Compliance-Lexikon · DORA
Operational Resilience
[ˌɒpəˈreɪʃnl rɪˈzɪlɪəns] · auch: Betriebsresilienz, digitale Betriebsstabilitaet
Operational Resilience bezeichnet die Faehigkeit eines Finanzunternehmens, kritische Geschaeftsprozesse und IKT-Systeme auch unter widrigen Bedingungen -- durch Angriffe, Systemausfaelle oder externe Schocks -- aufrechtzuerhalten oder schnell wiederherzustellen.
Warum Operational Resilience wichtig ist
DORA definiert das Ziel: Finanzunternehmen muessen in der Lage sein, kritische Funktionen auch bei IKT-Vorfaellen aufrechtzuerhalten. Das ist mehr als Business Continuity -- es geht um die Faehigkeit, unter Druck funktionsfaehig zu bleiben. Diese Faehigkeit muss jaehrlich durch Tests nachgewiesen werden, fuer systemrelevante Unternehmen durch bedrohungsgesteuerte Penetrationstests (TLPT).
Wo Operational Resilience gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| DORA | Art. 11-12 | Digitale Betriebsstabilitaetstests: Jaehrliche Tests aller IKT-Systeme, bedrohungsgesteuerte Penetrationstests (TLPT) fuer bedeutende Unternehmen. |
| DORA | Art. 10 | Erkennung und Reaktion: Kontinuierliche Ueberwachung und Frueherkennung als Voraussetzung fuer Resilienz. |
| DORA | Art. 26 | Fortgeschrittene Tests: Threat-Led Penetration Testing (TLPT) fuer systemrelevante Finanzunternehmen. |
| DORA | Art. 6 | IKT-Risikomanagement-Rahmen als Grundlage: Resilienz ist das Ergebnis, IKT-Risikomanagement ist der Prozess. |
| Basel III / EBA-Leitlinien | mehrere | Operationelle Resilienz als Teil der Saule 2 des aufsichtlichen Ueberprufungsprozesses. |
BAM-Objektreferenz
Haeufige Audit-Fehler
- Business-Continuity-Plaene vorhanden, aber nie getestet
- Recovery-Zeit-Ziele (RTO/RPO) definiert, aber nicht in Tests verifiziert
- Kritische Systeme nicht als solche klassifiziert
- Kein Resilienztest-Programm -- Tests ad hoc statt systematisch
Kritische Funktionen und Resilienztest-Programm
Ausgangspunkt jedes Resilienztests ist die Identifikation kritischer Funktionen: Welche Geschaeftsprozesse muessen auch bei einem schwerwiegenden IKT-Vorfall aufrechterhalten werden? Fuer diese kritischen Funktionen sind Recovery-Time-Objectives (RTO) und Recovery-Point-Objectives (RPO) zu definieren -- und jaehrlich durch Tests zu verifizieren. DORA Art. 11 fordert jaehrliche Tests aller IKT-Systeme. Fuer systemrelevante Finanzunternehmen kommen nach Art. 26 bedrohungsgesteuerte Penetrationstests (Threat-Led Penetration Testing, TLPT) hinzu -- extern durchgefuehrt, mit realen Angriffstechniken.
Business Continuity vs. Operational Resilience
Business Continuity (BC) und Disaster Recovery (DR) sind Vorlaeufer der Operational Resilience. DORA geht darueber hinaus: Waehrend BC/DR auf Wiederherstellung nach einem Ausfall fokussiert, zielt Operational Resilience auf die Aufrechterhaltung kritischer Funktionen auch waehrend eines Angriffs oder Ausfalls -- durch Redundanz, Diversifizierung und kontinuierliche Anpassung. Der Unterschied: BC/DR reagiert, Operational Resilience antizipiert.
Naechste Ebene
Operational Resilience in der Praxis: Tests, RTO/RPO und Evidence
Wie das Resilienztest-Programm aufgebaut wird und was Aufsichtsbehoerden pruefen.