Contents
Kommunikationsstrategie für IKT-bezogene Vorfälle (Art. 14 Abs. 3 i.V.m. Art. 6 Abs. 8 lit. h DORA)
Die Kommunikationsstrategie für IKT-bezogene Vorfälle ist eine gesetzlich vorgeschriebene Maßnahme gemäß Art. 14 Abs. 3 in Verbindung mit Art. 6 Abs. 8 lit. h der Verordnung (EU) 2022/2554 – dem Digital Operational Resilience Act (DORA). Sie sichert die organisierte, verantwortliche und transparente Kommunikation nach außen, sobald schwerwiegende IKT-Vorfälle eintreten.
Ziel der Kommunikationsstrategie
IKT-Vorfälle – ob durch Cyberangriffe, Systemausfälle oder Datenverluste – können das Vertrauen von Kunden, Marktteilnehmern und der Öffentlichkeit massiv beeinträchtigen. Deshalb verlangt DORA eine proaktive Kommunikationsstrategie, die folgende Ziele verfolgt:
- Transparente Information der Öffentlichkeit und der Medien
- Koordinierte externe Kommunikation bei kritischen Vorfällen
- Reputationsschutz des Finanzunternehmens
- Vermeidung von Desinformation und Panik
- Erfüllung gesetzlicher Offenlegungspflichten
Gesetzliche Grundlage
Gemäß Art. 14 Abs. 3 DORA gilt:
„Mindestens eine Person im Finanzunternehmen ist mit der Umsetzung der Kommunikationsstrategie für IKT-bezogene Vorfälle beauftragt und nimmt zu diesem Zweck die entsprechende Aufgabe gegenüber der Öffentlichkeit und den Medien wahr.“
Dies bedeutet: Es muss eine namentlich verantwortliche Person benannt werden, die im Krisenfall autorisiert ist, offizielle Stellungnahmen abzugeben – etwa gegenüber Presse, Kunden oder Aufsichtsbehörden.
Zudem verlangt Art. 6 Abs. 8 lit. h DORA, dass diese Kommunikationsstrategie integraler Bestandteil der übergreifenden DOR-Strategie ist. Sie muss im IKT-Risikomanagementrahmen klar dokumentiert und regelmäßig aktualisiert werden.
Inhalte einer DORA-konformen Kommunikationsstrategie
Die Kommunikationsstrategie muss folgende Punkte umfassen:
- Benennung und Qualifikation der verantwortlichen Person
- Kriterien, ab wann eine externe Kommunikation ausgelöst wird
- Abläufe und Kanäle für Pressemitteilungen, Kundeninformationen und Aufsichtsmitteilungen
- Vorab erstellte Kommunikationsbausteine („Message Kits“)
- Abstimmung mit Meldeprozessen gemäß Art. 19–20 DORA
- Koordination mit dem Krisenkommunikationsplan (z. B. BCM)
- Simulationen & Medientrainings für Ernstfälle
Best Practice: Wie sieht eine gute Kommunikationsstrategie aus?
Finanzunternehmen setzen zunehmend auf einen Krisenkommunikationsplan, der mit den Notfall- und BCM-Prozessen verzahnt ist. Dieser enthält:
- Templates für Pressemitteilungen bei Datenlecks oder Systemausfällen
- Checklisten für das Kommunikationsverhalten im Krisenfall
- SOPs für Social Media Monitoring & Reaktion
- Regelmäßige Proben, z. B. im Rahmen von Resilienztests (TLPT)
Wichtig: Die Kommunikationsstrategie muss vor dem Eintritt eines Vorfalls abgestimmt, freigegeben und getestet sein. Reaktive Improvisation genügt den Anforderungen der DORA-Verordnung nicht.
Umsetzungspflicht bis 17. Januar 2025
Alle DORA-pflichtigen Institute müssen die Kommunikationsstrategie bis spätestens 17. Januar 2025 vollständig dokumentieren, organisatorisch verankern und verantwortliche Personen benennen. Andernfalls drohen aufsichtsrechtliche Konsequenzen – insbesondere bei fehlender Mediensteuerung im Ernstfall.