Die sogenannte Cyberkriminalität, also Attacken, die vornehmlich über das Internet geführt werden, nimmt in allen Bereichen der Wirtschaft zu. Von den vergangenen Angriffen mit sogenannter Ransomware blieben auch große Industrieunternehmen wie beispielsweise die Deutsche Bahn nicht verschont. Besonders empfindlich gegenüber solchen Angriffen ist der Finanzsektor. Dies hat auch der Gesetzgeber erkannt und im Rahmen der Zahlungsdiensterichtlinie II reagiert.
BaFin-Meldepflicht für schwerwiegende Sicherheitsvorfälle bei Zahlungsdienstleistern
Mit Wirkung zum 13. Januar 2018 werden Zahlungsdienstleister verpflichtet, schwerwiegende Betriebs- und Sicherheitsvorfälle an die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) zu melden. Die Zahlungsdienstleister trifft damit nicht nur eine bürokratische Meldepflicht. Sie müssen auch organisatorische Maßnahmen ergreifen, um Sicherheitsvorfälle überhaupt zu identifizieren und sie dann als schwerwiegend einstufen zu können.
Entscheidend für diese Einordnung sind die Richtlinien der Europäischen Bankenaufsicht (EBA). Danach liegt ein Sicherheitsvorfall dann vor, wenn es zu einem Ereignis oder einer Serie von Ereignissen kommt, die vom Zahlungsdienstleister nicht geplant sind und die negative Auswirkungen auf die Integrität, Verfügbarkeit, Vertraulichkeit, Authentizität oder Fortsetzung der Zahlungsdienstleistung haben oder voraussichtlich haben werden. Um zu bestimmen, ob ein solcher Sicherheitsvorfall schwerwiegend ist, hat die EBA verschiedene Kriterien entwickelt. Diese wiederum hat sie in die Kategorien „Hohe Beeinträchtigung“ und „Geringe Beeinträchtigung“ aufgeteilt. Schwerwiegend ist ein Vorfall dann, wenn er in mindestens einem Kriterium eine „Hohe Beeinträchtigung“ oder in drei Kriterien „Geringe Beeinträchtigungen“ erreicht.
Zahlungsdienstleister müssen Sicherheitsvorfälle unverzüglich melden
Eine hohe Beeinträchtigung liegt beispielsweise vor, wenn der Vorfall mehr als 25% der normalerweise durch den Zahlungsdienstleister abgewickelten Transaktionen oder Transaktionen mit einem Gesamtwert von über fünf Millionen Euro betrifft. Eine geringe Beeinträchtigung ist demgegenüber dann gegeben, wenn mehr als 10% aller Transaktionen betroffen sind und diese Transaktionen einen Gesamtwert von über 100.000 Euro erreichen. Ebenfalls als geringe Beeinträchtigung gilt, wenn die Reputation des Zahlungsdienstleisters beeinträchtigt ist oder seine Dienstleistung für länger als zwei Stunden nicht erreichbar ist.
Der Zahlungsdienstleister hat dementsprechend fortlaufend die Funktionstüchtigkeit seiner Systeme zu kontrollieren. Stellt er einen Sicherheitsvorfall fest, kann aber noch nicht absehen, ob dieser schwerwiegend ist oder nicht, hat er eine erste Einschätzung nach bestem Wissen vorzunehmen. Bereits vier Stunden nachdem ein Sicherheitsvorfall entdeckt wurde, ist dieser zusammen mit detaillierten Angaben an die BaFin zu schicken. Die BaFin ist danach fortlaufend über den Stand der Entwicklungen auf dem Laufenden zu halten.
Bereits jetzt auf neue Anforderungen vorbereiten
Die Pflicht zur Meldung schwerwiegender Sicherheitsvorfälle tritt bereits in vier Monaten in Kraft. Bis dahin sollten Zahlungsdienstleister alle notwendigen Vorkehrungen getroffen haben, um Sicherheitsvorfälle zu entdecken, ihre Schwere einzuschätzen und schließlich eine den rechtlichen Anforderungen genügende Meldung an die BaFin zu schicken.
Unsere erfahrenen Anwälte beraten Sie gerne dabei, wie Sie die neuen Anforderungen zügig und effizient umsetzen können. Wir freuen uns auf Ihre Kontaktaufnahme!
Weiterlesen:
Zahlungsdiensterichtlinie II reguliert FinTechs
Aufsichtsrechtliche Pflichten von Zahlungsdienstleistern