1 Min
Josefine Spengler erklärt, wie Unternehmen bei Cyberangriffen und Systemausfällen richtig reagieren – und welche Meldefristen DORA setzt.
Ein IT-Vorfall kommt nie gelegen – und doch müssen Unternehmen künftig unter höchstem Zeitdruck reagieren. In Folge 4 unseres Podcasts „Alles Legal – Fintech-Recht kompakt“ spricht Dana Wondra mit Josefine Spengler, Fachanwältin für IT-Recht bei Annerton, über die Meldepflichten bei schwerwiegenden IT-Zwischenfällen unter dem Digital Operational Resilience Act (DORA).
Ob Datenleck, Systemausfall oder Cyberangriff: Sobald ein Vorfall als „schwerwiegend“ gilt, tickt die Uhr. Zum einen, weil man ihn analysieren und schnellstmöglich beheben will. Zum anderen, weil DORA nun verlangt, dass Finanzunternehmen innerhalb von 24 Stunden eine Klassifizierung vornehmen – und spätestens vier Stunden nach dieser Bewertung eine Erstmeldung an die Aufsicht abgeben. Darauf folgen Zwischen- und Abschlussmeldungen, jeweils mit konkreten Inhalten, festen Fristen und standardisierten Formaten.
Besonders relevant: Ein erfolgreicher, böswilliger Zugriff auf Systeme – etwa durch einen Hackerangriff – gilt automatisch als meldepflichtig. Und auch wenn externe Dienstleister betroffen sind, liegt die volle Verantwortung bei den Unternehmen selbst. DORA verlangt daher nicht nur rechtssichere Verträge mit IT-Partnern, sondern auch klare interne Prozesse und abgestimmte Zuständigkeiten.
Josefine Spengler zeigt im Gespräch, welche Fehler in der Praxis häufig auftreten, warum interdisziplinäre Incident-Response-Teams unverzichtbar sind – und wie sich Unternehmen mit Szenarien, Checklisten und Übungen sinnvoll vorbereiten können.
🎧 Jetzt reinhören – und erfahren, wie DORA den Umgang mit IT-Vorfällen neu definiert.
