PSD2: BaFin veröffentlicht aktualisiertes Rundschreiben zur Meldung schwerwiegender Zahlungssicherheitsvorfälle

Das Rundschreiben 03/2022 (BA) zieht die Änderungen der EBA an den Leitlinien für die Meldung schwerwiegender Vorfälle gemäß der Richtlinie (EU) 2015/2366 (PSD2) in der Verwaltungspraxis der BaFin nach. Die EBA hatte diese Leitlinien 2021 überprüft und aktualisiert. Das neue Rundschreiben stellt nun die Rechtslage dar, die ab dem 1. Oktober 2022 gelten wird. Zeitgleich zum Start der neuen Regelungen am 1. Oktober 2022 wird das alte BaFin-Rundschreiben 08/2018 (BA) vom 7. Juni 2018 aufgehoben – bis dahin gilt es fort.

Gemäß § 54 Absatz 1 Satz 1 des Zahlungsdiensteaufsichtsgesetzes (ZAG) hat ein Zahlungsdienstleister die BaFin unverzüglich über einen schwerwiegenden Betriebs- oder Sicherheitsvorfall zu unterrichten. Das BaFin-Rundschreiben konkretisiert die Art und Weise der Meldepflicht der verpflichteten Unternehmen und wann diese ausgelöst wird.

Adressaten des Rundschreibens

Das Rundschreiben richtet sich nicht an alle Zahlungsdienstleister nach dem ZAG. Im Anwendungsbereich befinden sich Zahlungsinstitute und E-Geld-Institute. Zudem sollen sich CRR-Kreditinstitute und die Kreditanstalt für Wiederaufbau an das Rundschreiben halten, wenn diese Zahlungsdienste erbringen. Damit sind die Zentralbanken sowie die öffentliche Hand nicht erfasst.

Das Rundschreiben ist zudem nur anzuwenden, wenn der Zahlungsdienstleister seinen Sitz in Deutschland hat oder es sich um eine Zweigstelle eines Unternehmens mit Sitz außerhalb des EWR handelt (§ 53 Kreditwesengesetz (KWG) und § 42 ZAG).

Neuerungen und Anpassungen sind in diesem Zusammenhang insbesondere deshalb bedeutend, da Betriebs- oder Sicherheitsvorfälle zügig und nicht später als 24 Std. nach Entdeckung klassifiziert sowie innerhalb von vier Std. nach Klassifizierung als schwerwiegend gemeldet werden müssen.

Schwerwiegender Sicherheitsvorfall

Zahlungsdienstleister müssen schwerwiegende Sicherheitsvorfälle an die BaFin melden. Das nun von der BaFin erlassene Rundschreiben (sowie schon dessen Vorgänger-Rundschreiben) soll Zahlungsdienstleister bei der Einstufung eines Sicherheitsvorfalls als „schwerwiegend“ unterstützen.

Die BaFin definiert zunächst was sie unter einem Betriebs- oder Sicherheitsvorfalls versteht. In einem zweiten Schritt kann dann geklärt werden, ob dieser Betriebs- oder Sicherheitsvorfall auch schwerwiegend im Sinne des § 54 ZAG ist. Das Rundschreiben definiert den Begriff des Betriebs- oder Sicherheitsvorfall als 

Hierbei passt die BaFin die Definition im Vergleich zum Vorgänger-Rundschreiben leicht an, ohne dass eine wesentliche inhaltliche Änderung ersichtlich wird.
Um zu ermitteln, ob ein schwerwiegender Sicherheitsvorfall vorliegt, muss der Zahlungsdienstleister eine Bewertung durchführen. Wie unter der bisherigen Verwaltungspraxis der BaFin sieht diese einen Betriebs- und Sicherheitsvorfall als schwerwiegend an, wenn bei der durchzuführenden Bewertung mindestens ein Kriterium der „hohen Auswirkungsstufe“ oder mindestens drei Kriterien der „niedrigen Auswirkungsstufe“ erfüllt werden.

Bewertung der Betriebs- oder Sicherheitsvorfälle

Wie bisher müssen die Zahlungsdienstleister die Betriebs- oder Sicherheitsvorfälle anhand von Kriterien und den diesen Kriterien zugrundeliegenden Indikatoren bewerten. Sobald das jeweilige Kriterium des Betriebs- oder Sicherheitsvorfalls ausgemacht ist, kann dann über (auf das jeweilige Kriterium angepasste) Indikatoren bestimmt werden, ob der Betriebs- oder Sicherheitsvorfall hinsichtlich der Zahlungssicherheit mit niedriger oder hohen Auswirkungsstufe einzustufen ist. Das Rundschreiben listet die nachfolgenden anzuwendenden Kriterien auf:

