Die britischen Anforderungen an die operative Widerstandsfähigkeit gemäß dem Financial Services and Markets Act (FSMA) traten im März 2025 in Kraft. Dennoch bemühen sich viele Unternehmen noch immer darum, nachzuweisen, dass sie kritische Dienste innerhalb festgelegter Toleranzen aufrechterhalten können. Die Aufsichtsbehörden überprüfen derzeit die Programme anhand der Prioritäten der PRA für 2026 und des Schwerpunkts der FCA auf Verbraucherschutz und Marktintegrität, stellen kritische Fragen und erwarten strengere Tests und integrierte Entscheidungsprozesse.
Die gute Nachricht? Der Rahmen selbst ist klar. Die Herausforderung liegt in der Umsetzung. Darüber hinaus müssen Unternehmen nun sicherstellen, dass die britischen Vorschriften zur operativen Resilienz mit dem EU-Gesetz zur digitalen operativen Resilienz (DORA) in Einklang stehen, um nahtlose grenzüberschreitende Betriebsmodelle zu unterstützen. Schauen wir uns einmal genauer an, was die Regulierungsbehörden erwarten, warum dies wichtig ist und wie man ein Programm aufbaut, das funktioniert, wenn etwas schiefgeht.
Was das britische Rahmenwerk für operative Resilienz tatsächlich erfordert
Im Kern geht es bei der operativen Widerstandsfähigkeit im Vereinigten Königreich darum, die Ergebnisse für die Kunden während einer Störung zu schützen. Die Aufsichtsbehörden verlangen von den Unternehmen, dass sie die wichtigsten Dienstleistungen identifizieren, Toleranzen für die Dauer der Nichtverfügbarkeit dieser Dienstleistungen festlegen, aufzeigen, was deren Betrieb aufrechterhält, und testen, ob die Wiederherstellungspläne tatsächlich funktionieren.
Die Vorschriften traten am 31. März 2022 in Kraft, sodass Unternehmen drei Jahre Zeit hatten, sich darauf vorzubereiten. Bis zum 31. März 2025 sollten alle betroffenen Unternehmen nachweisen, dass sie die Auswirkungstoleranzen für jeden wichtigen Geschäftsdienst einhalten können, und Belege für die Zuordnung und Prüfung vorlegen. Nun beobachten die Aufsichtsbehörden, wie die Unternehmen auf reale Vorfälle reagieren und ob die auf dem Papier geleistete Arbeit auch unter Druck Bestand hat. Entscheidend ist, dass die Aufsichtsbehörden signalisiert haben, dass statische PDF-Dateien nicht mehr als ausreichender Nachweis akzeptiert werden. Von den Unternehmen wird nun erwartet, dass sie einen dynamischen, datengestützten Nachweis ihrer Resilienz vorlegen.
5 Bausteine, die jedes Unternehmen braucht
-
Wichtige Unternehmensdienstleistungen (IBS)
Beginnen Sie damit, zu definieren, was als wichtiger Geschäftsdienst gilt. Dabei handelt es sich um kundenorientierte Dienste, deren Unterbrechung den Kunden ernsthaften Schaden zufügen, die Marktintegrität gefährden oder das Finanzsystem insgesamt destabilisieren könnte. Denken Sie eher an „Kunden die Möglichkeit geben, inländische Zahlungen zu senden und zu empfangen” als an „die Zahlungsplattform aufrechterhalten”.
Jeder Service benötigt einen klaren Verantwortlichen, der dafür zuständig ist, dass er innerhalb der Toleranzgrenzen bleibt. Verwenden Sie eine einfache Sprache, die jeder im Unternehmen verstehen kann. Wenn Ihr Vorstand nicht sofort versteht, was ein Service leistet und warum er wichtig ist, formulieren Sie ihn um. Stellen Sie außerdem sicher, dass die IBS-Zuordnung ausdrücklich mit den FCA-Anforderungen übereinstimmt, wobei der Schwerpunkt insbesondere darauf liegt, wie sich die Erbringung von Dienstleistungen auf den Verbraucherschutz und die Marktstabilität auswirkt.
