem Zeitpunkt, zu dem das Finanzunternehmen von dem schwerwiegenden IKT-bezogenen Vorfall Kenntnis erlangt hat.

Bei wiederholten schwerwiegenden IKT-bezogenen Vorfällen Datum und Uhrzeit des Eintretens des letzten schwerwiegenden IKT-bezogenen Vorfalls.

Nein

Ja

Ja

ISO 8601 UTC-Format (JJJJ-MM-TT hh: mm:ss)

3.3.

Datum und Uhrzeit der Wiederher-stellung der Dienste, Tätigkeiten oder Vorgänge

Angaben zu Datum und Uhrzeit der Wiederherstellung der von dem schwerwiegenden IKT-bezogenen Vorfall betroffenen Dienste, Tätigkeiten oder Vorgänge.

Nein

Ja, wenn Datenfeld 3.16 „Ausfall-zeiten“ ausgefüllt wurde

Ja, wenn Datenfeld 3.16 „Ausfall-zeiten“ ausgefüllt wurde

ISO 8601 UTC-Format (JJJJ-MM-TT hh: mm:ss)

3.4.

Anzahl der betroffenen Kunden

Anzahl der Kunden, die von dem schwerwiegenden IKT-bezogenen Vorfall betroffen sind und die Dienste des Finanzunternehmens in Anspruch nehmen.

Bei der Ermittlung der Anzahl der betroffenen Kunden berücksichtigen Finanzunternehmen Artikel 1 Absatz 1 und Artikel 9 Absatz 1 Buchstabe b der Delegierten Verordnung (EU) 2024/1772. Ein Finanzunternehmen, das die tatsächliche Anzahl der betroffenen Kunden nicht bestimmen kann, verwendet Schätzungen auf der Grundlage verfügbarer Daten aus vergleichbaren Referenzzeiträumen.

Bei einer aggregierten Meldung gemäß Artikel 7 dieser Verordnung die Gesamtzahl der betroffenen Kunden in allen Finanzunternehmen.

Nein

Ja

Ja

Numerische ganze Zahl

3.5.

Prozentsatz der betroffenen Kunden

Prozentsatz der von dem schwerwiegenden IKT-bezogenen Vorfall betroffenen Kunden im Verhältnis zur Gesamtzahl der Kunden, die die betroffenen Dienste des Finanzunternehmens in Anspruch nehmen. Bei mehr als einer betroffenen Dienstleistung werden die Dienstleistungen aggregiert.

Finanzunternehmen berücksichtigen bei der Ermittlung der Zahlen die Artikel 1 Absatz 1 und Artikel 9 Absatz 1 Buchstabe a der Delegierten Verordnung (EU) 2024/1772.

Ein Finanzunternehmen, das den tatsächlichen Prozentsatz der betroffenen Kunden nicht bestimmen kann, verwendet Schätzungen auf der Grundlage verfügbarer Daten aus vergleichbaren Referenzzeiträumen.

Bei einer aggregierten Meldung gemäß Artikel 7 dieser Verordnung teilt das Finanzunternehmen die Summe aller betroffenen Kunden durch die Gesamtzahl der Kunden aller betroffenen Finanzunternehmen.

Nein

Ja

Ja

Wird als Prozentwert mitgeteilt — ein Wert mit bis zu fünf numerischen Zeichen, die bis zu eine Dezimalstelle umfassen, ausgedrückt als Prozentsatz (z. B. 2,4, nicht 2,4 %). Hat der Wert mehr als eine Stelle nach dem Dezimaltrenn-zeichen, wenden die meldenden Gegenparteien die kaufmännische Rundung an.

3.6.

Anzahl der betroffenen Gegenparteien im Finanzbereich

Anzahl der Gegenparteien im Finanzbereich, die von dem schwerwiegenden IKT-bezogenen Vorfall betroffen sind und einen Vertrag mit dem Finanzunternehmen geschlossen haben.

Bei der Ermittlung der Anzahl der betroffenen Gegenparteien im Finanzbereich berücksichtigen die Finanzunternehmen Artikel 1 Absatz 2 der Delegierten Verordnung (EU) 2024/1772. Ein Finanzunternehmen, das die tatsächliche Anzahl der betroffenen Gegenparteien im Finanzbereich nicht bestimmen kann, verwendet Schätzungen auf der Grundlage verfügbarer Daten aus vergleichbaren Referenzzeiträumen.

Bei einer aggregierten Meldung gemäß Artikel 7 der vorliegenden Verordnung die Gesamtzahl der betroffenen Gegenparteien im Finanzbereich in allen Finanzunternehmen.

Nein

Ja

Ja

Numerische ganze Zahl

3.7.

Prozentsatz der betroffenen Gegenparteien im Finanzbereich

Prozentsatz der Gegenparteien im Finanzbereich, die von dem schwerwiegenden IKT-bezogenen Vorfall betroffen sind und einen Vertrag mit dem Finanzunternehmen geschlossen haben, im Verhältnis zur Gesamtzahl der Gegenparteien im Finanzbereich.

Bei der Ermittlung des Prozentsatzes der betroffenen Gegenparteien im Finanzbereich berücksichtigen die Finanzunternehmen die Artikel 1 Absatz 1 und Artikel 9 Absatz 1 Buchstabe c der Delegierten Verordnung (EU) 2024/1772.

Ein Finanzunternehmen, das den tatsächlichen Prozentsatz der betroffenen Gegenparteien im Finanzbereich nicht bestimmen kann, verwendet Schätzungen auf der Grundlage verfügbarer Daten aus vergleichbaren Referenzzeiträumen.

Bei einer aggregierten Meldung gemäß Artikel 7 der vorliegenden Verordnung ist die Summe aller betroffenen Gegenparteien im Finanzbereich geteilt durch die Gesamtzahl der Gegenparteien im Finanzbereich aller betroffenen Finanzunternehmen anzugeben.

Nein

Ja

Ja

Wird als Prozentwert mitgeteilt — ein Wert mit bis zu fünf numerischen Zeichen, die bis zu eine Dezimalstelle umfassen, ausgedrückt als Prozentsatz (z. B. 2,4, nicht 2,4 %). Hat der Wert mehr als eine Stelle nach dem Dezimaltrenn-zeichen, wenden die meldenden Gegenparteien die kaufmännische Rundung an.

3.8.

Auswirkungen auf einschlägige Kunden oder Gegenparteien im Finanzbereich

Festgestellte Auswirkungen auf relevante Kunden oder Gegenparteien im Finanzbereich gemäß Artikel 1 Absatz 3 und Artikel 9 Absatz 1 Buchstabe f der Delegierten Verordnung (EU) 2024/1772.

Nein

Ja, wenn der Schwel-lenwert für „Relevanz der Kunden und der Gegen-parteien im Finanz-bereich“ erreicht ist

Ja, wenn der Schwellen-wert für „Relevanz der Kunden und der Gegenparteien im Finanz-bereich“ erreicht ist

Boolesch (Ja oder Nein)

3.9.

Anzahl der betroffenen Transaktionen

Anzahl der Transaktionen, die von dem schwerwiegenden IKT-bezogenen Vorfall betroffen sind.

Bei der Bewertung der Auswirkungen auf Transaktionen berücksichtigen die Finanzunternehmen Artikel 1 Absatz 4 der Delegierten Verordnung (EU) 2024/1772; dies schließt alle betroffenen inländischen und grenzüberschreitenden Transaktionen ein, die einen Geldbetrag beinhalten, der mindestens teilweise mit einer in der Union ausgeführten Transaktion in Zusammenhang steht.

Ein Finanzunternehmen, das die tatsächliche Anzahl der betroffenen Transaktionen nicht bestimmen kann, verwendet Schätzungen auf der Grundlage verfügbarer Daten aus vergleichbaren Referenzzeiträumen.

Bei einer aggregierten Meldung gemäß Artikel 7 der vorliegenden Verordnung ist die Gesamtzahl der betroffenen Transaktionen in allen Finanzunternehmen anzugeben.

Nein

Ja, wenn eine Transak-tion von dem Vorfall betroffen war

Ja, wenn eine Transaktion von dem Vorfall betroffen war

Numerische ganze Zahl

3.10.

