Gehackt, gecheckt, gemeldet : Eine Einordnung der Meldepflichten für IKT-Vorfälle gemäß DORA

Das zuständige Bundesinnenministerium hatte mit dem NIS-2-Umsetzungsgesetz Transparenz und Bürokratieabbau versprochen. Nach der Verbändeanhörung am 3. Juni 2024 stellte das BMI in Aussicht, „das Meldewesen klarer und leichter gestalten“ zu wollen und eine einheitliche, voll digitalisierte Gesamtlösung für Registrierungs- und Meldemöglichkeiten nach NIS2UmsuCG und KRITIS-DachG zu schaffen. Dennoch wurden im (offiziellen) Regierungsentwurf des NIS2UmsuCG keine der angekündigten Anpassungen umgesetzt. Dies gilt auch für die auf den 29. November 2024 datierte Formulierungshilfe des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes [6], die von AG KRITIS veröffentlicht wurde.

Klare und einfache Regelungen – etwa das BSI als einzige zentrale Meldestelle oder Vereinfachungen bei der Meldung von Sicherheitsvorfällen – lässt auch diese (inoffizielle) Version vermissen (vgl. [7]). Allerdings erscheint zum Redaktionsschluss dieser Ausgabe schon allein aus Zeitgründen unwahrscheinlich, dass der Bundestag noch vor den Neuwahlen am 23. Februar 2025 das NIS2UmsuCG oder KRITIS-DachG in den jeweils aktuellen Versionen verabschieden wird.

Fragen wie diese stellen sich bei der Umsetzung von DORA nicht, denn anders als bei NIS-2- und CER-Richtlinie, für deren Anwendung die Umsetzung in die nationale Gesetzgebung der Mitgliedstaaten erforderlich ist, gilt DORA für Finanzunternehmen seit dem 17. Januar 2025 unmittelbar und unwiderruflich. Die Aufsichtsbehörden – in Deutschland die BaFin – haben frühzeitig signalisiert, dass sie für den Start der DORA-Anwendung vorbereitet sind und die betroffenen Finanzunternehmen über ihre Erwartungen informiert haben.

Dies gilt auch für die komplexen, jedoch für viele betroffene Unternehmen neuen Meldepflichten für Sicherheitsvorfälle – in der Nomenklatur der BaFin sogenannte „IKT-Vorfälle“. Sowohl bezüglich der Betroffenheit, des Melderegimes, der Fristen als auch der Inhalte der Meldungen herrscht eine weitgehende Transparenz. Die Vorgaben sind komplex, jedoch europaweit einheitlich – und die BaFin ist darauf vorbereitet, Meldungen sofort entgegenzunehmen. Ein Vorbild für die Meldepflichten gemäß NIS-2 und KRITIS-DachG?

Wer muss melden?

Der Geltungsbereich von DORA ist bewusst breit angelegt und umfasst neben Banken, Versicherungen und Zahlungsdienstleistern auch Asset-Management-Gesellschaften, Börsen, Märkte sowie Anbieter von Krypto-Asset-Diensten. Darüber hinaus gibt es eine nationale Anwendungsbereichserweiterung gemäß § 1a KWG, die Institute und Versicherungsholding-Gesellschaften einschließt (www.gesetze-im-internet.de/kredwg/__1a.html, vgl. [8]).

Der Begriff Finanzunternehmen, auf die sich die Meldepflichten beziehen, ist in Art. 2 Abs. 2 DORA definiert. Laut BaFin umfasst dieser eine Vielzahl von Unternehmen, darunter CRR-Kreditinstitute, Zahlungsinstitute (inkl. registrierter Kontoinformationsdienstleister), E-Geld-Institute, Wertpapierfirmen, Anbieter von Krypto- Dienstleistungen (MiCA), Zentralverwahrer (CSD), zentrale Gegenparteien (CCP), Handelsplätze, Transaktionsregister, Verwaltungsgesellschaften, Alternative-Investment- Fund-Managers (AIFM), Datenbereitstellungsdienste, Versicherungs- und Rückversicherungsunternehmen, Versicherungsvermittler, Einrichtungen der betrieblichen Altersversorgung (EbAV), Ratingagenturen, Administratoren kritischer Referenzwerte, Verbriefungsregister sowie Schwarmfinanzierungsdienstleister [9].

