DORA · Art. 21

Zentrale Kontaktstelle

Zentrale Kontaktstelle für IKT-Vorfälle: Meldepflichten, Zuständigkeiten und organisatorische Anbindung.

Hinweis: Art. 21 DORA verpflichtet Finanzunternehmen zur Benennung einer zentralen Kontaktstelle für Incident Reporting.

Anforderung nach DORA Art. 21

Jedes Finanzunternehmen muss eine zentrale Kontaktstelle benennen, die für die Meldung schwerwiegender IKT-Vorfälle an die zuständige Behörde zuständig ist. Diese Stelle fungiert als Single Point of Contact (SPoC) für alle incidentbezogenen Kommunikationen mit der Aufsicht.

→Aufgaben: Entgegennahme interner Vorfalldaten, Prüfung der Meldeschwellen, Koordination der Meldungen (24h/72h/1 Monat), Kommunikation mit der Aufsicht.
→Organisation: Die Kontaktstelle ist typischerweise in der Compliance-Abteilung, im IKT-Risikomanagement oder im Incident-Response-Team angesiedelt.
→Stellvertretung: Es muss eine mindestens eine Vertretung benannt werden, um die jederzeitige Erreichbarkeit sicherzustellen.

Meldewege und Fristen

Initialmeldung

Innerhalb von 24 Stunden nach Einstufung als schwerwiegender Vorfall. Die Kontaktstelle übermittelt die Erstmeldung an die zuständige Aufsichtsbehörde.

Zwischenmeldung

Nach 72 Stunden mit aktualisiertem Status, ersten Erkenntnissen und ergriffenen Maßnahmen.

Abschlussmeldung

Nach max. 1 Monat mit Root-Cause-Analyse, ergriffenen Korrekturmaßnahmen und Lessons Learned.

Quick Links

→ IKT-Vorfall-Datenbank → IKT-Vorfälle (Übersicht) → Meldepflichten → Informationsaustausch