Der Digital Operational Resilience Act (DORA) verfolgt das legitime Ziel, die operationelle Resilienz von Finanzinstituten zu stärken.
Die Gleichzeitigkeit einer weiten Definition kritischer oder wichtiger Funktionen (kwF) und der undifferenzierten Anwendung von Instrumenten der Geschäftsfortführung führt in der Praxis zu erheblichem Mehraufwand, ohne dass ein entsprechender Resilienzgewinn erkennbar wäre.
Die BaFin stellt klar:
Die Ermittlung kritischer oder wichtiger Funktionen (kwF) darf weder allein auf Basis einer Business-Impact-Analyse (BIA) erfolgen noch ausschließlich auf zeitkritische Prozesse verengt werden.
Mit dieser Klarstellung korrigiert die Aufsicht eine in der Praxis verbreitete Verkürzung. kwF sind funktional weit zu definieren und umfassen auch solche Funktionen, deren Nicht-Funktionieren zwar wesentliche Auswirkungen haben kann, jedoch nicht zeitkritisch ist. Diese Einordnung ist aufsichtsrechtlich sachgerecht und konsistent mit dem Ziel einer umfassenden operationellen Resilienz.
Die methodische Spannung entsteht erst später. Artikel 11 DORA („Reaktion und Wiederherstellung“) verpflichtet Finanzunternehmen zur Erstellung einer:
IKT-Geschäftsfortführungsleitlinie, die darauf abzielt, die Fortführung der kritischen oder wichtigen Funktionen sicherzustellen.
Die Verordnung differenziert dabei nicht zwischen zeitkritischen und nicht-zeitkritischen kwF.
Damit wird der gesamte kwF-Kreis zum Anwendungsobjekt der Geschäftsfortführungs-planung erklärt. Genau an dieser Stelle beginnt der systematische Bruch, der auch in Kapitel IV „Management der IKT-Geschäftsfortführung“ der delegierten Verordnung (EU) 2024/1774 nicht geheilt wird.
Der Begriff der Geschäftsfortführung ist weder neu noch offen interpretierbar. Er ist klar und konsistent verankert im Notfall- bzw. Business-Continuity-Management nach etablierten Standards, insbesondere:
Diese Standards sind eindeutig hinsichtlich ihres Betrachtungsobjekts: Gegenstand der Geschäftsfortführungsplanung sind zeitkritische Prozesse, also Prozesse, deren Ausfall innerhalb kurzer Zeit zu nicht tolerierbaren Schäden führt.
Nicht-zeitkritische kwF sind nicht primäres Anwendungsobjekt der Geschäftsfortführungsplanung; sie sind über geeignete Governance-, Risiko- und Kontrollmechanismen zu adressieren.
Aus der Kombination von Definition und Anforderung ergibt sich ein methodischer Bruch:
Diese beiden Ebenen sind nicht deckungsgleich. Die Aufsicht erweitert den Anwendungsbereich, ohne die eingesetzten Instrumente entsprechend zu differenzieren.
In der Umsetzung führt diese Inkonsistenz dazu, dass nicht-zeitkritische Prozesse maßlos übersteuert werden, obwohl für diese Prozesse keine Anforderungen an eine zeitnahe Fortführung bestehen können oder dürfen.
Der daraus resultierende Aufwand trägt jedoch nicht messbar zur operativen Resilienz bei.
Kritische oder wichtige Funktionen (kwF) sind nicht als homogene Kategorie, sondern als Teilmengenkonzept zu verstehen. Ein Festhalten am bloßen „oder“ oder einem „sowohl als auch“ verkennt die impliziten Steuerungsfolgen, die sich aus der Missachtung grundlegender Bestimmungsparameter der Wichtigkeit bzw. der Kritikalität von Prozessen ergeben.
Nicht jede wichtige Funktion ist kritisch, nicht jede kritische Funktion ist zeitkritisch, und nur zeitkritische Funktionen sind Gegenstand der Geschäftsfortführungsplanung.
Um methodische Konsistenz herzustellen, muss die Aufsicht entweder:
Sie müssen den Inhalt von reCAPTCHA laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Turnstile. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Vimeo. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie müssen den Inhalt von reCAPTCHA laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Mehr InformationenSie müssen den Inhalt von hCaptcha laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Mehr InformationenSie müssen den Inhalt von reCAPTCHA laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Mehr InformationenSie müssen den Inhalt von Turnstile laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Google Maps. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Vimeo. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Instagram. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie müssen den Inhalt von hCaptcha laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Mehr InformationenSie müssen den Inhalt von reCAPTCHA laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Turnstile. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen
