Alle Beiträge

Warum die Kritikalität einer Geschäftsfunktion keine "Ja/Nein-Frage" ist

Seit der ersten Entwurfsfassung von DORA (Digital Operational Resilience Act) stehen viele Finanzinstitute vor derselben Frage: „Welche meiner Geschäftsfunktionen sind kritische oder wichtig?“

Was zunächst simpel klingt, entwickelte sich in der Praxis zu einem Flickenteppich von völlig unterschiedlichen Methoden. Jedes Institut nutzt eigene Ansätze, eigene Kriterien, eigene Bewertungslogiken. Die Unsicherheit ist groß – und die Frage bleibt: "Welche Methode ist richtig?"

Die kurze Antwort lautet: keine ist per se richtig oder falsch. Die lange Antwort: Man muss das Thema systematisch angehen. Und genau das schauen wir uns an.

Was DORA will

DORA verlangt von Finanzinstituten, dass digitale Risiken systematisch identifiziert und anschließend bewertet und mitigiert werden. Auf dieser Grundlage sollen Institute ihre kritischen bzw. wichtigen Geschäftsfunktionen risikoorientiert bewerten, um wiederum kritische unterstützende IKT-Assets und IKT-Dienstleistungen zu identifizieren. Der Fokus liegt also nicht darauf, eine Liste von kritischen Funktionen abzuhaken, sondern zu verstehen, welche Prozesse, Aktivitäten oder Dienstleistungen fürs Unternehmen unverzichtbar sind. Kritikalität ist zwar ein binäres Merkmal und der Weg hin keinesfalls. Sie ist ein Ergebnis einer Auswirkungsanalyse bzw. einer Kritikalitätsanalyse - und dies lässt sich nicht sinnvoll in „kritisch: ja/nein“ zerlegen.

Der Kern: Kritische Funktionen = Funktionen mit kritischen Auswirkungen

Kritisch wird eine Geschäftsfunktion (oder Geschäftsprozess) also nicht, weil er von Natur aus besonders wichtig klingt, sondern weil:

  • bei einem Ausfall großer finanzieller Schaden entsteht
  • der Geschäftsbetrieb ernsthaft beeinträchtigt würde
  • wesentliche regulatorische Anforderungen verletzt werden könnten

Auch wenn DORA drei Kategorien nennt, können weitere hinzugefügt oder diese in Unterkategorien zerlegt werden. Dabei spielt das Geschäftsmodell und die individuelle Situation des einzelnen Finanzinstituts eine Rolle. Diese Szenarien können sich bei neu gewonnenen Erkenntnissen über die Zeit ändern - Eine jährliche Überpüfung ist zu empfehlen.

Des Weiteren ist es wichtig, die Ergebnisse der Business Impact Analyse (BIA) und der Schutzbedarfsanalyse (SBA) in die Bewertung einzufließen. Genauso ist es wichtig, dass diese Ergebnisse nicht hart kopiert werden, da die Schadensszenarien der BIA und SBA von denen für die Bestimmung der Kritikalität gemäß DORA unterscheiden können.

Wo beginnt „kritisch“?

Ein zentrales Missverständnis in der Praxis ist die Nutzung von Ja/Nein-Kriterien bei der Bestimmung der Wichtigkeit bzw. Kritikalität (hier werden diese Begriffe synonym betrachtet). Da dabei eine Schadenhöhe bewertet wird -  „Wie hoch wäre der Schaden, wenn …?“ - soll eine Skalierung, z. B.: Gering, moderat, hoch, sehr hoch herangezogen werden.

Erst eine solche Skala schafft die Grundlage für echte Vergleichbarkeit, sorgt für konsistente Bewertungen, ermöglicht eine klare Priorisierung und macht die Ergebnisse zugleich nachvollziehbar.

Ab welcher Bewertungsstufe ein Geschäftsprozess kritisch ist und wie dies zu definieren ist, unterscheidet sich von Unternehmen zu Unternehmen. Warum? Weil Risikoappetit individuell ist.

Für das eine Institut liegt eine Schadenshöhe von einer Million Euro bereits deutlich außerhalb der eigenen Risikobereitschaft, während ein anderes diese Grenze noch als durchaus tragbar betrachtet. Manche Institute sind zudem stark von digitalen Services abhängig, wohingegen andere über robuste manuelle Alternativen verfügen, die Ausfälle besser abfedern können. Es gibt keine einheitliche, objektive Schwelle für Kritikalität. Aber jedes Unternehmen benötigt eine eigene, intern konsistente Definition. Genau dieser Schwellenwert bildet letztlich die Grenze zwischen: „wichtig, aber nicht kritisch“ und „kritisch im Sinne von DORA“.

Was bedeutet das in der Praxis?

Viele Institute gehen davon aus, es müsse eine einzige richtige Methode geben, dabei lässt die DORA bewusst Gestaltungsspielraum, um unterschiedlichen Geschäftsmodellen, variierenden Risikotoleranzen und verschiedenen Skalierungen gerecht zu werden. Was jedoch zwingend erforderlich ist, ist eine nachvollziehbare Methodik und dokumentierte Logik, die eine einheitliche Anwendung innerhalb des Instituts und somit eine konsistente Risikoabschätzung gewährleistet. Standardisiert im Haus, aber nicht zwingend identisch zum Nachbarn.

Fazit: Kritikalität ist relativ – und niemals binär

Die Frage „Ist eine Geschäftsfunktion kritisch: ja oder nein?“ greift viel zu kurz.

Kritikalität ist das Ergebnis einer risikobasierten Herleitung und erfordert zur sachlichen, messbaren und DORA-konformen Identifikation skalierbare Risikobewertungen, realistische Schadensabschätzungen, die Definition des Risikoappetits sowie die Festlegung klarer Schwellenwerte. Erst dadurch wird die Identifikation kritischer Geschäftsfunktionen sachlich, messbar und DORA-konform.

👉Nächster Beitrag

Lernen Sie Leno kennen

Demo buchen
Vereinbaren Sie noch heute einen Termin, um Leno kennenzulernen.

Wie können wir Ihnen helfen?
Kontaktieren Sie uns.

Zu unserem Trust Center
UnternehmenKarriereAktuelles
Kontakt
© 2025 LeanMind. All rights reserved.