Operational Resilience – Praxis

Operational Resilience ist im DORA-Audit der Pruefpunkt, bei dem die Luecke zwischen Dokumentation und Praxis am sichtbarsten wird. BC/DR-Plaene existieren oft -- aber sind sie getestet? Sind RTOs realistisch? Kennt das Leitungsorgan die kritischen Funktionen? Dieser Abschnitt zeigt, was wirklich geprueft wird.

Was Auditoren konkret pruefen

Bei einer Pruefung von Operational Resilience prueft der Auditor nicht die Papierplaene, sondern den Nachweis der Wirksamkeit durch Tests. Das BAM-Objekt CROSS-OR-01 definiert im Evidence-Feld, was konkret vorgelegt werden muss.

Haeufige Fehler

• BC/DR-Plaene vorhanden, Tests aber nie durchgefuehrt oder nicht dokumentiert
• RTOs unrealistisch -- im Test nicht erreichbar
• Drittanbieter nicht in Resilienztests einbezogen
• Keine Nachbereitung nach Tests -- Luecken werden nicht geschlossen

Umsetzung Schritt fuer Schritt

Erster Schritt: Kritische Funktionen identifizieren und RTO/RPO definieren. Zweiter Schritt: Resilienztest-Programm aufbauen mit jaehrlichem Zyklus. Dritter Schritt: Tabletop-Uebungen fuer Krisenszenarien durchfuehren. Vierter Schritt: Technische Tests (DR-Tests, Failover-Tests) durchfuehren und dokumentieren. Fuenfter Schritt: TLPT-Anforderungen pruefen -- fuer systemrelevante Unternehmen externen TLPT planen. Sechster Schritt: Luecken aus Tests systematisch schliessen und Nachverfolgen dokumentieren.

Evidence-Anforderungen im Audit

Der Auditor erwartet: Liste der kritischen Funktionen mit RTO/RPO, dokumentiertes Resilienztest-Programm, Testberichte aller durchgefuehrten Tests mit Datum und Ergebnissen, Nachweise der Lueckenschliessung nach Tests, fuer systemrelevante Unternehmen TLPT-Berichte und Aktionsplaene.

Die strategische Einordnung -- warum Operational Resilience langfristig mehr als eine regulatorische Pflicht ist -- findet sich auf Ebene 3.