DORA macht demnach auch eine nationale Begleitgesetzgebung notwendig. Dies erfolgt im Rahmen des Finanzmarktdigitalisierungsgesetzes (FinmadiG [10]), das Auswirkungen auf die nationalen Aufsichtsgesetze hat (u. a. KWG, VAG, ZAG, WpHG, WpIG, KAGB, BörsG, KMAG, GewO). Die BaFin betont hierbei das Prinzip der Proportionalität, das bei der Umsetzung berücksichtigt wurde: Dies bedeutet einerseits eine Verhältnismäßigkeit bei den Anforderungen an Resilienz und Informationssicherheit, andererseits jedoch auch Ausnahmen und Vereinfachungen für bestimmte (kleinste) Unternehmen. Für NIS-2-regulierte Finanzunternehmen gelten diese Vereinfachungen, etwa hinsichtlich der Meldefristen, jedoch nicht (Lex-specialis-Grundsatz).

IKT-Meldepflichten gelten grundsätzlich nicht für IKT-Drittdienstleister. Eine Ausnahme bildet jedoch die Möglichkeit sogenannter „aggregierter Meldungen“ gemäß Art. 7 ITS-E (Entwurf des zug. „Implementing Technical Standards“ der European Banking Authority, EBA). Diese Ausnahme erlaubt es einem Drittdienstleister, eine Sammelmeldung an die BaFin vorzunehmen, wenn ein Sicherheitsvorfall mehrere Finanzunternehmen betriff t. Voraussetzung hierfür ist, dass die betroffenen Finanzunternehmen dem IKT-Dienstleister zuvor die relevanten Informationen bereitstellen, die dieser im Rahmen der Meldung übermittelt (siehe S. 11 in [5]). Wichtig ist, dass diese Ausnahme nicht für bedeutende Kreditinstitute, Betreiber von Handelsplätzen oder zentrale Gegenparteien gilt: Die BaFin hat hierzu eine Generalerlaubnis erteilt, die es beaufsichtigten Finanzunternehmen ermöglicht, unter Beachtung der Vorgaben von Art. 7 ITS-E ohne gesonderten Antrag von der Möglichkeit aggregierter IKT-Vorfallsmeldungen Gebrauch zu machen.

Was ist zu melden?

Gemäß Art. 19 DORA sind Finanzunternehmen verpflichtet, schwerwiegende IKT-bezogene Vorfälle direkt an die BaFin zu melden. Ein schwerwiegender IKT-bezogener Vorfall wird in Art. 3 Nr. 10 DORA definiert als ein Vorfall, der umfassende nachteilige Auswirkungen auf die Netzwerk- und Informationssysteme hat, die kritische oder wichtige Funktionen des Finanzunternehmens unterstützen (siehe S. 5 in [5]).

Ein (einfacher) IKT-bezogener Vorfall wird hingegen in Art. 3 Nr. 8 DORA wie folgt beschrieben: als (1) ein nicht geplantes Ereignis oder eine Reihe verbundener Ereignisse, das (2) die Sicherheit der Netzwerk- und Informationssysteme beeinträchtigt und (3) nachteilige Auswirkungen auf die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Daten oder auf erbrachte Dienstleistungen hat.

Nicht jeder IKT-Vorfall ist jedoch automatisch meldepflichtig. Ob ein solcher Vorfall zu einem „schwerwiegenden“ (meldepflichtigen) Vorfall wird, hängt davon ab, ob bestimmte, vom Regulierer festgelegte Kriterien erfüllt sind.

