DORA-Meldefristen: die 4-Stunden-Regel für schwerwiegende IKT-Vorfälle

Wird ein IKT-bezogener Vorfall als schwerwiegend eingestuft, läuft eine Kaskade von drei Meldungen mit harten Fristen. Die zentrale Norm ist Art. 19 DORA (Verordnung (EU) 2022/2554); die genauen Fristen stehen in Art. 5 der technischen Regulierungsstandards (RTS) — der Delegierten Verordnung (EU) 2025/301 ^[1][3].

Erstmeldung: so früh wie möglich, in jedem Fall binnen 4 Stunden nach der Einstufung als schwerwiegend — und spätestens 24 Stunden, nachdem das Unternehmen Kenntnis vom Vorfall erlangt hat. Zwischenbericht: binnen 72 Stunden nach der Erstmeldung, selbst wenn sich Status oder Bearbeitung nicht geändert haben. Abschlussbericht: spätestens einen Monat nach dem (letzten aktualisierten) Zwischenbericht ^[3].

Der häufigste Irrtum betrifft den Fristbeginn. Die 4-Stunden-Frist startet nicht mit dem Vorfall, sondern mit seiner Einstufung als schwerwiegend; die 24-Stunden-Grenze ab Kenntnis ist die äußere Schranke. Wer schnell einstuft, hat ab Einstufung nur vier Stunden — wer langsam einstuft, wird durch die 24-Stunden-Kenntnisgrenze gedeckelt. Die eigentliche operative Herausforderung ist daher die schnelle, belastbare Einstufung.

Die Kriterien stehen in der Klassifizierungs-RTS — Delegierte Verordnung (EU) 2024/1772. Ihre Struktur wird oft falsch wiedergegeben: Die Kritikalität der betroffenen Dienste (Art. 6) ist kein zählbarer Schwellenwert, sondern die Eingangsvoraussetzung. Ein Vorfall ist nur dann schwerwiegend, wenn er zunächst kritische Dienste betroffen hat — und dann entweder der Datenverlust-Auslöser nach Art. 9 Abs. 5 Buchst. b allein erfüllt ist oder mindestens zwei der übrigen Schwellenwerte erreicht sind (Art. 8) ^[2].

Die übrigen Schwellenwerte (Art. 9) sind u.a.: betroffene Kunden über 10 % der Nutzer des Dienstes oder über 100.000 Kunden; betroffene Finanz-Gegenparteien über 30 %; betroffene Transaktionen über 10 % des Tagesdurchschnitts; Vorfalldauer über 24 Stunden oder Ausfallzeit über 2 Stunden für kritische bzw. wichtige Funktionen; geografische Wirkung in zwei oder mehr Mitgliedstaaten; wirtschaftlicher Schaden über 100.000 EUR ^[2].

Die drei Meldungen nach Art. 19 Abs. 4 DORA bauen aufeinander auf. Die Erstmeldung ist eine schnelle Erstinformation. Der Zwischenbericht aktualisiert den Status; zusätzlich ist ein aktualisierter Zwischenbericht ohne unangemessene Verzögerung zu übermitteln, sobald der reguläre Betrieb wiederhergestellt ist. Der Abschlussbericht folgt, wenn die Ursachenanalyse abgeschlossen ist ^[1][3].

Für die Übermittlung gibt es Standardformulare: die Durchführungs­verordnung (EU) 2025/302 (ITS) legt Meldebögen und Verfahren fest. Eine verbreitete Verwechslung am Rande: Die Verordnung (EU) 2024/2956 betrifft nicht das Incident-Reporting, sondern das Informationsregister über IKT-Drittdienstleister (DORA Art. 28) — ein anderer Pflichtenkreis ^[4].

Zwei Sonderregeln in Art. 5 der RTS 2025/301 sind leicht zu übersehen. Späte Einstufung (Art. 5 Abs. 2): Wird ein Vorfall erst nach Ablauf der 24 Stunden ab Kenntnis als schwerwiegend eingestuft, ist die Erstmeldung binnen 4 Stunden ab dieser Einstufung zu übermitteln. Wochenend-/Feiertagsregel (Art. 5 Abs. 4): Fällt eine Frist auf ein Wochenende oder einen Bankfeiertag, darf bis 12 Uhr mittags des nächsten Arbeitstags gemeldet werden ^[3].

Die Wochenend-Erleichterung gilt jedoch nicht für die Erst- und Zwischenmeldung bestimmter Akteure: Kreditinstitute, zentrale Gegenparteien, Betreiber von Handelsplätzen sowie Unternehmen, die nach Art. 3 der NIS2-Richtlinie als „essential” oder „important” eingestuft sind, müssen auch am Wochenende fristgerecht melden (Art. 5 Abs. 5) ^[3].

Meldepflichtig sind die Finanzunternehmen nach Art. 2 DORA — von Kreditinstituten über Zahlungs- und E-Geld-Institute, Wertpapierfirmen, CASPs und Fondsverwalter bis zu Versicherungs- und Rückversicherungs­unternehmen und Einrichtungen der betrieblichen Altersversorgung. Gemeldet wird an die zuständige Behörde nach Art. 46: für die meisten national (z.B. BaFin, FMA), für bedeutende Kreditinstitute über die nationale Behörde an die EZB ^[1].

Neben der Pflichtmeldung schwerwiegender Vorfälle erlaubt Art. 19 Abs. 2 die freiwillige Meldung erheblicher Cyber-Bedrohungen, wenn das Unternehmen die Bedrohung für relevant hält. Ist ein Unternehmen von mehreren Behörden beaufsichtigt, benennen die Mitgliedstaaten eine einzige zuständige Behörde für diese Meldungen ^[1].

Praktisch entscheidet sich DORA-Incident-Reporting nicht am Meldebogen, sondern an der Geschwindigkeit der Einstufung. Die 4-Stunden-Uhr ab Einstufung lässt keinen Raum für manuelle Abstimmungs­schleifen; Klassifizierungs­logik, Eskalationspfade und Vorlagen müssen vorab stehen und getestet sein. Der prüfbare Audit-Trail — wann Kenntnis erlangt, wann eingestuft, wann gemeldet wurde — ist das, was eine Aufsichts­prüfung zuerst sehen will.

Und das Regelwerk bewegt sich: Die RTS 2025/301 und die ITS 2025/302 sind erst 2025 in Kraft getreten, die Klassifizierungs-RTS 2024/1772 wurde 2024 nachgeschärft, und ESA-Q&As präzisieren laufend Schwellenwerte und Meldewege. Wer die Erstumsetzung schafft, aber die Folge-Änderungen nicht an der Quelle verfolgt, meldet im Ernstfall nach veralteten Vorgaben. Genau hier setzt Horizon Scanning an: relevante Änderungen erkennen, einstufen und an das verantwortliche Team routen.