Meldepflicht für ICT-Schäden: Frist 30. Juni 2026

Die Banca d'Italia verlangt von allen direkt beaufsichtigten Finanzintermediären die jährliche Übermittlung von Schätzungen der aggregierten jährlichen Kosten und Verluste, die durch schwerwiegende ICT-Vorfälle verursacht wurden.

Diese Anforderung basiert auf der EU-Verordnung 2022/2554 zur digitalen operationellen Resilienz (DORA), die Finanzinstitute (ausgenommen Kleinstunternehmen) zur Meldung solcher Daten an die zuständigen Behörden verpflichtet.

Die Übermittlung muss gemäß den von den Europäischen Aufsichtsbehörden (AEV) veröffentlichten Gemeinsamen Leitlinien erfolgen.

Ziel ist es, umfassende und aktuelle Informationen über die finanziellen Auswirkungen von ICT-Vorfällen zu sammeln.

Die Daten sind auf konsolidierter Basis einzureichen.

Die reguläre Frist ist der 31. Mai.

Für das erste Berichtsjahr wurde die Frist jedoch einmalig auf den 30. Juni 2026 verschoben.

Detaillierte operative Anweisungen sind auf der Website der Banca d'Italia verfügbar.

Die EU-Verordnung DORA (Digital Operational Resilience Act) bildet den rechtlichen Rahmen für diese Meldepflicht.

Sie zielt darauf ab, die digitale operationelle Resilienz des europäischen Finanzsektors zu stärken, indem sie einheitliche Anforderungen an das Management von ICT-Risiken und die Meldung von Vorfällen festlegt.

Die von den Europäischen Aufsichtsbehörden (AEV) erarbeiteten Gemeinsamen Leitlinien präzisieren die Methodik für die Schätzung und Meldung der Kosten und Verluste aus ICT-Vorfällen.

Diese Leitlinien gewährleisten einen harmonisierten Ansatz innerhalb der EU.

Die Anforderung der Banca d'Italia setzt diese europäischen Vorgaben um und dient der nationalen Aufsicht, um systemische Risiken durch ICT-Vorfälle frühzeitig zu erkennen und zu bewerten.