10. Februar 2026
5 Min.

DORA: Worauf Banken bei der Kommunikation achten müssen

 

Die Kommunikationsprozesse von Genossenschaftsbanken rücken mit dem Digital Operational Resilience Act (DORA) stärker in den Fokus. Demnach müssen Banken erstens Kommunikationspläne vorlegen, die eine verantwortungsvolle Offenlegung schwerwiegender IKT‑bezogener Vorfälle gegenüber Kundinnen und Kunden, anderen Finanzunternehmen sowie der Öffentlichkeit ermöglichen. Zweitens verlangt DORA, dass die interne Kommunikation klar strukturiert und verbindlich geregelt wird. Drittens ist mindestens eine verantwortliche Person zu benennen, die im Ernstfall gegenüber Medien und Öffentlichkeit spricht. Diese drei Vorgaben sind in Artikel 14 der DORA‑Verordnung verankert.

Hinter diesem regulatorischen Ansatz steht die Erkenntnis, dass Cybervorfälle das Potenzial haben, Banken in erhebliche Reputationskrisen zu stürzen. Oft ist es nicht der technische Vorfall selbst, der den größten Schaden anrichtet, sondern der kommunikative Umgang damit. Während Institute früher über deutlich mehr Spielraum verfügten, wie sie auf Krisenszenarien reagieren, setzt der europäische Regulierer heute klare Leitplanken. Ziel ist es, Reputationsverluste zu begrenzen und eine professionelle, verlässliche Kommunikation in Krisenlagen sicherzustellen. Das geschieht jedoch nicht zum Wohle des einzelnen Instituts. Vielmehr nimmt der Regulierer Einfluss auf mögliche Reputationsschäden für das gesamte Finanzsystem. Dieses Vorgehen unterliegt der berechtigten Annahme, dass ein reputationsschädigendes Ereignis innerhalb einer einzelnen Bank schnell zu einem systemischen Krisenfall wird, der Zweifel an der Sicherheit und Integrität der gesamten Finanzbranche hervorruft. Dieses Szenario gilt es zu verhindern. Es ist daher davon auszugehen, dass die europäischen Regulierungsstellen auch in anderen Bereichen vergleichbar vorgehen werden, um die Institute zu einer „Schutzschildfunktion“ der Finanzmarktintegrität zu zwingen.

 

Rund zwei schwerwiegende IKT-Vorfälle pro Tag

Ein Jahr nach Inkrafttreten von DORA hat auch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) Bilanz gezogen. Auf der digitalen Veranstaltung „IT‑Aufsicht im Finanzsektor: Das erste Jahr DORA“ zeigte sie, dass Cyberangriffe mittlerweile alltägliche Realität sind. Wesentlicher Beleg: Von Januar bis Anfang Dezember 2025 wurden mehr als 600 schwerwiegende IKT‑Vorfälle gemeldet, also rund zwei pro Tag. Das Fazit der BaFin fällt durchwachsen aus. Zwar hätten alle befragten Institute ihre Prozesse und Strukturen überarbeitet. In vielen Fällen fehlten jedoch zentrale Inhalte, zudem seien die Vorgaben nur unzureichend an die spezifischen Gegebenheiten des jeweiligen Hauses angepasst. Auch die praktische Umsetzung der neuen Regelwerke und Abläufe stehen häufig noch aus. Die Aufsicht kündigte deshalb an, ihre Prüfungen in den Jahren 2026 und 2027 stärker unternehmensindividuell auszurichten. Tests zur Verbesserung der operationalen Resilienz würden dabei im Mittelpunkt stehen.

Damit wächst der Druck auf Banken, ihre Krisenkommunikation nicht auf die lange Bank zu schieben. Gefordert sind vollständige, klar strukturierte und individuell angepasste Kommunikationsunterlagen für alle DORA‑relevanten Szenarien. Wer auf den Ernstfall vorbereitet ist, kommuniziert schneller, verantwortungsbewusster und glaubwürdiger – und erfüllt zugleich die Erwartungen der Aufsicht. Viele Banken begegnen der Kommunikation noch stiefmütterlich – auch, weil an anderen Stellen der Schuh weiterhin drückt. Doch Eile ist geboten, ist der Wille der Aufsicht nach Erfolgen auch in der Reputationssicherheit hoch.

 

Krisenkommunikationshandbuch von AWADO: Revisionssicher, praxisnah und auf DORA zugeschnitten

Die Kommunikationsprozesse an die Anforderungen von DORA anzupassen ist alles andere als trivial. Banken, die sich bei dieser Aufgabe professionelle Unterstützung wünschen, können auf das Angebot der AWADO Kommunikationsberatung zurückgreifen. Diese hat ein revisionssicheres Krisenkommunikationshandbuch entwickelt, das speziell auf die Vorgaben der Verordnung zugeschnitten ist. Die Unterlagen enthalten praxisnahe Checklisten, Mustermitteilungen und eine phasenbasierte Struktur, die eine klare, konsistente und reputationssichernde Bewältigung IKT‑bezogener Vorfälle ermöglicht. Mit wenigen individuellen Ergänzungen lässt sich das kommunikative Vorgehen in DORA‑relevanten Notfall- und Krisenszenarien abbilden, zugleich sind die Dokumente anschlussfähig an bestehende Notfallpläne und ergänzen somit auch die Meldepflichten an die zuständigen Behörden.

Für Banken liegt der Nutzen auf der Hand: Sie erfüllen einerseits die formalen Anforderungen der Aufsicht und bleiben andererseits im Ernstfall handlungs- und kommunikationsfähig. Gerade die Entwicklungen der vergangenen Jahre haben gezeigt, wie entscheidend klare und schnelle Prozesse sind. Digitale Resilienz wird zunehmend zum Maßstab für die Handlungsfähigkeit eines Instituts – und die Kommunikation nimmt dabei eine zentrale Rolle ein.

 

Autor: Christof Dahlmann, AWADO Kommunikationsberatung

 

Mehr Informationen zum Krisenkommunikationshandbuch im AWADO-Shop.

 

Norman Edelmann
AWADO Kommunikationsberatung
Norman Edelmann

Berater

+49 511 95745209

E-Mail schreiben
Christof Dahlmann
AWADO Kommunikationsberatung
Christof Dahlmann

Berater

+49 211 160914319

E-Mail schreiben

Unsere Lesetipps

IT-Security
28.05.2025
DORA360 — Ihr Wegweiser für eine prüfungssichere DORA-Compliance
Prüfung
29.01.2025
DORA-Verordnung: Ein neuer Maßstab für die digitale Resilienz im Finanzsektor