1. Gesamtwert und Anzahl der betroffenen Zahlungsvorgänge
2. Anzahl der betroffenen Zahlungsdienstnutzer
3. Verletzung der Sicherheit der Netz- und Informationssysteme durch eine böswillige Handlung
4. Dauer der Dienstausfallzeit
5. Wirtschaftliche Auswirkungen des Vorfalles
6. Höhe interner Eskalationsstufe: Wurde der betreffende Vorfall den Führungskräften gemeldet oder wird er diesen wahrscheinlich gemeldet?
7. Systemische Auswirkungen des Vorfalles: Ist ein anderer Zahlungsdienstleister oder maßgebliche Infrastrukturen betroffen?
8. (mögliche) Reputationsschäden des Zahlungsdienstleisters

Dabei führt die BaFin die „Verletzung der Sicherheit der Netz- und Informationssysteme durch eine böswillige Handlung“ als im Vergleich zum derzeit geltenden Rundschreiben neues Kriterium ein.

Die genannten Kriterien sind anhand von bestimmten Schwellenwerten einzustufen. Diese Einstufung hat die BaFin nun (zum Teil) erheblich angepasst. Bei der Einstufung ist zu unterscheiden, ob der Schwellenwert erreicht wurde und wenn ja, ob die Überschreitung eine niedrige oder hohe Auswirkungsstufe darstellt. Hierzu hat die BaFin in ihrem Rundschreiben eine Tabelle veröffentlicht, anhand welcher die Kategorisierung für die Intensität stattfindet. So liegt etwa eine niedrige Auswirkungsstufe vor, wenn mehr als 5.000 Zahlungsdienstnutzer für mehr als eine Stunde vom Vorfall betroffen waren. Sind mehr als 50.000 Zahlungsdienstnutzer betroffen, so liegt eine hohe Auswirkungsstufe vor. Für verschiedene Kriterien wird nun bei den niedrigen Auswirkungsstufen eine Vorfallsdauer von mehr als einer Stunde verlangt.

Wenn keine konkreten Daten für die Bewertung, ob eine Grenze des Schwellenwertes erreicht bzw. überschritten wurde, vorhanden sind und die Bewertung daher mangels Daten nicht durchgeführt werden kann, soll der Zahlungsdienstleister eine Schätzung vornehmen.

Die BaFin verlangt, dass der Zahlungsdienstleister während des Sicherheitsvorfalles die Bewertung laufend durchführt. Eine mögliche Zustandsänderung des Vorfalles soll der Zahlungsdienstleister so schnellstmöglich bemerken und ggf. der BaFin melden.

Meldeverfahren

Der BaFin ist ein schwerwiegender Vorfall mit den relevanten Informationen zu melden. Das Meldeverfahren wird durch die Überarbeitung des Rundschreibens nur leicht geändert. Die Übermittlung der Vorfallsmeldung hat weiterhin über die von der BaFin bereitgestellten Meldewege (Melde- und Veröffentlichungsplattform - MVP-Portal) und elektronischen Formulare zu erfolgen. Eine wesentliche Änderung ist, dass zusätzliche (nicht auf dem Meldeformular abgefragte) Informationen nur noch auf Anforderung durch die BaFin zu übermitteln sind.
Zu unterscheiden ist zwischen Erstmeldung, Zwischenmeldung und Abschlussmeldung eines Sicherheitsvorfalls. Zudem kann es zu delegierten und konsolidierten Meldungen kommen, wenn die Zahlungsdienstleister ihre Meldepflicht an einen Dritten ausgelagert haben.

Erstmeldung

Eine Erstmeldung hat an die BaFin zu erfolgen, sobald ein Betriebs- oder Sicherheitsvorfall als schwerwiegend klassifiziert wurde. Für den zeitlichen Ablauf nennt die BaFin verschiedene Parameter. Neu in das BaFin-Rundschreiben aufgenommen wurde, dass die Klassifizierung eines Vorfalles innerhalb von 24 Stunden durchgeführt werden muss, nachdem der Zahlungsdienstleister ihn entdeckt hat. Allerdings muss dies unverzüglich erfolgen, wenn die entsprechenden Informationen vorliegen. Wenn für die Klassifizierung mehr als 24 Stunden benötigt werden, sind die Gründe hierfür in der Erstmeldung an die BaFin anzugeben. Ob das bedeutet, dass eine Erstmeldung auf Verdacht getätigt werden soll und darin angekündigt werden muss, dass für die Klassifizierung mehr Zeit benötigt werden wird, oder ob das bedeutet, dass bei mehr als 24-stündiger Klassifizierungsarbeiten bei der Erstmeldung angegeben werden muss, warum es zu einer Verzögerung kam, wird leider nicht vollends deutlich. Der Wortlaut „benötigt wird“ statt „benötigt wurde“ deutet auf ersteres hin.

Sobald die Klassifizierung vorgenommen wurde, muss die Erstmeldung innerhalb von 4 Stunden bei der BaFin eingehen.