Melderegime und Kriterien für schwerwiegende IKT-Vorfälle

Zur Beurteilung, ob ein Vorfall als schwerwiegend einzustufen ist, stehen Finanzunternehmen sieben Klassifizierungskriterien zur Verfügung, die in den Art. 1–7 der delegierten Verordnung (EU) 2024/1772 [11] festgelegt sind: Die Kritikalität der betroffenen Dienste (Art. 6) ist eine notwendige Bedingung für die Entstehung einer Meldepflicht. Darüber hinaus müssen entweder mindestens zwei weitere Klassifizierungskriterien erfüllt sein oder es muss ein „böswilliger und unbefugter Zugriff auf Netzwerk- und Informationssysteme“ stattgefunden haben. Zu den weiteren Kriterien zählen: Kunden, finanzielle Gegenparteien und Transaktionen (Art. 1), Reputationsschäden (Art. 2), Dauer und Ausfallzeiten (Art. 3), geografische Ausbreitung (Art. 4), Verluste von Daten (Art. 5) sowie wirtschaftliche Auswirkungen (Art. 7).

DORA sieht ein dreistufiges Melderegime für schwerwiegende Vorfälle vor: Erst-, Zwischen- und eine Abschlussmeldung.

Inhalte der Erstmeldung

Eine Erstmeldung (Initial Notification) sollte gemäß Art. 3 RTS-E (Draft Regulatory Technical Standards on Classification of Major Incidents and Significant Cyber Threats, JC 2023 83, [12]), „mindestens die folgenden Informationen über den Vorfall bereitstellen“ und dabei auf die wesentlichen Informationen beschränkt sein:

• Datum und Uhrzeit der Entdeckung und Klassifizierung des Vorfalls
• Beschreibung des Vorfalls
• Klassifizierungskriterien, die die Meldung des Vorfalls gemäß Art. 1–7 der delegierten Verordnung (EU) 2024/1772 der Kommission ausgelöst haben
• Betroffene oder potenziell betroffene Mitgliedstaaten, sofern zutreffend
• Informationen darüber, wie der Vorfall entdeckt wurde
• Informationen über die Quelle des Vorfalls, sofern verfügbar
• Hinweis, ob es Auswirkungen oder potenzielle Auswirkungen auf andere Finanzinstitute und Dritte gibt, sofern zutreffend
• Informationen darüber, ob der Vorfall wiederkehrend ist oder in Zusammenhang mit einem früheren Vorfall steht, sofern zutreffend
• Hinweis, ob ein Notfallplan aktiviert wurde
• weitere Informationen

Als Frist für die Abgabe der Erstmeldung gilt 4 Stunden nach der Klassifizierung des IKT-Vorfalls als „schwerwiegend“, aber nicht später als 24 Stunden nach der Entdeckung des Vorfalls. Falls der Vorfall nach mehr als 24 Stunden nach der Entdeckung als „schwerwiegend“ klassifiziert wird, gilt die Vier-Stunden-Frist ab dem Zeitpunkt der Klassifizierung [5]. Für IKT-Vorfälle, die sich nach der Erstmeldung als nicht schwerwiegend herausgestellt haben, sieht die BaFin eine Möglichkeit vor, die erfolgte Meldung gegebenenfalls zurückzunehmen.

Eine Erstmeldung an die BaFin soll zwecks Beschreibung des Vorfalls die folgenden Fragen beantworten [13]:

• Wer meldet, wer ist betroffen?
• Was ist passiert?
• Welche Services sind betroffen? Welche Auswirkungen hat der Vorfall auf Kunden*, Gegenparteien oder andere Finanzmarktakteure?
• Dauert der Vorfall noch an – und falls ja, wie lange wird er voraussichtlich noch andauern?
• Liegt dem Vorfall vermutlich eine böswillige Handlung zugrunde?
• Wie gravierend ist der Vorfall aus Sicht des Finanzinstituts zum Zeitpunkt der Meldungsabgabe (Einschätzung des Schweregrads)?
• Sind nachhaltige Auswirkungen auf das Finanzunternehmen, seine Kundschaft oder gar den Finanzmarkt zu erwarten – oder sind diese bereits sichtbar?
• Ist es wahrscheinlich, dass andere Finanzunternehmen von diesem Vorfall betroffen sind?

Für die Einreichung der Meldungen stellt die Ba- Fin seit dem 17. Januar 2025 die „Melde- und Veröffentlichungsplattform“ (MVP-Portal, https://portal.mvp.bafin.de/) zur Verfügung, die zum späteren Zeitpunkt um eine Upload-Funktion erweitert werden soll. Zusätzlich zum Online-Formular sind die (verschlüsselte) Meldung via E‑Mail oder eine telefonische Meldung (bspw. beim Ausfall der IKT-Infrastruktur) möglich.