-
Stoßfestigkeitstoleranzen
Eine Ausfalltoleranz legt das maximal akzeptable Ausmaß einer Störung fest. Die meisten Unternehmen verwenden zeitbasierte Messgrößen, da diese während eines Vorfalls einfach zu überwachen sind. Einige fügen Volumen- oder geografische Schwellenwerte hinzu, die die Entscheidungsfindung tatsächlich verbessern.
Die Toleranz wird zu Ihrem Maßstab. Wenn etwas kaputt geht, lautet die Frage nicht „Wie schlimm ist das?“, sondern „Liegen wir noch innerhalb der Toleranz, und wenn nicht, was müssen wir aktivieren?“ Legen Sie Toleranzen durch angemessene Governance fest. Sie sollten den tatsächlichen Schaden für den Kunden widerspiegeln und nicht willkürliche Zahlen, die gewählt wurden, um die Tests zu vereinfachen. Die Regulierungsbehörden erwarten nun, dass diese Service-Level-Toleranzen in die Lieferantenverträge einfließen, um sicherzustellen, dass die Service Level Agreements (SLAs) von Drittanbietern rechtlich mit den Resilienzverpflichtungen Ihres Unternehmens übereinstimmen.
-
Abhängigkeitszuordnung
Jeder wichtige Unternehmensdienst hängt von einer Vielzahl von Faktoren ab, darunter Mitarbeiter, Technologie, Daten, Einrichtungen und Dritte. Erfassen Sie diese Abhängigkeiten, damit Sie einzelne Fehlerquellen und Konzentrationsrisiken erkennen können, bevor sie Ihnen zum Verhängnis werden.
Erstellen Sie eine Struktur, die Services mit Prozessen, Prozesse mit Anwendungen, Anwendungen mit der Infrastruktur und die Infrastruktur mit Lieferanten und Standorten verknüpft. Um diese Komplexität effektiv zu bewältigen, verfolgen moderne Programme einen hierarchischen Organisationsansatz. Auf diese Weise können Unternehmen die Interaktion verschiedener Geschäftsbereiche innerhalb der gesamten Organisation verwalten und visualisieren, sodass keine Risiken in Silos übersehen werden. Halten Sie die Karte durch Änderungskontrolle auf dem neuesten Stand, anstatt auf eine jährliche Aktualisierung zu warten. Wenn Ihre Karte veraltet ist, ist sie im Falle eines Vorfalls nutzlos.
-
Szenario-Test
Testen Sie Ihre Fähigkeit, innerhalb von Toleranzen zu arbeiten, anhand von extremen, aber plausiblen Szenarien, und halten Sie Ihre Erkenntnisse fest. Wählen Sie Szenarien, die echte Schwachstellen aufzeigen: Ausfall einer Cloud-Region, Ausfall eines Zahlungssystems, Kompromittierung eines Identitätsanbieters oder Verlust einer kritischen Website. Benennen Sie für jeden Test das IBS, geben Sie die Zieltoleranz an, legen Sie klare Ziele fest, definieren Sie Wiederherstellungsschritte und legen Sie fest, welche Nachweise gesammelt werden sollen.
-
Governance und Selbstbewertung
Vorstände benötigen einen Überblick über das gesamte Programm. Sie sollten wissen, welche Dienstleistungen zum Umfang gehören, wie hoch die Toleranzen sind, welche Tests durchgeführt wurden, wo Toleranzen überschritten wurden und was dagegen unternommen wird.
Ein Selbstbewertungsdokument fasst alles zusammen. Halten Sie es prägnant und entscheidungsreif. Geben Sie Ihren Umfang, Ihre Methoden, was Sie getestet haben, wo Sie die Toleranz eingehalten haben und wo Investitionen erforderlich sind, an. Seien Sie bereit, dieses Dokument kurzfristig vorzulegen, wenn Vorgesetzte danach fragen.
