10. März 2026
5 Min.

Kommunikation in Zeiten von DORA: Die größten Praxisfehler

Ein Jahr nach Einführung von DORA zeigt sich deutlich, wie sehr alte Routinen mit neuen Anforderungen kollidieren. Dieser Beitrag beschreibt drei typische Praxisfehler und erklärt, wie Banken sie vermeiden.

 

Der Digital Operational Resilience Act (DORA) ist vor über einem Jahr in Kraft getreten. Er setzt einheitliche Standards für die Cybersicherheit und Cyberresilienz von Finanzinstituten. Zum ersten Mal hat sich der Gesetzgeber dabei auch systematisch damit auseinandergesetzt, wie Banken im Falle etwa eines Cyberangriffs die Öffentlichkeit und ihre Stakeholder informieren sollen. Entstanden sind verbindliche Vorgaben, die den Finanzinstituten einen strukturierten Rahmen für ihre Krisenkommunikation vorgeben. Sie müssen ihre Kommunikationsprozesse daher entsprechend neu ausrichten.

Die AWADO Kommunikationsberatung hat in den vergangenen Monaten zahlreiche Gespräche mit Banken und Fachleuten geführt. Dabei sind immer wieder typische Fehler aufgefallen, die Institute in der praktischen Umsetzung der IKT‑Kommunikation machen. Drei davon werden in diesem Beitrag vorgestellt.

 

Erster Praxisfehler: Kommunikation wird nicht als eigener Prozess wahrgenommen

In der Vergangenheit lag die öffentliche Kommunikation zu Risiken in der Informations- und Kommunikationstechnologie (IKT‑bezogene Risiken) in den Händen der jeweiligen Bank. Das bedeutete: Ob und wie sie kommunizierten, entschieden die Institute selbst. Das führte dazu, dass sich einige Banken sehr schnell, transparent und umfassend äußerten – andere hingegen gar nicht.

DORA setzt an dieser Stelle völlig neue Maßstäbe. Die Verordnung schreibt eine Kommunikation vor, die als prozessuale Kernfunktion strukturiert, standardisiert und verbindlich ausgestaltet sein muss. Dazu gehört explizit, dass Mitteilungen transparent erfolgen und auf unterschiedliche Interessengruppen zugeschnitten werden. Dazu zählen insbesondere Kundinnen und Kunden, andere Finanzunternehmen sowie die breite Öffentlichkeit.

Wer diesen Paradigmenwechsel nicht mitgeht, der riskiert im Ernstfall unklare Abläufe, widersprüchliche Botschaften und Verzögerungen. Schließlich baut Krisenkommunikation auf vorhandenen Strukturen auf und ist unternehmensintern von jetzt auf gleich nur schwer aufzubauen. Es ist daher empfehlenswert, vorbereitet zu sein. Das geschieht etwa durch regelmäßige Trainings sowie Dokumente, die im Krisenfall Orientierung bieten, Abläufe festschreiben sowie Vorlagen und Checklisten bereitstellen.

 

Zweiter Praxisfehler: Es reicht aus, die Behörden zu informieren

Dem europäischen Gesetzgeber geht es bei DORA ausdrücklich darum, die gesamte Finanzbranche vor Reputationsschäden zu schützen. Denn ein schwerer Vorfall in einer einzelnen Bank kann schnell Zweifel an der Stabilität des Finanzsystems hervorrufen. Im schlimmsten Fall kommt es zu eklatanten Vertrauensverlusten, die beispielsweise einen Bank Run auslösen können.

Viele Institute gehen jedoch davon aus, dass ihre Pflichten erfüllt sind, wenn der Vorfall ordnungsgemäß über die Melde- und Veröffentlichungsplattform der BaFin eingereicht wurde. Doch diese aufsichtsrechtliche Meldung ist nur ein Teil der Aufgabe. DORA schreibt vor: Finanzinstitute müssen in einer Krise alle relevanten Stakeholder verlässlich informieren, nicht nur die Aufsicht. Durch eine umfassende und adressatengerechte Kommunikation können sie Reputationsschäden begrenzen und Vertrauensverluste verhindern. Kommunikation wird damit ausdrücklich zu einer Kernkomponente des Risikomanagements. Sie muss von Beginn an mitgedacht und aktiv gesteuert werden. Wer sich erst um die Kommunikation kümmert, wenn das Meldeformular abgeschickt ist, ist zu spät dran.

 

Dritter Praxisfehler: DORA erfüllen – und dann nicht weiter darüber nachdenken

Ein weiterer verbreiteter Irrtum besteht darin, dass es ausreiche, die Mindestanforderungen von DORA formal umzusetzen. Doch der europäische Gesetzgeber verfolgt eine deutlich weitergehende Strategie. Banken sollen künftig eine Schutzschildfunktion einnehmen, um die Stabilität und Integrität der Finanzmärkte zu gewährleisten. Deshalb ist davon auszugehen, dass ähnliche Vorgaben zur Kommunikation auch in anderen regulatorischen Bereichen dauerhaft verankert werden.

DORA sollte für Banken daher ein Anlass sein, ihre Kommunikationsprozesse grundsätzlich zu überdenken. Das neue Selbstverständnis lautet: Kommunikation ist nicht bloß die Erfüllung einer regulatorischen Pflicht, sondern ein zentraler Bestandteil der Resilienz-Strategie.

Standardisierte und zugleich flexibel anpassbare Kommunikationsprozesse helfen dabei, in zukünftigen Krisenlagen verlässlich, konsistent sowie aufsichtsorientiert zu handeln. Wer heute umfassend vorsorgt, ist morgen handlungsfähig. Auf diese Weise schützen Banken ihre eigene Reputation ebenso wie die der gesamten Branche.

 

Die AWADO Kommunikationsberatung unterstützt Banken bei der Bewältigung der kommunikativen Vorgaben von DORA. Dazu bietet sie beispielsweise ein Krisenkommunikationshandbuch sowie Krisensimulationen an.

 

Autor: Christof Dahlmann, AWADO Kommunikationsberatung

 

Christof Dahlmann
AWADO Kommunikationsberatung
Christof Dahlmann

Berater

+49 211 160914319

E-Mail schreiben
Norman Edelmann
AWADO Kommunikationsberatung
Norman Edelmann

Senior Berater

+49 511 95745209

E-Mail schreiben

Unsere Lesetipps

Compliance
20.02.2026
DORA-Experten im Interview: "Die Herausforderung liegt in der operativen Umsetzung"
IT-Security
10.02.2026
DORA: Worauf Banken bei der Kommunikation achten müssen