Wichtig ist wie kritisch – nur "ohne Zeit"

HUG GmbH

Kritische oder wichtige Funktion (DORA): Warum die Business Impact Analyse geeignet ist – wenn man sie richtig liest.

Die Verordnung (EU) 2022/2554 (DORA) etabliert mit der kritischen oder wichtigen Funktion (kwF) einen zentralen Steuerungsbegriff für das IKT-Risikomanagement von Finanzunternehmen. Die zugrunde liegende Definition vereint jedoch unterschiedliche Arten von Leistungsversagen und Risikoursachen in einem einheitlichen Rechtsbegriff, ohne diese systematisch zu klassifizieren oder differenzierte Steuerungslogiken vorzugeben.

 

In der Praxis wurde kwF häufig mit zeitkritischen Prozessen aus der Business Impact Analyse (BIA) gleichgesetzt. Die Aufsicht weist zu Recht darauf hin, dass dieses Vorgehen nicht ausreichend ist.

 

Gleichzeitig erwartet DORA aber für nicht zeitkritische Funktionen Maßnahmen, die aus der Logik des Business Continuity Managements (BCM) stammen. Diese Spannung ist kein Umsetzungsfehler der Praxis, sondern strukturell in der kwF-Definition selbst angelegt.

 

Vor diesem Hintergrund stellt sich nicht die Frage, ob die bisherige Praxis unzureichend ist, sondern wie die kwF-Definition so operationalisiert werden kann, dass sie sowohl dem Wortlaut von DORA als auch den Anforderungen wirksamer Steuerung gerecht wird.

kontakt
DORA

Ein einheitlicher Begriff für heterogene Risiken

Die Definition der kwF bündelt in einem einzigen Tatbestand:

  • unterschiedliche Arten des Leistungsversagens (Ausfall, Unterbrechung, Fehlerhaftigkeit oder Unterbleiben),
  • unterschiedliche Wirkungsebenen (Existenzgefährdung, Beeinträchtigung der Leistungserbringung, regulatorische Pflichtverletzung),
  • unterschiedliche Steuerungslogiken (Notfallmanagement, Qualitäts- und interne Kontrollsysteme, Informationssicherheit, Drittparteiensteuerung).

 

Zwischen „kritisch“ und „wichtig“ steht ein oder. Dieses oder ist jedoch kein klassifizierendes, sondern ein normatives Auffang-Oder. Es erweitert den Anwendungsbereich, strukturiert ihn jedoch nicht. Für die Steuerung ist genau dies problematisch: Heterogene Risiken werden regulatorisch gleichbehandelt, obwohl sie unterschiedliche Ursachen, Wirkmechanismen und Steuerungsinstrumente erfordern.

 

Aus Governance- und Steuerungssicht wäre ein klassifizierendes Oder („entweder kritisch oder wichtig“) hochgradig sinnvoll. Klassifikation ist die Voraussetzung für:

  • klare Zuständigkeiten,
  • passende Methodiken,
  • risikoadäquate Maßnahmen.

 

Die Praxis kann diesen Steuerungskonflikt nicht vermeiden – sie kann ihn lediglich intern auflösen.

Vier Tatbestände, vier Ursachen, vier Steuerungslogiken

Die kwF-Definition benennt vier Formen des Leistungsversagens, die fachlich klar unterscheidbar sind:

 

  • Ausfall: vollständige Nichtverfügbarkeit → primär BCM / Notfallmanagement
  • Unterbrechung: Störung oder Instabilität → IT-Betrieb, Incident- bzw. Problem-Management
  • Fehlerhaftigkeit: qualitativ falsche Ergebnisse → Internes Kontrollsystem, Datenqualitätsmanagement, Governance
  • Unterbleiben: Leistung wird nicht erbracht → Auslagerungs- und Drittparteiensteuerung, Governance

 

Die letzten drei Tatbestände adressieren strukturelle Defizite im Normalbetrieb – also genau jene Konstellationen, in denen es auf die fortdauernde Einhaltung regulatorischer Anforderungen ankommt.