Wie Resilienz mit Ihren bestehenden Programmen zusammenhängt
Operative Resilienz ist weit mehr als eine eigenständige Überwachungsebene – sie ist der zentrale Motor für die Stabilität Ihres Unternehmens. Anstatt einfach nur neben bestehenden Silos zu existieren, sollte ein ausgereiftes Rahmenwerk für operative Resilienz automatisch Aktualisierungen des Business Continuity Managements (BCM), der IT-Notfallwiederherstellung (IT/DR) und des Risikomanagements für Dritte (TPRM) auslösen. Dadurch wird sichergestellt, dass bei einer Änderung der Servicekartierung oder der Feststellung einer Testlücke die taktischen Wiederherstellungspläne im gesamten Unternehmen in Echtzeit aktualisiert werden, um der neuen Realität Rechnung zu tragen, wodurch ein kontinuierlicher Verbesserungsprozess aufrechterhalten wird.
Häufige Fallstricke bei der Umsetzung
Fast ein Jahr nach Ablauf der Frist haben sich klare Muster herauskristallisiert. Abhängigkeitskarten liegen statisch in SharePoint und sind bereits zum Zeitpunkt ihrer Veröffentlichung veraltet. Toleranzen werden von Compliance-Teams festgelegt, die nie mit den Personen gesprochen haben, die den Dienst tatsächlich wiederherstellen würden. An den Tests ist jedes Mal dieselbe kleine Gruppe beteiligt, während ignoriert wird, wie sich Ausfälle von Drittanbietern auf Ihre Dienste auswirken würden. Selbstbewertungen lesen sich eher wie das Abhaken von Checklisten als wie ehrliche Überprüfungen der Leistungsfähigkeit.
Die Unternehmen, die Fortschritte erzielen, betrachten Resilienz als eine fortlaufende Disziplin. Bevor sie Dienstleistungen einführen oder Lieferanten an Bord holen, fragen sie sich: „Was bedeutet das für unsere Toleranzen?“ Sie integrieren Resilienz in das Änderungsmanagement, die Beschaffung und die Überprüfung von Vorfällen.
Entwickeln Sie ein Programm, das tatsächlich funktioniert
Beginnen Sie mit Governance
Wählen Sie einen leitenden Sponsor aus, der über die Befugnis verfügt, Entscheidungen zu treffen und Ressourcen zu bewegen. Weisen Sie jedem wichtigen Geschäftsdienst verantwortliche Eigentümer zu. Legen Sie den Genehmigungsweg für Toleranzen und Tests fest. Legen Sie einen Berichtsrhythmus fest, der die Führungskräfte einbindet, ohne sie mit Details zu überhäufen. Für die meisten Unternehmen ist ein monatlicher Rhythmus geeignet.
Dienstleistungen definieren und Toleranzen festlegen
Führen Sie kurze Workshops mit Service-Eigentümern und Personen durch, die verstehen, was Kunden tatsächlich benötigen. Formulieren Sie jede Serviceerklärung in einem Satz. Entwerfen Sie eine Toleranz, die jemand außerhalb Ihres Teams während eines Live-Vorfalls messen könnte. Besprechen Sie die Vorschläge mit den Bereichen Betrieb, Risiko und Compliance, bevor Sie eine formelle Genehmigung einholen.
Karte Was wichtig ist
Erfassen Sie die kritischen Prozesse, Anwendungen, Daten, Standorte und Drittanbieter, die jeden Dienst am Laufen halten. Kennzeichnen Sie Komponenten, die einzelne Fehlerquellen darstellen. Nutzen Sie Ihren Änderungsmanagementprozess, um die Karte auf dem neuesten Stand zu halten. Wenn ein neues System in Betrieb genommen wird oder ein Lieferant wechselt, aktualisieren Sie die Karte umgehend.
