Zum Inhalt springen
Resilience Platform DORA · MaRisk · ISO 27001

DORA

Kritische oder wichtige Funktionen methodisch bestimmen.

Eine ganzheitliche kwF-Methodik geht über die reine BIA-Logik hinaus und bezieht Pflichtverletzungsszenarien, Zeitkritikalität und regulatorische Bedeutung ein.

Management Summary

  • Kritische oder wichtige Funktionen (kwF) sind der zentrale Hebel in DORA: Sie bestimmen die Anwendungstiefe für IKT-Risikomanagement, Vorfälle, Tests und Drittparteien.
  • Eine reine BIA-Logik reicht nicht aus; Pflichtverletzungsszenarien müssen eigenständig bewertet werden.
  • Die kwF-Methodik verbindet Prozesslandkarte, regulierte Tätigkeiten und Ausfallszenarien.
  • Jede kwF-Einstufung durchläuft Managementfreigabe und regelmässigen Review.

Warum kwF zentral ist

Die Einstufung als kritische oder wichtige Funktion hat unmittelbare Auswirkungen auf die Anforderungen an IKT-Risikomanagement, Vorfallklassifikation, Resilienztests und IKT-Drittparteiensteuerung. Eine fundierte kwF-Methodik ist daher Grundlage für die gesamte DORA-Umsetzung.

Ausfallperspektive

Bewertung der Auswirkungen eines Ausfalls auf die finanzielle Leistungsfähigkeit, Solidität und Fortführung des Instituts. Berücksichtigt zeitkritische Wiederherstellungsanforderungen.

Pflichtverletzungsperspektive

Bewertung der Auswirkungen einer Pflichtverletzung durch Ausfall oder Beeinträchtigung. Prüft aufsichtsrechtliche Konsequenzen, Zulassungsrisiken und regulatorische Pflichten.

Zeitkritische Prozesse

Prozesse mit strengen zeitlichen Wiederherstellungsanforderungen, deren Unterbrechung zu erheblichen finanziellen oder regulatorischen Schäden führt.

Regulatorisch wichtige Prozesse

Prozesse, die für die Einhaltung aufsichtsrechtlicher Pflichten, Meldepflichten oder Zulassungsvoraussetzungen erforderlich sind.

Methodik zur kwF-Bestimmung

  • Prozesslandkarte erstellen und regulierte Tätigkeiten zuordnen.
  • Finanzielle Leistungsfähigkeit und Solidität / Fortführung bei Ausfall prüfen.
  • Zulassungs- und Aufsichtspflichten identifizieren und Pflichtverletzungsszenarien bewerten.
  • Ausfall- und Pflichtverletzungsszenarien je Prozess bewerten.
  • kwF-Entscheidung anhand Kriterienkatalog dokumentieren.
  • Managementfreigabe einholen und Review-Zyklus festlegen.

Auswirkungen einer kwF-Einstufung

IKT-Risikomanagement

Verschärfte Anforderungen an Risikoanalyse, Schutzbedarf und Kontrollen für kwF.

IKT-Vorfälle

Vorfälle mit kwF-Bezug unterliegen kürzeren Meldefristen und erhöhten Berichtsanforderungen.

Resilienztests

kwF müssen in erweiterten Testprogrammen und ggf. TLPT berücksichtigt werden.

IKT-Drittparteien

Dienstleister für kwF unterliegen verschärften Vertrags-, Kontroll- und Exit-Anforderungen.

Informationsregister

KwF-Relevanz ist Pflichtfeld im Informationsregister für IKT-Dienstleistungen.

Management-Reporting

kwF-Status und -Änderungen müssen im Management-Reporting adressiert werden.

kwF-Abhängigkeiten und IKT-Asset-Eigenschaften

Systematische Verknüpfung kritischer Funktionen mit unterstützenden IKT-Assets und deren charakteristischen Eigenschaften.

Abhängigkeitsmodell: Von kwF zu Assets

Eine strukturierte Abhängigkeitsanalyse verbindet kritische Funktionen mit den sie unterstützenden IKT-Assets über mehrere Ebenen.

Ebene 1: Kritische oder wichtige Funktionen (kwF)

Geschäftsprozesse und Funktionen, deren Ausfall die finanzielle Leistungsfähigkeit, Solidität oder Fortführung des Instituts beeinträchtigen würde.

Beispiele: Kreditvergabe, Zahlungsverkehr

Ebene 2: Geschäftsprozesse und Teilprozesse

Detaillierte Prozessschritte, die kwF operationalisieren und deren Abhängigkeiten untereinander.

