Von Banken lernen: Wie DORA den neuen Standard für digitale Krisen­kommunikation definiert

Der Digital Operational Resilience Act (DORA) definiert seit Januar 2025 verbindliche Standards für die digitale Krisenvorsorge im Finanzsektor – mit weitreichenden Folgen für die Kommunikations­arbeit. Unser Grundlagenartikel beantwortet die wichtigsten Fragen zum neuen Regelwerk und erklärt, warum Darksites zum zentralen Kommunikations­instrument werden und wie Kommunikatoren aller Branchen von diesen Standards profitieren können.

Was genau ist DORA? 

DORA – der Digital Operational Resilience Act – ist ein EU-Regulierungswerk, das am 16. Januar 2023 in Kraft getreten ist und seit Januar 2025 verbindlich umgesetzt werden muss. Es handelt sich um einen Teil des umfassenden EU-Pakets zur Digitalisierung des Finanzsektors und gilt als eine der bedeutendsten Regulierungen im Bereich der digitalen Betriebsstabilität. 

Im Kern geht es bei DORA um die Stärkung der digitalen Widerstandsfähigkeit des Finanzsektors. Die Verordnung zielt darauf ab, dass Finanzunternehmen über robuste Systeme verfügen, um digitale Risiken zu managen und auf Krisen angemessen zu reagieren – einschließlich der Kommunikationsaspekte solcher Krisen. 

Was bedeutet DORA in der Praxis? 

DORA stellt konkrete Anforderungen an den Umgang mit digitalen Risiken und strukturiert diese in fünf Hauptpfeiler: 

1. IT-Risikomanagement: Etablierung eines umfassenden Rahmens zur Identifizierung und Bewertung digitaler Risiken sowie zur Definition von Gegenmaßnahmen. 
2. Incident Management: Implementierung von Prozessen zur Erkennung, Handhabung und Meldung schwerwiegender IT-Vorfälle – inklusive Kommunikationsprotokollen. 
3. Digitale Betriebsstabilitätstests: Regelmäßige Überprüfung der Widerstandsfähigkeit von IT-Systemen durch Tests wie Penetrationstests oder Simulationen. 
4. Drittanbieter-Risikomanagement: Überwachung der Risiken, die mit ausgelagerten IT-Diensten und -Lieferanten verbunden sind. 
5. Informationsaustausch: Förderung des Austauschs von Bedrohungsinformationen zwischen Finanzunternehmen zur Verbesserung der kollektiven Cyberresilienz. 

Für Kommunikatoren besonders relevant: DORA verlangt explizit nach etablierten Kommunikationsstrategien im Krisenfall, die sicherstellen, dass alle Stakeholder angemessen informiert werden. Hier kommen Darksites als zentrales Kommunikationsinstrument ins Spiel. 

Was bedeutet DORA für Banken? 

Für Banken bedeutet DORA einen grundlegenden Wandel in der Art und Weise, wie sie mit digitalen Risiken umgehen: 

1. Verpflichtende digitale Resilienzstrategie: Banken müssen eine umfassende Strategie entwickeln und dokumentieren, wie sie mit digitalen Risiken umgehen – von der Prävention bis zur Kommunikation. 
2. Verstärkte Aufsicht: Die Regulierungsbehörden erhalten erweiterte Befugnisse zur Überwachung der digitalen Resilienz. 
3. Höhere Anforderungen an die Krisenkommunikation: Im Krisenfall müssen Banken schnell, transparent und strukturiert kommunizieren können – über verschiedene Kanäle und mit verschiedenen Stakeholdern. 
4. Konkrete Zeitvorgaben für Meldepflichten: Bei schwerwiegenden Vorfällen müssen Banken innerhalb strenger Fristen (teilweise binnen Stunden) Meldungen an Aufsichtsbehörden und unter Umständen auch an die Öffentlichkeit abgeben. 
5. Dokumentationspflicht: Alle Maßnahmen zur digitalen Resilienz müssen umfassend dokumentiert sein – inklusive der Kommunikationspläne. 

Für die Kommunikationsabteilungen bedeutet dies, dass sie in das digitale Risikomanagement integriert werden müssen und über entsprechende Werkzeuge und Prozesse verfügen müssen – darunter insbesondere Darksites als zentrales Element der digitalen Krisenkommunikation. 

Wer muss DORA umsetzen? 

DORA richtet sich primär an Finanzunternehmen und deren IT-Dienstleister: 

Wichtig für Kommunikatoren: Obwohl DORA formal nur für den Finanzsektor gilt, etabliert die Regulation de facto neue Standards für digitales Krisenmanagement und Krisenkommunikation, die zunehmend als Best Practice auch für andere Branchen gelten werden. 

Warum sind Darksites im Kontext von DORA unverzichtbar? 

