News

Melde­pflichten von Zahlungs­dienst­leistern bei Sicherheits­vorfällen

14.03.2022

Zahlungsdienstleister müssen gem. § 54 Abs. 1 Satz 1 ZAG die BaFin unverzüglich über schwerwiegende Betriebs- oder Sicherheitsvorfälle unterrichten. Am 10. März 2022 hat die BaFin mit Ihrem Rundschreiben 03/2022 (BA) (kurz: Rundschreiben) zum einen die Vorgaben konkretisiert, nach denen ein Betriebs- oder Sicherheitsvorfall als „schwerwiegend“ und damit meldepflichtig einzustufen ist; zum anderen wurden Details der Anforderungen an den Meldeprozess überarbeitet. Das Rundschreiben tritt ab dem 1. Oktober 2022 zugleich an die Stelle des Rundschreibens 08/2018 (BA) zur Meldung schwerwiegender Zahlungssicherheitsvorfälle vom 07.06.2018.

Mit der Meldepflicht nach § 54 Abs. 1 Satz 1 ZAG soll sichergestellt werden, dass die BaFin und – infolge einer Unterrichtungspflicht der deutschen Aufsicht (§ 54 Abs. 1 Satz 2 ZAG) gegenüber der EBA sowie der Europäischen Zentralbank – auch die europäischen Aufsichtsbehörden über etwaige den Zahlungsverkehr beeinträchtigende Umstände in der Sphäre von Zahlungsdienstleistern informiert sind und ggf. erforderliche Maßnahmen gegenüber den Instituten ergreifen können. Damit besteht eine spezifisch aufsichtsrechtlich begründete Meldepflicht für Sicherheitsvorfälle, die zu den allgemeineren gesetzlichen Meldepflichten für Sicherheitsvorfälle im Datenschutzrecht (Art. 33 DSGVO) oder im Recht für kritische Infrastrukturen (§ 8b Abs. 4 BSIG) hinzutritt. Angesichts der zunehmenden Bedeutung von Cyber-Attacken stellt die Gewährleistung der Erfüllung dieser Meldepflichten – wie natürlich auch Maßnahmen zur grundsätzlichen Vermeidung von Sicherheitsvorfällen – eine wichtige Komponente einer ordnungsgemäßen Geschäftsorganisation dar.

Die BaFin reagiert mit der Novelle des Rundschreibens auf die Anpassung der Leitlinien der European Banking Authority (EBA) für die Meldung schwerwiegender Vorfälle gemäß der Zahlungsdiensterichtlinie (EBA/GL/2017/10) vom letzten Jahr. Mit der Novelle werden die Kriterien für die Einstufung als schwerwiegender Sicherheitsvorfall überarbeitet, der Meldeprozess verschlankt und einige Vorgaben – gerade im Hinblick auf die Erwartungen zum Zeitpunkt von Meldungen – konkretisiert. Außerdem wurden auch die zur Abgabe von Meldungen zu nutzenden Formulare überarbeitet.

Ergänzung und Änderung der Einstufungskriterien für „schwerwiegende“ Vorfälle

Im Wesentlichen unverändert geblieben sind die Kriterien für die Qualifizierung von Betriebs- und Sicherheitsvorfällen als schwerwiegend. Entsprechend der bislang bestehenden Vorgaben definiert das Rundschreiben eine Reihe von Kriterien / Schwellenwerten für die Bewertung, ob ein Betriebs- oder Sicherheitsvorfall vorliegt. Insoweit sind insbesondere relevant: (i.) die betroffenen Zahlungsvorgänge, (ii.) die betroffenen Zahlungsdienstnutzer, (iii.) die Verletzung der Sicherheit von Netzwerk- und Informationssystemen, (iv.) die Ausfallzeit eines Dienstes, (v.) die wirtschaftlichen Auswirkungen, (vi.) das Vorliegen einer hohen internen Eskalationsstufe, (vii.) die Betroffenheit anderer Zahlungsdienstleister oder maßgeblicher Infrastrukturen sowie (viii.) etwaige Reputationsschäden. 

Von den vorgenannten Kriterien ist lediglich eines neu, nämlich das Bewertungskriterium „Verletzung der Sicherheit von Netzwerk- und Informationssystemen“ (Ziffer 1.2 (iii.)). Im Rahmen dieses Kriteriums hat ein Zahlungsdienstleister festzustellen ist, ob die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit seiner Netzwerk- oder Informationssysteme (einschließlich der maßgeblichen Daten), die mit der Erbringung von Zahlungsdiensten verbunden sind, durch eine böswillige Handlung verletzt wurde.Für jedes Kriterium definiert das Rundschreiben, ob und unter welchen Voraussetzungen dieses auf einer hohen bzw. niedrigen Auswirkungsstufe betroffen ist. Ein Betriebs- oder Sicherheitsvorfall ist hiernach „schwerwiegend“ und damit meldepflichtig, wenn er auf Grundlage der im Rundschreiben beschriebenen Kriterien und Schwellenwerte

    • mindestens ein Kriterium der „hohen Auswirkungsstufe“ oder
    • mindestens drei Kriterien der „niedrigen Auswirkungsstufe“ erfüllt.