Prozentsatz der betroffenen Transaktionen

Prozentsatz der betroffenen Transaktionen im Verhältnis zur durchschnittlichen Anzahl inländischer und grenzüberschreitender Transaktionen des Finanzunternehmens im Zusammenhang mit der betroffenen Dienstleistung.

Finanzunternehmen berücksichtigen die Artikel 1 Absatz 4 und Artikel 9 Absatz 1 Buchstabe d der Delegierten Verordnung (EU) 2024/1772.

Ein Finanzunternehmen, das den tatsächlichen Prozentsatz der betroffenen Transaktionen nicht bestimmen kann, verwendet Schätzungen.

Bei einer aggregierten Meldung gemäß Artikel 7 dieser Verordnung teilt das Finanzunternehmen die Summe aller betroffenen Transaktionen durch die Gesamtzahl der Transaktionen aller betroffenen Finanzunternehmen.

Nein

Ja, wenn eine Transak-tion von dem Vorfall betroffen war

Ja, wenn eine Transaktion von dem Vorfall betroffen war

Wird als Prozentwert mitgeteilt — ein Wert mit bis zu fünf numerischen Zeichen, die bis zu eine Dezimalstelle umfassen, ausgedrückt als Prozentsatz (z. B. 2,4, nicht 2,4 %). Hat der Wert mehr als eine Stelle nach dem Dezimaltrenn-zeichen, wenden die meldenden Gegenparteien die kaufmännische Rundung an.

3.11.

Wert der betroffenen Transaktionen

Der Gesamtwert der von dem schwerwiegenden IKT-bezogenen Vorfall betroffenen Transaktionen wird gemäß Artikel 1 Absatz 4 und Artikel 9 Absatz 1 Buchstabe e der Delegierten Verordnung (EU) 2024/1772 ermittelt.

Ein Finanzunternehmen, das den tatsächlichen Wert der betroffenen Transaktionen nicht bestimmen kann, verwendet Schätzungen auf der Grundlage verfügbarer Daten aus vergleichbaren Referenzzeiträumen.

Ein Finanzunternehmen hat den Geldbetrag als positiven Wert auszuweisen.

Bei einer aggregierten Meldung gemäß Artikel 7 der vorliegenden Verordnung der Gesamtwert der betroffenen Transaktionen in allen Finanzunternehmen.

Nein

Ja, wenn Transaktionen von dem Vorfall betroffen waren

Ja, wenn eine Transaktion von dem Vorfall betroffen war

Monetär

Finanzunternehmen weisen den Datenpunkt mit einer Mindestpräzision aus, die tausend Einheiten entspricht (z. B. 2,5, nicht 2 500  EUR).

3.12.

Angaben dazu, ob es sich um tatsächliche Zahlen oder Schätzungen handelt oder ob es keine Auswirkungen gegeben hat

Angaben dazu, ob es sich bei den in den Datenfeldern 3.4 bis 3.11 ausgewiesenen Werten um tatsächliche Werte oder Schätzungen handelt oder ob es keine Auswirkungen gegeben hat.

Nein

Ja

Ja

Auswahl (Mehrfachauswahl):

Tatsächliche Zahlen zu den betroffenen Kunden;

tatsächliche Zahlen zu den betroffenen Gegenparteien im Finanzbereich;

tatsächliche Zahlen zu den betroffenen Transaktionen;

Schätzungen zu den betroffenen Kunden;

Schätzungen zu den betroffenen Gegenparteien im Finanzbereich;

Schätzungen zu den betroffenen Transaktionen;

keine Auswirkungen auf Kunden;

keine Auswirkungen auf Gegenparteien im Finanzbereich;

keine Auswirkungen auf Transaktionen.

3.13.

Reputations- schaden

Angaben zum Reputationsschaden infolge des schwerwiegenden IKT-bezogenen Vorfalls im Sinne der Artikel 2 und 10 der Delegierten Verordnung (EU) 2024/1772.

Bei einer aggregierten Meldung gemäß Artikel 7 dieser Verordnung die Kategorien von Reputationsschaden, die auf mindestens ein Finanzunternehmen zutreffen.

Nein

Ja, wenn das Kriterium „Reputa-tions-schaden“ erfüllt ist

Ja, wenn das Kriterium „Reputa-tions-schaden“ erfüllt ist

Auswahl (Mehrfachauswahl):

Über den schwerwie-genden IKT-bezogenen Vorfall wurde in den Medien berichtet;

der schwerwie-gende IKT-bezogene Vorfall hat zu wiederholten Beschwerden verschiedener Kunden oder Gegenparteien im Finanzbereich über kunden-orientierte Dienstleistun-gen oder kritische Geschäfts-beziehungen geführt;

das Finanzunter-nehmen wird aufgrund des schwerwie-genden IKT-bezogenen Vorfalls nicht oder wahrscheinlich nicht in der Lage sein, regulatorische Anforderungen zu erfüllen;

das Finanzunter-nehmen wird infolge des schwerwiegenden IKT-bezogenen Vorfalls Kunden oder Gegenparteien im Finanzbereich verlieren oder wahrscheinlich verlieren, was wesentliche Auswirkungen auf seine Geschäfts-tätigkeit haben wird.

3.14.

Kontextbezo-gene Angaben zum Reputations-schaden

Angaben dazu, wie der schwerwiegende IKT-bezogene Vorfall die Reputation des Finanzunternehmens beeinträchtigt hat oder beeinträchtigen könnte, einschließlich Verstößen gegen Rechtsvorschriften, nicht erfüllter regulatorischer Anforderungen, Anzahl der Kundenbeschwerden usw.

Die kontextbezogenen Angaben umfassen die Art der Medien (z. B. traditionelle und digitale Medien, Blogs, Streaming-Plattformen) und die Medienberichterstattung, einschließlich der Reichweite der Medien (lokal, national, international). Die Medienberichterstattung bezieht sich in diesem Zusammenhang nicht auf vereinzelte negative Kommentare von Followern oder Nutzern sozialer Netzwerke.

Das Finanzunternehmen gibt auch an, ob die Medienberichterstattung erhebliche Risiken für seine Kunden im Zusammenhang mit dem schwerwiegenden IKT-bezogenen Vorfall aufgezeigt hat, einschließlich des Risikos der Insolvenz des Finanzunternehmens oder des Risikos, Mittel zu verlieren.

Die Finanzunternehmen geben auch an, ob sie den Medien Informationen zur Verfügung gestellt haben, die dazu dienten, die Öffentlichkeit zuverlässig über den schwerwiegenden IKT-bezogenen Vorfall und seine Folgen zu informieren.

Die Finanzunternehmen können auch angeben, ob in den Medien im Zusammenhang mit dem IKT-bezogenen Vorfall Falschinformationen verbreitet wurden, worunter auch solche fallen, die sich auf vorsätzlich vom Angreifer verbreitete Falschinformationen stützen, oder die mutwillige Veränderung der Website des Finanzunternehmens betreffen oder zum Ausdruck bringen.

Nein

Ja, wenn das Kriterium „Reputa-tions-schaden“ erfüllt ist

Ja, wenn das Kriterium „Reputa-tions-schaden“ erfüllt ist

Alphanumerisch

3.15.

Dauer des Vorfalls

Finanzunternehmen bestimmen die Dauer des schwerwiegenden IKT-bezogenen Vorfalls vom Zeitpunkt des Eintretens des schwerwiegenden IKT-bezogenen Vorfalls bis zu dem Zeitpunkt, zu dem der Vorfall behoben wurde.

Finanzunternehmen, die nicht in der Lage sind, den Zeitpunkt zu bestimmen, zu dem der schwerwiegende IKT-bezogene Vorfall eingetreten ist, bestimmen die Dauer des schwerwiegenden IKT-bezogenen Vorfalls ab dem Zeitpunkt, zu dem das Finanzunternehmen den Vorfall festgestellt hat, bis zu dem Zeitpunkt, zu dem das Finanzunternehmen den Vorfall in Netzwerk- oder Systemprotokollen oder anderen Datenquellen aufgezeichnet hat, je nachdem, welcher Zeitpunkt zuerst eintritt. Finanzunternehmen, die den Zeitpunkt der Behebung des schwerwiegenden IKT-bezogenen Vorfalls noch nicht kennen, verwenden Schätzungen. Der Wert ist in Tagen, Stunden und Minuten anzugeben.

