Hier geht's zu unseren Stellenangeboten
  Kontakt   msg-Gruppe

Eine starke Unternehmensgruppe

Login BLOG
msg Logo

Regulatorik

Neue Meldepflichten für Versicherer und IT-Dienstleister – Teil 1: Finanzsektor-spezifische Regulatorik in Europa und der Schweiz

Von Alexandra Helmert , Stefan Nörtemann / 14. Juli 2025

Einleitung

Die fortschreitende Digitalisierung und der intensive Einsatz komplexer IT-Systeme prägen heute die Arbeitsweise von Versicherungsunternehmen. Diese Entwicklung eröffnet Chancen, bringt jedoch auch wachsende Risiken mit sich. Cyberangriffe, Systemausfälle oder andere Störungen sind Bedrohungen, denen Versicherer zunehmend ausgesetzt sind.

 

Um dem entgegenzuwirken, haben europäische und schweizerische Gesetzgeber in den letzten Jahren Rahmenwerke geschaffen, die auf eine höhere Cybersicherheit und stärkere Resilienz abzielen. Ein zentraler Bestandteil dieser Vorgaben sind klare Mechanismen und Verfahren für den Umgang mit schwerwiegenden Vorfällen, insbesondere deren Meldung.

 

Diese Meldepflichten betreffen nicht nur die Versicherer selbst, sondern auch ihre IT-Dienstleister, also externe Softwareanbieter und IT-Servicepartner. Ein Vergleich der regulatorischen Anforderungen in der EU und der Schweiz zeigt: Die regulatorischen Anforderungen verfolgen dieselben Ziele und haben viele Gemeinsamkeiten. Ein genauerer Blick offenbart jedoch auch Unterschiede, etwa in Bezug auf Meldewege, Fristen und Inhalte gibt es teils deutliche Unterschiede – mit wichtigen Auswirkungen für alle Beteiligten.

 

Meldepflichten im Finanzsektor: DORA vs. FINMA-Aufsichtsmitteilungen

In der EU regelt der Digital Operational Resilience Act (DORA) die Pflichten zur Meldung von IKT-Vorfällen besonders umfassend. Meldepflichtig sind sogenannte „schwerwiegende IKT-Vorfälle“ (DORA, Art. 30 Abs. 3 lit. b)). Darunter versteht man Ereignisse, die erhebliche nachteilige Auswirkungen auf die Netzwerk- und Informationssysteme eines Finanzunternehmens haben, insbesondere wenn dadurch kritische oder wichtige Funktionen betroffen sind (DORA, Art.3, Abs. 22). Zu den meldepflichtigen Vorfällen zählen unter anderem: Cybersicherheitsvorfälle, System- oder Prozessausfälle, zahlungsbezogene Störungen, externe Ereignisse (z. B. durch Dienstleister oder Naturereignisse), sowie sonstige relevante Störungen.

 

Was als „schwerwiegend“ gilt, regeln detaillierte Kriterien und Schwellenwerte, die in separaten delegierten Verordnungen festgelegt sind – insbesondere in (EU) 2024/1772, (EU) 2025/301 und (EU) 2025/302. Diese definieren auch die einzuhaltenden Meldefristen und die erforderlichen Angaben für die Meldung.

 

Im Vergleich dazu ist der Ansatz in der Schweiz deutlich fokussierter: Gemäß Art. 29 Abs. 2 FINMAG* sind nur „Cybervorfälle mit wesentlicher Bedeutung“ meldepflichtig. Auch in der Schweiz steht dabei der Bezug zu kritischen Funktionen im Zentrum, d.h. zu Tätigkeiten, deren Beeinträchtigung den Schutz von Versicherten wesentlich gefährden könnte (FINMA-Aufsichtsmitteilung 05/2020). Cybervorfälle mit wesentlicher Bedeutung müssen unverzüglich gemeldet werden. Was unverzüglich bedeutet, definiert die FINMA in der Aufsichtsmitteilung 03/2024. Die Erstmeldung hat innerhalb von 24 Stunden nach Entdeckung einer Cyber-Attacke an den zuständigen FINMA-Aufsichts-Key Account Manager zu erfolgen. Die vollständige Meldung folgt innerhalb von 72 Stunden über die webbasierte Erhebungs- und Gesuchsplattform (EHP).

