Art. 14 Kommunikation | DORA regulation | DORA

This article sits within the broader ICT risk management framework established under Article 6 and focuses specifically on communication obligations.

It requires financial entities to have crisis communication plans in place for disclosing major ICT-related incidents or vulnerabilities to clients, counterparts, and the public.

Beyond external disclosure, it also addresses internal communication, requiring separate policies that distinguish between staff who are actively involved in managing ICT risk and those who simply need to be kept informed.

Finally, it mandates that at least one designated person within the entity is responsible for executing the communication strategy and handling public and media relations during ICT-related incidents.

Important points:

Have crisis communication plans in place for the responsible disclosure of major ICT-related incidents or vulnerabilities to clients, counterparts, and the public.
Implement separate communication policies for internal staff, distinguishing between those managing ICT risk and those who only need to be informed.
At least one person within the financial entity must be designated to implement the ICT incident communication strategy and handle public and media functions.

1. Som en del av den IKT-riskhanteringsram som avses i artikel 6.1 ska finansiella entiteter ha kriskommunikationsplaner som gör det möjligt att på ett ansvarsfullt sätt informera kunder och motparter samt allmänheten om åtminstone allvarliga IKT-relaterade incidenter eller sårbarheter, beroende på vad som är lämpligt.
1. Som en del av IKT-riskhanteringsramen ska finansiella entiteter genomföra kommunikationsstrategier för intern personal och externa berörda parter. I sina kommunikationsstrategier för personalen ska hänsyn tas till behovet av att skilja mellan personal som deltar i IKT-riskhantering, framför allt personalen med ansvar för åtgärder och återställande, och personal som behöver information.
1. Minst en person i den finansiella entiteten ska ha i uppgift att genomföra kommunikationsstrategin för IKT-relaterade incidenter och fungera som talesperson gentemot allmänheten och medierna i detta syfte.