Hart testen und schnell lernen
Wählen Sie zwei oder drei Szenarien aus, die mehrere Dienste betreffen oder bekannte Schwachstellen aufdecken. Richten Sie die Testziele an Ihren Toleranzen aus. Messen Sie die Zeit für jeden Wiederherstellungsschritt. Protokollieren Sie, was passiert ist. Protokollieren Sie nach dem Test die Maßnahmen mit klaren Verantwortlichen und Fristen. Verfolgen Sie die Umsetzung konsequent, bis alle Lücken geschlossen sind.
Brauchen Sie Inspiration für realistische Szenarien? Unser Leitfaden„Stresstests für Ihre Tools zur operativen Resilienz: 6 europäische Bedrohungsszenarien“führt Sie durch schwerwiegende, aber plausible Ereignisse, die dazu dienen, moderne Finanzdienstleistungsinfrastrukturen zu testen.
Stärkung der Aufsicht durch Dritte
Listen Sie die kritischen Lieferanten für jede Dienstleistung auf. Überprüfen Sie, ob deren SLAs mit Ihren Toleranzen übereinstimmen. Bestätigen Sie die Eskalationswege für Vorfälle. Erfassen Sie Ausstiegsstrategien für wirklich kritische Anbieter. Überwachen Sie Vorfälle bei Lieferanten und verfolgen Sie, wie sehr diese Ihre Dienstleistungen an die Toleranzgrenzen bringen.
Um diese Integration in der Praxis zu sehen (insbesondere, wie Ihre externen Abhängigkeiten mit Ihren Wiederherstellungszielen in Einklang gebracht werden müssen), lesen Sie unseren Blogbeitrag„Warum Business Continuity Planning im Mittelpunkt des TPRM stehen muss“. Dieser ausführliche Beitrag erklärt, warum ein isoliertes Lieferantenmanagement ein Risiko darstellt und wie führende Unternehmen BCM nun direkt in ihre Strategien zum Management von Risiken durch Dritte integrieren, um eine durchgängige Service-Resilienz sicherzustellen.
Klar und regelmäßig berichten
Erstellen Sie ein Dashboard, das Ihre Selbsteinschätzung widerspiegelt. Zeigen Sie Ihre Liste der Dienstleistungen, deren Status, Toleranzen und etwaige Verstöße, abgeschlossene Tests und offene Maßnahmen an. Verwenden Sie dieselbe Ansicht in Führungskräftetreffen und Aufsichtsgesprächen. Konsistenz schafft Glaubwürdigkeit.
Die britische Richtlinie zur operativen Resilienz für Ihr Unternehmen nutzbar machen
Operative Resilienz ist ebenso eine Denkweise wie ein Rahmenkonzept. Sie verlangt von Unternehmen, klar zu überlegen, was Kunden brauchen, zu messen, was während einer Störung wichtig ist, und die Fähigkeit aufzubauen, sich zu erholen, bevor etwas kaputt geht. Wenn sie gut umgesetzt wird, schützt sie Kunden, stellt Aufsichtsbehörden zufrieden und gibt Ihrem Vorstand Selbstvertrauen, wenn Druck entsteht.
Fast ein Jahr nach Ablauf der Frist für die Einhaltung der Vorschriften hat sich die Frage verschoben. Es geht nicht mehr darum, „ob wir die Anforderungen erfüllt haben“, sondern „ob wir dies im entscheidenden Moment nachweisen können“.
Der Nachweis findet sich nicht nur in der Dokumentation. Er wird durch regelmäßige Übungen, Simulationen und Tabletop-Sitzungen erbracht, die das Muskelgedächtnis trainieren, damit Teams bei realen Vorfällen instinktiv reagieren können. Der erste Schritt besteht darin, die sich wandelnde Landschaft grenzüberschreitender Risiken zu verstehen. Aus diesem Grund haben wir eine Infografik zu Bedrohungsszenarien in der EU erstellt, die Ihnen dabei hilft, die Herausforderungen zu erkennen und Compliance in echte Bereitschaft umzuwandeln.
