Ein unscheinbarer Satz in MaRisk AT 7.3 Tz. 1 wirft eine einfache, aber zentrale Frage auf: Was genau soll hier eigentlich geregelt werden?
Er berührt die Grundlogik von Funktion, Prozess und Notfallvorsorge.
„Für Aktivitäten und Prozesse, die kritische oder wichtige Funktionen unterstützen, ist Vorsorge durch ein Notfallkonzept zu treffen.“
Der neue Satz 1 in MaRisk AT 7.3 Tz. 1 wirkt harmlos. Tatsächlich ist er im Lichte von DORA und der bisherigen Auslegung der „kritischen oder wichtigen Funktion“ (KWF) gleich mehrfach problematisch: begrifflich unsauber, steuerungslogisch inkonsistent und in seinen Folgen für die Operationalisierung eher verwirrend als entlastend. Statt Klarheit zu schaffen, löst er eine ohnehin fragile Begriffswelt weiter auf.
Die praktische DORA-Umsetzung hat – trotz formaler Zurückhaltung – faktisch zu einer Gleichsetzung von „Funktion“ mit „Aktivität“ oder „Prozess“ geführt. Diese Lesart wurde von der BaFin im Rahmen ihrer DORA-Veranstaltung im Dezember nicht nur in den Folien, sondern auch im mündlichen Vortrag mehrfach erkennbar transportiert.
Legt man dieses gelebte Verständnis zugrunde, lautet MaRisk AT 7.3 Tz. 1 Satz 1 im Klartext:
„Für Aktivitäten und Prozesse, die kritische oder wichtige Aktivitäten oder Prozesse unterstützen, ist Vorsorge durch ein Notfallkonzept zu treffen.“
Das ist sprachlich schwach und inhaltlich entkernt. Soll Notfallmanagement künftig vor allem Unterstützungsprozesse kritischer oder wichtiger Prozesse adressieren? Wo verbleiben dann die eigentlichen Primärprozesse, die diese Funktionen unmittelbar repräsentieren? Oder stecken die nicht doch irgendwie in der „KWF“ nach DORA drin? Und weshalb bedarf es überhaupt noch einer Business Impact Analyse, wenn für alle KWF-unterstützenden Aktivitäten und Prozesse pauschal Notfallkonzepte gefordert sind?
Man kann den Satz retten, indem man ihn nur noch unter einer strengeren begrifflichen Trennung liest: Funktion ist nicht Prozess.
In der klassischen Logik Schierenbecks und auch in der schweizerischen Aufsichtspraxis (FINMA 05/2025) ist eine Funktion eine strategische, nach außen gerichtete Leistungseinheit; Prozesse sind ihre operative Ausgestaltung, Ressourcen die Mittel zu ihrer Erbringung. Genau diese Hierarchie müsste regulatorisch klar gezogen werden: Funktionen sind die strategischen Leistungen des Instituts, Prozesse die operative Lieferkette zu ihrer Erbringung, Ressourcen die dafür eingesetzten Systeme, Infrastrukturen, Personen und Dienstleister.
Gerade diese Trennung ist aber schon im DORA-Umfeld nicht stabil gehalten worden. Während die schweizerische Aufsicht von einer begrenzten Zahl kritischer Funktionen ausgeht und für die mittlere Hälfte der Institute zwei bis vier kritische Funktionen berichtet, arbeiten europäische Aufsicht und BaFin faktisch mit einem deutlich expansiveren Verständnis. – Aber natürlich steht die „andere Jurisdiktion“ im Raum: Ein Herkunftshinweis als Sachargument.
In diesem Verständnis meint der Satz: Notfallkonzepte sind für diejenigen Aktivitäten und Prozesse vorzuhalten, die zur Erfüllung strategischer, nach außen wirksamer Bankfunktionen erforderlich sind.
Doch selbst in dieser wohlwollenden Auslegung bleibt ein strukturelles Problem: Der Satz determiniert pauschal, dass alle Aktivitäten und Prozesse, die kritische oder wichtige Funktionen unterstützen, eines Notfallkonzepts bedürfen.
Genau das ist steuerungslogisch falsch.
Die BIA soll gerade klären, welche Funktionen und Prozesse tatsächlich zeitkritisch sind, wo Notfallmaßnahmen erforderlich sind und in welcher Tiefe sie ausgestaltet werden müssen.
