Der erste jährliche Bericht der Europäischen Aufsichtsbehörden (EBA, EIOPA und ESMA, zusammen ESA) zu schwerwiegenden IKT-Vorfällen im EU-Finanzsektor zeigt: Rund ein Drittel der 3.383 gemeldeten Vorfälle hatte grenzüberschreitende Auswirkungen. Das unterstreicht die zunehmende Vernetzung durch gemeinsame Infrastrukturen und Dienste. Gleichzeitig waren die direkten Auswirkungen auf Kunden und Transaktionen im Allgemeinen begrenzt, insbesondere im Assetmanagement.

Hauptursachen der Meldungen waren Systemausfälle und externe Ereignisse. Das verdeutlicht die Notwendigkeit eines robusten Risikomanagements bei Dritten, einer wirksamen Überwachung ausgelagerter Dienste und einer engen Abstimmung mit Dienstleistern bei der Bewältigung und Behebung von Vorfällen.

Nur zehn Prozent der gemeldeten Vorfälle standen im Zusammenhang mit Cybersicherheit. Dennoch weisen die Behörden darauf hin, dass die jüngste Entwicklung hochleistungsfähiger KI-gestützter Tools Anlass sein sollte, die Cybersicherheitsmaßnahmen zu verstärken, um die Widerstandsfähigkeit auch in Zukunft zu gewährleisten.

Die EU-Behörden ziehen aus den Ergebnissen die Erkenntnis, dass IKT-Risiken zunehmend systemische Bedeutung erlangen. Gleichzeitig tragen die über DORA geschaffenen Anforderungen dazu bei, Resilienz, Aufsicht und Datenqualität kontinuierlich zu verbessern. Ziel ist es, künftige Vorfälle im Finanzsektor zu verhindern, abzufedern und zu bewältigen. Die Meldung schwerwiegender Vorfälle ist dabei ein Schlüsselelement: Sie ermöglicht eine zeitnahe Information der Aufsichtsbehörden über die IKT-Risiken. Außerdem unterstützt sie eine wirksame Koordinierung zwischen den zuständigen Behörden und stärkt die allgemeine Resilienz und Stabilität des EU-Finanzsystems.

Die EU-Behörden kündigen außerdem in dem Bericht noch in diesem Jahr ein neues IT-Tool für die Meldung schwerwiegender Vorfälle durch die zuständigen Behörden an die ESA an: Mit automatisierten Validierungsprüfungen und Rückmeldemechanismen soll die Datenqualität, -erhebung und -verarbeitung erheblich verbessert werden. Darüber hinaus erwarten die ESA durch eine Verknüpfung mit dem DORA-Informationsregister zusätzliche Erkenntnisse zu systemischen IKT-Risikokonzentrationen im gesamten Finanzsektor.