Bei einer aggregierten Meldung gemäß Artikel 7 dieser Verordnung bestimmen Finanzunternehmen bei Unterschieden zwischen den Finanzunternehmen die längste Dauer des schwerwiegenden IKT-bezogenen Vorfalls.

Nein

Ja

Ja

TT:HH:MM

3.16.

Ausfallzeiten

Ausfallzeiten, gemessen ab dem Zeitpunkt, zu dem der Dienst für Kunden, Gegenparteien im Finanzbereich oder andere interne oder externe Nutzer vollständig oder teilweise nicht mehr verfügbar ist, bis zu dem Zeitpunkt, zu dem die regulären Tätigkeiten oder Vorgänge in dem vor dem schwerwiegenden IKT-bezogenen Vorfall herrschenden Umfang wiederhergestellt sind.

Führen die Ausfallzeiten nach der Wiederherstellung der regulären Tätigkeiten oder Vorgänge zu einer Verzögerung bei der Bereitstellung von Dienstleistungen, so messen die Finanzunternehmen die Ausfallzeiten vom Beginn des schwerwiegenden IKT-bezogenen Vorfalls bis zu dem Zeitpunkt, zu dem die verzögerte Dienstleistung erbracht ist. Finanzunternehmen, die den Beginn der Ausfallzeiten nicht bestimmen können, messen die Dauer der Ausfallzeiten ab dem Zeitpunkt der Feststellung des Vorfalls bis zu dem Zeitpunkt, zu dem sie aufgezeichnet wurde, je nachdem, welcher Zeitpunkt zuerst eintritt.

Bei einer aggregierten Meldung gemäß Artikel 7 dieser Verordnung bestimmen Finanzunternehmen bei Unterschieden zwischen den Finanzunternehmen die längste Dauer der Ausfallzeiten.

Nein

Ja, wenn der Vorfall zu Ausfall-zeiten geführt hat

Ja, wenn der Vorfall zu Ausfall-zeiten geführt hat

TT:HH:MM

3.17.

Angaben dazu, ob es sich bei der Dauer und den Ausfallzeiten um tatsächliche Zahlen oder Schätzungen handelt

Angaben dazu, ob es sich bei den in den Datenfeldern 3.15 und 3.16 ausgewiesenen Werten um tatsächliche Werte oder Schätzungen handelt.

Nein

Ja, wenn das Kriterium „Dauer und Ausfall-zeiten“ erfüllt ist

Ja, wenn das Kriterium „Dauer und Ausfall-zeiten“ erfüllt ist

Auswahl:

Tatsächliche Zahlen;

Schätzungen;

tatsächliche Zahlen und Schätzungen;

keine Informationen verfügbar.

3.18.

Arten von Auswirkungen in den Mitgliedstaaten

Art der Auswirkung in den jeweiligen EWR-Mitgliedstaaten.

Angabe, ob der schwerwiegende IKT-bezogene Vorfall Auswirkungen in anderen EWR-Mitgliedstaaten (ausgenommen der Mitgliedstaat der zuständigen Behörde, der der Vorfall direkt gemeldet wird) gemäß Artikel 4 der Delegierten Verordnung (EU) 2024/1772 hat und insbesondere im Hinblick auf die Bedeutung der Auswirkungen in Bezug auf:

a)

betroffene Kunden und Gegenparteien im Finanzbereich in anderen Mitgliedstaaten oder

b)

Zweigniederlassungen oder andere Finanzunternehmen innerhalb der Gruppe, die in anderen Mitgliedstaaten tätig sind, oder

c)

Finanzmarktinfrastrukturen oder Drittdienstleister mit möglichen Auswirkungen auf Finanzunternehmen in anderen Mitgliedstaaten, für die sie Dienstleistungen erbringen, soweit diese Informationen verfügbar sind.

Nein

Ja, wenn der Schwel-lenwert für „Geogra-fische Ausbrei-tung“ erreicht ist

Ja, wenn der Schwellen-wert für „Geogra-fische Ausbreitung“ erreicht ist

Auswahl (Mehrfachauswahl):

Kunden;

Gegenparteien im Finanzbereich;

Zweigniederlassung des Finanzunternehmens;

Finanzunternehmen innerhalb der Gruppe, die in dem betreffenden Mitgliedstaat tätig sind;

Finanzmarktinfra-struktur;

Drittdienstleister, die möglicherweise auch von anderen Finanzunternehmen in Anspruch genommen werden.

3.19.

Beschreibung der Auswirkungen des Vorfalls in anderen Mitgliedstaaten

Beschreibung der Auswirkungen und Schwere des schwerwiegenden IKT-bezogenen Vorfalls in jedem betroffenen Mitgliedstaat, einschließlich einer Bewertung der Auswirkungen und Schwere in Bezug auf:

a)

Kunden;

b)

Gegenparteien im Finanzbereich;

c)

Zweigniederlassungen des Finanzunternehmens;

d)

Andere Finanzunternehmen innerhalb der Gruppe, die in anderen Mitgliedstaaten tätig sind;

e)

Finanzmarktinfrastrukturen;

f)

Drittdienstleister, die möglicherweise auch von anderen Finanzunternehmen in anderen Mitgliedstaaten in Anspruch genommen werden.

Nein

Ja, wenn der Schwel-lenwert für „Geogra-fische Ausbrei-tung“ erreicht ist

Ja, wenn der Schwellen-wert für „Geogra-fische Ausbrei-tung“ erreicht ist

Alphanumerisch

3.20.

Wesentlich- keitsschwellen für das Einstufungs-kriterium „Datenverluste“

Art der mit dem schwerwiegenden IKT-bezogenen Vorfall verbundenen Verfügbarkeits-, Authentizitäts-, Integritäts- und Vertraulichkeitsverluste von Daten.

Finanzunternehmen berücksichtigen bei ihrer Bewertung die Artikel 5 und 13 der Delegierten Verordnung (EU) 2024/1772.

Bei einer aggregierten Meldung gemäß Artikel 7 dieser Verordnung die Datenverluste, die mindestens ein Finanzunternehmen betreffen.

Nein

Ja, wenn das Kriterium „Daten-verluste“ erfüllt ist

Ja, wenn das Kriterium „Daten-verluste“ erfüllt ist

Auswahl (Mehrfachauswahl):

Verfügbarkeit;

Authentizität;

Integrität;

Vertraulichkeit.

3.21.

Beschreibung der Datenverluste

Beschreibung der Auswirkungen des schwerwiegenden IKT-bezogenen Vorfalls auf die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit kritischer Daten gemäß den Artikeln 5 und 13 der Delegierten Verordnung (EU) 2024/1772.

Angaben zu den Auswirkungen auf die Umsetzung der Geschäftsziele des Finanzunternehmens oder auf die Erfüllung regulatorischer Anforderungen.

Als Teil der bereitgestellten Informationen geben Finanzunternehmen an, ob es sich bei den betroffenen Daten um Kundendaten, Daten anderer Unternehmen (z. B. Gegenparteien im Finanzbereich) oder um Daten des Finanzunternehmens selbst handelt.

Das Finanzunternehmen kann auch die Art der von dem Vorfall betroffenen Daten angeben, insbesondere, ob die Daten vertraulich sind und um welche Art von Vertraulichkeit es sich handelt (z. B. Geschäftsgeheimnisse, personenbezogene Daten, Berufsgeheimnis wie etwa Bankgeheimnis, Versicherungsgeheimnis, Zahlungsdienstegeheimnis usw.).

Die Informationen können auch mögliche Risiken im Zusammenhang mit den Datenverlusten umfassen, z. B. ob die von dem Vorfall betroffenen Daten zur Identifizierung einzelner Personen verwendet werden können und von dem Angreifer genutzt werden könnten, um Kredite oder Darlehen ohne die Zustimmung dieser Personen zu erhalten, Spear-Phishing-Angriffe durchzuführen oder Informationen öffentlich preiszugeben.

Bei einer aggregierten Meldung gemäß Artikel 7 der vorliegenden Verordnung eine allgemeine Beschreibung der Auswirkungen des Vorfalls auf die betroffenen Finanzunternehmen. Gibt es Unterschiede bei den Auswirkungen, so sind in der Beschreibung der Auswirkungen die spezifischen Auswirkungen auf die verschiedenen Finanzunternehmen eindeutig anzugeben.