Auch eine Reklassifizierung/Hochstufung des Vorfalles von nicht schwerwiegend in schwerwiegend ist meldepflichtig.

Bei der Erstmeldung wird von der BaFin eine sogenannte Vorfallsidentifikationsnummer vergeben, die bei allen folgenden Meldungen bezüglich des Vorfalls anzugeben ist.

Zwischenmeldung

Deutlich geändert wird das Konzept der Zwischenmeldungen. Anstatt dass bei Statusänderungen und nach selbst festgelegten Zeitabständen Zwischenmeldungen abzugeben sind, wird nun generell an die (zuvor schon enthaltene) Zwischenmeldung bei Wideraufnahme der regulären Tätigkeiten und Wiederherstellung des Regelbetriebes angeknüpft. Von einer Wiederherstellung des Regelbetriebes ist auszugehen, wenn der Zahlungsdienstleister wieder zu den sonst für ihn üblichen Bedingungen arbeiten kann, die er für Verarbeitungszeiten, Kapazität, Sicherheitsanforderungen festgelegt hat, und keine Notfallmaßnahmen mehr aktiv sind.

Dies bedeutet allerdings nicht, dass das System der Zwischenmeldungen gelockert wurde. Vielmehr hat eine Abkehr von selbstbestimmten Fristen zur Vornahme von Zwischenmeldungen stattgefunden inklusive der Festlegung einer drei Geschäftstages Frist: Wenn innerhalb von drei Geschäftstagen nach der Erstmeldung die reguläre Tätigkeit noch nicht wieder aufgenommen werden konnte, hat der Zahlungsdienstleister ebenfalls eine Zwischenmeldung abzugeben.

Damit müssen sich Meldepflichtige nun darauf einstellen, dass in einem drei-Tages Rhythmus Zwischenmeldungen getätigt werden müssen. Zudem müssen Zwischenmeldungen getätigt werden, wenn sich seit der vorherigen Meldung wesentliche Änderungen ergeben haben. Als Beispiel nennt die BaFin sowohl Verschlimmerungen aber auch Abschwächungen des Vorfalls.

Abschlussmeldung

Der Zahlungsdienstleister muss eine Abschlussmeldung an die BaFin schicken, wenn eine Ursachenanalyse abgeschlossen ist. Darin sind alle ermittelten Gründen und Ursachen für den Sicherheitsvorfall an die BaFin zu übermitteln. Die Abschlussmeldung muss spätestens 20 Geschäftstage, nachdem der Zahlungsdienstleister seinen Regelbetriebe wieder aufgenommen hat, abgegeben werden. Der Zahlungsdienstleister kann jedoch eine Fristverlängerung bei der BaFin unter Angabe von Gründen anfragen.

Zahlungsdienstleister können auch eine sogenannte Gesamtmeldung, die eine kombinierte Erst-, Zwischen- und Abschlussmeldung ist, abgeben, wenn sie alle für die Abschlussmeldung erforderlichen Informationen bereits innerhalb der Frist von vier Stunden seit der Klassifizierung des Vorfalls hat.

Delegierte und konsolidierte Meldung

Zahlungsdienstleister dürfen die dargestellten Meldepflichten auslagern. In der Auslagerungsvereinbarung muss festgelegt sein, wen welche Verantwortlichkeiten treffen. Der Zahlungsdienstleister bleibt für die Erfüllung der Meldepflichten und den Inhalt der Meldung voll verantwortlich und rechenschaftspflichtig.

Bevor eine Delegierung der Meldepflichten erfolgt, muss die BaFin hierrüber informiert werden. Auch ein Widerruf der Delegierung ist der BaFin anzuzeigen.

Stellungnahme

Das Rundschreiben der BaFin steht bereits in einer längeren Tradition, die mit dem Rundschreiben 04/2015 (BA) „Mindestanforderungen an die Sicherheit von Internetzahlungen“ (MaSI) begonnen hat. Im Vergleich zum derzeit noch gültigen Rundschreiben 08/2018 (BA), sind die Änderungen jedoch überschaubar. Die Kriterien, anhand derer ein Sicherheitsvorfall bewertet werden soll, wurde um den Punkt der „Verletzung der Sicherheit von Netz- und Informationssystemen“ erweitert. Ebenfalls überarbeitet wurden das Zwischenmeldungsverfahren. Zudem sind die Schwellenwerte für niedrige und hohe Auswirkungsstufen angepasst worden – teilweise mit deutlichen Erleichterungen für die Zahlungsdienstleister. So sind kurze Unterbrechungen mit überschaubaren Auswirkungen nicht mehr relevant. Dies wird den Zahlungsdienstleistern – aber auch der BaFin – die Arbeit zukünftig erleichtern.

Mit freundlicher Unterstützung von Lea-Sophie Fehling, LL.M. (Glasgow), wissenschaftliche Mitarbeiterin