Das Rundschreiben 8/2018 ( BA ) zur Meldung schwerwiegender Zahlungssicherheitsvorfälle wurde durch das Rundschreiben 03/2022 (BA) zur Meldung schwerwiegender Zahlungssicherheitsvorfälle gemäß § 54 Abs. 1 ZAG aufgehoben. Vorbemerkung Gemäß § 54 Absatz 1 Satz 1 Zahlungsdiensteaufsichtsgesetz ( ZAG ) hat ein Zahlungsdienstleister die BaFin unverzüglich über einen schwerwiegenden Betriebs- oder Sicherheitsvorfall zu unterrichten. Dieses Rundschreiben enthält Kriterien darüber, wann ein Betriebs- oder Sicherheitsvorfall schwerwiegend und damit meldepflichtig ist, und enthält Regelungen über Format und Verfahren der Meldungen. Sie beziehen sich auf alle Vorfälle, die unter die Definition von „schwerwiegenden Betriebs- oder Sicherheitsvorfällen“ fallen, in die sowohl externe als auch interne Ereignisse, in böswilliger Absicht oder versehentlich verursacht, eingeschlossen sind. Anwendungsbereich Das Rundschreiben gilt für alle Zahlungsinstitute und E-Geld-Institute, sowie für alle CRR -Kreditinstitute und die Kreditanstalt für Wiederaufbau, soweit diese Zahlungsdienste im Sinne des § 1 Absatz 1 Satz 2 ZAG erbringen. Räumlich gilt es nur für Unternehmen mit Sitz im Inland sowie für Institute im Sinne des § 53 Kreditwesengesetz ( KWG ) sowie im Sinne des § 42 ZAG . Die Regelungen dieses Rundschreibens ersetzen die im Rundschreiben 04/2015 ( BA ) „Mindestanforderungen an die Sicherheit von Internetzahlungen“ ( MaSI ) unter Nummer 3.2 genannten Meldepflichten für Zahlungssicherheitsvorfälle. Begriffsbestimmungen Sofern nicht anders angegeben, gelten die Begriffsbestimmungen des ZAG auch für dieses Rundschreiben. Für die Zwecke dieses Rundschreibens gelten darüber hinaus die folgenden Begriffsbestimmungen: Betriebs- oder Sicherheitsvorfall Integrität Verfügbarkeit Vertraulichkeit Authentizität Kontinuität Zahlungsbezogene Dienste 1.1 Ein Betriebs- oder Sicherheitsvorfall ist schwerwiegend und damit meldepflichtig, wenn er auf Grundlage der in diesem Rundschreiben im Folgenden beschriebenen Kriterien und der in 1.3 dargelegten Schwellenwerte – mindestens ein Kriterium der „hohen Auswirkungsstufe“ oder – mindestens drei Kriterien der „niedrigen Auswirkungsstufe“ erfüllt. 1.2 Ein Betriebs- oder Sicherheitsvorfall ist anhand der folgenden grundsätzlichen Kriterien und den zugrunde liegenden Indikatoren zu bewerten: 1.3 Ein Vorfall ist zu bewerten, indem für jedes oben genannte Kriterium ermittelt wird, ob die in Tabelle 1 aufgeführten jeweiligen Schwellenwerte zum Betrachtungszeitpunkt bereits erreicht wurden oder aller Wahrscheinlichkeit nach im weiteren Verlauf des Vorfalls erreicht werden. Tabelle 1 Schwellenwerte * Kernkapital nach Artikel 25 der Verordnung (EU)Nr. 575/2013 des Europäischen Parlaments und des Rates vom 26. Juni 2013 über Aufsichtsanforderungen an Kreditinstitute und Wertpapierfirmen und zur Änderung der Verordnung (EU) Nr. 646/2012 1.4 Falls keine konkreten Daten vorliegen, um genauer beurteilen zu können, ob ein bestimmter Schwellenwert erreicht ist oder aller Wahrscheinlichkeit nach erreicht wird (dies kann beispielsweise während der anfänglichen Untersuchungsphase der Fall sein), so ist auf Schätzungen zurückzugreifen. 1.5 Eine Bewertung des Vorfalls ist während der Dauer des Vorfalls kontinuierlich durchzuführen, um eine mögliche Zustandsänderung – (von nicht schwerwiegend in schwerwiegend oder von schwerwiegend in nicht schwerwiegend) – zu ermitteln. 