Nein

Ja, wenn das Kriterium „Daten-verluste“ erfüllt ist

Ja, wenn das Kriterium „Daten-verluste“ erfüllt ist

Alphanumerisch

3.22.

Einstufungs- kriterium „Betroffene kritische Dienstleistun-gen“

Angaben beim Kriterium „Betroffene kritische Dienstleistungen“.

Finanzunternehmen berücksichtigen bei ihrer Bewertung Artikel 6 der Delegierten Verordnung (EU) 2024/1772, einschließlich Informationen über

die betroffenen Dienstleistungen oder Tätigkeiten, die einer Zulassung oder Registrierung bedürfen oder von den zuständigen Behörden beaufsichtigt werden, oder

die IKT-Dienste oder Netzwerk- und Informationssysteme, die kritische oder wichtige Funktionen des Finanzunternehmens unterstützen, und

die Art des böswilligen und unbefugten Zugriffs auf die Netzwerk- und Informationssysteme des Finanzunternehmens.

Bei einer aggregierten Meldung gemäß Artikel 7 dieser Verordnung die Auswirkungen auf kritische Dienstleistungen, die auf mindestens ein Finanzunternehmen zutreffen.

Nein

Ja

Ja

Alphanumerisch

3.23.

Art des Vorfalls

Einstufung der Vorfälle nach Art.

Nein

Ja

Ja

Auswahl (Mehrfachauswahl):

Cybersicherheits-bezogen;

Prozessversagen;

Systemversagen;

Externes Ereignis;

Zahlungsbezogen;

Sonstiges (bitte angeben).

3.24.

Andere Arten von Vorfällen

Andere Arten von IKT-bezogenen Vorfällen: Finanzunternehmen, die im Datenfeld 3.23 „Sonstiges“ als Art des Vorfalls ausgewählt haben, geben die Art des IKT-bezogenen Vorfalls an.

Nein

Ja, wenn in Datenfeld 3.23 „Sonsti-ges“ als Art des Vorfalls ausge-wählt wurde

Ja, wenn in Datenfeld 3.23 „Sonstiges“ als Art des Vorfalls ausgewählt wurde

Alphanumerisch

3.25.

Bedrohungen und Techniken des Angreifers

Geben Sie die Bedrohungen und Techniken an, die der Angreifer einsetzt, wie zum Beispiel:

a)

Social Engineering, einschließlich Phishing;

b)

(D)DoS;

c)

Identitätsdiebstahl;

d)

Datenverschlüsselung mit weitergehenden Folgen, einschließlich Ransomware;

e)

Kaperung von Ressourcen;

f)

Datenexfiltration und -manipulation, ausgenommen Identitätsdiebstahl;

g)

Datenvernichtung;

h)

mutwillige Veränderung (Defacement);

i)

Lieferkettenangriff;

j)

Sonstiges (bitte angeben).

Nein

Ja, wenn als Art des IKT-bezogenen Vorfalls in Feld 3.23 „Cyber-sicher-heitsbezo-gen“ ausge-wählt wurde

Ja, wenn als Art des IKT-bezogenen Vorfalls in Feld 3.23 „Cyber-sicherheits-bezogen“ ausgewählt wurde

Auswahl (Mehrfachauswahl):

Social Engineering (einschließlich Phishing);

(D)DoS;

Identitätsdiebstahl;

Datenverschlüsse-lung mit weitergehenden Folgen, einschließlich Ransomware;

Kaperung von Ressourcen;

Datenexfiltration und -manipulation, einschließlich Identitätsdiebstahl;

Datenvernichtung;

mutwillige Veränderung (Defacement);

Lieferkettenangriff;

Sonstiges (bitte angeben).

3.26.

Andere Arten von Techniken

Andere Arten von Techniken

Finanzunternehmen, die im Datenfeld 3.25 „Sonstiges“ als Art der Technik ausgewählt haben, geben die Art der Technik an.

Nein

Ja, wenn in Datenfeld 3.25 „Sonstiges“ als Art der Technik ausge-wählt wurde

Ja, wenn in Datenfeld 3.25 „Sonstiges“ als Art der Technik ausgewählt wurde

Alphanumerisch

3.27.

Angaben zu betroffenen Funktions-bereichen und Geschäfts-prozessen

Angabe der Funktionsbereiche und Geschäftsprozesse, die von dem Vorfall betroffen sind, einschließlich Produkten und Dienstleistungen.

Die Funktionsbereiche umfassen unter anderem:

a)

Marketing und Geschäftsentwicklung;

b)

Kundenservice;

c)

Produktmanagement;

d)

Rechtskonformität;

e)

Risikomanagement;

f)

Finanz- und Rechnungswesen;

g)

Personal und allgemeine Dienstleistungen;

h)

Informationstechnologie.

Die Geschäftsprozesse umfassen unter anderem:

Kontoinformationen;

Dienstleistungen im Bereich Versicherungsmathematik;

Annahme und Abrechnung („Acquiring“) von Zahlungsvorgängen;

Authentifizierung/Autorisierung;

Verfasser;

Kunden-Onboarding;

Benefit-Management;

Management von Benefit-Zahlungen;

Kauf und Verkauf von Pauschalversicherungen zwischen Versicherungen;

Kartenzahlungen;

Liquiditätsmanagement;

Platzierung oder Entnahme von Bargeld;

Management von Versicherungsansprüchen;

Schadenregulierung;

Clearing;

Unternehmenskreditkonglomerate;

Kollektivversicherungen;

Überweisungen;

Verwahrung von Vermögenswerten;

Kunden-Onboarding;

Datenaufnahme;

Datenverarbeitung;

Lastschriften;

Ausfuhrversicherungen;

Finalisierung von Geschäften/Abschlüssen;

Platzierung von Finanzinstrumenten;

Fondsbuchhaltung;

Devisen;

Anlageberatung;

Anlageverwaltung;

Emission von Zahlungsinstrumenten;

Kreditmanagement;

Zahlungsverfahren für Lebensversicherungen;

Finanztransfer;

Berechnung des Nettovermögens;

Order;

Zahlungsauslösung;

Abschluss von Versicherungen;

Portfolioverwaltung;

Prämieneinzug;

Empfang/Übermittlung/Ausführung;

Rückversicherung;

Abwicklung;

Transaktionsüberwachung.

Bei einer aggregierten Meldung gemäß Artikel 7 der vorliegenden Verordnung die betroffenen Funktionsbereiche und Geschäftsprozesse bei mindestens einem Finanzunternehmen.

Nein

Ja

Ja

Alphanumerisch

3.28.

Betroffene Infrastruktur-komponenten, die Geschäftspro-zesse unterstützen

Angaben dazu, ob Infrastrukturkomponenten (Server, Betriebssysteme, Software, Anwendungsserver, Middleware, Netzwerkkomponenten usw.), die Geschäftsprozesse unterstützen, von dem schwerwiegenden IKT-bezogenen Vorfall betroffen sind.

Nein

Ja

Ja

Auswahl:

Ja;

Nein;

keine Informationen verfügbar.

3.29.

Angaben zu betroffenen Infrastruktur-komponenten, die Geschäfts-prozesse unterstützen

Beschreibung der Auswirkungen des schwerwiegenden IKT-bezogenen Vorfalls auf Infrastrukturkomponenten, die Geschäftsprozesse unterstützen, einschließlich Hardware und Software.

Hardware umfasst Server, Computer, Rechenzentren, Switches, Router und Hubs. Software umfasst Betriebssysteme, Anwendungen, Datenbanken, Sicherheitstools und Netzwerkkomponenten. Bei „Sonstiges“ bitte Angaben machen. In den Beschreibungen sind die betroffenen Infrastrukturkomponenten oder -systeme zu beschreiben oder zu benennen und, soweit verfügbar, folgende Angaben zu machen:

a)

Versionsinformationen;

b)

Interne Infrastruktur/Teilweise ausgelagert/Vollständig ausgelagert — Name des Drittdienstleisters;

c)

Ob die Infrastruktur von mehreren Geschäftsfunktionen separat/gemeinsam genutzt wird;

d)

Ob einschlägige Regelungen zur Resilienz/Kontinuität/Wiederherstellung/Substituierbarkeit getroffen wurden.

