Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat in ihrem Bericht zu den Fokusrisiken 2026 die zunehmende Bedrohung durch Cybervorfälle als eines der zentralen Risiken für Unternehmen und Finanzinstitute hervorgehoben. Neben der steigenden Zahl von Ransomware-Angriffen und gezielten Attacken auf kritische Infrastrukturen rückt ein Aspekt besonders in den Fokus: die Meldepflichten bei Cybervorfällen.
Meldepflichten bei Cybervorfällen – Strengere Überwachung durch die BaFin
Die BaFin betont, dass die Einhaltung der Meldepflichten bei Cybervorfällen im Finanzsektor von zentraler Bedeutung ist, um die Auswirkungen solcher Angriffe zu minimieren und die Sicherheit des Finanzsystems zu gewährleisten. Unternehmen sind gesetzlich verpflichtet, schwerwiegende IT-Sicherheitsvorfälle unverzüglich zu melden. Dies betrifft insbesondere Vorfälle, die die Verfügbarkeit, Vertraulichkeit oder Integrität von IT-Systemen und Daten gefährden und somit potenziell die Stabilität des Unternehmens oder des Finanzmarktes beeinträchtigen könnten.
Die BaFin hat angekündigt, die Einhaltung dieser Meldepflichten künftig noch strenger zu überwachen. Unternehmen, die ihrer Meldepflicht nicht nachkommen, müssen mit Sanktionen rechnen. Ziel ist es, durch eine frühzeitige Meldung die Reaktionsfähigkeit zu erhöhen, Schäden zu begrenzen und die Zusammenarbeit zwischen Unternehmen und Behörden zu verbessern.
Zahlen zu Cybervorfällen
Im Bericht der BaFin wird auf die steigende Zahl von Cybervorfällen hingewiesen, die insbesondere durch Angriffe und gezielte Attacken auf kritische Infrastrukturen geprägt sind. In den ersten drei Quartalen 2025 wurden der BaFin 525 schwerwiegende IKT-Vorfälle gemeldet, von denen rund 70 Prozent von Kreditinstituten stammten.
Handlungsempfehlungen
Für das Informationssicherheitsmanagement (ISMS), Datenschutz und Qualitätsmanagement bedeutet dies, dass interne Prozesse zur Erkennung, Bewertung und Meldung von Cybervorfällen optimiert werden sollten. Dazu gehören:
- Einrichtung eines Meldeprozesses:
Unternehmen sollten klare interne Prozesse definieren, um Cybervorfälle schnell zu erkennen, zu bewerten und an die zuständigen Behörden zu melden. - Schulung der Mitarbeitenden:
Regelmäßige Schulungen sind notwendig, um das Bewusstsein für Cyberrisiken zu schärfen und sicherzustellen, dass Mitarbeitende wissen, wie sie im Falle eines Vorfalls reagieren müssen. - Zusammenarbeit mit Behörden:
Unternehmen sollten sicherstellen, dass sie die Anforderungen der BaFin und anderer relevanter Behörden kennen und einhalten. Dazu gehört auch die Nutzung von Meldeplattformen wie der des BSI oder der BaFin. - Regelmäßige Überprüfung der IT-Sicherheitsmaßnahmen:
Managementsysteme sollten regelmäßig auf ihre Wirksamkeit überprüft und an neue Bedrohungslagen angepasst werden.
Fazit
Die Zunahme von Cybervorfällen und die striktere Überwachung der Meldepflichten im Finanzsektor durch die BaFin machen deutlich, dass Unternehmen ihre IT-Sicherheitsstrategien und Meldeprozesse dringend überarbeiten müssen. Und das sicher nicht nur bezogen auf den Finanzsektor. Das Managementsystem spielt hierbei eine zentrale Rolle, um die Resilienz ihrer Organisationen zu stärken und die Einhaltung regulatorischer Anforderungen sicherzustellen.
Hier finden Sie weitere Informationen der BaFin zum Thema Risiken aus Cyber-Vorfällen mit gravierenden Auswirkungen