DORA

„Wichtig“ ist strukturell – nicht notfallzeitlich

Der fachliche Unterschied zwischen „kritisch“ und „wichtig“ liegt nicht zwingend in der grundsätzlichen Schwere möglicher Auswirkungen, sondern in der Art der zeitlichen Relevanz.

 

Bei kritischen Funktionen ist Zeit integraler Bestandteil der Bewertung. Die Zeitdimension bezieht sich dabei auf:

  • die Dauer eines Ausfalls,
  • die Schadensintoleranz gegenüber dieser Dauer,
  • sowie auf Anforderungen an Wiederanlauf und Wiederherstellung.

 

Zeit ist hier handlungsleitend: Es existiert ein akuter Zeitraum, innerhalb dessen reagiert werden muss, um existenzielle oder unmittelbar schwerwiegende Schäden zu vermeiden. Genau hierfür sind Notfall- und BCM-Instrumente konzipiert.

 

Bei wichtigen Funktionen liegt die Situation grundlegend anders. Strukturelle Defizite – etwa fehlerhafte, unvollständige oder unterbliebene Leistungen – entfalten ihre Wirkung nicht in einem klar abgegrenzten Akutzeitraum. Es gibt keinen definierten Zeitpunkt, ab dem „zu spät“ reagiert wurde, und keinen Wiederanlauf im klassischen Sinn.

 

Die Relevanz ergibt sich hier nicht aus der Dauer eines Ausfalls, sondern aus der inhaltlichen Qualität der Leistung und ihrer funktionalen Rolle. Schäden entstehen insbesondere durch:

 

  • dauerhaft falsche Ergebnisse,
  • systematische Nichterfüllung regulatorischer Pflichten,
  • strukturelle Governance- oder Steuerungsdefizite.

 

Zeit spielt in diesen Fällen allenfalls eine sekundäre Rolle (z. B. als Zeitraum der Exponierung), ist jedoch kein handlungsleitendes Kriterium im Sinne eines Notfalls.

 

„Wichtig“ im Sinne von DORA ist damit kein zeitlich abgeschwächter Kritikalitätsbegriff, sondern ein andersartiger Wesentlichkeitsbegriff: Eine Funktion ist wichtig, weil ihr qualitatives Versagen erhebliche Wirkung entfaltet – nicht, weil innerhalb eines bestimmten Zeitfensters reagiert werden muss.

Die Rolle der BIA: Voraussetzung für ein Teilmengenkonzept

Die Business Impact Analyse ist für die Operationalisierung der kwF grundsätzlich geeignet. Entscheidend ist jedoch, wie sie gelesen und genutzt wird.

Mapping: BIA-Parameter, DORA-kwF-Definition

Zur Bestimmung von „wichtig“ werden die in der BIA genutzten Bewertungsparameter herangezogen, ohne sie in einen Akutzeitraum eines Ausfalls zu übersetzen.

 

Es wird bewusst nicht gefragt:

  • wie schnell ein Schaden eintritt,
  • wie lange ein Ausfall tolerierbar ist,
  • oder wann ein Wiederanlauf erfolgen muss.

 

Stattdessen wird gefragt:

  • Wie hoch wäre der Schaden, wenn diese Funktion qualitativ versagt?
  • Welche regulatorischen, finanziellen oder governancebezogenen Auswirkungen hätte dies?

 

Damit beschreibt „wichtig“ eine strukturelle Wesentlichkeit, die unabhängig davon besteht, ob ein Versagen akut oder schleichend wirkt.

 

Diese Schadenspotenziale sind – begrifflich und logisch – der Kehrwert der Funktions- bzw. Prozesswesentlichkeit: Ein hoher Schaden kann nur dort entstehen, wo die zugrunde liegende Funktion einen hohen Bedeutungswert für das Institut besitzt. Dieses Denken ist aus der bisherigen Aufsichtspraxis – etwa im Kontext der MaRisk AT 9 Tz. 2-Erl. („Wesentlichkeit der Prozesse“) – grundsätzlich vertraut.

