Executive Summary
Operative Resilienz ist seit Januar 2025 mit DORA unmittelbar geltendes europäisches Recht. Zusammen mit MaRisk und den EBA-Guidelines entsteht ein dreistufiges Regelwerk, das Business Continuity Management als ganzheitliche Governance-Aufgabe definiert. Die Anforderungen adressieren dabei ausdrücklich nicht nur die IKT-Infrastruktur, sondern die gesamte operative Handlungsfähigkeit: Personal, Gebäude, Prozesse, Kommunikation und Drittanbieter. Dieser Artikel ordnet die zentralen Regelwerke ein und zeigt, wo die typischen Lücken zwischen regulatorischem Anspruch und operativer Realität liegen.
DORA: Geschäftsfortführung als europäische Pflicht
DORA Artikel 11 bildet das regulatorische Herzstück für die Geschäftsfortführungsplanung. Demnach müssen Finanzunternehmen IKT-Geschäftsfortführungspläne entwickeln, die in die übergreifende Geschäftsfortführungsplanung eingebettet sind. Die Verordnung verlangt Reaktions- und Wiederherstellungspläne, deren regelmäßige Testung und die quantitative Bewertung von Ausfallrisiken. Hinzu kommt die Pflicht zur Krisenmanagement-Kommunikation: Pläne für die interne und externe Kommunikation im Krisenfall, einschließlich Aufsicht, Kunden und Öffentlichkeit.
Artikel 28 adressiert das Drittanbieter-Risiko. Institute müssen eine Strategie für IKT-Drittanbieter-Risiken entwickeln, Konzentrationsrisiken bewerten und für jeden kritischen Dienstleister eine realistische Exit-Strategie vorhalten. Ein vollständiges Register aller IKT-Vertragsbeziehungen dient als internes Steuerungsinstrument und als Informationsquelle für die Aufsicht.
Die BaFin hat operative Resilienz als Prüfungsschwerpunkt für 2025 bis 2027 definiert. Die Frage ist nicht mehr, ob BCM geprüft wird, sondern wann.
MaRisk: Die nationale Dimension bleibt relevant
MaRisk AT 7.3 formuliert die Anforderungen an das Notfallmanagement bewusst breit: Institute müssen für Notfälle in allen zeitkritischen Aktivitäten und Prozessen Vorsorge treffen. Das umfasst ausdrücklich nicht nur IT-Systeme, sondern gleichberechtigt Personal, Gebäude, technische Infrastruktur und externe Dienstleister. Ein Institut, das sein Notfallmanagement ausschließlich auf die IT ausrichtet, verfehlt bereits die MaRisk-Anforderungen.
AT 9 zu Auslagerungen erzeugt eine doppelte Anforderung: Das Institut muss sicherstellen, dass der Dienstleister über angemessenes Notfallmanagement verfügt, und es muss eigene Maßnahmen vorhalten für den Fall, dass der Dienstleister ausfällt. Diese doppelte Absicherung wird in vielen Häusern nicht konsequent umgesetzt.
DORA verdrängt MaRisk nicht, sondern ergänzt sie. Institute müssen beide Regelwerke konsistent in einem integrierten BCM-Framework abbilden.
EBA-Guidelines: Europäischer Mindeststandard
Die EBA-Guidelines on ICT and Security Risk Management konkretisieren die Anforderungen an Governance, Risikoidentifikation und Kontinuitätsplanung. Ein wesentlicher Beitrag liegt in der Konkretisierung des Proportionalitätsprinzips: Art und Umfang des BCM müssen dem Risikoprofil entsprechen. Proportionalität ist jedoch kein Freibrief für Untätigkeit, so müssen auch kleinere Institute ein angemessenes BCM nachweisen.
Die EBA-Guidelines on Outsourcing betonen die Substitutierbarkeit: Institute müssen bewerten, ob und wie schnell eine ausgelagerte Leistung auf einen anderen Anbieter übertragen werden kann. Ist die Substitutierbarkeit gering, steigt das assoziierte BCM-Risiko erheblich.
Die Lücken zwischen Anspruch und Realität
Die erste und größte Lücke besteht zwischen formaler Dokumentation und operativer Wirksamkeit. Viele Institute verfügen über umfangreiche BCM-Dokumentationen, deren Funktionsfähigkeit im Ernstfall nie validiert wurde. BCM wird als Dokumentationsaufgabe verstanden, nicht als operative Managementaufgabe.
Die zweite Lücke betrifft den Scope. Trotz regulatorischer Klarstellung beschränken viele Institute ihr BCM de facto auf die IKT-Infrastruktur. Andere BCM-Bestandteile wie Personal, Gebäude, physische Infrastruktur und organisatorische Prozesse werden nachrangig behandelt. Die COVID-19-Pandemie hat diese Lücke offengelegt: Institute mit rein technischem BCM-Fokus standen vor flächendeckenden Personalausfällen, Gebäudezugangsbeschränkungen und unterbrochenen Kommunikationsketten, für die oft keine ausreichenden Geschäftsfortführungspläne existierten. Ein Geschäftsfortführungsplan, der nicht regelt, wie der Zahlungsverkehr bei gleichzeitigem Ausfall von 40 Prozent des Personals aufrechterhalten wird, oder wie kritische Funktionen bei Gebäudesperrung an alternative Standorte verlagert werden, greift fundamental zu kurz.
Die dritte Lücke betrifft das Drittanbieter-Management. Exit-Strategien existieren häufig nicht, oder nur auf dem Papier, das IKT-Vertragsregister ist unvollständig und das laufende BCM-Monitoring der Dienstleister findet bestenfalls anlassbezogen statt.
Die vierte Lücke betrifft die Nachweisfähigkeit. Prüfer bewerten nicht, was ein Institut zu tun beabsichtigt, sondern was es nachweisbar getan hat. Die gesamte Kette von Risikoanalyse über Maßnahmenableitung bis zur Testauswertung muss dokumentiert, datiert und verantwortlich zugeordnet sein.
Konsequenzen für Entscheider
DORA, MaRisk und EBA-Guidelines sind unmissverständlich: Die Verantwortung für operative Resilienz liegt bei der Geschäftsleitung. Sie muss die BCM-Strategie verabschieden, Ressourcen allokieren und Priorisierungsentscheidungen treffen, die im Krisenfall die Ressourcenallokation determinieren. Diese Priorisierung umfasst alle Dimensionen:
- Welche IT-Systeme werden zuerst wiederhergestellt?
- Welches Personal ist unverzichtbar?
- Welche Standorte haben Vorrang?
- Welche Dienstleister sind kritisch?
Diese Entscheidungen müssen im Vorfeld getroffen werden, nicht unter dem Druck einer akuten Krise.
Dieser Artikel bildet den ersten Teil einer Trilogie, wobei der nächste Artikel dieser Reihe zeigt, wie die ersten drei von sechs Phasen des BCM-Lifecycle konkret ausgestaltet werden.
Stellen Sie die Konsistenz Ihres BCM-Frameworks mit den Anforderungen von DORA, MaRisk und EBA-Guidelines sicher. tomoro hilft Banken, regulatorische Defizite zu erkennen und einen kohärenten Umsetzungsplan zu erstellen.


