BaFin konkretisiert Meldepflichten bei schwerwiegenden Zahlungssicherheitsvorfällen (§ 54 Abs. 1 ZAG)

In dem jüngst veröffentlichten Rundschreiben 03/2022 hat die BaFin die Anforderungen des § 54 Abs. 1 ZAG über die Meldung schwerwiegender Zahlungssicherheitsvorfälle konkretisiert und dabei die überarbeitete EBA-Leitlinien gemäß der Richtlinie (EU) 2015/2366 (PSD2) umgesetzt. Die Regelungen gelten ab dem 01.10.2022 und ersetzen sodann das bislang gültige „Rundschreiben 08/2018 (BA) zur Meldung schwerwiegender Sicherheitsvorfälle“ vom 07.06.2018.

Die BaFin stellt die wichtigsten Änderungen gegenüber den bisherigen Leitlinien wie folgt klar:

1. Durch eine Anpassung der Kriterien für einen meldepflichtigen Betriebs- oder Sicherheitsvorfall sollen zukünftig mehr für die Aufsicht relevante und weniger unwichtige Vorfälle gemeldet werden. Zur Erreichung dieser Ziele wurde u. a. ein neues achtes Kriterium „Breach of security of network or information systems“ eingeführt. Im Falle eines Cyber-Angriffs wird eine Meldepflicht wahrscheinlicher, da neben diesem Kriterium nur noch zwei weitere Kriterien der niedrigen Auswirkungsstufe für eine Meldepflicht erfüllt werden müssen. Darüber hinaus wurde eine Anpassung der quantitativen Kriterien vorgenommen, sodass unbedeutende, für die Aufsicht weniger relevante Vorfälle seltener meldepflichtig werden.

1. Die von den Zahlungsdienstleistern für die Erstattung einer Meldung zu verwendenden Standardformulare wurden gründlich überarbeitet. Fragen, die sich in der Vergangenheit als nicht zielführend erwiesen haben, wurden ersatzlos gestrichen. Wichtige Aspekte werden differenzierter behandelt.

1. Die Fristen für die Klassifizierung des Vorfalls sowie für die Abgabe der Erst-, Zwischen- und Abschlussmeldungen wurden angepasst. Die Klassifizierung des Vorfalls muss zukünftig spätestens innerhalb von 24 Stunden nach seiner Erkennung erfolgen. Die Erstmeldung ist innerhalb von 4 Stunden nach der Klassifizierung abzugeben (früher: 4 Stunden nach der Erkennung). Die Verpflichtung für Zahlungsdienstleister, bis zur Einreichung der Abschlussmeldung regelmäßige (alle 3 Tage) Zwischenmeldungen einzureichen, selbst wenn keine neuen Entwicklungen vorliegen, entfällt. Die Frist für die Abgabe der Abschlussmeldungen wurde von 14 auf 20 Tage (nach der Wiederherstellung des Regelbetriebs) verlängert.

Sollten Sie Fragen in diesem Zusammenhang oder generell zu den bestehenden Meldepflichten nach dem ZAG haben, sprechen Sie uns jederzeit an. Wir sind für Sie da und beraten Sie gerne!