 

IT- Drittanbieter im Fokus der Finanzaufsicht

Nicht nur Versicherer selbst, sondern auch ihre IT-Dienstleister geraten zunehmend in den Fokus regulatorischer Anforderungen. Sowohl in der EU als auch in der Schweiz gilt: Das beaufsichtigte Unternehmen bleibt letztlich verantwortlich, auch für Vorfälle, die bei ausgelagerten IT-Diensten auftreten. Selbst wenn vertraglich geregelt ist, dass der Dienstleister die Meldung übernimmt, liegt die Verantwortung weiterhin beim Versicherer.

 

Bezieht ein Versicherer IT-Dienstleistungen, die kritische oder wichtige Funktionen betreffen, oder lagert er solche Funktionen ganz aus, muss sichergestellt sein, dass auch beim Drittanbieter ein funktionierendes Meldewesen etabliert ist. Die regulatorische Verantwortung endet also nicht an der Unternehmensgrenze.

 

EU: Meldepflicht auch für IKT-Drittanbieter

Die DORA-Verordnung formuliert ausdrücklich eine eigene Meldepflicht für IKT-Drittdienstleister. Meldepflichtig sind dabei alle Entwicklungen, die sich wesentlich auf die Fähigkeit des Dienstleisters auswirken, IKT-Dienstleistungen gemäß vereinbarter Service Level bereitzustellen (DORA Art. 30 Abs. 3 lit. b).

 

Interessanterweise macht DORA keine konkreten Vorgaben zu Fristen und Meldeinhalten für den Drittanbieter selbst. Für den Versicherer hingegen beginnt die Meldefrist – in der Regel 24 Stunden – ab dem Zeitpunkt, zu dem er Kenntnis vom Vorfall erlangt. Fällt das Fristende auf ein Wochenende oder einen Feiertag, muss die Meldung am nächsten Arbeitstag bis spätestens 12:00 Uhr eingereicht werden.

 

Schweiz: Gleichstellung von Institut und Dienstleister

In der Schweiz verfolgt die FINMA einen anderen Ansatz: Hier gelten für Versicherer (oder: das beaufsichtigte Institut), den Drittdienstleister sowie etwaige Subdienstleister dieselben Meldeanforderungen (FINMA-Aufsichtsmitteilung 03/2024). Diese Gleichstellung hat direkte Auswirkungen auf die Meldepraxis.

 

Die Meldefrist beginnt nicht erst beim Versicherer, sondern bereits dann, wenn entweder das beaufsichtigte Institut selbst oder der beauftragte Drittanbieter den Cybervorfall entdeckt. Die Fristen gelten grundsätzlich nur an offiziellen Bankarbeitstagen – mit Ausnahme besonders schwerwiegender Attacken, die auch an Wochenenden oder Feiertagen innerhalb von 24 Stunden gemeldet werden müssen.

 

Enge Zusammenarbeit ist Pflicht – in beiden Rechtsräumen

Unabhängig vom Rechtsraum gilt: Die Mitwirkung der Dienstleister im Meldewesen ist essenziell. Versicherer müssen sicherstellen, dass ihre Partner im Ernstfall schnell, koordiniert und regelkonform agieren. Im schweizerischen Recht stellt dies eine besondere Herausforderung dar, denn die regulatorischen Pflichten gelten für die Versicherer und Dienstleister gleichermaßen.

 

Genau hier setzen wir als erfahrener Dienstleister mit Branchenfokus an. Durch klare Prozesse, abgestimmte Incident-Workflows und ein tiefes Verständnis der regulatorischen Rahmenbedingungen schaffen wir die Voraussetzungen für eine regelkonforme und fristgerechte Meldung. Enge Zusammenarbeit ist Pflicht, um im Ernstfall reibungslos und abgestimmt agieren zu können. Nur so lassen sich regulatorische Anforderungen effektiv erfüllen.

 

*FINMAG: Finanzmarktaufsichtsgesetz der Eidgenössischen Finanzmarktaufsicht

mehr von
Alexandra Helmert

Inhaltsverzeichnis

INTERESSE AN MEHR?

Abonnieren Sie unseren Blog und bleiben Sie gut informiert.

Sie können Ihre Zustimmung jederzeit widerrufen

DORA FINMA Meldepflichten
Regulatorik
Resilienz und Cybersicherheit als Fundament digitaler Infrastrukturen: Versicherer und Softwareanbieter in einem Boot
1. April 2025