2. Meldeverfahren 2.1 Alle relevanten Informationen sind zu sammeln und eine Vorfallsmeldung unter Verwendung der von der Bundesanstalt bereitgestellten Meldewege (Melde- und Veröffentlichungsplattform – MVP-Portal ) und elektronischen Formulare zu übermitteln. Falls das MVP -Portal zu dem betreffenden Zeitpunkt nicht verfügbar oder funktionsbereit ist, sollte über die von der Bundesanstalt bekannt gemachten alternativen Kommunikationskanäle eine formlose Information über das Auftreten eines Betriebs- oder Sicherheitsvorfalls erfolgen. Die vollständige Vorfallsmeldung (Erst-, Zwischen- oder Abschlussmeldung) sollte nachgereicht werden, sobald der reguläre Meldekanal wieder verfügbar oder funktionsbereit ist. 2.2 Während der Dauer des Vorfalls ist die Bundesanstalt unter Angabe der bei der Erstmeldung erhaltenen Meldungs-ID zu unterrichten (das heißt bei Erst-, Zwischen- und Abschlussmeldungen, wie in 2.7 bis 2.21 beschrieben). Alle abgefragten Informationen sind nach bestem Bemühen bereitzustellen. Sobald mehr Informationen im Laufe der internen Untersuchungen zutage treten, können Zwischenmeldungen abgegeben werden, um die bis dahin eingereichten Informationen zu ergänzen (siehe 2.11). 2.3 Auf Anfrage der Bundesanstalt ist ggf. eine Kopie der Informationen vorzulegen, die den Zahlungsdienstnutzern gemäß § 54 Absatz 4 ZAG bereitgestellt wurden oder bereitgestellt werden (sofern diese Informationen verfügbar sind). 2.4 Der Bundesanstalt sind alle zusätzlichen und verfügbaren Informationen über die zur Verfügung gestellten Meldewege zukommen zu lassen, die als maßgeblich für die Aufklärung des Sachverhalts erachtet werden. Hierfür steht im elektronischen Formular die Möglichkeit von Dateianhängen im Abschnitt „Ursachenanalyse“ zur Verfügung. 2.5 Auf Nachfrage der Bundesanstalt sind zusätzliche Informationen oder Klarstellungen in Bezug auf die bereits übermittelten Unterlagen zu liefern. 2.6 Die Vertraulichkeit und Integrität der mit der Bundesanstalt ausgetauschten Informationen ist jederzeit zu wahren; auf eine ordnungsgemäße Authentifizierung ist zu achten. Erstmeldung 2.7 Der Bundesanstalt ist eine Erstmeldung zu übermitteln, wenn ein schwerwiegender Betriebs- oder Sicherheitsvorfall erstmalig erkannt wird. 2.8 Die Erstmeldung ist innerhalb von vier Stunden ab der erstmaligen Erkennung des schwerwiegenden Betriebs- oder Sicherheitsvorfalls über die von der Bundesanstalt zur Verfügung gestellten Meldewege zu übermitteln. Eine Erkennung liegt vor, wenn ein Vorfall als schwer-wiegender Vorfall nach den in 1.1 – 1.3 dargelegten Kriterien und Schwellenwerten klassifiziert worden ist. Die Arbeitsabläufe des Zahlungsdienstleisters sind so zu gestalten, dass mindestens während der üblichen Geschäftszeiten des Zahlungsdienstleisters eine zuverlässige Erkennung erfolgen kann. 2.9 Der Bundesanstalt ist ebenfalls eine Erstmeldung zu übermitteln, sobald ein zunächst nicht als schwerwiegend betrachteter Vorfall zu einem schwerwiegenden Vorfall wird. In diesem speziellen Fall ist der Bundesanstalt die Erstmeldung unmittelbar nach Erkennung der Statusänderung zu übermitteln. 2.10 In die Erstmeldung sind Übersichtsinformationen aufzunehmen, um so einige grundlegende Merkmale des Vorfalls sowie seine voraussichtlichen Folgen anhand der Informationen anzugeben, die unmittelbar nach Erkennung oder Neuklassifizierung des Vorfalls verfügbar waren. Liegen keine konkreten Daten vor, ist auf Schätzungen zurückzugreifen. In der Erstmeldung ist zudem das Datum der nächsten Aktualisierung anzugeben, die so schnell wie möglich und nicht später als drei Geschäftstage nach der letzten Meldung zu erfolgen hat. Zwischenmeldung 2.11 Zwischenmeldungen sind zu übermitteln, wenn sich der Status des Vorfalls wesentlich geändert hat. Zwischenmeldungen sind mindestens zu dem in der vorherigen Meldung (Erstmeldung oder vorherige Zwischenmeldung) angegebenen Datum für die nächste Aktualisierung zu übermitteln. Liegen bis zu diesem Zeitpunkt keine wesentlichen neuen Informationen vor, so ist die Bundesanstalt mindestens darüber zu informieren, wann die nächste Aktualisierung erfolgen kann (siehe auch 2.14). 