Dabei wird im Rundschreiben nunmehr ausdrücklich klargestellt, dass alle Betriebs- und Sicherheitsvorfälle zu bewerten und entweder als schwerwiegender oder als nicht schwerwiegender Vorfall zu klassifizieren sind. Mithin müssen Zahlungsinstitute jeden Vorfall entsprechend den Vorgaben des Rundschreibens bewerten und können sich nicht darauf beschränken nur (vermeintlich) schwerwiegende Fälle zu betrachten. Entsprechend dem Grundsatz der prüfungssicheren Dokumentation sollten Zahlungsdienstleister diese Bewertung auch dokumentieren. Für die betroffenen Institute enthält das Rundschreiben einige Konkretisierungen. So wird in Bezug auf die Kriterien „Betroffene Zahlungsvorgänge“ (Ziffer 1.2 (i.)) und „Betroffene Zahlungsdienstnutzer“ (Ziffer 1.2 (ii.)) klargestellt, dass Vorfälle, welche die Fähigkeit eines Zahlungsdienstleisters beeinträchtigen, Transaktionen auszulösen und / oder zu verarbeiten, grundsätzlich nur dann zu melden sind, wenn die Vorfälle länger als eine Stunde andauern. Diese Beschränkung soll allerdings nicht gelten, wenn die Schwellenwerte der hohen Auswirkungsstufe überschritten werden.

Für das Kriterium „Betroffene Zahlungsvorgänge“ werden die maßgeblichen Schwellenwerte für die Bestimmung der Auswirkungsstufe jeweils angehoben. So setzt ein Vorfall auf niedriger Auswirkungsstufe zusätzlich zur Dauer des Vorfalls von über einer Stunde voraus, dass entweder (i.) mehr als 10% des üblichen Transaktionsvolumens des Zahlungsdienstleisters (insofern gleich den Vorgaben des Rundschreibens 08/2018 (BA)) oder (ii.) eine Transaktionssumme von EUR 500.000 (vormals lag der maßgebliche Schwellenwert bei EUR 100.000) überschritten ist. Bei einem Vorfall auf hoher Auswirkungsstufe ist entweder eine Betroffenheit von 25% des üblichen Transaktionsvolumens des Zahlungsdienstleisters (insofern gleich den Vorgaben des Rundschreibens 08/2018 (BA)) oder eine Gesamtsumme der betroffenen Zahlungsvorgänge von über EUR 15.000.000 erforderlich (vormals lag der maßgebliche Schwellenwert bei EUR 5.000.000). 

Zu dem Kriterium „Hohe interne Eskalationsstufe“ (Ziffer 1.2 (vi.)) führt das Rundschreiben aus, dass diese erst vorliegt, wenn aufgrund der Beeinträchtigung zahlungsbezogener Dienste die Geschäftsleitung außerhalb des regelmäßigen Meldeverfahrens sowie fortlaufend während der Dauer des Vorfalls über den Vorfall informiert wurde oder wahrscheinlich informiert werden wird. Unter Geltung des Rundschreibens 08/2018 (BA) war noch eine Einbindung des Chief Information Officers ausreichend. Mit Blick auf das Kriterium „Reputationsschäden(Ziffer 1.2 (vii)) ist bei der Bewertung durch den Zahlungsdienstleister nunmehr ergänzend zu berücksichtigen, ob (i.) die Zahlungsdienstnutzer und / oder andere Zahlungsdienstleister sich über nachteilige Auswirkungen eines Vorfalls beschwert haben und (ii.) infolge des Vorfalls vertragliche Verpflichtungen nicht erfüllt wurden oder wahrscheinlich nicht erfüllt werden. Ferner kommt es für die Bewertung der Visibilität, die ein Vorfall auf dem Markt erlang oder wahrscheinlich erlangt nicht mehr nur auf die Kenntnis, sondern auf das „beste Wissen“ eines Zahlungsinstituts an. Hiermit wird wohl die Verpflichtung einhergehen, sich entsprechendes Wissen gegebenenfalls proaktiv zu beschaffen.