Beispiele: Kreditantragsprüfung, Zahlungsausführung

Ebene 3: IKT-Services und Anwendungen

Technische Services und Anwendungen, die Geschäftsprozesse direkt unterstützen.

Beispiele: Kernbankanwendung, Zahlungsschnittstelle

Ebene 4: Infrastruktur und Ressourcen

Zugrunde liegende Infrastruktur: Server, Netzwerke, Datenbanken, Cloud-Services.

Beispiele: Datenbankcluster, Netzwerkinfrastruktur

Ebene 5: Drittdienstleister und Externe

Externe Parteien, deren Verfügbarkeit oder Leistung für kwF kritisch ist.

Beispiele: Cloud-Provider, Zahlungsdienstleister

Abhängigkeitstypen

Die Art der Abhängigkeit bestimmt die Risikobewertung und Steuerungsintensität.

Hard-Dependency (Technisch)

Kritisch

Technisch erzwungene Abhängigkeit, bei der Ausfall des unterstützenden Elements die kwF automatisch beeinträchtigt wird.

Soft-Dependency (Prozessual)

Mittel

Prozessuale oder organisatorische Abhängigkeit, die durch alternative Verfahren oder manuelle Prozesse überbrückbar ist.

Zeitliche Abhängigkeit

Hoch

Abhängigkeit mit zeitlichem Verzug - Sekundäreffekte treten zeitverzögert auf.

Kaskadierende Abhängigkeit

Kritisch

Abhängigkeit, bei der ein Ausfall weitere Abhängigkeiten in Gang setzt und sich ausbreitet.

Konzentrationsabhängigkeit

Kritisch

Mehrere kwF oder Assets hängen von einem einzigen Element ab - Single Point of Failure.

Bidirektionale Abhängigkeit

Hoch

Gegenseitige Abhängigkeit zwischen Elementen, bei der Ausfall in beide Richtungen Auswirkungen hat.

Risikoaspekte bei kwF-Abhängigkeiten

Kaskadierungseffekte

Auswirkungen können sich über Abhängigkeitsketten fortpflanzen und mehrere kwF gleichzeitig treffen.

Steuerung: Kaskadierungstiefen modellieren und Abbruchmechanismen definieren

Konjunkturrisiken

Mehrere Abhängigkeiten können gleichzeitig ausfallen (z.B. gemeinsamer Dienstleister, Region).

Steuerung: Diversifizierung und geographische Verteilung

Single Points of Failure

Einzelne Elemente, deren Ausfall disproportionale Auswirkungen hat.

Steuerung: Redundanz und Failover-Kapazitäten

Verdeckte Abhängigkeiten

Nicht dokumentierte oder unbekannte Abhängigkeiten, die erst im Ausfall sichtbar werden.

Steuerung: Regelmäßige Discovery- und Mapping-Aktivitäten

Drittanbieter-Konzentration

Kritische Abhängigkeiten von externen Dienstleistern ohne Alternative.

Steuerung: Multi-Sourcing und Exit-Strategien

Ressourcenkonkurrenz

Mehrere kwF konkurrieren um dieselben Recovery-Ressourcen bei gleichzeitigem Ausfall.

Steuerung: Priorisierte Recovery-Sequenzen und Kapazitätsreserven

Zeitliche Verzögerungen

Auswirkungen treten nicht sofort, sondern zeitverzögert auf (Replikationsrückstände).

Steuerung: RPO-Monitoring und Rückstandsindikatoren

Dateninkonsistenzen

Abhängige Systeme arbeiten mit unterschiedlichen Datenständen nach Recovery.

Steuerung: Synchronisationspunkte und Datenvalidierung

Methodik zur kwF-Asset-Zuordnung

  • kwF-Inventar als Ausgangsbasis validieren und kwF-Steckbriefe prüfen.
  • Prozess-zu-Asset-Mapping: Jede kwF den technisch erforderlichen IKT-Services und Assets zuordnen.
  • Kritikalitätsübertragung: Kritikalität der kwF auf unterstützende Assets übertragen, Multi-kwF-Assets identifizieren.
  • Abhängigkeitsketten modellieren: End-to-End-Abhängigkeiten als Kette darstellen, Single-Points-of-Failure markieren.
  • Validierung und Freigabe: Abhängigkeitsanalyse durch Fachbereiche, IT und Informationssicherheit validieren.

