Die DORA-Meldekaskade ist seit dem 17. Januar 2025 scharf: 24 Stunden Frühwarnung, 72 Stunden Zwischenbericht, ein Monat Abschlussbericht. In der Praxis scheitern Finanzunternehmen weniger an der Technik als an der Frage, wer was wann freigibt und in welchem Format. Hier eine pragmatische Anleitung für die 24-Stunden-Erstmeldung.

Wann die 24-Stunden-Uhr läuft

Die Uhr startet ab Kenntnisnahme des Vorfalls als 'erheblicher ICT-bezogener Vorfall' im Sinne von DORA Art. 18. Nicht ab der ersten Anomalie, sondern ab der internen Klassifizierung.

Die Schwellen sind durch Delegierte Verordnungen präzisiert: Anzahl betroffener Kunden, Dauer, geographische Verbreitung, Datenintegrität, kritische Dienste, ökonomische Auswirkungen. Mindestens eine Schwelle reißen reicht.

Praktisch: das SOC braucht eine klare Eskalationsmatrix und einen designierten Klassifizierer (typischerweise CISO oder IT-Risikoverantwortlicher) der die Entscheidung 'meldepflichtig: ja/nein' trifft und dokumentiert.

Pflichtfelder der Erstmeldung

Identifikation des meldenden Finanzunternehmens (Name, LEI, BaFin-ID).

Datum und Uhrzeit der Vorfallserkennung sowie der Klassifizierung.

Kurzbeschreibung: betroffene Systeme, Dienste, Geschäftsfelder.

Erste Einschätzung der Ursache (technisch, menschlich, dritte Partei, unbekannt).

Anzahl betroffener Kunden bzw. Schätzung.

Sofortmaßnahmen, die bereits ergriffen wurden.

Kontakt für Rückfragen (Person, Mail, Telefon, 24/7 erreichbar).

Was nicht in die Erstmeldung gehört

Spekulationen über Ursache, die nicht belegt sind. Lieber 'unbekannt, in Analyse' als eine später widerrufene Theorie.

Schadenshöhen, die nicht ermittelt sind. Bei der 24h-Marke ist das in der Regel nicht möglich.

Schuldzuweisungen an Dritte ohne forensische Belege.

Daten, die unter Geschäftsgeheimnis fallen und nicht meldepflichtig sind.

Trail-Dokumentation

Die BaFin (und nach Art. 19 die EBA, EIOPA, ESMA) erwarten einen lückenlosen Eskalations-Trail: Wer hat wann was entschieden, welche Quellen waren verfügbar.

Empfehlung: ein durchgängiges Incident-Memo mit Zeitstempeln, Entscheidungen, Freigaben. Genau die Struktur, die DecisionOS auch für Beschaffungsentscheidungen produziert.

Das Memo dient zwei Zwecken: regulatorische Nachvollziehbarkeit für den Prüfer, organisationale Lernschleife für die nächste TLPT-Übung.

Die häufigsten Fehler

Erstmeldung zu spät: weil die Klassifizierung im Konsens-Verfahren erfolgt statt durch einen designierten Verantwortlichen.

Erstmeldung zu früh: weil jeder Vorfall reflexhaft gemeldet wird, ohne dass die Schwellen tatsächlich erreicht sind. Führt zu Aufsichts-Ermüdung und Wahrnehmung mangelnder Fähigkeit.

Erstmeldung unvollständig: weil Kontaktperson nicht 24/7 erreichbar war.

Erstmeldung inkonsistent zur 72h-Folgemeldung: weil die Anfangszahlen geraten waren.

Vorbereitung: Tabletop und Trail-Vorlage

Wer den Prozess das erste Mal im Ernstfall durchspielt, scheitert. DORA Art. 25 verlangt ohnehin operative Resilienz-Tests. Mindestens halbjährlich eine Tabletop-Übung mit echter Stoppuhr, mit Klassifizierung, Meldung, Trail-Dokumentation. Vorlage und Pflichtfelder müssen in einem auditfähigen Werkzeug liegen, nicht in einer Excel-Tabelle.

DORA 24-Stunden-Erstmeldung: Was wirklich rein muss