Grad der Wahrscheinlichkeit negativer Auswirkungen eines Vorfalls

Bemerkenswert erscheint zudem, dass in dem Rundschreiben der Grad der Wahrscheinlichkeit modifiziert wird, der für die Feststellung eines „Betriebs- und Sicherheitsvorfalls“ erforderlich ist. Bei den zwar noch nicht akut eingetretenen, jedoch zukünftig drohenden nachteiligen Auswirkungen eines Vorfalls auf Integrität, Verfügbarkeit, Vertraulichkeit und / oder die Authentizität von zahlungsbezogenen Diensten ist nicht mehr – wie noch unter dem Rundschreiben 08/2018 (BA) – ein Vorfall „aller Wahrscheinlichkeit nach“ erforderlich; vielmehr reicht es aus, dass entsprechende zukünftige Folgen schlicht „wahrscheinlich“ sind. Parallel hierzu wurde bei den einzelnen Einstufungskriterien (etwa mit Blick auf die betroffenen Zahlungsvorgänge, die betroffenen Zahlungsdienstnutzer, die Dienstausfallzeit, die hohe Eskalationsstufe, die Betroffenheit anderer Zahlungsdienstleister oder maßgeblicher Infrastrukturen sowie etwaige Reputationsschäden) hinsichtlich der zukünftigen Auswirkungen eines Vorfalls jeweils die Formulierung „höchstwahrscheinlich“ durch „wahrscheinlich“ ersetzt. Im Ergebnis bedeutet dies, dass künftig ein strengerer Maßstab angelegt wird, der die einfache Wahrscheinlichkeit von negativen Folgen eines Vorfalls genügen lässt, um diese als schwerwiegenden Betriebs- oder Sicherheitsvorfall einzustufen.

Überarbeitung des Meldeprozesses

Überarbeitet wurde zudem der Meldeprozess für Meldungen nach § 54 Abs. 1 Satz 1 ZAG. Grundsätzlich bleibt es allerdings dabei, dass der Meldeprozess drei verschiedene Stufen, namentlich eine Erstmeldung, eine bzw. mehrere Zwischenmeldung(en) sowie eine Abschlussmeldung umfasst. In Bezug auf die Erstmeldungen wurde der Anknüpfungspunkt für die Abgabe der Erstmeldung terminologisch modifiziert. War vormals nach Rundschreiben 08/2018 (BA) noch innerhalb von vier Stunden nach „Erkennung“ eines schwerwiegenden Betriebs- und / oder Sicherheitsvorfalls die Erstmeldung abzugeben, wobei die Erkennung terminologisch mit der Klassifizierung als schwerwiegend gleichzusetzen war, wird nunmehr zwischen Erkennung einerseits und Klassifizierung andererseits begrifflich unterschieden, wobei die „Klassifizierung“ maßgeblich für den Beginn der vierstündigen Frist zur Abgabe der Erstmeldung ist (Ziffer 2.8). Diese begriffliche Differenzierung lässt sich nur so verstehen, dass sich die „Erkennung“ eines Vorfalls auf die Kenntnis der maßgeblichen tatsächlichen Umstände bezieht, während die „Klassifizierung“ deren Bewertung als schwerwiegend bzw. nicht schwerwiegend i.S.v. § 54 Abs. 1 Satz 1 ZAG umfasst. Ergänzend wird eine ausdrückliche Verpflichtung des Zahlungsdienstleisters zur zügigen Durchführung der Klassifizierung festgelegt. Diese hat nicht später als 24 Stunden nach Erkennung des Vorfalls und unverzüglich, nachdem die für Klassifizierung des Vorfalls erforderlichen Informationen vorliegen, zu erfolgen (Ziffer 2.9).

Positiv zu bewerten ist die Neustrukturierung des bislang kleinteiligen Systems der Zwischenmeldungen. Hiernach müssen Zwischenmeldungen nur noch erfolgen, wenn:

    • die Aktivitäten / Vorgänge wieder dasselbe Leistungsniveau / dieselben Bedingungen in Bezug auf Verarbeitungszeiten, Kapazität, Sicherheitsanforderungen usw. erreichen, die vom Zahlungsdienstleister festgelegt oder extern durch eine Dienstgütevereinbarung festgeschrieben wurden, und keine Notfallmaßnahmen mehr aktiv sind (Ziffer 2.12);
    • nach drei Geschäftstagen die reguläre Geschäftstätigkeit noch nicht wieder aufgenommen wurde (Ziffer 2.13);
    • wesentlichen Änderungen der Informationen seit vorherigen Meldungen eingetreten sind (z. B. wenn sich der Vorfall verschlimmert oder abgeschwächt hat, neue Ursachen ermittelt oder Maßnahmen zur Behebung des Problems ergriffen wurden) (Ziffer 2.14); und / oder
    • auf Ersuchen der BaFin hin (Ziffer 2.14).

