Der Vizechef der EZB-Bankenaufsicht, Frank Elderson, hat die Entscheider in Europas Banken aufgefordert, mehr für die operationelle Resilienz ihrer Häuser zu tun. Jetzt sei es angesichts der zuletzt gestiegenen Rentabilität an der Zeit, stärker in Menschen, Systeme und Prozesse zu investieren, um die Widerstandsfähigkeit gegen aus dem Cyberspace, aus Klimarisiken und geopolitischen Spannungen herrührenden Gefahren zu stärken. „Operationelle Widerstandsfähigkeit erfordert ständige Aufmerksamkeit und muss mit dem sich verändernden Risikoumfeld Schritt halten", sagte Elderson laut Redetext am Mittwoch auf einer gemeinsamen Veranstaltung von europäischer Bankenregulierungsbehörde EBA und EZB.

Finanzielle Widerstandsfähigkeit, wie sie in hohen Kapital- und Liquiditätsquoten abzulesen sei, reiche nicht aus, um operativen Gefahren zu widerstehen. Und ziele Risikomanagement darauf ab, die Wahrscheinlichkeit und die Folgen von operationellen Gefahren möglichst gering zu halten, gehe operationelle Resilienz davon aus, dass Probleme unvermeidbar sind und früher oder später auftreten werden. Dementsprechend müssten Banken sich vorbereiten und in der Lage sein, auf sie zu reagieren, den Geschäftsbetrieb aufrechtzuerhalten, Schäden zu beheben und aus den Vorfällen zu lernen.

„Regulierungs- und Aufsichtsbehörden haben verstanden, dass es nicht ausreicht, die Bilanzen der Banken mit Argusaugen zu prüfen, um die Widerstandsfähigkeit der Banken zu untersuchen", sagte der stellvertretende Bankenaufsichtschef der EZB. „Infolgedessen steht die operationelle Widerstandsfähigkeit weltweit ganz oben auf der Agenda der Aufsichtsbehörden.“

Die Sicherstellung operationeller Resilienz sei jüngst vom globalen Bankenregulierer Baseler Ausschuss für Bankenaufsicht in dessen Grundsätze aufgenommen worden. Aufsichtsbehörden weltweit werden schließlich darüber wachen, dass diese Mindeststandards von Banken eingehalten werden. Zudem werde das ab Januar in der EU geltende Regulierungswerk Digital Operational Resilience Act (Dora) einen Beitrag zur Stärkung der IT- und Cyberresilienz leisten, so Elderson.

Die Zahl der schwerwiegenden Cybervorfälle, die Banken gemeldet haben, hätten sich von 2022 auf 2023 fast verdoppelt. Hinzu komme, dass die Attacken immer ausgeklügelter werden. Sorge bereite den Aufsehern obendrein das Outsourcing-Risiko. Die Funktionsfähigkeit einer Bank könne stark beeinträchtigt werden, wenn sie es nicht schaffe, den Ausfall eines externen Dienstleisters zu ersetzen. Zudem griffen viele Banken auf nur wenige Clouddienstleister zurück.