Fristen einer Zwischenmeldung Spätestens 72 Stunden nach der Erstmeldung – oder auch auf Wunsch der Aufsichtsbehörde – wird von der BaFin eine Zwischenmeldung erwartet. Diese sollte Informationen zum Ausmaß des Vorfalls sowie eine detailliertere Analyse enthalten. Änderungen des Status oder der Handhabung des Vorfalls sind von den betroffenen Finanzunternehmen anzuzeigen.

Detaillierte Inhalte der Erst-, Zwischen- und Abschlussmeldungen,  Fristen zur Meldungsabgabe sowie Inhalte der freiwilligen Meldung von Cyberbedrohungen werden gemäß Art. 20 DORA in Regulatory Technical Standards (RTS) geregelt, die aktuell im Kapitel III der delegierten Verordnung (EU) 2024/1772 festgelegt sind. Formulare, Vorlagen und Meldeverfahren hingegen sind Gegenstand von Implementing Technical Standards (ITS).

Abschlussmeldung: Inhalte und Firsten

Die Abschlussmeldung ist einen Monat nach der (letzten) Zwischenmeldung fällig. Diese Frist gilt auch dann, wenn der IKT-Vorfall nach Ablauf des Monats noch nicht abgeschlossen ist. In einem solchen Fall empfiehlt die BaFin, in der Abschlussmeldung die Ursachen des Vorfalls zu antizipieren, auch wenn diese noch nicht abschließend geklärt sind.

In der Abschlussmeldung müssen unter anderem die Ursachen des Vorfalls, getroffene Maßnahmen, entstandene Kosten und Verluste angegeben werden. Konkret sind Finanzunternehmen gemäß Art. 5 RTS-E [12] verpflichtet, im Abschlussbericht folgende Informationen über einen Vorfall bereitzustellen:

• Informationen über die Hauptursache des Vorfalls
• Informationen über die Unfähigkeit, gesetzlichen Anforderungen zu entsprechen
• Informationen über die Verletzung von Vertragsvereinbarungen/Service-Level-Agreements (SLAs)
• Datum und Uhrzeit, zu denen der Vorfall behoben und die Hauptursache adressiert wurde
• Informationen über die vom Finanzunternehmen ergriffenen Maßnahmen und Aktionen zur Behebung des Vorfalls sowie zusätzliche Kontrollen zur Verhinderung ähnlicher Vorfälle in der Zukunft
• Informationen über die Herabstufung eines schwerwiegenden Vorfalls zu einem nicht schwerwiegenden Vorfall, sofern zutreffend
• Informationen, die für Abwicklungsbehörden relevant sind
• Informationen über direkte und indirekte Kosten und Verluste, die durch den Vorfall entstanden sind, sowie Informationen über finanzielle Erstattungen

Verfahren zur Meldung an weitere Behörden

Zur Vermeidung von Doppelmeldungen erfolgt die Meldung schwerwiegender IKT-Vorfälle direkt an die BaFin. Diese übernimmt die automatisierte Weiterleitung an das BSI, die Europäischen Aufsichtsbehörden (ESAs) sowie, sofern relevant, an weitere Institutionen wie die Deutsche Bundesbank, die Europäische Zentralbank (EZB) oder mittelbar an die European Union Agency for Cybersecurity (ENISA).

Da sich die Anforderungen aus DORA und der NIS-2-Richtlinie teilweise überschneiden, kommt die Lex-specialis-Regelung zum Tragen, wie die BaFin erläutert: „Finanzunternehmen, die unter die NIS-2-Richtlinie fallen, müssen […] künftig nur eine Vorfallsmeldung gemäß DORA bei der BaFin einreichen. Die BaFin stellt die Meldung unverzüglich dem Bundesamt für Sicherheit in der Informationstechnik zur Verfügung.“ [13]

Fazit und Regulierungshinweis

Im #nis2know-Webinar des BSI am 8. Oktober 2024 wies der Referent darauf hin, dass für Finanzinstitute vorrangig DORA gelte, ungeachtet des NIS-Umsetzungsgesetzes. Zu einer Doppelregulierung komme es nicht, teilte das BSI mit, da nach dem Lex-specialis Grundsatz DORA Vorrang vor der NIS-2-Richtlinie habe. Dies trifft zweifelsohne zu – allerdings möglicherweise nicht für alle Finanzunternehmen und nicht für alle Mindestanforderungen, die aus der aktuellen EU-Regulierung zu Cybersicherheit und Resilienz resultieren.

So listet beispielsweise Anlage I der NIS-2-Richtlinie die Sektoren Bankwesen und Finanzmarktinfrastruktur als grundsätzlich (abhängig von weiteren Kennzahlen) betroffen auf. Auch die vom BSI auf dessen Website bereitgestellte, unverbindliche NIS-2-Betroffenheitsprüfung (www.bsi.bund.de/dok/nis-2-betroffenheitspruefung) zeigt bei Anfragen von Finanzinstituten (bis auf kleine Institute) regelmäßig eine Betroffenheit gemäß der NIS-2-Richtlinie an. Im #nis2know-Webinar am 16. Januar 2025 riet der Referent Unternehmen daher, angesichts der zahlreichen Fragen zur Betroffenheit juristischen Beistand hinzuzuziehen.

Im Sinne einer transparenten und eindeutigen Regelung könnte eine Lösung wie in Belgien hilfreich sein, wo das Centre for Cybersecurity Belgium (CCB, https://ccb.belgium.be) für die nationale Umsetzung der NIS-2- Richtlinie zuständig ist. Dort wurden die Grenzen der Lex-specialis-Regelung im nationalen NIS-2-Umsetzungsgesetz „Loi établissant un cadre pour la cybersécurité des réseaux et des systèmes d‘information d‘intérêt général pour la sécurité publique“ (Loi NIS 2) festgelegt, das am 26. April 2024 verabschiedet wurde und seit dem 18. Oktober 2024 in Kraft ist. Demnach gelten etwa die Registrierungspflichten gemäß der NIS-2 Richtlinie für alle „besonders wichtigen Einrichtungen“ (bwE) im Sinne von Anlage I. Von Regelungen zu Meldepflichten für Sicherheitsvorfälle, Sanktionen und Mindestanforderungen an Cybersicherheit, die in den Titeln 3 bis 5 des Loi NIS 2 geregelt sind, werden jedoch die Sektoren Bankwesen und Finanzmarktinfrastruktur ausgenommen – diese werden auf die für DORA zuständige Aufsicht verwiesen.

Art. 6, § 3 des Loi NIS 2 legt sinngemäß fest: „Die Bestimmungen der Titel 3 bis 5 gelten nicht für Einrichtungen aus den Sektoren Banken und Finanzmarktinfrastruktur im Sinne von Anhang I, die in den Anwendungsbereich der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationelle Resilienz des Finanzsektors … fallen, einschließlich der von der Nationalbank von Belgien ausgeübten Tätigkeit als Zentralverwahrer.“ [14]

Eine vergleichbare Konkretisierung des Lex-specialis-Grundsatzes im NIS-2-Umsetzungsgesetz in Deutschland wäre denkbar, wonach gleichwertige, sektorspezifische Anforderungen (wie Meldepflichten für Sicherheitsvorfälle) auf europäischer Ebene – etwa durch DORA – Vorrang vor dem allgemeinen Rechtsrahmen der NIS-2-Richtlinie hätten. Würde dies noch umgesetzt, hätte es doch noch einen Vorteil, dass die entsprechende Regulierung bisher nicht den Bundestag passierte.

Dr. Aleksandra Sowa ist zertifizierte Datenschutzbeauftragte, Datenschutzauditorin und IT-Compliance-Manager, Sachverständige für IT-Sicherheit sowie Mitglied im Leitungskreis der FG „Datenschutzfördernde Technik (Privacy- Enhancing Technologies)“ der Gesellschaft für Informatik (GI) e. V.