2.12 Der Bundesanstalt ist eine Zwischenmeldung mit einer ausführlicheren Beschreibung des Vorfalls und seiner Folgen zu übermitteln. Darüber hinaus sollten, sofern neue wesentliche Informationen vorliegen, gegebenenfalls zusätzliche Zwischenmeldungen erstellt werden, um die bereits übermittelten Informationen zu aktualisieren, (zum Beispiel wenn sich die Kritikalität des Vorfalls wesentlich erhöht oder aber abgeschwächt hat, wenn neue Ursachen ermittelt wurden oder neue wesentliche Maßnahmen zur Behebung des Problems ergriffen wurden). In jedem Fall hat eine Zwischenmeldung auf Ersuchen der Bundesanstalt zu erfolgen. 2.13 Wie im Fall von Erstmeldungen ist auf Schätzungen zurückzugreifen, wenn keine konkreten Daten verfügbar sind. 2.14 In jeder Meldung ist das Datum der nächsten geplanten Aktualisierung anzugeben, die so schnell wie möglich (bei Vorliegen wesentlicher neuer Informationen) und in keinem Fall später als drei Geschäftstage zu erfolgen hat. Kann ein Zahlungsdienstleister das für die nächste Aktualisierung veranschlagte Datum nicht einhalten, hat er die Bundesanstalt zu kontaktieren, um die Gründe für die Verzögerung zu erläutern und eine neue plausible Frist für die Meldung (nicht später als drei Geschäftstage) vorzuschlagen. Die Meldung kann über eine neue Zwischenmeldung erfolgen, in der nur die Information auf den neuesten Stand gebracht wird, die sich auf das veranschlagte Datum der nächsten Aktualisierung bezieht, oder formlos über die bekannt gemachten Kommunikationskanäle. 2.15 Wenn der Regelbetrieb wiederhergestellt wurde ist eine „letzte Zwischenmeldung“ zu übermitteln, in der die Bundesanstalt über diesen Sachverhalt unterrichtet wird. Der Regelbetrieb sollte als wiederhergestellt betrachtet werden, wenn die Aktivitäten/die Vorgänge wieder dasselbe Leistungsniveau/dieselben Bedingungen in Bezug auf Verarbeitungszeiten, Kapazität, Sicherheitsanforderungen usw. erreichen, die vom Zahlungsdienstleister festgelegt oder extern durch eine Dienstgütevereinbarung (Service Level Agreement) fest-geschrieben wurden, und keine Notfallmaßnahmen mehr aktiv sind. 2.16 Sollte sich der Geschäftsbetrieb vor Ablauf von vier Stunden seit der Erkennung des Vorfalls wieder normalisiert haben, sollte möglichst eine kombinierte Erst- und Zwischenmeldung innerhalb der Frist von vier Stunden übermittelt werden. Abschlussmeldung 2.17 Nachdem die Ursachenanalyse durchgeführt wurde (unabhängig davon, ob Maßnahmen zur Begrenzung der Auswirkungen bereits umgesetzt wurden oder die endgültige Ursache ermittelt wurde) und konkrete Zahlen zur Ersetzung der Schätzungen vorliegen, ist eine Abschlussmeldung zu übermitteln. 2.18 Die Abschlussmeldung ist der Bundesanstalt innerhalb von zwei Wochen nachdem der Regelbetrieb wiederhergestellt wurde zu übermitteln (in der Regel also innerhalb von zwei Wochen nach der letzten Zwischenmeldung). Wird eine Verlängerung dieser Frist benötigt (weil zum Beispiel noch keine konkreten Zahlen zum Vorfall vorliegen), hat ein Zahlungsdienstleister vor Ablauf der Frist die Bundesanstalt über die bekannt gemachten Kommunikationskanäle zu kontaktieren und eine angemessene Begründung für die Verzögerung vorzulegen sowie ein neues Datum für die Abschlussmeldung vorzuschlagen. 2.19 Falls alle für die Abschlussmeldung erforderlichen Informationen innerhalb der Frist von vier Stunden nach der Erkennung des Vorfalls bereits vorliegen, kann eine kombinierte Erst-, Zwischen- und Abschlussmeldung als „Gesamtmeldung“ über das MVP-Portal übermittelt werden. 