Nein

Ja, wenn der Vorfall Infra-struktur-komponenten beein-trächtigt hat, die Geschäfts-prozesse unter-stützen

Ja, wenn der Vorfall Infra-struktur-kompo-nenten beeinträch-tigt hat, die Geschäfts-prozesse unterstützen

Alphanumerisch

3.30.

Auswirkungen auf die finanziellen Interessen von Kunden

Angaben dazu, ob sich der schwerwiegende IKT-bezogene Vorfall auf die finanziellen Interessen der Kunden ausgewirkt hat.

Nein

Ja

Ja

Auswahl:

Ja;

Nein;

keine Informationen verfügbar.

3.31.

Meldung an andere Behörden

Angabe, welche Behörden über den schwerwiegenden IKT-bezogenen Vorfall informiert wurden.

Unter Berücksichtigung der Unterschiede, die sich aus den nationalen Rechtsvorschriften der Mitgliedstaaten ergeben, ist der Begriff der Strafverfolgungsbehörde von den Finanzunternehmen im weitesten Sinne so zu verstehen, dass er Behörden umfasst, die zur Verfolgung von Cyberkriminalität befugt sind, einschließlich Polizei, Organe zur Aufrechterhaltung der öffentlichen Ordnung und Staatsanwaltschaften.

Nein

Ja

Ja

Auswahl (Mehrfachauswahl):

Polizei/Straf-verfolgung;

CSIRT;

Datenschutz-behörde;

nationale Agentur für Cyber-sicherheit;

keine;

andere (bitte angeben).

3.32.

Angabe der „anderen“ Behörden

Angabe, welche „anderen“ Behörden über den schwerwiegenden IKT-bezogenen Vorfall informiert wurden.

Falls in Datenfeld 3.31 „Andere“ ausgewählt wurde: In die Beschreibung sind nähere Informationen über die Behörde, der das Finanzunternehmen Informationen über den schwerwiegenden IKT-bezogenen Vorfall übermittelt hat, aufzunehmen.

Nein

Ja, wenn das Finanz-unterneh-men „andere“ Behörden über den schwer-wiegenden IKT-bezogenen Vorfall informiert hat

Ja, wenn das Finanzun-ternehmen „andere“ Behörden über den schwer-wiegenden IKT-bezogenen Vorfall informiert hat

Alphanumerisch

3.33.

Ergriffene oder geplante befristete Maßnahmen zur Wiederher-stellung nach dem Vorfall

Angabe, ob das Finanzunternehmen befristete Maßnahmen umgesetzt hat (oder dies plant), die ergriffen wurden (oder geplant sind), um den normalen Geschäftsbetrieb nach dem schwerwiegenden IKT-bezogenen Vorfall wiederherzustellen.

Nein

Ja

Ja

Boolesch (Ja oder Nein)

3.34.

Beschreibung etwaiger ergriffener oder geplanter befristeter Maßnahmen zur Wiederher-stellung nach dem Vorfall

Es ist zu beschreiben, welche Sofortmaßnahmen ergriffen wurden, einschließlich der Isolierung des Vorfalls auf Netzwerkebene, der Aktivierung von Workaround-Verfahren, der Sperrung von USB-Ports, der Aktivierung der Site für die Wiederherstellung im Notfall und anderer vorübergehend eingerichteter zusätzlicher Sicherheitsmechanismen.

Finanzunternehmen geben das Datum und die Uhrzeit der Umsetzung der befristeten Maßnahmen sowie den voraussichtlichen Zeitpunkt der Rückkehr zur primären Site an. Bei befristeten Maßnahmen, die nicht umgesetzt wurden, aber noch geplant sind, ist das Datum anzugeben, bis zu dem sie voraussichtlich umgesetzt werden.

Falls keine befristeten Maßnahmen ergriffen wurden, bitte den Grund angeben.

Nein

Ja, wenn befristete Maß-nahmen ergriffen wurden oder geplant sind (Daten-feld 3.33)

Ja, wenn befristete Maßnahmen ergriffen wurden oder geplant sind (Daten-feld 3.33)

Alphanumerisch

3.35.

Kompromittie- rungsindika-toren

Gegebenenfalls Informationen im Zusammenhang mit dem schwerwiegenden IKT-bezogenen Vorfall, die dazu beitragen können, böswillige Aktivitäten innerhalb eines Netzwerks oder Informationssystems zu erkennen (Kompromittierungsindikatoren).

Das Feld betrifft nur Finanzunternehmen, die in den Anwendungsbereich der Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates (1) fallen, und Finanzunternehmen, die gegebenenfalls gemäß den nationalen Vorschriften zur Umsetzung des Artikels 3 der Richtlinie (EU) 2022/2555 als wesentliche oder wichtige Unternehmen ermittelt wurden.

Die von dem Finanzunternehmen bereitgestellten Kompromittierungsindikatoren enthalten die folgenden Datenkategorien:

a)

IP-Adressen;

b)

URL-Adressen;

c)

Domains;

d)

Datei-Hashes;

e)

Daten zu Schadsoftware (Name der Schadsoftware, Dateinamen und ihre Speicherorte, spezifische Registrierungsschlüssel im Zusammenhang mit Schadsoftware-Aktivitäten);

f)

Daten zu Netzaktivitäten (Ports, Protokolle, Adressen, Referrer, User Agents, Header, spezifische Protokolle oder auffällige Muster im Netzwerkverkehr);

g)

Daten zu E-Mail-Nachrichten (Absender, Empfänger, Betreff, Header, Inhalt);

h)

DNS-Anfragen und Registrierungskonfigurationen;

i)

Nutzerkontoaktivitäten (Anmeldungen, Kontoaktivitäten privilegierter Nutzer, Rechteausweitung);

j)

Datenbankverkehr (Lesen/Schreiben), Anfragen für dieselbe Datei.

Diese Art von Informationen kann in der Praxis Daten umfassen, die sich unter anderem auf Indikatoren, die Muster im Netzwerkverkehr im Zusammenhang mit bekannten Angriffen/Botnetkommunikation beschreiben, IP-Adressen von mit Schadsoftware infizierten Rechnern (Bots), Daten über von Schadsoftware genutzte „Command and Control“-Server (in der Regel Domains oder IP-Adressen) und URLs in Bezug auf Phishing-Websites oder Websites, bei denen beobachtet wurde, dass sie für das Hosting von Schadsoftware oder Exploit Kits genutzt werden, beziehen.

Nein

Ja, wenn „Cyber-sicher-heitsbe-zogen“ als Art des Vorfalls in Datenfeld 3.23 ausge-wählt wurde

Ja, wenn „Cyber-sicherheits-bezogen“ als Art des Vorfalls in Daten-feld 3.23 ausgewählt wurde

Alphanumerisch

Inhalt der Abschlussmeldung

4.1.

Übergeordnete Einstufung der Ursachen des Vorfalls

Übergeordnete Einstufung der Ursache des schwerwiegenden IKT-bezogenen Vorfalls bei den Arten von Vorfällen, einschließlich der folgenden übergeordneten Kategorien:

a)

Böswillige Handlungen;

b)

Prozessversagen;

c)

Systemversagen/-störung;

d)

menschliches Versagen;

e)

externes Ereignis.

Nein

Nein

Ja

Auswahl (Mehrfachauswahl):

Böswillige Handlungen;

Prozess-versagen;

System-versagen/-störung;

menschliches Versagen;

externes Ereignis.

4.2.

Detaillierte Einstufung der Ursachen des Vorfalls

Detaillierte Einstufung der Ursachen des schwerwiegenden IKT-bezogenen Vorfalls bei den Arten von Vorfällen, einschließlich der folgenden detaillierten Kategorien im Zusammenhang mit den in Datenfeld 4.1 ausgewiesenen übergeordneten Kategorien:

1.

Böswillige Handlungen (falls ausgewählt, eine oder mehrere der folgenden Optionen wählen):

a)

Vorsätzliche interne Handlungen;

b)

vorsätzliche physische Schäden/Manipulation/Diebstahl;

c)

betrügerische Handlungen.

2.

