Das Phantom im Informationsregister nach DORA

DORA will "die Großen". Bekommen hat man sie angeblich noch nicht.

Es rumort. Man hört, die Aufsicht vermisst die großen IKT-Dienstleister. Im Informationsregister nach DORA – Fehlanzeige.

Aus Gesprächen mit vielen unserer Kunden zeigt sich ein überraschend einheitliches Bild: Eine erhebliche Zahl von Instituten hat Hyperscaler und die „Allerwelts-IKT-Dienstleister“ nicht als IKT-Drittdienstleister gemeldet, die eine kritische oder wichtige Funktion (KWF) unterstützt.

Warum? Weil die Institute auf Basis der Definition der KWF und der flächig im Einsatz befindlichen BIA keine kritische oder wichtige Funktion identifiziert haben, für die diese relevant wären. Methodenfreiheit. Eigentlich: alles richtig gemacht.

Man munkelt, die Aufsicht sei jetzt unzufrieden. Will sie doch gerade mit DORA an die Großen ran. Jetzt passt das Ergebnis nicht ins Weltbild. Die eigene Regelbasis gibt das gewünschte Ergebnis nicht her.

Haben die Institute was übersehen?

Nein, haben sie nicht. Sie haben nur gemacht, was in der DORA und den FAQ der BaFin steht.

Der Fehler liegt im System.

In der insbesondere von der nationalen Aufsicht vorgenommenen Auslegung – FAQ:

„Was ist eigentlich der Unterschied zwischen „kritisch“ und „wichtig“ i.S.d. Art. 3 Nr. 22 DORA? Der europäische Gesetzgeber weist den beiden Worten in seiner Definition in Art. 3 Nr. 22 DORA keine eigene Bedeutung zu. Sie werden vielmehr im Paar „kritisch oder wichtig“ genutzt und definiert.“

„Kritische oder wichtige Funktion“ – so steht’s geschrieben. Im Verordnungstext. Die europäische Definition verwendet bewusst ein „oder“ und unterscheidet sprachlich damit zwischen „kritisch“ oder „wichtig“. Die deutsche Aufsicht aber macht kurzerhand aus einem „oder“ ein „und“, ein „Paar“.

Und man überliest weiter: „fehlerhafte Leistung“. Kein Ausfall, sondern schlicht: abweichende Leistung im Normalbetrieb. Das Szenario, warum man überhaupt steuert. Tag für Tag. Das, wofür Governance eigentlich gemacht ist.

Und dann wundert man sich, so jüngst wieder von einem IT-Prüfer der Bundesbank zu hören, dass viele Institute ihre KWF überwiegend mit der Logik einer BIA erheben. Die BIA, die einst als Instrument diente, „Kritikalität“ im BCM zu bestimmen und nun für DORA-Zwecke herhält. Präzise: Man wundert sich über die starke Ausfall-/Notfallorientierung, die das Ganze genommen hat. Dass diese Denke auf DORA übertragen wurde, ist nicht überraschend, nur eine Folge der ungenauen Auslegung.

Ein Blick in die MaRisk unterstreicht die systemische Diskrepanz

Die deutsche Aufsicht schreibt in MaRisk AT 9 Tz. 2-Erl., dass zur Bestimmung der Wesentlichkeit von Auslagerungen die Prozesswesentlichkeit zu berücksichtigen ist.

Was in MaRisk AT 9 Tz. 2-Erl. als Bestimmungsparameter fehlt: die Kritikalität.

Für den Notfall kommt MaRisk AT 7.3 zur Seite und stiftet die (Zeit-)Kritikalität und Anforderungen an Dienstleister in zeitkritischen Prozessen.

Zwei Welten also:

Steuerung im Normalfall.
Steuerung im Notfall.

Wesentlich – wichtig. Oder: kritisch oder wichtig.

Und jetzt...

Die FAQ richtig umschreiben? Endlich das „oder“ und „fehlerhaft“ richtig lesen? Die BIA als flächiges Instrument für DORA hinterfragen?

Oder als Aufsicht die Erwartung formulieren, bestimmte Anbieter im Register sehen zu wollen – unabhängig vom methodischen Ergebnis? Man könnte natürlich auch über aufsichtliche Prüfungen ein solches Ergebnis „erzwingen“.

Die Wahrheit ist unbequem, aber notwendig:

Wer Methodenfreiheit gestattet, muss diese aushalten und unterschiedliche Ergebnisse akzeptieren.

Wer hingegen ein bestimmtes Ergebnis sehen möchte, muss dies klar und offen sagen. Mutig sein, es besser wissen.

Solange die Aufsicht ihre eigenen Spielregeln nicht mehr versteht oder nachträglich neu schreibt, wird kein Institut mehr sauber steuern – nur noch antizipieren, was wohl gemeint war.