--- name: cyberangriff description: "Prueft Insiderinformations-Qualitaet eines Cyberangriffs: Kursrelevanz, Ad-hoc-Pflicht, Aufschub wegen laufender Strafverfolgung und Koordination mit IT-Forensik im Insiderrecht Compliance." --- # Cyberangriff – Insiderrecht und Ad-hoc-Pflicht ## Arbeitsweg - Rolle, Ziel und gewünschtes Arbeitsprodukt klären: Wer handelt, welche Entscheidung steht an, welche Frist läuft und welcher Output wird gebraucht? - Fristen und Eilrisiken zuerst markieren: die im Fachgebiet einschlägigen Verfahrens-, materiellen und Anmeldefristen vorab markieren und nicht aus Modellwissen finalisieren (insbesondere Widerspruch 1 Monat, Klage 1 Monat, Verjährung §§ 195, 199 BGB / spezialgesetzlich). - Tragende Normen verifizieren: WpHG §§ 13, 14, 15-15b (i.d.F. MAR), Marktmissbrauchs-VO (MAR) 596/2014, KWG, EU-VO 600/2014 (MiFIR), BörsG; WpHG — Fundstellen über gesetze-im-internet.de, dejure.org, openJur, BVerfG-/BGH-/EuGH-Datenbank live prüfen; keine Modellwissen-Zitate. - Zuständige Stelle bestimmen und Adressaten richtig wählen: Mandant, Gegner, zuständige Behörde oder Gericht, Sachverständige, ggf. EU-/internationale Stelle (siehe Skill-Detail). - Dokumente und Beweismittel sammeln und auf Lücken prüfen: Verwaltungsakte, Vertragsurkunden, Schriftsätze, Bescheide, Protokolle, Sachverständigengutachten und externe Beweismittel des Fachgebiets — fehlende Belege durch Akteneinsicht oder Rückfrage beim Mandanten beschaffen, Live-Check für tagesaktuelle Normänderungen und Verwaltungspraxis. ## Rechtlicher Rahmen Ein wesentlicher Cyberangriff auf einen börsennotierten Emittenten kann eine Insiderinformation nach Art. 7 MAR darstellen. Kursrelevanz ist anzunehmen bei: erheblichem Datenverlust, Betriebsunterbrechung, Reputationsschaden, Haftungsrisiken oder regulatorischen Konsequenzen. NIS-2-Richtlinie (Umsetzungsfrist 2024) schafft zusätzliche Meldepflichten, die parallel zu MAR bestehen. Rechtsgrundlagen: - Art. 7, 17 MAR: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32014R0596 - NIS-2-Richtlinie (EU) 2022/2555: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022L2555 - DSGVO Art. 33 (Datenschutzverletzung): https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32016R0679 - BaFin-Emittentenleitfaden: https://www.bafin.de/dok/8252648 ## Ziel dieses Skills Dieser Skill prüft die Insiderinformations-Qualität eines Cyberangriffs, entwickelt die Ad-hoc-Strategie und koordiniert die parallelen Meldepflichten (MAR, DSGVO, NIS-2). ## Arbeitsprogramm ### Schritt 1 – Initialerkennung und Schadensbewertung - Zeitpunkt: Wann war dem Emittenten der Angriff bekannt? - Art: Datenverlust, Ransomware, Systemaufall, Datenleck, IP-Diebstahl? - Umfang: Betroffene Systeme, betroffene Daten (Kundendaten, Finanzdaten, Geschäftsgeheimnisse) - Quantifizierung: Geschätzter finanzieller Schaden, Wiederherstellungskosten, Haftungsrisiko ### Schritt 2 – Insiderinformations-Prüfung - Kursrelevanz: Würde ein verständiger Anleger die Information berücksichtigen? Indikation für hohe Kursrelevanz: erhebliche Betriebsunterbrechung, große Kundendaten- verluste, behördliche Ermittlungen, drohende Schadensersatzklagen - Zeitpunkt: Ab wann lag präzise Information vor (erster sicherer Kenntnisstand)? - Unsicherheit: Frühe Phasen eines Angriffs können noch unpräzise sein; laufende Forensik kann den Eintritt von Schäden als noch unbekannt qualifizieren ### Schritt 3 – Aufschub wegen laufender Strafverfolgung / IT-Forensik - Legitimes Interesse: Laufende strafrechtliche Ermittlungen oder Forensik können durch frühzeitige Veröffentlichung beeinträchtigt werden - ESMA-Guidance: Aufschub möglich, wenn Behörden (BSI, BKA) bestätigen, dass Veröffentlichung Ermittlungen gefährdet - Praktisch: Emittent sollte BSI/BKA schriftlich anfragen und Antwort dokumentieren - Aufschub endet: Wenn kein behördlicher Vorbehalt mehr besteht oder Öffentlichkeit durch Dritte informiert wurde ### Schritt 4 – Parallele Meldepflichten - DSGVO Art. 33: Datenschutzbehörde (BfDI / Landesbehörde) innerhalb 72 Stunden - NIS-2: BSI innerhalb 24 Stunden (Early Warning) und 72 Stunden (Notification) - BaFin: Ggf. KWG-Meldepflicht für Finanzinstitute (§ 25a KWG) - Koordination aller Meldepflichten mit einheitlicher Kommunikationsstrategie ### Schritt 5 – Ad-hoc-Veröffentlichung - Inhalt: Art des Angriffs (soweit bekannt), betroffene Systeme, geschätzte Auswirkungen, ergriffene Maßnahmen, Ausblick - Keine Offenlegung von Informationen, die laufende Ermittlungen gefährden - Aktualisierungs-Ad-hoc: Wenn neue wesentliche Informationen bekannt werden