IKT-Asset-Eigenschaften für kwF-Relevanz

Charakteristische Eigenschaften von IKT-Assets, die für die Beurteilung ihrer Bedeutung für kritische oder wichtige Funktionen erforderlich sind.

Asset-Kategorien mit kwF-Relevanz

Anwendungen und Software

Direkte Unterstützung oder Ermöglichung von Geschäftsprozessen mit kwF-Bezug.

Daten und Datenbanken

Masterdata und Transaktionsdaten für kwF-Prozesse; Datenintegrität entscheidend...

Infrastruktur und Rechenzentrum

Grundlegende Betriebsfähigkeit für alle IKT-Services mit kwF-Abhängigkeit.

Netzwerk und Kommunikation

Konnektivität zwischen kwF-Prozessen und IKT-Services; Single-Point-of-Failure-R...

Cloud-Services und SaaS

Kritische Abhängigkeit von externen Plattformen; Vertragsgestützte Steuerung erf...

Endgeräte und Arbeitsplatz-IT

Indirekte Relevanz für kwF-Abwicklung; kritisch bei spezialisierten Trading- ode...

Kern-Eigenschaften für kwF-Management

Asset-Identifier

Eindeutige technische und fachliche Identifikation des Assets im Inventar.

Relevanz: Grundlage für konsistente Referenzierung in Dokumentation, M...

Schutzbedarf (CIA)

Bewertung des Schutzbedarfs hinsichtlich Vertraulichkeit, Integrität und Verfügbarkeit.

Relevanz: Bestimmt Massnahmenintensität und Testanforderungen nach dem...

kwF-Bezug

Zuordnung des Assets zu den kritischen oder wichtigen Funktionen, die es unterstützt.

Relevanz: Zentrale Eigenschaft für DORA-Relevanz und Anwendungstiefe d...

Kritikalitätsstufe

Gesamtkritikalität des Assets unter Berücksichtigung von Schutzbedarf, kwF-Bezug und Systemkritikalität.

Relevanz: Steuert Testfrequenz, Change-Management-Intensität und Notfa...

Redundanz und Ausfallsicherheit

Angaben zur technischen und räumlichen Redundanz sowie zur automatischen Failover-Fähigkeit.

Relevanz: Bestimmt Resilienz gegenüber Ausfällen und Wiederherstellung...

Recovery-Parameter

Zeitliche Wiederherstellungsziele und -fähigkeiten für Notfall- und Desaster-Recovery-Szenarien.

Relevanz: Zentrale Parameter für BCM-Planung und regulatorische Vorfal...

Recovery-Parameter und Resilienz

Zeitliche Wiederherstellungsziele sind zentrale Parameter für BCM-Planung und regulatorische Vorfallklassifikation.

RTO (Recovery Time Objective)

Maximal tolerierbare Zeit bis zur Wiederherstellung der kwF-Fähigkeit nach einem Ausfall.

RPO (Recovery Point Objective)

Maximal tolerierbarer Datenverlust in Zeit vor dem Ausfall (Zeitpunkt letzter konsistenter Daten).

MTPD (Maximum Tolerable Period of Disruption)

Maximal tolerierbare Ausfallzeit ohne irreversible Schäden für das Institut.

Redundanzstufe

Technische und räumliche Redundanz: keine, N+1, 2N, geographisch verteilt.

Kritikalitätsaggregation

Regeln zur Ableitung der Gesamtkritikalität eines IKT-Assets aus verschiedenen Einflussfaktoren.

1

kwF-Bezug dominiert

Ein Asset mit direktem kwF-Bezug erhält mindestens die Kritikalität "Hoch", unabhängig vom reinen Schutzbedarf.

2

Multi-kwF-Aggregation

Assets, die mehrere kwF unterstützen, erhalten die höchste Kritikalität der unterstützten Funktionen plus Aggregationssufe.

3

Single-Point-of-Failure

Assets ohne Redundanz, deren Ausfall mehrere kwF betrifft, erhalten automatisch Kritikalität "Kritisch".

4

Drittparteien-Modifikator

Durch externe Drittparteien betriebene Assets mit kwF-Bezug erhalten einen zusätzlichen Risikofaktor für Vertragssteuerung.

kwF-Massnahmenkatalog

6 Massnahmen zur Etablierung einer robusten kwF-Methodik.

DORA-KWF-001 reviewed initial

Methodik zur Bestimmung kritischer oder wichtiger Funktionen etablieren

Das Institut verfügt über eine dokumentierte und freigegebene Methodik zur Bestimmung kritischer oder wichtiger Funktionen (kwF) nach DORA.

