Warum die Kritikalität einer Geschäftsfunktion keine "Ja/Nein-Frage" ist

- Ein Plädoyer für risikoorientierte Bewertung im Sinne der DORA -

‍Seit der ersten Entwurfsfassung von DORA (Digital Operational Resilience Act) stehen viele Finanzinstitute vor derselben Frage: „Welche meiner Geschäftsfunktionen sind kritisch?“

Was zunächst simpel klingt, entwickelte sich in der Praxis zu einem Flickenteppich von völlig unterschiedlichen Methoden. Jedes Institut nutzt eigene Ansätze, eigene Kriterien, eigene Bewertungslogiken. Die Unsicherheit ist groß – und die Frage bleibt: "Welche Methode ist richtig?"

Die kurze Antwort lautet: keine ist per se richtig oder falsch. Die lange Antwort: Man muss das Thema systematisch angehen. Und genau das schauen wir uns an.

1. Warum DORA die klassische Ja/Nein-Logik durchbricht

DORA verlangt nicht nur, dass Institute digitale Risiken managen. Sie fordert ebenso, dass relevante Risiken systematisch identifiziert und anschließend angemessen bewertet werden. Auf dieser Grundlage sollen Institute risikoorientierte Prioritäten setzen. Der Fokus liegt also nicht darauf, eine Liste von kritischen Funktionen abzuhaken. Es geht darum, zu verstehen, welche Prozesse wesentliche Risiken tragen. Daraus folgt automatisch: Kritikalität ist zwar ein binäres Merkmal und der Weg hin keinesfalls. Sie ist ein Ergebnis einer Risikoanalyse - und Risiken lassen sich nicht sinnvoll in „kritisch: ja/nein“ zerlegen.
‍
‍2. Der Kern: Kritische Funktionen = Funktionen mit kritischen Risiken

In vielen Interpretationen wurde zuerst gefragt: „Welche Prozesse fühlen sich kritisch an?“
Lasst uns die Logik umdrehen: „Welche Risiken von welchen Prozessen sind kritisch?“
Kritisch wird ein Prozess also nicht, weil er von Natur aus besonders wichtig klingt, sondern weil:

• bei einem Ausfall großer finanzieller Schaden entsteht,
• der Geschäftsbetrieb ernsthaft beeinträchtigt würde
• wesentliche  regulatorische Anforderungen verletzt werden könnten

Auch wenn DORA drei Kategorien nennt, können weitere hinzugefügt oder diese in Unterkategorien zerlegt werden.

3. Eine Skala - kein Schalter

Ein zentrales Missverständnis in der Praxis ist die Nutzung von Ja/Nein-Kriterien. Doch Risiken haben Ausprägungen, Schweregrade und Eintrittswahrscheinlichkeiten. Ein brauchbares Bewertungsmodell muss daher fragen: „Wie hoch wäre der Schaden, wenn …?“

Beispiele:

• Wenn der Prozess mehrere Stunden ausfällt
• Wenn Daten kompromittiert werden
• Wenn regulatorische Fristen nicht eingehalten werden
• Wenn Kunden nicht bedient werden können

Hier entsteht zwangsläufig eine Skalierung, z. B.: Gering, moderat, hoch, sehr hoch
oder numerisch (z.B. 1-10). Erst eine solche Skala schafft die Grundlage für echte Vergleichbarkeit, sorgt für konsistente Bewertungen, ermöglicht eine klare Priorisierung und macht die Ergebnisse zugleich nachvollziehbar.
‍
‍4. Der Schwellenwert: Wo beginnt „kritisch“?

Die DORA verlangt, dass Institute sich auf wesentliche Risiken konzentrieren. Doch was wesentlich ist, unterscheidet sich von Unternehmen zu Unternehmen. Warum? Weil Risikoappetit individuell ist.

Für das eine Institut liegt eine Schadenshöhe von einer Million Euro bereits deutlich außerhalb der eigenen Risikobereitschaft, während ein anderes diese Grenze noch als durchaus tragbar betrachtet. Manche Institute sind zudem stark von digitalen Services abhängig, wohingegen andere über robuste manuelle Alternativen verfügen, die Ausfälle besser abfedern können. Es gibt keine einheitliche, objektive Schwelle für Kritikalität. Aber jedes Unternehmen benötigt eine eigene, intern konsistente Definition. Genau dieser Schwellenwert bildet letztlich die Grenze zwischen: „wichtig, aber nicht kritisch“ und „kritisch im Sinne von DORA“.

5. Was bedeutet das in der Praxis?
‍
‍Der Weg zur Identifikation kritischer Funktionen besteht damit aus drei Schritten:

Schritt 1: Risiken pro Prozess analysieren: Nicht nur Aktivitäten beschreiben, sondern die reale Risikobelastung bewerten.

Schritt 2: Die Schadenshöhe skalieren: Kein Ja/Nein, sondern abgestufte Bewertung.‍

Schritt 3: Einen klaren Schwellenwert definieren: Der Punkt, ab dem ein Risiko für das Institut nicht mehrakzeptabel ist.

Erst dann wird aus einem Prozess eine kritische Geschäftsfunktion (im Sinne von DORA).

6. Warum harmonisierte Methoden notwendig sind – aber trotzdem variieren dürfen

Viele Institute gehen davon aus, es müsse eine einzige richtige Methode geben, dabei lässt die DORA bewusst Gestaltungsspielraum, um unterschiedlichen Geschäftsmodellen, variierenden Risikotoleranzen und verschiedenen Bewertungs­skalierungen gerecht zu werden. Was jedoch zwingend erforderlich ist, ist eine nachvollziehbare Methodik und dokumentierte Logik, die eine einheitliche Anwendung innerhalb des Instituts und somit eine konsistente Risikoabschätzung gewährleistet. Standardisiert im Haus, aber nicht zwingend identisch zum Nachbarn.

Fazit: Kritikalität ist relativ – und niemals binär

Die Frage „Ist eine Geschäftsfunktion kritisch: ja oder nein?“ greift viel zu kurz.

Kritikalität ist das Ergebnis einer risikobasierten Herleitung und erfordert zur sachlichen, messbaren und DORA-konformen Identifikation skalierbare Risikobewertungen, realistische Schadensabschätzungen, die Definition des Risikoappetits sowie die Festlegung klarer Schwellenwerte. Erst dadurch wird die Identifikation kritischer Geschäftsfunktionen sachlich, messbar und DORA-konform.

‍