Kommunikationsleitlinien für Mitarbeiter

Contents

Kommunikationsleitlinien für Mitarbeiter (in Bezug auf den IKT-Risikomanagementrahmen) (Art. 14 Abs. 2 DORA)

Kommunikationsleitlinien für Mitarbeiter (in Bezug auf den IKT-Risikomanagementrahmen) (Art. 14 Abs. 2 DORA)

Im Rahmen des IKT-Risikomanagements sind Finanzunternehmen laut Art. 14 Abs. 2 DORA verpflichtet, strukturierte Kommunikationsstrategien für den internen Informationsfluss zu entwickeln. Ziel ist es, im Fall von IKT-Vorfällen – etwa bei Cyberangriffen, Systemausfällen oder kritischen Störungen – eine geordnete und wirksame Kommunikation sicherzustellen.

Besonderes Augenmerk liegt dabei auf der Rollentrennung: Zwischen dem Personal, das aktiv in Reaktions- und Wiederherstellungsprozesse eingebunden ist, und jenen Beschäftigten, die lediglich über Lage, Risiken oder Handlungsanweisungen informiert werden müssen.

Gesetzliche Grundlage

Gemäß Art. 14 Abs. 2 DORA müssen interne Kommunikationsstrategien:

Bestandteil des IKT-Risikomanagementrahmens sein (Art. 6 DORA)
sich an unterschiedliche Zielgruppen richten: operativ eingebundenes IKT-Personal vs. zu informierende Mitarbeitende
geeignet sein, bei IKT-Störungen eine schnelle, präzise und koordinierte interne Kommunikation zu gewährleisten

Anforderungen an Kommunikationsleitlinien im Sinne von DORA

1. Strukturierte interne Kommunikationsprozesse

Definition, wer wann wen wie informiert
Kommunikationsverantwortliche und Eskalationsstufen klar benennen
Verwendung sicherer und belastbarer Kommunikationskanäle (z. B. verschlüsselte Messenger, sichere Mailsysteme)

2. Differenzierung der Zielgruppen

Aktives IKT-Personal (z. B. SOC, IT-Forensik, Krisenteam) erhält operative Einsatzinformationen
Zu informierende Mitarbeitende (z. B. Fachbereiche, Management, Servicecenter) erhalten Lageeinschätzungen, Handlungsanweisungen, Schutzvorgaben
Trennung von technischer Lagekommunikation und betrieblichen Handlungshinweisen

3. Einbettung in den Reaktions- und Wiederherstellungsplan

Enge Verknüpfung mit der IKT-Geschäftsfortführungsleitlinie (Art. 11 DORA)
Vorab definierte Kommunikationsabläufe für Cyber- und Betriebsstörungen
Sicherstellung der internen Informationspflicht auch bei Ausfall primärer Kommunikationsmittel

4. Schulung und Sensibilisierung

Regelmäßige Schulungen für Führungskräfte, IT, Fachbereiche und Kommunikationsteams
Einbindung in Krisenübungen und Table-Top-Szenarien
Awareness-Kampagnen zur Erkennung und Meldung von IKT-Vorfällen

Prüfungsrelevanz im Rahmen von DORA

Aufsicht und Auditoren prüfen konkret:

Existenz einer schriftlich dokumentierten internen Kommunikationsleitlinie
Klare Rollentrennung gemäß Art. 14 Abs. 2 DORA
Technische Absicherung der Kommunikationskanäle
Einbindung der Kommunikation in Reaktionspläne und Krisenstabsprozesse
Schulungsnachweise, Awareness-Konzepte und Übungsprotokolle