Prozessversagen (falls ausgewählt, eine oder mehrere der folgenden Optionen wählen):

a)

Unzureichende Überwachung oder mangelhafte Überwachung und Kontrolle;

b)

unzureichende/unklare Rollen und Zuständigkeiten;

c)

Versagen des IKT-Risikomanagementprozesses;

d)

unzureichende oder nicht funktionierende IKT-Abläufe und IKT-Sicherheitsabläufe;

e)

unzureichendes oder nicht funktionierendes IKT-Projektmanagement;

f)

unzureichende interne Richtlinien, Verfahren und Dokumentation;

g)

unzureichende Beschaffung, Entwicklung und Wartung von IKT-Systemen;

h)

Sonstiges (bitte angeben).

3.

Systemversagen/-störung (falls ausgewählt, eine oder mehrere der folgenden Optionen wählen):

a)

Hardwarekapazität und -leistung: schwerwiegende IKT-bezogene Vorfälle, die durch Hardwareressourcen verursacht werden, die sich in Bezug auf Kapazität oder Leistung als unzureichend erweisen, um die geltenden rechtlichen Anforderungen zu erfüllen;

b)

Wartung der Hardware: schwerwiegende IKT-bezogene Vorfälle infolge unangemessener oder unzureichender Wartung von Hardwarekomponenten (ausgenommen „Veralterung/Alterung der Hardware“);

c)

Veralterung/Alterung der Hardware: Diese Ursache betrifft schwerwiegende IKT-bezogene Vorfälle aufgrund veralteter oder alternder Hardwarekomponenten;

d)

Softwarekompatibilität/-konfiguration: schwerwiegende IKT-bezogene Vorfälle, die durch Softwarekomponenten verursacht werden, die mit anderen Software- oder Systemkonfigurationen nicht kompatibel sind, einschließlich schwerwiegender IKT-bezogener Vorfälle aufgrund von Softwarekonflikten, fehlerhaften Einstellungen oder falsch konfigurierten Parametern, die sich auf die Gesamtfunktionalität des Systems auswirken;

e)

Softwareleistung: schwerwiegende IKT-bezogene Vorfälle infolge von Softwarekomponenten, die aus anderen als den unter „Softwarekompatibilität/-konfiguration“ genannten Gründen eine schlechte Leistung oder Ineffizienz aufweisen, einschließlich schwerwiegender IKT-bezogener Vorfälle, die durch langsame Reaktionszeiten, übermäßigen Ressourcenverbrauch oder ineffiziente Abfragen, die sich auf die Leistung der Software oder des Systems auswirken, verursacht werden;

f)

Netzwerkkonfiguration: schwerwiegende IKT-bezogene Vorfälle, die auf fehlerhafte oder falsch konfigurierte Netzwerkeinstellungen oder -infrastruktur zurückzuführen sind, einschließlich schwerwiegender IKT-bezogener Vorfälle aufgrund von Netzwerkkonfigurationsfehlern, Routingproblemen, Fehlkonfigurationen der Firewall oder anderen netzwerkbezogenen Problemen, die die Konnektivität oder die Kommunikation beeinträchtigen;

g)

physische Schäden: schwerwiegende IKT-bezogene Vorfälle, die durch physische Schäden an der IKT-Infrastruktur verursacht werden, die zu Systemversagen führen;

h)

Sonstiges (bitte angeben).

4.

Menschliches Versagen (falls ausgewählt, eine oder mehrere der folgenden Optionen wählen):

a)

Unterlassung (unbeabsichtigt);

b)

Irrtum;

c)

Fähigkeiten und Kenntnisse: schwerwiegende IKT-bezogene Vorfälle, die durch mangelndes Fachwissen oder mangelnde Kompetenz im Umgang mit IKT-Systemen oder -Prozessen verursacht werden, was auf unzureichende Ausbildung, unzureichendes Wissen oder Qualifikationsdefizite im Hinblick auf die durchzuführenden Aufgaben oder die Bewältigung technischer Herausforderungen zurückzuführen sein kann;

d)

unzureichende personelle Ausstattung: schwerwiegende IKT-bezogene Vorfälle, die durch einen Mangel an erforderlichen Ressourcen, einschließlich Hardware, Software, Infrastruktur oder Personal, verursacht werden, einschließlich Situationen, in denen unzureichende Ressourcen zu operativen Ineffizienzen, Systemversagen oder der Unfähigkeit der Unternehmen, die geschäftlichen Anforderungen zu erfüllen, führen;

e)

Fehlkommunikation;

f)

Sonstiges (bitte angeben).

5.

Externes Ereignis (falls ausgewählt, eine oder mehrere der folgenden Optionen wählen):

a)

Naturkatastrophen/höhere Gewalt;

b)

Ausfälle bei Dritten;

c)

Sonstiges (bitte angeben).

Finanzunternehmen achten darauf, dass bei wiederholten schwerwiegenden IKT-bezogenen Vorfällen die spezifische offensichtliche Ursache des Sicherheitsvorfalls und nicht die in diesem Feld enthaltenen allgemeinen Kategorien berücksichtigt werden.

Nein

Nein

Ja

Auswahl (Mehrfachauswahl):

Böswillige Handlungen: Vorsätzliche interne Handlungen;

böswillige Handlungen: Vorsätzliche physische Schäden/Manipulation/ Diebstahl;

böswillige Handlungen: Betrügerische Handlungen;

Prozess-versagen: Unzureichende Überwachung oder mangelhafte Überwachung und Kontrolle;

Prozess-versagen: Unzureichende/unklare Rollen und Zuständig-keiten;

Prozess-versagen: Versagen des IKT-Risiko-management-prozesses;

Prozess-versagen: Unzureichende oder nicht funktionie-rende IKT-Abläufe und IKT-Sicherheits-abläufe;

Prozess-versagen: Unzureichen-des oder nicht funktionie-rendes IKT-Projekt-management;

Prozess-versagen: Unzureichende interne Richtlinien, Verfahren und Dokumentation;

Prozess-versagen: Unzureichende Beschaffung, Entwicklung und Wartung von IKT-Systemen;

Prozess-versagen: Sonstiges (bitte angeben);

System-versagen: Hardware-kapazität und -leistung;

System-versagen: Wartung der Hardware;

System-versagen: Veralterung/ Alterung der Hardware;

System-versagen: Software-kompatibilität/-konfiguration;

System-versagen: Software-leistung;

System-versagen: Netzwerk-konfiguration;

System-versagen: Physische Schäden;

System-versagen: Sonstiges (bitte angeben);

menschliches Versagen: Unterlassung;

menschliches Versagen: Irrtum;

menschliches Versagen: Fähigkeiten und Kenntnisse;

menschliches Versagen: Unzureichende personelle Ausstattung;

menschliches Versagen: Fehlkommu-nikation;

menschliches Versagen: Sonstiges (bitte angeben);

externes Ereignis: Naturkatastro-phen/höhere Gewalt;

externes Ereignis: Ausfälle bei Dritten;

externes Ereignis: Sonstiges (bitte angeben).

4.3.

Weitergehende Einstufung der Ursachen des Vorfalls

Weitergehende Einstufung der Ursachen des schwerwiegenden IKT-bezogenen Vorfalls bei der Art des Vorfalls, einschließlich der folgenden weitergehenden Einstufungskategorien im Zusammenhang mit den in Datenfeld 4.2 ausgewiesenen detaillierten Kategorien

Das Feld ist bei der Abschlussmeldung ein Pflichtfeld, wenn bestimmte Kategorien, die weiter ausgeführt werden müssen, in Datenfeld 4.2 angegeben werden.

2(a)

Unzureichende oder mangelhafte Überwachung und Kontrolle:

a)

Überwachung der Einhaltung von Richtlinien;

b)

Überwachung von Drittdienstleistern;

c)

Überwachung und Überprüfung der Behebung von Schwachstellen;

d)

Identitäts- und Zugangsmanagement;

e)

Verschlüsselung und Kryptografie;

f)

Protokollierung.

2(c)

Versagen des IKT-Risikomanagementprozesses:

a)

Versäumnis, genaue Risikotoleranzen festzulegen;

b)

unzureichende Bewertungen von Bedrohungen und Schwachstellen;

c)

unzureichende Maßnahmen für die Risikobehandlung;

d)

Unzureichendes Management der IKT-Restrisiken.

