Deep Dive 17: Incident Thresholding unter DORA

Was dieser Deep Dive Ihnen zeigt

Wann ein Vorfall meldepflichtig wird – und warum genau das so oft scheitert.

Regulierung	DORA
Thema	Meldepflicht-Schwellenwerte, Bewertungsprozess, Dokumentationspflicht
Kernfrage	Wie wird die Meldepflicht-Entscheidung nachvollziehbar?
Relevanz	Operations, Legal, Compliance, Management
DORA-Artikel	Art. 18–23 DORA – Classification, Reporting, Thresholds

DORA verpflichtet Unternehmen zur Meldung schwerwiegender ICT-bezogener Vorfälle. Die eigentliche Herausforderung liegt dabei selten im Meldeprozess selbst, sondern in der korrekten Einstufung eines Vorfalls.

In der Praxis scheitern viele Organisationen nicht an fehlender Bereitschaft zu melden, sondern an der Frage: Erreicht der Vorfall die relevanten Schwellenwerte – oder nicht?

1. Drei Ansätze zur Einstufung von Incidents

A) Rein juristische Bewertung (allein nicht ausreichend)

Fokus auf formale Meldepflichten

Entscheidung erst nach abschließender rechtlicher Bewertung

Hohe Zurückhaltung bei Unsicherheit

Einordnung

Eine ausschließlich juristische Betrachtung führt häufig dazu, dass Vorfälle zu spät oder gar nicht gemeldet werden.

B) Rein technische Bewertung (riskant)

Orientierung an Logs, Alerts oder Systemmetriken

Fokus auf Dauer, Verfügbarkeit oder technische Störungen

Geringe Einbindung von Business- und Governance-Perspektiven

Einordnung

Technische Bewertungen erfassen oft nicht die regulatorische und geschäftliche Tragweite eines Vorfalls.

C) Integrierte Bewertung (DORA-orientierter Ansatz)

Eine belastbare Einstufung berücksichtigt mehrere Dimensionen gleichzeitig:

Auswirkungen auf kritische oder wesentliche Funktionen

Auswirkungen auf Kundinnen und Kunden

Auswirkungen auf Vertraulichkeit, Integrität oder Verfügbarkeit von Daten

Auswirkungen auf Resilienz und Wiederherstellbarkeit

Zusätzlich fließen ein: Dauer und Zeitpunkt, Wiederholungs- oder Eskalationsrisiken, potenzielle systemische Effekte sowie Abhängigkeiten zu Drittdienstleistern.

2. Wie DORA Meldepflichten einordnet

DORA definiert Meldepflichten nicht über ein einzelnes Kriterium, sondern über eine kombinierte Bewertung von Schwere und Auswirkungen. In die Bewertung fließen unter anderem ein:

Erhebliche Einschränkungen der Verfügbarkeit oder Leistungsfähigkeit

Beeinträchtigungen der Vertraulichkeit oder Integrität von Informationen

Störungen kritischer oder wesentlicher Dienstleistungen

Auswirkungen auf mehrere Kunden, Marktteilnehmer oder Infrastrukturen

Potenzielle Relevanz für Marktstabilität oder Vertrauen

Wichtig Ein Vorfall kann meldepflichtig sein, auch wenn noch kein konkreter Schaden eingetreten ist.

3. Typische Schwachstellen in der Praxis

Verspätete oder unvollständige Erkennung von Vorfällen

Fehlende oder inkonsistente Dokumentation

Unklare Entscheidungsrollen („Wer entscheidet über die Meldung?“)

Zurückhaltung aus Sorge vor Reputations- oder Aufsichtseffekten

Technische Details übergewichtet, Business-Impact vernachlässigt

Fehlende Bewertung von Vorfällen bei Drittdienstleistern

4. Fallstudie

Fallstudie · Der Vorfall, der nicht gemeldet wurde

Ausgangslage

Ein Zahlungsdienstleister erlebt einen rund 40-minütigen Ausfall seiner Autorisierungs-API.

Interne Bewertung

Das technische Team stuft den Vorfall als moderat ein

Legal erkennt keine Datenschutzverletzung

Operations befürchtet negative Außenwirkung

Es wird entschieden, den Vorfall nicht zu melden.

Was danach passiert

Ein großer Kunde macht den Ausfall öffentlich. Die Aufsicht wird aufmerksam und fordert eine Erklärung.

Analyse zeigt

Eine kritische Funktion war betroffen

Die Dauer war weniger entscheidend als die Auswirkungen auf Marktteilnehmer

Die relevanten Schwellenwerte wären voraussichtlich erreicht gewesen

Konsequenzen

Erhöhte aufsichtliche Aufmerksamkeit

Reputationsschaden

Interne Untersuchungen und Nachsteuerung der Prozesse

5. Wie Incident Thresholding unter DORA richtig umgesetzt wird

Integrierte Bewertung: Kombination aus technischer, geschäftlicher und regulatorischer Perspektive.

Vordefinierte Schwellenwerte und Entscheidungskriterien.

Sofortige interne Eskalation bei Unsicherheit.

Dokumentierte Abwägung – auch bei Nicht-Meldung.

Proaktive und konsistente Kommunikation mit der Aufsicht.

Praxis-Impuls

Incident Thresholding ist einer der anspruchsvollsten Teile der DORA-Umsetzung – nicht weil die Regeln fehlen, sondern weil Bewertungen unter Unsicherheit getroffen werden müssen. Entscheidend ist nicht, ob ein Vorfall gemeldet wird – sondern ob die Entscheidung nachvollziehbar, konsistent und begründet getroffen wurde. Dokumentieren Sie auch Nicht-Meldungen. Das ist der Nachweis, den eine Aufsicht im Zweifelsfall verlangt.

Was bleibt

Incident Thresholding ist eine Bewertung, keine Berechnung. DORA verlangt eine integrierte Betrachtung, die technische, geschäftliche und regulatorische Dimensionen kombiniert. Ein rein technisches oder rein juristisches Urteil führt in die Grauzone.

Unsicherheit ist normal – Dokumentation ist notwendig. Wenn unklar ist, ob ein Vorfall die Schwellenwerte erreicht, ist nicht die Entscheidung selbst entscheidend, sondern die Nachvollziehbarkeit der Abwägung. Dokumentation auch bei Nicht-Meldung schützt.

Reputationssorge ist keine juristische Kategorie. Die Angst vor Außenwirkung darf nicht dazu führen, dass ein meldepflichtiger Vorfall nicht gemeldet wird. Der Reputationsschaden der verheimlichten Meldung ist größer als der einer proaktiven Mitteilung.

Vorausschauende Klärung schlägt Retrospektive. Legen Sie vor dem Ernstfall fest, wer entscheidet, welche Daten einbezogen werden und wie die Abwägung dokumentiert wird. Im Vorfall selbst bleibt für Methodendiskussionen keine Zeit.

Weiter vertiefen

Leitfaden Leitfaden DORA Meldepflichten und Schwellenwerte im Detail. Lesen → Self-Check Self-Check DORA Prüfen Sie Ihre Incident-Readiness. Lesen → Krimi Krimi: Der stille Zeuge Wenn Vorfälle zu spät erkannt werden. Lesen →

← Deep Dive 16 Alle Deep Dives Deep Dive 18 →