Themenbereich
Kritische oder wichtige Funktionen
Sollzustand
Eine institutsspezifische kwF-Methodik definiert Kriterien, Prozesse, Verantwortlichkeiten und Entscheidungsbefugnisse. Die Methodik berücksichtigt Ausfallperspektive, Pflichtverletzungsperspektive, Zeitkritikalität und regulatorische Bedeutung. Sie wird vom Leitungsorgan freigegeben und mindestens jährlich überprüft.
DORA / MaRisk
DORA Art. 3 Ziffer 23, Art. 28 Abs. 3 (Kritische oder wichtige Funktionen) | MaRisk AT 9 Tz. 3 (Wesentlichkeit von Auslagerungen)

Umsetzungsschritte

  • kwF-Kriterienkatalog mit Ausfall-, Pflichtverletzungs-, Zeit- und Regulatorik-Dimensionen entwickeln.
  • Methodik mit Prozesslandkarte, Bewertungsmatrix und Entscheidungslogik dokumentieren.
  • Methodik durch Leitungsorgan freigeben und kommunizieren.
  • Jährlichen Review der Methodik institutionalisieren.

Beispielnachweise

  • kwF-Methodik-Dokument (freigegeben)
  • Kriterienkatalog mit Bewertungsmatrix
  • Leitungsorgan-Beschluss zur Methodik
  • Review-Protokoll der Methodik

ISO/IEC 27001 Anker

A.5.7 A.5.8 A.5.9 A.5.36
DORA-KWF-002 reviewed initial

Prozesslandkarte für kwF-Bestimmung aufbauen

Eine vollständige Prozesslandkarte identifiziert alle institutsspezifischen Prozesse als Grundlage für die kwF-Bewertung.

Themenbereich
Kritische oder wichtige Funktionen
Sollzustand
Eine aktuelle Prozesslandkarte erfasst alle Prozesse mit Zuordnung zu regulierten Tätigkeiten, IKT-Abhängigkeiten, Kritikalität und Verantwortlichkeiten. Die Landkarte wird regelmässig aktualisiert und mit dem IKT-Risikoinventar abgeglichen.
DORA / MaRisk
DORA Art. 6 Abs. 1 (IKT-Risikomanagement), Art. 28 Abs. 3 | MaRisk AT 4.3.3 (Risikoinventar), AT 9 (Auslagerungen)

Umsetzungsschritte

  • Prozesse institutsweit inventarisieren und klassifizieren.
  • Regulierte Tätigkeiten den Prozessen zuordnen.
  • IKT-Abhängigkeiten je Prozess dokumentieren.
  • Prozesslandkarte in kwF-Bewertung integrieren.

Beispielnachweise

  • Prozesslandkarte (vollständig)
  • Prozess-Steckbriefe mit IKT-Abhängigkeiten
  • Zuordnung regulierte Tätigkeiten
  • Aktualisierungsprotokoll

ISO/IEC 27001 Anker

A.5.7 A.5.9 A.5.10 A.8.1
DORA-KWF-003 reviewed initial

Ausfallszenarien für kwF bewerten

Die Auswirkung eines Ausfalls von Prozessen, IKT-Systemen oder Dienstleistern auf kwF wird systematisch bewertet.

Themenbereich
Kritische oder wichtige Funktionen
Sollzustand
Ein standardisierter Prozess bewertet Ausfallszenarien für alle potenziell kritischen Funktionen. Die Bewertung prüft zeitkritische Wiederherstellungsanforderungen, finanzielle Auswirkungen, Reputationsschäden und regulatorische Konsequenzen.
DORA / MaRisk
DORA Art. 7 (Risikoanalyse), Art. 11 (BCM) | MaRisk AT 4.3.3, BT 3 (Notfallmanagement)

Umsetzungsschritte

  • Ausfallszenarien für identifizierte kwF definieren.
  • Maximal tolerierbare Ausfallzeiten (MTPD) und Wiederherstellungsziele (RTO/RPO) festlegen.
  • Auswirkungen auf finanzielle Leistungsfähigkeit und Solidität bewerten.
  • Szenarioergebnisse dokumentieren und in kwF-Entscheidung einfliessen lassen.

