Entwicklung einer Kommunikationsrichtlinie nach DORA

In meiner DORA-Werkstatt arbeite ich aktuell an der Entwicklung einer Kommunikationsrichtlinie gemäß Artikel 14(2) der DORA-Verordnung. Wie sich herausstellt, ist die Erstellung dieser Richtlinie jedoch anspruchsvoller als erwartet. Der Grund: Kommunikation lässt sich nicht nur einer einzelnen Domäne in meinem DORA-Puzzle zuordnen. Sie spielt sowohl im klassischen IKT-Incident Management als auch im IKT-Business Continuity Management eine entscheidende Rolle.

Für die Entwicklung der Kommunikationsrichtlinie ist es wichtig zu verstehen, dass zur Sicherstellung der digitalen operationalen Resilienz alle betriebs- und sicherheitsrelevanten Vorfälle – von kleineren Störungen bis hin zu schwerwiegenden IKT-Vorfällen und Krisen – kommunikativ begleitet werden müssen.

Die Anforderungen an die Ausgestaltung der jeweiligen Kommunikationspläne sowie die Verantwortlichkeiten im Vorfallsmanagement variieren jedoch. Daher ist eine klare Unterscheidung der Vorfallsarten, Schweregrade und Zuständigkeiten für die Vorfallskommunikation erforderlich.

Um hier Orientierung zu schaffen, habe ich einen „Kommunikationswürfel“ entwickelt, der in diesem komplexen Geflecht von Anforderungen Übersicht und Struktur bietet.

Vorfallsarten: Grundsätzlich sind im Kontext der DORA-Verordnung drei verschiedene Vorfallsarten zu unterscheiden: IKT-bezogene Vorfälle, betriebsbezogene Vorfälle und sicherheitsrelevante, zahlungsbezogene Vorfälle.

Schweregrad eines Vorfalls: Weiterhin ist zwischen schwerwiegenden und nicht-schwerwiegenden Vorfällen zu unterscheiden, um festzustellen, ob ein Vorfall meldepflichtig gegenüber der Aufsichtsbehörde ist. Der RTS zur Klassifikation von IKT-bezogenen Vorfällen bietet hierfür ein Klassifizierungsschema, das auf alle drei Vorfallsarten angewendet werden sollte – auch wenn der Titel des RTS lediglich auf IKT-bezogene Vorfälle verweist.

Vorfallskommunikation: Ob und wie eine Vorfallskommunikation erfolgen muss, wer informiert wird und wer die Verantwortung dafür trägt, hängt vom jeweiligen Kontext des Vorfalls ab. Grundsätzlich gilt, dass für jede Vorfallsart und jeden Schweregrad entsprechende Kommunikationsmaßnahmen erforderlich sein können.

• Vorfälle im Zuständigkeitsbereich des IKT-Incident Managements werden im Rahmen der Incident Response Prozesse und auf Basis von "Standard"-Kommunikationsplänen kommuniziert.
• Vorfälle, die die Geschäftsfortführung kritischer oder wichtiger Funktionen gefährden und in den Zuständigkeitsbereich des IKT-Business Continuity Managements (IKT-BCM) fallen, erfordern hingegen eine Kommunikation gemäß Krisenkommunikationsplänen.

Schwerwiegende Vorfälle und Meldepflichten: Für die Aufsichtskommunikation ist entscheidend zu verstehen, dass nicht jeder schwerwiegende IKT-bezogene Vorfall automatisch immer beim selben Team liegt. Dies resultiert aus der Tatsache, dass ein hoher Schweregrad eines Vorfalls nicht zwangsläufig eine Bedrohung der Geschäftsfortführung impliziert. Ein Beispiel hierfür ist ein Cyberangriff, bei dem erheblicher Schaden durch Data Leakage entsteht, der jedoch keine unmittelbare Gefahr für die Geschäftsfortführung kritischer oder wichtiger Funktionen darstellt. In diesem Fall ist der Vorfall zwar schwerwiegend und meldepflichtig, kann aber womöglich vom IKT-Incident Management bearbeitet werden, ohne dass BCM-Pläne aktiviert werden müssen.

Um bei der Aufsichtskommunikation Inkonsistenzen zu vermeiden und sicherzustellen, dass meldepflichtige Vorfälle tatsächlich an die Aufsichtsbehörden übermittelt werden, sind klare Regelungen erforderlich. Diese legen fest, wann ein Vorfall von welchem Team übernommen wird und welcher Kommunikationsplan zur Anwendung kommt: der „Standard“-Kommunikationsplan im IKT-Incident Management oder der „Krisenkommunikationsplan“ im IKT-Business Continuity Management (IKT-BCM).

Ich bin gespannt, wie ihr auf dieses Thema schaut, denn ich vermute, dass es dazu mehr als nur eine Sichtweise gibt. Eure Gedanken und Feedback sind daher herzlich willkommen – gerne direkt in den Kommentaren! Ich freue mich auf den Austausch und wünsche euch schon mal ein tolles Wochenende!