DORA

„Kritisch“: Schadenspotenzial plus Akutzeitraumbetrachtung

Erst für die Bestimmung von „kritisch“ wird die zeitliche Dimension ergänzt. Dasselbe Schadenspotenzial wird in Beziehung gesetzt zu:

  • der Dauer eines Ausfalls,
  • der Schadensintoleranz gegenüber dieser Dauer,
  • sowie zu Anforderungen an Wiederanlauf und Wiederherstellung.

 

Zeit fungiert dabei nicht als eigenständige Wesentlichkeitsbasis, sondern als Verstärker eines bereits bestehenden Schadenspotenzials. Kritikalität entsteht dort, wo ein hohes Schadenspotenzial nur durch zeitnahes Handeln beherrschbar ist.

 

Damit wird das Teilmengenkonzept logisch konsistent:

  • „Wichtig“ = hohes Schadenspotenzial
  • „Kritisch“ = hohes Schadenspotenzial unter Akutzeitdruck

Teilmengenkonzept – wichtig, kritisch

Es gilt zwingend: kritisch ⊆ wichtig

 

Nicht, weil beide auf derselben Bewertungsachse liegen, sondern weil Kritikalität ohne vorgelagerte Wichtigkeit nicht existieren kann.

 

Die BIA liefert somit:

  • für „wichtig“ die inhaltliche Schadensbasis,
  • für „kritisch“ dieselbe Schadensbasis zuzüglich der Akutzeitraumlogik.

 

Erst nachgelagert schließt sich die eigentliche Risikobetrachtung an, da bis zu diesem Punkt bewusst nicht mit Eintrittswahrscheinlichkeiten gearbeitet wird.

Ein kleiner Exkurs: Abgrenzung zum Schutzbedarf

Wichtig ist in diesem Zusammenhang festzuhalten, dass die Definition der kritischen oder wichtigen Funktion nicht auf den Schutzbedarf abstellt. Dies ist konsequent, da DORA an dieser Stelle Funktionen bzw. Prozesse bewertet – nicht Daten oder Informationen.

 

Schutzbedarf ist ein objektbezogenes Konzeptund folgt einer anderen Bewertungslogik.

 

„Wichtig“ im Sinne der kwF-Definition beschreibt daher keine Schutzintensität, sondern eine funktionsbezogene Wesentlichkeit. Eine Gleichsetzung von „wichtig“ mit hohem Schutzbedarf würde die Bewertungsebene verfehlen und zu systematischer Fehlsteuerung führen.

DORA

Schlussbemerkung

Die hier entwickelte Heuristik versteht sich nicht als Neuinterpretation der Regulierung, sondern als strukturierende Antwort auf diese Offenheit. Sie macht sichtbar, dass „kritisch“ und „wichtig“ keine alternativen Schutzstufen beschreiben, sondern unterschiedliche Ausprägungen funktionaler Wesentlichkeit – mit und ohne notfallzeitlichen Handlungsdruck.

 

Die Nutzung der Business Impact Analyse zur Bestimmung struktureller Wesentlichkeit, ergänzt um eine klare Akutzeitraumbetrachtung zur Identifikation kritischer Funktionen, ermöglicht eine konsistente und nachvollziehbare Operationalisierung. Dabei bleibt der regulatorische Befund bewusst binär: Eine Funktion ist entweder kritisch oder wichtig im Sinne von DORA – oder sie ist es nicht.

 

Interne Klassifikation dient in diesem Kontext nicht der Abweichung von regulatorischen Vorgaben, sondern ihrer Umsetzung. Sie schafft Klarheit über Ursachen, Wirkmechanismen und geeignete Steuerungsinstrumente und ist damit Ausdruck guter Governance.

Kontakt
Nach oben scrollen