Operational Resilience: Von BCM zu ganzheitlicher Widerstandsfähigkeit

Operational Resilience ist die Fähigkeit eines Unternehmens, kritische Geschäftsprozesse auch unter widrigen Bedingungen aufrechtzuerhalten. Anders als klassisches BCM, das auf Wiederherstellung nach einem Ausfall fokussiert, zielt Operational Resilience auf die Vermeidung und Absorption von Störungen — bevor sie zu Krisen werden.

Was ist Operational Resilience?

Operational Resilience verbindet mehrere Disziplinen: Business Continuity Management, Cybersicherheit, Third-Party-Risk-Management, IT-Disaster-Recovery und Krisenmanagement zu einem ganzheitlichen Rahmenwerk. Das zentrale Konzept: „Impact Tolerance" — die maximal akzeptable Störung, die ein Unternehmen für jeden kritischen Geschäftsprozess definiert.

Operational Resilience vs. BCM

• BCM fragt: „Wie stellen wir den Betrieb nach einem Ausfall wieder her?" Operational Resilience fragt: „Wie verhindern wir, dass ein Ausfall unsere kritischen Dienste unterbricht?"
• BCM ist reaktiv (Pläne für den Ernstfall). Operational Resilience ist proaktiv (Design für Widerstandsfähigkeit).
• BCM fokussiert auf interne Prozesse. Operational Resilience bezieht Drittanbieter, Lieferketten und externe Abhängigkeiten ein.

Operational Resilience unter DORA

DORA ist der regulatorische Treiber für Operational Resilience im Finanzsektor. Artikel 11 fordert explizit IKT-Business-Continuity-Pläne, die nicht nur Wiederherstellung, sondern operative Resilienz sicherstellen. Die fünf DORA-Säulen (IKT-Risikomanagement, Incident Reporting, Resilience Testing, Third-Party Management und Information Sharing) bilden zusammen ein Operational-Resilience-Framework.

Operational Resilience aufbauen: 5 Schritte

1. Important Business Services identifizieren: Welche Dienste sind für Kunden, Märkte und die Finanzstabilität kritisch?
2. Impact Tolerance definieren: Für jeden kritischen Dienst die maximal tolerierbare Störung festlegen (Dauer, Umfang, Kundenwirkung).
3. Mapping: Ende-zu-Ende-Abhängigkeiten jedes kritischen Dienstes kartieren — Technologie, Mitarbeiter, Drittanbieter, Standorte, Daten.
4. Szenario-Tests: Realistische Störungsszenarien simulieren und prüfen, ob die Impact Tolerance eingehalten werden kann.
5. Kontinuierliche Verbesserung: Erkenntnisse aus Tests und realen Vorfällen in Verbesserungsmaßnahmen überführen.

Häufig gestellte Fragen zur Operational Resilience

Was ist Operational Resilience einfach erklärt?

Operational Resilience ist die Fähigkeit eines Unternehmens, auch unter schwierigen Bedingungen weiterzuarbeiten. Anders als ein Notfallplan geht es nicht nur um Wiederherstellung, sondern darum, das Unternehmen so zu gestalten, dass es Störungen absorbieren kann, ohne dass kritische Dienste ausfallen.

Ist Operational Resilience für DORA Pflicht?

Ja. DORA zielt explizit auf die digitale operative Resilienz von Finanzunternehmen. Die Anforderungen an IKT-Risikomanagement, Resilienztests und Drittparteienmanagement bilden zusammen ein Operational-Resilience-Framework. BaFin prüft die Umsetzung im Rahmen von SREP und Sonderprüfungen.

Was ist Impact Tolerance?

Impact Tolerance ist die maximal akzeptable Auswirkung einer Störung auf einen kritischen Geschäftsdienst. Sie wird in messbaren Einheiten definiert: maximale Ausfallzeit, maximale Anzahl betroffener Kunden, maximaler finanzieller Verlust. Impact Tolerance ist strenger als RTO — sie umfasst nicht nur die Wiederherstellungszeit, sondern die gesamte Kundenwirkung.