2(d)

Unzureichende oder nicht funktionierende IKT-Abläufe und IKT-Sicherheitsabläufe:

a)

Schwachstellen- und Patch-Management;

b)

Änderungsmanagement;

c)

Kapazitäts- und Leistungsmanagement;

d)

Management von IKT-Assets und Informationsklassifizierung;

e)

Sicherung und Wiederherstellung;

f)

Fehlerbehandlung.

2(g)

Unzureichende Beschaffung, Entwicklung und Wartung von IKT-Systemen:

a)

Unzureichende Beschaffung, Entwicklung und Wartung von IKT-Systemen;

b)

unzureichende Software-Tests oder Versagen von Software-Tests.

Nein

Nein

Ja

Auswahl (Mehrfachauswahl):

Überwachung der Einhaltung von Richtlinien;

Überwachung von Drittdienst-leistern;

Überwachung und Überprüfung der Behebung von Schwachstellen;

Identitäts- und Zugangs-management;

Verschlüsselung und Kryptografie;

Protokollierung;

Versäumnis, genaue Risikotole-ranzen festzulegen;

unzureichende Bewertungen von Bedrohungen und Schwachstellen;

unzureichende Maßnahmen für die Risiko-behandlung;

unzureichendes Management der IKT-Restrisiken;

Schwachstellen- und Patch-Management;

Änderungs-management;

Kapazitäts- und Leistungs-management;

Management von IKT-Assets und Informations-klassifizierung;

Sicherung und Wiederher-stellung;

Fehler-behandlung;

unzureichende Beschaffung, Entwicklung und Wartung von IKT-Systemen;

unzureichende Software-Tests oder Versagen von Software-Tests.

4.4.

Andere Arten von Ursachen

Finanzunternehmen, die in Datenfeld 4.2 „Sonstiges“ als Art der Ursache ausgewählt haben, geben die anderen Arten von Ursachen an.

Nein

Nein

Ja, wenn in Datenfeld 4.2 „Sonstiges“ als Art der Ursache ausgewählt wurde.

Alphanumerisch

4.5.

Angaben zu den Ursachen des Vorfalls

Beschreibung der Abfolge der Ereignisse, die zu dem schwerwiegenden IKT-bezogenen Vorfall geführt haben, und Beschreibung, wie der schwerwiegende IKT-bezogene Vorfall eine offensichtlich ähnliche Ursache hat, wenn dieser Sicherheitsvorfall als wiederholter Vorfall eingestuft wird, einschließlich einer kurzen Beschreibung aller zugrunde liegenden Gründe und Hauptfaktoren, die zum Eintreten des schwerwiegenden IKT-bezogenen Vorfalls beigetragen haben.

Bei böswilligen Handlungen Beschreibung des Mechanismus der böswilligen Handlung, einschließlich der verwendeten Taktiken, Techniken und Verfahren, sowie des Eintrittsvektors des schwerwiegenden IKT-bezogenen Vorfalls, gegebenenfalls einschließlich einer Beschreibung der Untersuchungen und Analysen, die zur Ermittlung der Ursachen geführt haben.

Nein

Nein

Ja

Alphanumerisch

4.6.

Behebung des Vorfalls

Zusätzliche Angaben zu den Maßnahmen, die ergriffen wurden/geplant sind, um den schwerwiegenden IKT-bezogenen Vorfall dauerhaft zu beheben und zu verhindern, dass sich dieser Vorfall erneut ereignet.

Aus dem schwerwiegenden IKT-bezogenen Vorfall gewonnene Erkenntnisse.

Die Beschreibung muss folgende Punkte enthalten:

1.

Beschreibung der Maßnahmen zur Behebung

a)

Maßnahmen zur dauerhaften Behebung des schwerwiegenden IKT-bezogenen Vorfalls (ausgenommen befristete Maßnahmen);

b)

bei jeder ergriffenen Maßnahme Angabe der potenziellen Beteiligung eines Drittdienstleisters und des Finanzunternehmens;

c)

Angabe, ob die Verfahren nach dem schwerwiegenden IKT-bezogenen Vorfall angepasst wurden;

d)

Angabe etwaiger zusätzlicher Kontrollen, die eingeführt wurden oder geplant sind (mit Zeitplan für die Umsetzung).

Mögliche Probleme in Bezug auf die Robustheit der betroffenen IT-Systeme bzw. gegebenenfalls in Bezug auf die bestehenden Verfahren oder Kontrollen.

Finanzunternehmen geben eindeutig an, wie mit den geplanten Abhilfemaßnahmen die ermittelten Ursachen behoben werden sollen und wann der schwerwiegende IKT-bezogene Vorfall voraussichtlich dauerhaft behoben sein wird.

2.

Gewonnene Erkenntnisse

Finanzunternehmen beschreiben die Ergebnisse der Überprüfung nach dem Vorfall.

Nein

Nein

Ja

Alphanumerisch

4.7.

Datum und Uhrzeit der Behebung der Ursache des Vorfalls

Datum und Uhrzeit der Behebung der Ursache des Vorfalls.

Nein

Nein

Ja

ISO 8601 UTC-Format (JJJJ-MM-TT hh: mm:ss)

4.8.

Datum und Uhrzeit der Behebung des Vorfalls

Datum und Uhrzeit der Behebung des Vorfalls.

Nein

Nein

Ja

ISO 8601 UTC-Format (JJJJ-MM-TT hh: mm:ss)

4.9.

Angabe, ob das Datum der dauerhaften Behebung der Vorfälle von dem ursprünglich geplanten Umsetzungs-datum abweicht

Gegebenenfalls eine Beschreibung des Grundes, warum das Datum der dauerhaften Behebung der schwerwiegenden IKT-bezogenen Vorfälle von dem ursprünglich geplanten Umsetzungsdatum abweicht.

Nein

Nein

Ja

Alphanumerisch

4.10.

Bewertung des Risikos für kritische Funktionen für Abwicklungs-zwecke

Bewertung, ob der schwerwiegende IKT-bezogene Vorfall ein Risiko für kritische Funktionen im Sinne des Artikels 2 Absatz 1 Nummer 35 der Richtlinie 2014/59/EU des Europäischen Parlaments und des Rates (2) darstellt.

Die in Artikel 1 Absatz 1 der Richtlinie 2014/59/EU genannten Unternehmen geben an, ob der in der Vorlage Z07.01 der Durchführungsverordnung (EU) 2018/1624 der Kommission (3) gemeldete und dem betreffenden Unternehmen in der Vorlage Z07.02 zugeordnete Vorfall ein Risiko für kritische Funktionen im Sinne des Artikels 2 Absatz 1 Nummer 35 der Richtlinie 2014/59/EU darstellt.

Nein

Nein

Ja, wenn der Vorfall ein Risiko für kritische Funktionen von Finanz-unterneh-men im Sinne des Artikels 2 Absatz 1 Nummer 35 der Richtlinie 2014/59/EU darstellt

Alphanumerisch

4.11.

Für Abwicklungs-behörden relevante Angaben

Beschreibung, ob und, wenn ja, wie sich der schwerwiegende IKT-bezogene Vorfall auf die Abwicklungsfähigkeit des Unternehmens oder der Gruppe ausgewirkt hat.

Die in Artikel 1 Absatz 1 der Richtlinie 2014/59/EU genannten Unternehmen stellen Informationen darüber bereit, ob und, wenn ja, wie sich der schwerwiegende IKT-bezogene Vorfall auf die Abwicklungsfähigkeit des Unternehmens oder der Gruppe ausgewirkt hat.

Diese Unternehmen geben auch an, ob sich der schwerwiegende IKT-bezogene Vorfall auf die Solvenz oder Liquidität des Finanzunternehmens auswirkt, und geben die potenzielle Quantifizierung der Auswirkungen an.

Diese Unternehmen machen auch Angaben zu den Auswirkungen auf die Aufrechterhaltung des Geschäftsbetriebs, den Auswirkungen auf die Abwicklungsfähigkeit des Unternehmens, etwaigen weitergehenden Auswirkungen des schwerwiegenden IKT-bezogenen Vorfalls auf die Kosten und Verluste, einschließlich der Kapitalposition des Finanzunternehmens, und geben an, ob die vertraglichen Vereinbarungen über die Nutzung von IKT-Diensten im Falle einer Abwicklung des Unternehmens nach wie vor robust und uneingeschränkt durchsetzbar sind.