Die Abschlussmeldung muss nunmehr innerhalb von 20 Geschäftstagen nach Wiederherstellung des Regelbetriebs statt wie bisher innerhalb von zwei Wochen erfolgen (Ziffer 2.18).

Sonstige zusätzliche Pflichten von Zahlungsdienstleistern

Überdies sind Zahlungsdienstleister künftig verpflichtet, jede Reklassifizierung eines Vorfalls von schwerwiegend zu nicht schwerwiegend oder umgekehrt der BaFin unverzüglich zu melden (Ziffer 1.5). Zuvor war die BaFin über die Reklassifizierung so schnell wie möglich und spätestens bis zu dem für die nächste (Zwischen)Meldung veranschlagten Datum zu informieren (Ziffer 2.10 Rundschreiben 08/2018 (BA)).Sofern die Meldepflicht von einem Zahlungsdienstleister an einen Dritten delegiert und diesem Dritten eine Abgabe der Meldung in konsolidierter Weise (d. h. durch Vorlage einer einzigen Meldung, die sich auf mehrere Zahlungsdienstleister bezieht, welche von demselben schwerwiegenden Betriebs- oder Sicherheitsvorfall betroffen sind) gestattet wird, hat der Zahlungsdienstleister ergänzend sicherzustellen, dass eine Liste der beteiligten Zahlungsdienstleister an die BaFin übermittelt wird (Ziffer 3.2 (d)).

Ferner haben Zahlungsdienstleister im Fall der delegierten Meldepflicht zukünftig bei einem Vorfall, der auf eine durch einen technischen Dienstleister (oder eine technische Infrastruktur) verursachte Störung zurückzuführen ist, von dem mehrere Zahlungsdienstleister betroffen sind, zu gewährleisten, dass sich die delegierte Meldung auf die individuellen Daten des jeweiligen Zahlungsdienstleisters bezieht (Ziffer 3.6). Etwas anderes gilt nur, wenn es sich um eine konsolidierte Meldung handelt, die sich gerade auf mehrere Zahlungsdienstleister bezieht.

Zeitplan und Umsetzung

Die Vorgaben des Rundschreibens für die Meldung schwerwiegender Sicherheitsvorfälle gemäß § 54 Abs. 1 Satz 1 ZAG gelten ab dem 1. Oktober 2022. Bis dahin bestimmt sich die BaFin-Verwaltungspraxis nach dem Rundschreiben 08/2018 (BA), welches mit Inkrafttreten des novellierten Rundschreibens aufgehoben wird.

Fazit

Die Novelle der Vorgaben an die Meldung schwerwiegender Betriebs- oder Sicherheitsvorfälle nach § 54 Abs. 1 Satz 1 ZAG stellt eine Reaktion auf die zunehmenden Risiken von Cyber-Angriffen dar und ist somit grundsätzlich zu begrüßen. So leuchtet bspw. ein, dass das Kriterium der „Verletzung der Sicherheit von Netzwerk- oder Informationssystemen“ in den Kreis der Kriterien für meldepflichtige Vorfälle aufgenommen wird. Das dürfte freilich ebenso zu zahlreicheren Meldungen führen wir das Absenken der Wahrscheinlichkeitsschwelle, die für melderelevante Vorfälle erreicht werden muss. Demgegenüber sollte die Herausnahme von Vorfällen (mit niedriger Auswirkungsstufe), die innerhalb von einer Stunde behoben werden, – eine entsprechende Organisation der internen Prozesse von Zahlungsdienstleistern mit Blick auf eine zügigen Fehlerbehebung vorausgesetzt – eher zu einer Reduktion der relevanten Meldevorfälle führen. Davon unberührt bleibt freilich die Pflicht, den Vorfall intern auf seine Melderelevanz zu prüfen. Die Verschlankung des Verfahrens für Zwischenmeldungen stellt im Ergebnis eine begrüßenswerte Vereinfachung dar. Im Ganzen ist demnach mit der Novelle sicher kein „großer Wurf“ gelungen. Dies war angesichts der übersichtlichen Änderungen der EBA-Leitlinien für die Meldung schwerwiegender Vorfälle gemäß der Zahlungsdiensterichtlinie jedoch auch nicht zu erwarten. Insofern dürfte die praktische Relevanz insbesondere darin liegen, dass mit der Novelle die Aufmerksamkeit der Zahlungsdienstleister einmal mehr auf die IT-Sicherheit und die Meldeprozesse bei Sicherheitsvorfällen als wesentlicher Bestandteil eines ordnungsgemäßen Compliance-Systems gerichtet wird.