Darksites sind im DORA-Kontext aus mehreren Gründen unverzichtbar geworden: 

1. Erfüllung der DORA-Compliance-Anforderungen: Finanzunternehmen müssen nachweisen, dass sie im Krisenfall schnell und effektiv kommunizieren können. Eine vorkonfigurierte Darksite ist der effizienteste Weg, diese regulatorische Anforderung zu erfüllen. 
2. Schnelligkeit bei Meldepflichten: Die strengen Zeitvorgaben von DORA für Meldungen bei Vorfällen (in einigen Fällen innerhalb von 2 Stunden) erfordern vorgefertigte Kommunikationsstrukturen, die sofort aktiviert werden können. 
3. Kontrolle über die Kommunikation: In einer digitalen Krise kann die Hauptwebsite überlastet sein oder technisch kompromittiert werden. Eine separate Darksite garantiert die Kommunikationsfähigkeit auch unter extremen Bedingungen. 
4. Strukturierte Information verschiedener Stakeholder: DORA verlangt eine differenzierte Kommunikation mit verschiedenen Stakeholdergruppen – von Aufsichtsbehörden über Kunden bis zu anderen Finanzmarktteilnehmern. Eine Darksite kann diese verschiedenen Informationsebenen strukturiert abbilden. 
5. Nachweisbarkeit der Kommunikationsmaßnahmen: Die Dokumentationspflicht unter DORA erstreckt sich auch auf die Krisenkommunikation. Darksites bieten die Möglichkeit, alle kommunikativen Maßnahmen nachvollziehbar zu dokumentieren. 
6. Integration in das Gesamtkonzept der digitalen Resilienz: Eine Darksite ist nicht isoliert zu betrachten, sondern Teil des gesamten digitalen Resilienzkonzepts – sie ist das kommunikative Pendant zu den technischen Maßnahmen, die DORA fordert. 

Darksites über den Finanzsektor hinaus 

Für Kommunikatoren außerhalb des Finanzsektors gilt: Was DORA für Banken verpflichtend macht, wird zunehmend zum Qualitätsstandard in allen Branchen. Die Gründe: 

1. Steigende Erwartungen an Krisenmanagement: Stakeholder erwarten branchenübergreifend professionelles Krisenmanagement – DORA definiert hier neue Benchmarks. 
2. Wettbewerbsvorteil: Unternehmen, die DORA-ähnliche Standards freiwillig implementieren, signalisieren Professionalität und Verantwortungsbewusstsein. 
3. Lerneffekte aus dem Finanzsektor: Die durch DORA geschaffenen Best Practices werden sich als Industriestandards etablieren. 
4. Vorbereitung auf zukünftige Regulierung: Es ist zu erwarten, dass ähnliche Regularien mittelfristig auch für andere kritische Infrastrukturen und später für weitere Branchen eingeführt werden. 

DORA als Katalysator für professionelle Krisenkommunikation 

DORA ist mehr als nur eine weitere EU-Verordnung für den Finanzsektor – es ist ein Paradigmenwechsel im Umgang mit digitalen Risiken und deren Kommunikation. Die Verordnung zeigt deutlich: Professionelles Krisenmanagement ist ohne entsprechende digitale Kommunikationsinfrastruktur nicht mehr denkbar. 

Für Kommunikatoren bietet DORA eine klare Orientierung, wie digitale Krisenkommunikation im 21. Jahrhundert aussehen sollte: vorbereitet, strukturiert, stakeholderzentriert und technisch robust. Darksites sind dabei nicht nur ein technisches Tool, sondern der zentrale Ankerpunkt einer umfassenden Kommunikationsstrategie für den digitalen Krisenfall. 

Auch wenn Ihr Unternehmen nicht direkt von DORA betroffen ist: Die darin definierten Standards werden zunehmend zur Messlatte für professionelle Krisenkommunikation in allen Branchen. Wer heute eine DORA-konforme Darksite-Strategie implementiert, ist für die kommunikativen Herausforderungen von morgen bestens gerüstet. 

Als erfahrener Digitalpartner für Unternehmenskommunikation hat NetFed bereits DORA-konforme Darksite-Lösungen für führende deutsche Finanzdienstleister entwickelt und implementiert. Unsere Expertise umfasst sowohl die technischen Anforderungen der Verordnung als auch deren kommunikative Umsetzung. 

Wir verstehen: Jede Organisation benötigt eine individuell zugeschnittene Strategie, die zum Reifegrad der eigenen Kommunikationsstrukturen passt und die spezifischen Anforderungen Ihres Unternehmens berücksichtigt. Eine erfolgreiche DORA-Implementierung ist keine Standardlösung, sondern ein maßgeschneiderter Prozess, der gemeinsam gestaltet werden muss. 

Wir freuen uns auf Ihre Nachricht und Ihre individuellen Anforderungen.