Die ODER-Falle der Aufsicht

Das „Pest-oder-Cholera“-Szenario, wenn kritische und wichtige Funktionen „richtig“ ermittelt werden

Gestern fand die BaFin-Veranstaltung „IT-Aufsicht im Finanzsektor – das erste Jahr DORA“ statt. Die Aufsicht nutzte die Bühne, um einige der drängendsten Fragen rund um DORA zu adressieren – zumindest war dies der Anspruch.

Doch beim genaueren Hinsehen stellt sich eine andere Frage: Ging es wirklich um Klarstellungen? Oder eher darum, die Folgen jener Unschärfen einzudämmen, die durch frühere Auslegungen und die eigene Mitwirkung am europäischen Regelwerk erst entstanden sind? Mit DORA wurden etablierte Begriffslandschaften und Definitionen aus langjährig bewährten Standards – darunter ISO-Normen, BSI-Vorgaben und sogar ITIL – ohne erkennbare Not durchbrochen. Für Fachkundige wirkt dies wie ein regulatorischer Rundumschlag: Störungen und Notfälle, kritisch oder wichtig, Risikoanalysen in der Business Impact Analyse (BIA) – und plötzlich stellt sich die Frage, wozu dann jahrzehntelang genutzte Instrumente wie die Risk Impact Analysis überhaupt existierten.

BaFin und KWF: Risiken verkürzter BIA-Sicht für Banken in Deutschland

Die Institute stehen nach den gestrigen Äußerungen der BaFin vor einer regulatorischen Wahl, die sich wie ein klassisches „Pest-oder-Cholera“-Szenario liest:

Entweder man definiert die „kritischen oder wichtigen Funktionen“ (KWF) im Sinne der Aufsicht vollständig und korrekt. Dann rutschen jedoch zahlreiche „wichtige“ Prozesse in den Anwendungsbereich von Instrumenten, die ursprünglich für zeitkritische und existenzielle Ausfallszenarien entwickelt wurden. Geschäftsfortführungspläne, Wiederanlaufstrategien und Notfallszenarien müssten damit auf Prozesse angewendet werden, für die sie weder konzipiert noch geeignet sind. Oder man wählt eine verknappte Sichtweise auf eben die Ausfall-, die Notfallsichtweise: Definition zwar verfehlt, aber die Instrumente passen wenigstens.

Gerade diese Überdehnung hat maßgeblich zu jener heute verbreiteten, verkürzten Sichtweise geführt, die KWF-Identifikation auf die Ergebnisse der BIA zu „eindampfen“ – eine Methode, die zwar inhaltlich unzureichend, aber operativ handhabbar erscheint.

Aber mal von vorne

Im Zentrum der Diskussion stand erneut der Begriff der KWF. Kaum ein Thema sorgt derzeit für mehr Verunsicherung bei Instituten. Genau hier versuchte die BaFin nun nachzuschärfen. Die Aussagen changierten, ähnlich wie bereits beim DIIR-Jahreskongress im November, aber zwischen Präzisierung und Rückzug – mit der Folge, dass Interpretationsspielräume zwar anders verteilt, jedoch keineswegs geschlossen wurden.

Betont wurde, dass die ausschließliche Verwendung der BIA zur Bestimmung der KWF nicht ausreiche. Gemeint ist: Die bisher verbreitete Praxis, die nach BSI, MaRisk oder ISO schon als zeitkritisch klassifizierten Prozesse schlicht in DORA zu übertragen, greift zu kurz. Das reine „Copy-Paste“ aus der BIA führt nicht zur Identifikation der KWF im Sinne der europäischen Regelung.

DORA denkt die Funktion nicht nur entlang ihrer Ausfallkritikalität, sondern ergänzt eine zweite Dimension: einen aufsichtsrechtlichen Impact. Es geht also nicht allein darum, ob ein Prozess bei Ausfall zeitkritisch ist, sondern ob dieser Prozess für die Aufsicht relevant ist: „[…] oder deren unterbrochene, fehlerhafte oder unterbliebene Leistung die fortdauernde Einhaltung der Zulassungsbedingungen und -verpflichtungen eines Finanzunternehmens oder seiner sonstigen Verpflichtungen nach dem anwendbaren Finanzdienstleistungsrecht erheblich beeinträchtigen würde.“

Genau hier entsteht die neue, zusätzliche Komponente, die über klassische Notfallmanagement-Logiken hinausgeht.

Das Kernproblem

Das Kernproblem liegt jedoch im logischen Verknüpfungspunkt. DORA spricht von kritischen oder wichtigen Funktionen. Diese ODER-Verknüpfung führt dazu, dass beide Arten von Funktionen – auch solche, die ausdrücklich nicht zeitkritisch sind, wie die BaFin selbst eingeräumt hat – denselben Instrumentenkatalog erfüllen sollen.

Beispielhaft fordert Artikel 11 Abs. 2 a DORA (ergänzend u.a. Kapitel IV RTS IKT-RMF; Delegierte Verordnung (EU) 2024/1774) Geschäftsfortführungspläne und weitere Resilienzmaßnahmen für sämtliche KWF, ohne zwischen den Ursachen ihrer Kritikalität und den operativen Anforderungen zu differenzieren.

Damit entsteht ein Widerspruch: Wenn „wichtig“ nicht zwingend „zeitkritisch“ bedeutet, warum sollen dann Instrumente angewendet werden, die für existenzielle, zeitkritische Szenarien entwickelt wurden?

Die Konsequenz ist eine systematische Überdehnung des Notfall- und Resilienzregimes auf Funktionen, die zwar wichtig, aber nicht operativ existenzbedrohend sind. Das erzeugt Aufwand, ohne den intendierten Mehrwert zu liefern.

Eine Lösung

Die naheliegende Lösung wäre eine logische Entflechtung. Würden „kritisch“ oder „wichtig“ mit einem UND verbunden, ließe sich ein stufenlogisches Modell etablieren:

Für kritische Funktionen: hohe operativ-technische Resilienzanforderungen, Geschäftsfortführungspläne, Notfallmechanismen
Für wichtige Funktionen: organisatorische, aber nicht zwingend zeitkritische Resilienzanforderungen

Natürlich wären Folgeanpassungen erforderlich: DORA müsste an den Stellen, an denen heute pauschal von KWF gesprochen wird, eine sprachliche und inhaltliche Trennung von kritischen und wichtigen Funktionen vorsehen. Nur so ließe sich eine differenzierte Betrachtung regulatorisch verankern.

Der Begriff der „wichtigen Funktionen“ wäre damit korrekt gefasst, ohne Kollateraleffekte auf das Notfallmanagement zu erzeugen.

Die Institute könnten die richtigen Mittel dort einsetzen, wo sie tatsächlich erforderlich sind.

Genau diese Differenzierung wäre konsistent, fachlich belastbar und regulatorisch anschlussfähig.