Literatur

[1] Bundesministerium des Innern und für Heimat (BMI), Entwurf eines Gesetzes zur Umsetzung der NIS-2- Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz, NIS2UmsuCG), Gesetzentwurf der Bundesregierung, Juli 2024, www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/Downloads/kabinettsfassung/CI1/nis2-regierungsentwurf.pdf

[2] Bundesministerium des Innern und für Heimat (BMI), Entwurf eines Gesetzes zur Umsetzung der Richtlinie (EU) 2022/2557 und zur Stärkung der Resilienz kritischer Anlagen (KRITIS-Dachgesetz, KRITIS-DachG), Gesetzentwurf der Bundesregierung, November 2024, www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/Downloads/kabinettsfassung/KM4/regentwurf-kritisDachG.pdf

[3] Europäische Union, Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor …, in: Amtsblatt der Europäischen Union L 333, S. 1, Dezember 2022, https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022R2554

[4] Michael Göddecke, Incident-Meldewesen, Vortragsfolien zur BaFin-Veranstaltung „IT-Aufsicht im Finanzsektor: Was bedeutet DORA in der Praxis?“, Dezember 2023, www.bafin.de/ref/19639112

[5] Michael Göddecke, IKT-Vorfallsmeldewesen, Vortragsfolien zur BaFin-Konferenz „IT-Aufsicht im Finanzsektor: Was bedeutet DORA in der Praxis?“, September 2024, www.bafin.de/ref/19733724

[6] Formulierungshilfe der Bundesregierung, Zusammenstellung des Entwurfs eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) … mit den Beschlüssen des Ausschusses für Inneres und Heimat (4. Ausschuss), November 2024, https://ag.kritis.info/wp-content/uploads/2024/12/241129_BReg_FH_AeA_NIS2UmsuCG.pdf

[7] Gesellschaft für Informatik (GI) e. V., Neue NIS-2-Version: GI fordert Konsequenz statt Ausnahmen, Stellungnahme, Dezember 2024, https://gi.de/meldung/neue-nis-2-version-gi-fordert-konsequenz-stattausnahmen

[8] Dr. Katharina Fechler, DORA – Ein Update, Vortragsfolien zur BaFin-Konferenz „IT-Aufsicht im Finanzsektor: Was bedeutet DORA in der Praxis?“, September 2024, www.bafin.de/ref/19733724

[9] Dr. Katharina Fechler, DORA – Ein Überblick. Vortragsfolien zur BaFin-Veranstaltung „IT-Aufsicht im Finanzsektor: Was bedeutet DORA in der Praxis?“, Dezember 2023, www.bafin.de/ref/19639112

[10] Deutscher Bundestag, Gesetz über die Digitalisierung des Finanzmarktes (Finanzmarktdigitalisierungsgesetz – FinmadiG), in: Bundesgesetzblatt Teil I Nr. 438, Dezember 2024, www.recht.bund.de/bgbl/1/2024/438/VO

[11] Europäische Union, Delegierte Verordnung (EU) 2024/1772 der Kommission vom 13. März 2024 zur Ergänzung der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates durch technische Regulierungsstandards zur Festlegung der Kriterien für die Klassifizierung von IKT-bezogenen Vorfällen und Cyberbedrohungen, der Wesentlichkeitsschwellen und der Einzelheiten von Meldungen schwerwiegender Vorfälle, in: Amtsblatt der EU, Reihe L, Juni 2024, https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32024R1772

[12] Joint Committee of the European Supervising Authorities (EBA, EIOPA, ESMA), Final report on Draft Regulatory Technical Standards specifying the criteria for the classifi cation of ICT related incidents, materiality thresholds for major incidents and signifi cant cyber threats under Regulation (EU) 2022/2554, JC 2023 83, Januar 2024

[13] Benedikt Queng, Michael Göddecke, Transparenz dank Meldepfl icht, BaFinJournal, Juni 2024, www.bafin.de/ref/19747312

[14] Chancellerie du Premier Ministre (2024) Loi établissant un cadre pour la cybersécurité des réseaux et des systèmes d‘information d‘intérêt général pour la sécurité publique (Loi NIS 2), April 2024, www.ejustice.just.fgov.be/eli/loi/2024/04/26/2024202344/moniteur