Beispielnachweise

  • Ausfallszenario-Analyse je kwF
  • MTPD/RTO/RPO-Definitionen
  • Finanzielle Auswirkungsanalyse
  • kwF-Entscheidungsdokumentation

ISO/IEC 27001 Anker

A.5.7 A.5.29 A.5.30 A.8.34
DORA-KWF-004 reviewed initial

Pflichtverletzungsszenarien für kwF bewerten

Die Auswirkung einer Pflichtverletzung durch Ausfall oder Beeinträchtigung von Prozessen oder IKT-Systemen wird systematisch bewertet.

Themenbereich
Kritische oder wichtige Funktionen
Sollzustand
Ein standardisierter Prozess bewertet Pflichtverletzungsszenarien für alle potenziell kritischen Funktionen. Die Bewertung prüft Verstösse gegen aufsichtsrechtliche Pflichten, Zulassungsanforderungen, Melde- und Dokumentationspflichten sowie sonstige regulatorische Anforderungen.
DORA / MaRisk
DORA Art. 7 (Risikoanalyse), Art. 3 Ziffer 23 | MaRisk AT 4.3.3, AT 9 Tz. 3

Umsetzungsschritte

  • Pflichtverletzungsszenarien für identifizierte kwF definieren.
  • Regulatorische Pflichten und Konsequenzen je Szenario dokumentieren.
  • Auswirkungen auf Zulassung und Aufsichtspflichten bewerten.
  • Szenarioergebnisse dokumentieren und in kwF-Entscheidung einfliessen lassen.

Beispielnachweise

  • Pflichtverletzungsszenario-Analyse je kwF
  • Regulatorische Pflichtenübersicht
  • Aufsichtsrechtliche Konsequenzenanalyse
  • kwF-Entscheidungsdokumentation

ISO/IEC 27001 Anker

A.5.7 A.5.8 A.5.36 A.6.1
DORA-KWF-005 reviewed initial

kwF-Managementfreigabe und Dokumentation sicherstellen

Die Einstufung als kritische oder wichtige Funktion wird managementseitig freigegeben und dokumentiert.

Themenbereich
Kritische oder wichtige Funktionen
Sollzustand
Jede kwF-Einstufung wird auf der dafür vorgesehenen Management-Ebene freigegeben. Die Entscheidung wird mit Begründung, Kriterienanwendung und Verantwortlichkeiten dokumentiert. Änderungen der Einstufung durchlaufen denselben Freigabeprozess.
DORA / MaRisk
DORA Art. 5 (Governance), Art. 28 Abs. 3 | MaRisk AT 4.3.1 (Gesamtverantwortung)

Umsetzungsschritte

  • Freigabestufen für kwF-Einstufungen definieren.
  • Entscheidungsvorlage mit Kriterienanwendung entwickeln.
  • kwF-Entscheidungen dokumentieren und managementseitig freigeben.
  • Änderungsmanagement für kwF-Einstufungen etablieren.

Beispielnachweise

  • kwF-Entscheidungsvorlage mit Kriterien
  • Managementfreigabe je kwF
  • Änderungsdokumentation bei Reklassifikation
  • Jährlicher Review der kwF-Entscheidungen

ISO/IEC 27001 Anker

A.5.1 A.5.2 A.5.3 A.5.36
DORA-KWF-006 reviewed initial

kwF-Review-Zyklus institutionalisieren

Die kwF-Einstufungen werden regelmässig überprüft und bei wesentlichen Änderungen aktualisiert.

Themenbereich
Kritische oder wichtige Funktionen
Sollzustand
Ein dokumentierter Review-Prozess prüft kwF-Einstufungen mindestens jährlich sowie anlassbezogen bei wesentlichen Änderungen der Geschäftstätigkeit, Organisation, IKT-Landschaft oder regulatorischen Anforderungen.
DORA / MaRisk
DORA Art. 6 Abs. 5 (Review), Art. 28 Abs. 3 | MaRisk AT 4.4.2 (Review)

Umsetzungsschritte

  • Jährlichen Review-Termin für kwF-Einstufungen festlegen.
  • Anlassbezogene Review-Trigger definieren.
  • Review-Ergebnisse dokumentieren und bei Änderungen Managementfreigabe einholen.
  • Review-Historie je kwF führen.

Beispielnachweise

  • Jährlicher kwF-Review-Bericht
  • Anlassbezogene Reviews mit Begründung
  • Änderungshistorie je kwF
  • Managementfreigabe nach Review

ISO/IEC 27001 Anker

A.5.35 A.5.36 A.9.1 A.10.1

Hinweis

Diese Seite ist eine Umsetzungshilfe und ersetzt keine Rechtsberatung oder verbindliche aufsichtsrechtliche Auslegung.