2.20 In der Abschlussmeldung sind möglichst vollständige Angaben zu machen, das heißt i) konkrete Zahlen zum Vorfall statt Schätzungen (sowie jede weitere ggf. erforderliche Aktualisierung der Angaben die zuvor im Rahmen der Erst- und Zwischenmeldungen erfolgt sind) und ii) Angaben zur Hauptursache des Vorfalls (root cause), sofern bereits bekannt, und eine Übersicht über die Maßnahmen, die zur Behebung des Problems oder zur Verhinderung seines künftigen erneuten Auftretens ergriffen wurden oder geplant sind. 2.21 Falls ein Zahlungsdienstleister infolge der kontinuierlichen Bewertung des Vorfalls feststellt, dass ein bereits gemeldeter Vorfall die betreffenden Kriterien für einen schwerwiegenden Vorfall nicht mehr erfüllt und nicht davon auszugehen ist, dass der Vorfall diese Kriterien vor seiner Lösung erfüllen wird, so ist die Bundesanstalt über die Reklassifizierung so schnell wie möglich und spätestens bis zu dem für die nächste Meldung veranschlagten Datum zu informieren. Im elektronischen Formular sind dafür das Feld „Vorfall nicht mehr als schwerwiegend klassifiziert“ anzukreuzen und die Gründe für diese Herabstufung zu erläutern. 3. Delegierte und konsolidierte Meldung 3.1 Sollten Zahlungsdienstleister die in diesem Rundschreiben aufgeführten Meldepflichten an einen Dritten delegieren (auslagern), sind folgende Bedingungen zu erfüllen: a) In einem förmlichen Vertrag oder in den gegebenenfalls innerhalb einer Gruppe bestehenden internen Regelungen, der bzw. die der delegierten Meldung zwischen dem Zahlungsdienstleister und dem Dritten zugrunde liegt beziehungsweise liegen, ist die Zuordnung der Verantwortlichkeiten aller Parteien eindeutig festgelegt. Insbesondere wird in einem solchen Vertrag oder Regelungen klar dargelegt, dass der betreffende Zahlungsdienstleister, unabhängig von der möglichen Delegierung der Meldepflichten, für die Erfüllung der Pflichten gemäß § 54 ZAG sowie für den Inhalt der an die Bundesanstalt zu übermittelnden Informationen weiterhin in vollem Umfang verantwortlich und rechenschaftspflichtig ist. b) Die Delegierung steht im Einklang mit den Anforderungen für Auslagerungen wichtiger betrieblicher Aufgaben gemäß c) Die Information über die Delegation der Meldepflicht wird der Bundesanstalt über die bekannt gemachten Kommunikations-kanäle vorab übermittelt. d) Die Vertraulichkeit sensibler Daten sowie die Qualität, die Konsistenz, die Integrität und die Zuverlässigkeit der an die Bundesanstalt zu übermittelnden Informationen werden ordnungsgemäß gewährleistet. 3.2 Zahlungsdienstleister, die einem Dritten die Erfüllung der Meldepflichten auf konsolidierte Weise gestatten möchten (das heißt durch Vorlage einer einzigen Meldung, die sich auf mehrere Zahlungsdienstleister bezieht, welche von demselben Betriebs- oder Sicherheitsvorfall betroffen sind), haben sicherzustellen, dass dabei die folgenden Bedingungen erfüllt sind: 3.3 Meldepflichten sind nicht vor Unterrichtung der Bundesanstalt zu delegieren. Des Weiteren können Meldepflichten nicht delegiert werden, falls ein Zahlungsdienstleister in Kenntnis gesetzt wurde, dass die Auslagerungsvereinbarung mit dem Dritten die in 3.1(b) genannten Anforderungen nicht erfüllt. 3.4 Wenn Zahlungsdienstleister die Delegierung ihrer Meldepflichten widerrufen möchten, ist diese Entscheidung der Bundesanstalt über die bekannt gemachten Kommunikationskanäle mitzuteilen. Außerdem sollten die Zahlungsdienstleister die Bundesanstalt von jeder wesentlichen Entwicklung in Bezug auf den benannten Dritten und dessen Fähigkeit, den Meldepflichten nachzukommen, in Kenntnis setzen. 3.5 Falls es der benannte Dritte unterlässt, die Bundesanstalt entgegen der getroffenen Vereinbarungen von einem schwerwiegenden Betriebs- oder Sicherheitsvorfall gemäß § 54 ZAG und diesem Rundschreiben zu unterrichten, so haben die Zahlungsdienstleister sicherzustellen, dass sie ihre Meldepflichten auch ohne externe Unterstützung erfüllen können. Des Weiteren sollten Zahlungsdienstleister sicherstellen, dass ein Vorfall nicht zweimal gemeldet wird, zum einen vom betreffenden Zahlungsdienstleister und ein weiteres Mal von dem benannten Dritten. 4. Betriebs- und Sicherheitsrichtlinie 4.1 Es ist sicherzustellen, dass alle Verantwortlichkeiten für die Meldung von Vorfällen gemäß ZAG sowie die umgesetzten Prozesse zur Einhaltung der in den vorliegenden Rundschreiben beschriebenen Anforderungen, in den Betriebs- und Sicherheitsrichtlinien klar definiert sind.