Operational Resilience trifft Risk Governance – wer trägt wirklich die Verantwortung?

In Zeiten wachsender Regulierung und zunehmender Abhängigkeit von digitalen Ökosystemen stellt sich eine zentrale Frage:
Wer trägt die Verantwortung für die operationelle Resilienz?

Zwischen DORA, BAIT, MaRisk und den Grundsätzen guter Unternehmensführung hat sich ein dichtes Geflecht an Anforderungen entwickelt. Dieses funktioniert nur, wenn Governance und Resilienz nicht getrennt betrachtet werden – sondern als zwei Seiten derselben Führungsaufgabe.

Operational Resilience nach DORA – mehr als klassisches Business Continuity Management

Operational Resilience bedeutet, dass eine Organisation auch unter widrigen Umständen – etwa bei Cyberangriffen, Lieferantenausfällen oder Systemstörungen – ihre kritischen Dienstleistungen erbringen kann.
Der Ansatz geht damit über klassisches Business Continuity Management hinaus, das vor allem reaktiv und prozessorientiert agiert.

Resilienz heißt, Widerstandsfähigkeit aktiv zu gestalten – durch robuste Prozesse, klare Verantwortlichkeiten und vorausschauende Steuerung. Der Blick richtet sich ganzheitlich und proaktiv auf das Zusammenspiel von Mensch, Technik, Prozessen und Governance.
Die operative Umsetzung liegt in den Fachbereichen, die strategische Verantwortung jedoch beim Top-Management und der übergeordneten Risk Governance-Struktur.

Risk Governance als strategischer Anker für Operational Resilience

Risk Governance schafft den Rahmen, in dem Risiken erkannt, bewertet und gesteuert werden – und stellt sicher, dass entscheidungsrelevante Informationen dorthin gelangen, wo Verantwortung getragen wird.
Fehlt dieser Rahmen, entstehen operative Insellösungen: Resilienzinitiativen laufen ohne strategische Einbindung, Verantwortlichkeiten verschwimmen.

Eine starke Risk Governance verbindet operative Maßnahmen mit strategischer Steuerung. Sie macht Resilienz führbar und messbar, statt sie zu einer technischen Randaufgabe zu degradieren.

DORA macht Verantwortung für Operational Resilience zur Chefsache

DORA und andere Regelwerke machen klar:
Die Verantwortung für die operationelle Resilienz liegt beim Leitungsorgan.
Das bedeutet nicht, dass Vorstände jede technische Maßnahme verstehen müssen – aber sie müssen sicherstellen,

dass Resilienz in der Governance-Struktur verankert ist,
dass Rollen und Eskalationswege definiert sind,
und dass Resilienzkennzahlen regelmäßig überwacht werden.

Operational Resilience ist damit kein IT- oder Risiko-Projekt, sondern ein Führungsthema.

Klare Rollen im IKT-Risikomanagement: Vorstand, CISO und Risk Owner unter DORA

Wirksame Steuerung erfordert klare Zuständigkeiten:
Der Vorstand trägt die Gesamtverantwortung, legt Leitlinien fest und überwacht Umsetzung und Wirksamkeit – Aufgaben sind delegierbar, Verantwortung nicht.
Der CISO übernimmt eine steuernde und beratende Rolle zwischen Technik und Governance.
Die Risk Owner – meist Bereichs- oder Prozessverantwortliche – stellen sicher, dass Risiken erkannt, bewertet und mit geeigneten Kontrollen adressiert werden.

DORA schärft diese Aufgabenteilung: Die Haftung für die Wirksamkeit der Resilienzmaßnahmen liegt beim Vorstand, der für Steuerung und regulatorische Konformität persönlich einsteht.
Echte Resilienz entsteht nur, wenn Strategie, Technik und operative Verantwortung ineinandergreifen.

Integrierte Governance-Strukturen als Schlüssel zu nachhaltiger Operational Resilience

Widerstandsfähigkeit entsteht nicht durch Einzelmaßnahmen, sondern durch Integration in die Governance-Struktur.
Resilienzziele müssen Teil der Risikostrategie sein, kritische Prozesse ins Enterprise Risk Management eingebettet und Lieferantenrisiken systematisch gesteuert werden.
Das Leitungsorgan bleibt informiert, entscheidungsfähig und rechenschaftspflichtig – so wird Resilienz zu einem Bestandteil guter Unternehmensführung, nicht zu einem Krisenplan.

Fazit: Operational Resilience ist gelebte Risk Governance und Führungskultur

Operational Resilience und Risk Governance sind kein Entweder-oder, sondern bedingen einander.
Resilienz entsteht dort, wo Führung, Risiko und Kontrolle zusammenwirken – nicht durch technische Maßnahmen allein, sondern durch klare Verantwortlichkeiten und eine gelebte Risikokultur.

Wer Operational Resilience ernst nimmt, stärkt nicht nur die Reaktionsfähigkeit in Krisen, sondern die Führungsfähigkeit im Alltag.
Denn Resilienz ist kein Projekt – sie ist Ausdruck verantwortungsvoller Unternehmensführung.

Stärken Sie Ihre Governance-Struktur und Resilienz jetzt!

Erfahren Sie mehr über unser IKT-Risikomanagement-Angebot oder starten Sie direkt mit dem movisco Quick-Check zur DORA-Readiness.

Über den Autor

Damla Kocar

Damla Kocar ist Managing Consultant bei der movisco AG im Bereich Financial Risk & Compliance (FRC) in Frankfurt. Sie hat einen Master of Science in Business Economics mit den Fachgebieten Finance und Volkswirtschaftslehre. Seit mehreren Jahren berät sie im Bereich Banksteuerung und Regulatorik, wobei sie sich insbesondere auf Themen der Informations- und Kommunikationstechnologien spezialisiert hat.