Nein

Nein

Ja, wenn der Vorfall die Abwick-lungsfähig-keit des Unterneh-mens oder der Gruppe beeinträch-tigt hat

Alphanumerisch

4.12.

Wesentlichkeits- schwelle für das Einstufungs-kriterium „Wirtschaftliche Auswirkungen“

Detaillierte Informationen über Schwellenwerte, die der schwerwiegende IKT-bezogene Vorfall am Ende erreicht hat, in Bezug auf das in den Artikeln 7 und 14 der Delegierten Verordnung (EU) 2024/1772 genannte Kriterium „Wirtschaftliche Auswirkungen“.

Nein

Nein

Ja

Alphanumerisch

4.13.

Betrag der direkten und indirekten Bruttokosten und Verluste

Gesamtbetrag der direkten und indirekten Bruttokosten und Verluste, die dem Finanzunternehmen aufgrund des schwerwiegenden IKT-bezogenen Vorfalls entstanden sind, einschließlich

a)

der Höhe der enteigneten Mittel oder finanziellen Vermögenswerte, für die das Finanzunternehmen haftet,

b)

der Höhe der Kosten für die Ersetzung oder Verlegung von Software, Hardware oder Infrastruktur,

c)

der Höhe der Personalkosten, einschließlich der Kosten im Zusammenhang mit der Ersetzung oder Verlegung von Personal, der Einstellung von zusätzlichem Personal, der Vergütung von Überstunden und der Wiederherstellung verloren gegangener oder beeinträchtigter Kompetenzen des Personals,

d)

der Höhe der Gebühren wegen Nichteinhaltung vertraglicher Verpflichtungen,

e)

der Höhe der Entschädigungs- und Wiedergutmachungskosten für Kunden,

f)

der Höhe der Verluste wegen entgangener Einnahmen,

g)

der Höhe der Kosten für die interne und externe Kommunikation,

h)

der Höhe der Beratungskosten, einschließlich Kosten für Rechtsberatung, forensische Dienstleistungen und Behebungsdienstleistungen,

i)

der Höhe der sonstigen Kosten und Verluste, einschließlich:

i)

der in der Gewinn- und Verlustrechnung erfassten direkten Belastungen einschließlich Wertminderungen und Vergleichszahlungen sowie Abwertungen aufgrund des schwerwiegenden IKT-bezogenen Vorfalls,

ii)

der in der Gewinn- und Verlustrechnung erfassten Rückstellungen oder Rücklagen für wahrscheinliche Verluste im Zusammenhang mit dem schwerwiegenden IKT-bezogenen Vorfall,

iii)

der drohenden Verluste in Form von Verlusten aufgrund des schwerwiegenden IKT-bezogenen Vorfalls, die vorübergehend auf Übergangs- oder Zwischenkonten gebucht werden und noch nicht in der Gewinn- und Verlustrechnung erfasst sind und die nach einem gewissen Zeitraum, der der Größe und dem Alter des drohenden Verlusts entspricht, erfasst werden sollen,

iv)

der wesentlichen nicht realisierten Einnahmen im Zusammenhang mit vertraglichen Verpflichtungen gegenüber Dritten, darunter die Entscheidung, einen Kunden nach dem schwerwiegenden IKT-bezogenen Vorfall durch eine Anpassung der Erlöse, bei der die vertraglichen Kosten für einen bestimmten Zeitraum ausgesetzt oder verringert werden, zu entschädigen (anstelle einer Rückerstattung oder einer direkten Zahlung),

v)

Timing Losses, die über ein Geschäftsjahr hinausgehen und ein Rechtsrisiko nach sich ziehen.

Finanzunternehmen berücksichtigen bei ihrer Bewertung Artikel 7 Absätze 1 und 2 der Delegierten Verordnung (EU) 2024/1772. Finanzunternehmen dürfen in diesen Wert keine wie auch immer gearteten Rückflüsse einbeziehen.

Finanzunternehmen weisen den Geldbetrag als positiven Wert aus.

Bei einer aggregierten Meldung gemäß Artikel 7 dieser Verordnung berücksichtigen Finanzunternehmen den Gesamtbetrag der Kosten und Verluste in allen Finanzunternehmen.

Finanzunternehmen weisen den Datenpunkt mit einer Mindestpräzision aus, die tausend Einheiten entspricht.

Nein

Nein

Ja

Monetär

4.14.

Betrag der finanziellen Rückflüsse

Gesamtbetrag der finanziellen Rückflüsse.

Finanzielle Rückflüsse müssen sich auf den ursprünglichen Verlust beziehen, der durch das Ereignis verursacht wurde, unabhängig davon, wann sie in Form von Geldern oder Zuflüssen wirtschaftlichen Nutzens vereinnahmt werden.

Finanzunternehmen weisen den Geldbetrag als positiven Wert aus.

Bei einer aggregierten Meldung gemäß Artikel 7 dieser Verordnung berücksichtigen Finanzunternehmen den Gesamtbetrag der finanziellen Rückflüsse in allen Finanzunternehmen.

Nein

Nein

Ja

Monetär

Finanzunternehmen weisen den Datenpunkt mit einer Mindestpräzision aus, die tausend Einheiten entspricht.

4.15.

Angaben dazu, ob sich die nicht schwerwie-genden Vorfälle wiederholt haben

Angaben dazu, ob ein nicht schwerwiegender IKT-bezogener Vorfall wiederholt eingetreten ist und diese Vorfälle zusammen als schwerwiegender Vorfall im Sinne des Artikels 8 Absatz 2 der Delegierten Verordnung (EU) 2024/1772 zu betrachten sind.

Finanzunternehmen geben an, ob sich die nicht schwerwiegenden IKT-bezogenen Vorfälle wiederholt haben und zusammen als ein schwerwiegender IKT-bezogener Vorfall zu betrachten sind.

Finanzunternehmen geben auch an, wie oft diese nicht schwerwiegenden IKT-bezogenen Vorfälle eingetreten sind.

Nein

Nein

Ja, wenn der schwer-wiegende Vorfall mehr als einen nicht schwer-wiegenden wieder-holten Vorfall umfasst

Alphanumerisch

4.16.

Datum und Uhrzeit des Eintretens wiederholter Vorfälle

Wenn Finanzunternehmen wiederholte IKT-bezogene Vorfälle melden, Datum und Uhrzeit des ersten IKT-bezogenen Vorfalls.

Nein

Nein

Ja, bei wieder-holten Vorfällen

ISO 8601 UTC-Format (JJJJ-MM-TT hh: mm:ss)

(1)  Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie) (ABl. L 333 vom 27.12.2022, S. 80, ELI: 2022/2555/oj" >http://data.europa.eu/eli/dir/2022/2555/oj).

(2)  Richtlinie 2014/59/EU des Europäischen Parlaments und des Rates vom 15. Mai 2014 zur Festlegung eines Rahmens für die Sanierung und Abwicklung von Kreditinstituten und Wertpapierfirmen und zur Änderung der Richtlinie 82/891/EWG des Rates, der Richtlinien 2001/24/EG, 2002/47/EG, 2004/25/EG, 2005/56/EG, 2007/36/EG, 2011/35/EU, 2012/30/EU und 2013/36/EU sowie der Verordnungen (EU) Nr. 1093/2010 und (EU) Nr. 648/2012 des Europäischen Parlaments und des Rates (ABl. L 173 vom 12.6.2014, S. 190, ELI: http://data.europa.eu/eli/dir/2014/59/oj).

(3)  Durchführungsverordnung (EU) 2018/1624 der Kommission vom 23. Oktober 2018 zur Festlegung technischer Durchführungsstandards in Bezug auf Verfahren, Standardformulare und Meldebögen für die Bereitstellung von Informationen für die Erstellung von Abwicklungsplänen für Kreditinstitute und Wertpapierfirmen gemäß der Richtlinie 2014/59/EU des Europäischen Parlaments und des Rates und zur Aufhebung der Durchführungsverordnung (EU) 2016/1066 der Kommission (ABl. L 277 vom 7.11.2018, S. 1, ELI: 2018/1624/oj" >http://data.europa.eu/eli/reg_impl/2018/1624/oj).