Der Sommerurlaub ist vorbei, und während viele Führungsetagen in einer Art Notbetrieb nur die Mindestanforderungen abgearbeitet haben, hat die Europäische Union wichtige regulatorische Schritte unternommen, um die Finanzbranche auf den kommenden Digital Operational Resilience Act (DORA) vorzubereiten.
Am 25. Juni 2024 wurden die ersten delegierten Verordnungen unter DORA veröffentlicht – genau zu einem Zeitpunkt, an dem viele Führungskräfte gedanklich vielleicht schon im Urlaub waren.
Mit DORA rückt das Thema der digitalen Resilienz und der Krisenkommunikation stärker in den Fokus als je zuvor. Die Verordnung zielt darauf ab, die Finanzinstitutionen der EU vor Cyberrisiken zu schützen und die kontinuierliche Bereitstellung sicherer Finanzdienstleistungen zu gewährleisten. Doch was bedeutet das konkret für Ihr Unternehmen? Und warum ist es gerade jetzt entscheidend, Ihre Krisenkommunikationsstrategie zu überprüfen?
Die Kernpunkte der neuen DORA-Verordnungen
Die jüngst veröffentlichten delegierten Verordnungen definieren klare Kriterien und Anforderungen, die Finanzdienstleister ab dem 17. Januar 2025 erfüllen müssen:
- Klassifizierung von Cybervorfällen: Die neuen Verordnungen legen fest, welche Cybervorfälle als schwerwiegend einzustufen sind und welche Meldepflichten damit verbunden sind. Kriterien wie die Kritikalität der betroffenen Dienste, das Ausmaß des Datenverlusts und der geografische Umfang eines Vorfalls spielen hierbei eine zentrale Rolle.
- Reputation als EIN Schlüsselfaktor: Besonders hervorzuheben ist die Bedeutung der Reputation bei der Klassifizierung von Cybervorfällen. Laut der delegierten Verordnung (EU) 2024/1772 wird die Reputation eines Finanzdienstleisters als entscheidendes Kriterium betrachtet, um die Schwere eines Vorfalls zu bestimmen. Wenn ein Vorfall das Potenzial hat, das Ansehen des Unternehmens erheblich zu schädigen – etwa durch negative mediale Berichterstattung oder Vertrauensverlust bei den Kunden – muss er als schwerwiegend eingestuft und entsprechend den Aufsichtsbehörden gemeldet werden. Die Berücksichtigung der Reputation zeigt deutlich, dass DORA kein rein technisches Thema ist. Es umfasst ein breites Spektrum an Aspekten, bei dem Kommunikation und Reputationsmanagement eine zentrale Rolle spielen und nicht außen vorgelassen werden können.
- Vertragsmanagement mit ICT-Dienstleistern: Die Verordnungen definieren, welche spezifischen Klauseln in Verträgen mit ICT-Dienstleistern enthalten sein müssen, insbesondere wenn diese Dienste für kritische oder wichtige Funktionen erbringen. Dazu gehören Anforderungen an die Datensicherheit, die Kontrolle über Subunternehmer und die Audit-Rechte des Finanzinstituts.
Diese Entwicklungen machen deutlich, dass Unternehmen jetzt handeln müssen, um ihre IT-Systeme und Prozesse auf den neuesten Stand zu bringen. Doch dabei darf ein entscheidender Aspekt nicht vergessen werden: die Krisenkommunikation.
Warum Krisenkommunikation jetzt im Vordergrund stehen muss
Die Fähigkeit eines Unternehmens, in einer Krisensituation effektiv zu kommunizieren, ist entscheidend für das Vertrauen der Kunden, Investoren und Regulierungsbehörden. DORA bringt nicht nur technische und organisatorische Anforderungen mit sich, sondern fordert auch eine präzise und proaktive Kommunikationsstrategie, um auf Cybervorfälle schnell und transparent zu reagieren.
Hier sind die wichtigsten Aspekte, die Ihre Krisenkommunikationsstrategie berücksichtigen sollte:
- Krisenprävention:
- Aktualisierung von Krisenkommunikationsplänen: Sind Ihre Krisenpläne umfassend genug, um neue Cyberrisiken abzudecken? Jetzt ist der ideale Zeitpunkt, um sicherzustellen, dass alle möglichen Bedrohungsszenarien berücksichtigt sind.
- Mitarbeiterschulungen und Simulationen: Nur durch regelmäßige Schulungen und realitätsnahe Krisensimulationen kann Ihr Team lernen, im Ernstfall schnell und effektiv zu reagieren.
- Krisenbegleitung:
- Sofortige Reaktionsfähigkeit: Ein gut vorbereitetes Krisenteam sollte jederzeit einsatzbereit sein, um auf Cybervorfälle zu reagieren. Die Entwicklung klarer Kommunikationslinien und der Einsatz eines 24/7-Krisensupports sind dabei entscheidend.
- Transparente Kommunikation: In der Krise ist es unerlässlich, das Vertrauen der Stakeholder durch transparente und regelmäßige Updates zu bewahren. Dies erfordert eine gut durchdachte Kommunikationsstrategie, die in der Lage ist, schnell auf sich ändernde Umstände zu reagieren.
- Post-Krisenmanagement:
- Wiederherstellung des Unternehmensimage: Nach einer Krise gilt es, das Vertrauen der Öffentlichkeit und der Geschäftspartner zurückzugewinnen. Dies kann durch gezielte PR-Maßnahmen und eine durchdachte Nachbereitung der Krise erreicht werden.
- Anpassung und Optimierung der Strategien: Jede Krise bietet die Chance, aus Fehlern zu lernen. Eine detaillierte Analyse der Ereignisse und die Anpassung der Krisenkommunikationspläne sind wesentliche Schritte, um zukünftige Krisen besser zu bewältigen.
Fazit: Vorbereitung ist der Schlüssel zum Erfolg
Die Anforderungen von DORA sind klar und die Zeit zur Vorbereitung ist begrenzt. Doch diese neuen Regelungen bieten auch die Chance, die Widerstandsfähigkeit Ihres Unternehmens insgesamt zu stärken und dabei auch die Krisenkommunikation auf ein neues Level zu heben – zum Schutz Ihrer Reputation.
Stellen Sie sicher, dass Ihre Organisation nicht nur technisch, sondern auch kommunikativ auf die neuen Herausforderungen vorbereitet ist. Denn in der Welt der Finanzdienstleistungen gilt: Die beste Krisenbewältigung ist die, die nie notwendig wird – und die zweitbeste ist die, die schnell, präzise und professionell erfolgt.
Sie haben Fragen bezüglich DORA? Melden Sie sich gerne bei uns: info@trencavel-cie.com
Trencavel Cie. 