MaRisk AT 7.3 Tz. 1 Satz 1-neu dreht diese Logik um: Das KWF-Etikett entscheidet vorab. Die BIA wird damit von einem Steuerungsinstrument zur Kartierungsübung degradiert.
Das ist der eigentliche regulatorische Schaden dieses Satzes.
DORA ist weniger „Cyber-Regulierung“ als behauptet und deutlich stärker eine funktionsbezogene Betriebsfortführungs- und Resilienzordnung. Das „D“ in DORA und die häufige Rede von „Cyber“ verengen den Blick. Gerade daher rühren die teils sperrigen Definitionen.
Wenn bereits die Ermittlung der KWF eine Bewertung von Kritikalität und Ausfallfolgen voraussetzt und diese Sichtweise notwendig über die Gesamtheit der Prozesse hinweg angelegt ist, bleibt kaum erkennbar, welchen eigenständigen Regelungsgehalt MaRisk AT 7.3 Tz. 1-neu noch haben soll: Die Vorschrift beschreibt keinen zusätzlichen Steuerungsbedarf, sondern verdoppelt im Ergebnis nur eine Notfallsicht, die begrifflich bereits vorausgesetzt wird. DORA verlangt in Artikel 11 auch (undifferenziert) für (alle) KWF IKT-Geschäftsfortführungsleitlinien, Reaktions- und Wiederherstellungspläne sowie regelmäßige Tests.
Genau in dieses Feld stößt nun AT 7.3 Tz. 1 mit derselben Anknüpfung an „kritische oder wichtige Funktionen“ und derselben Zielrichtung.
Das führt zu einem von zwei Ergebnissen: Entweder MaRisk AT 7.3 Tz. 1-neu ist reine Doppelregulierung in noch unschärferer Sprache. Oder man versucht, rückwirkend einen Restbereich für Nicht-IKT-Notfälle zu konstruieren.
Beides überzeugt nicht. Wenn MaRisk AT 7.3 Tz. 1-neu tatsächlich Nicht-IKT-Notfälle eigenständig regeln soll, wäre es gerade unlogisch, sich ausgerechnet an den DORA-Begriff anzulehnen, statt einen eigenständigen, nicht IKT-bezogenen Anknüpfungspunkt zu wählen.
In der aktuellen Fassung entsteht deshalb kein zusätzlicher Steuerungsgewinn. Es entsteht nur mehr Auslegungsaufwand.
Wenn MaRisk AT 7.3 Tz. 1-neu überhaupt einen eigenständigen Mehrwert haben soll, muss die Formulierung drei Dinge leisten:
Konsequenter wäre es, im Formulierungsvorschlag ganz auf den Begriff der kritischen oder wichtigen Funktion zu verzichten. Wenn gerade diese Begrifflichkeit Auslöser der Unschärfe und Redundanz ist, sollte sie nicht in die Neufassung übernommen werden. Maßgeblich für das Notfallmanagement ist nicht die abstrakte kwF-Klassifizierung, sondern die durch die BIA festgestellte Zeit- und Unterbrechungskritikalität konkreter Aktivitäten und Prozesse.
Eine konsistente Formulierung wäre:
„Für Aktivitäten und Prozesse, die nach Maßgabe der Business-Impact-Analyse notfallrelevant sind, ist Vorsorge durch ein angemessenes Notfallkonzept zu treffen.“
Sie ist in sich widerspruchsfrei, weil sie keinen unklaren Funktionsbegriff voraussetzt. Sie ist BCM-logisch sauber, weil die BIA die Auswahlentscheidung trägt. DORA ließe sich in diese Formulierung widerspruchsfrei einordnen
Der neue Satz in MaRisk AT 7.3 Tz. 1 ist kein redaktionelles Detail, sondern ein Strukturfehler. Er verwischt die Grenze zwischen Funktion und Prozess, degradiert die BIA vom Steuerungsinstrument zur Kartierungsübung und doppelt DORA, ohne eigenständigen Regelungsmehrwert zu schaffen.
Sie müssen den Inhalt von reCAPTCHA laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Turnstile. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Vimeo. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie müssen den Inhalt von reCAPTCHA laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Mehr InformationenSie müssen den Inhalt von hCaptcha laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Mehr InformationenSie müssen den Inhalt von reCAPTCHA laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Mehr InformationenSie müssen den Inhalt von Turnstile laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Google Maps. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Vimeo. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Instagram. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie müssen den Inhalt von hCaptcha laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Mehr InformationenSie müssen den Inhalt von reCAPTCHA laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Turnstile. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen
