Kommunikationspläne (Art. 14 Abs. 1 DORA i.V.m. Art. 11 Abs. 2 lit. e, Abs. 6 lit. b und 7 DORA; Art. 24 RTS RMF)
Nach Artikel 14 DORA müssen alle Finanzunternehmen als Teil ihres IKT-Risikomanagementrahmens wirksame Kommunikationspläne vorhalten. Diese ermöglichen die strukturierte Offenlegung schwerwiegender IKT-bezogener Vorfälle oder Schwachstellen gegenüber:
- Kunden
- Geschäftspartnern
- Finanzunternehmen
- Öffentlichkeit und Medien
Die Kommunikationsstrategie ist auch Bestandteil der übergeordneten IKT-Geschäftsfortführungsleitlinie und steht in direkter Verbindung mit der Reaktion auf Vorfälle und Krisen.
Anforderungen an die Krisenkommunikation gemäß DORA & RTS RMF
| Bereich | DORA-Artikel | Anforderung |
|---|---|---|
| Offenlegung schwerwiegender Vorfälle | Art. 14 Abs. 1 DORA | Kunden und Öffentlichkeit sind zeitnah über kritische Störungen zu informieren |
| Integration in Krisenpläne | Art. 11 Abs. 2 lit. e DORA | Kommunikationsmaßnahmen müssen klar geregelt und dokumentiert sein |
| Testpflicht | Art. 11 Abs. 6 lit. b DORA | Krisenkommunikationspläne sind regelmäßig zu testen |
| Krisenkommunikationsverfahren | Art. 11 Abs. 7 DORA | Müssen bei Aktivierung des IKT-Geschäftsfortführungsplans klar definiert sein |
| Aktivierungskriterien | Art. 24 Abs. 1 lit. a iv RTS RMF | Pläne müssen präzise Kriterien enthalten, wann sie in Kraft treten |
| Governance & Zuständigkeiten | Art. 24 Abs. 1 lit. b i RTS RMF | Klare Rollen, Eskalationswege und Verantwortlichkeiten müssen dokumentiert sein |
| Abstimmung mit allgemeiner Geschäftsfortführung | Art. 24 Abs. 1 lit. b ii RTS RMF | Kommunikationsstrategie muss mit Business Continuity Plans harmonisiert werden |
Bestandteile eines DORA-konformen Kommunikationsplans
- Meldeketten: Interne Eskalation & externe Meldung (z. B. an Aufsichtsbehörden)
- Kundenkommunikation: Klare, geprüfte Vorlagen und Abläufe zur Information der betroffenen Kunden
- Pressearbeit & Öffentlichkeitskommunikation: Verfahren zur Koordination mit Medien
- Stakeholder-Kommunikation: Prozedere zur informierten Einbindung kritischer Partner und Dienstleister
- Training & Tests: Wiederkehrende Schulungen und Übungen zur Wirksamkeit der Kommunikationsmaßnahmen