Vom regulatorischen Outsourcing-Management zum einheitlichen Third Party Risk Management – Die neuen EBA-Guidelines

Die neuen EBA-Leitlinien zum Third-Party Risk Management (TPRM), veröffentlicht am 8. Juli 2025, aktualisieren und erweitern den bestehenden Rahmen für das Management von Drittanbieter-Risiken, insbesondere für Nicht-IKT-Dienstleistungen. Sie zielen darauf ab, den Umgang mit Drittanbietern, die keine IKT-Dienstleistungen erbringen, stärker mit den Vorgaben von DORA (Digital Operational Resilience Act) für IKT-Dienstleistungen abzustimmen. Die EBA hat mit der Veröffentlichung die bestehenden Leitlinien zum Outsourcing von Finanzinstituten überarbeitet. Ein neues zentrales Element ist die Einführung eines zentralen Registers für nicht-IKT-Dienstleiste

Kernpunkte der neuen EBA-Leitlinien sind insbesondere:

• Fokus auf Nicht-IKT-Dienstleistungen:
  Die Leitlinien konzentrieren sich auf Drittanbieter, die keine IKT-Dienstleistungen erbringen und somit nicht von DORA abgedeckt sind.
• Harmonisierung mit DORA:
  Das Ziel besteht darin, die TPRM-Praktiken stärker an die DORA-Vorschriften für IKT-Dienstleistungen anzugleichen, um eine einheitlichere Aufsichtspraxis zu gewährleisten. Bei nicht-IKT-Dienstleistungen wird nicht mehr zwischen Auslagerungen und sonstigen (IT-)Fremdbezügen unterschieden, sondern danach, ob die Dienstleistung eine kritische oder wichtige Funktion unterstützt. Zentrales Register für Nicht-IKT-Dienstleister:
  Finanzinstitute müssen ein zentrales Register für ihre Drittanbieter von Nicht-IKT-Dienstleistungen führen. Dieses Register hat festgelegte Mindestinhalte. Sofern das Register nicht bereits in einem vorhandenen Informationsregister gemäß DORA enthalten ist, ist Form und Umfang am Informationsregister zu orientieren, um eine spätere Zusammenführung zu gewährleisten. Der Aufsicht ist außerdem ein maschinenlesbarer Zugriff zu ermöglichen.
• Verbesserung des Risikomanagements:
  Die Leitlinien sollen ein umfassenderes und risikobasierteres Management von Drittanbieterbeziehungen ermöglichen. So soll die bestehende Risikoanalyse beispielsweise um politische Risiken erweitert werden.
• Auslagerungsstrategien:
  Die Leitlinien fordern eine strategische, systematische und risikoorientierte Neuausrichtung der Auslagerungsstrategien. Exit-Strategien und -Pläne müssen nun unter anderem Konzentrationsrisiken sowie das Risiko eines vollständigen Ausfalls des Drittdienstleisters berücksichtigen.
• Integration in bestehende Prozesse:
  Die Institute sollen die Vorgaben in ihre bestehenden Risikomanagementprozesse integrieren.

Die neuen EBA-Leitlinien zum Third Party Risk Management stellen eine wichtige Weiterentwicklung dar, die Finanzinstitute dazu auffordert, ihre Prozesse im Umgang mit Drittanbietern zu überdenken und zu optimieren, um den regulatorischen Anforderungen gerecht zu werden und gleichzeitig ihre Widerstandsfähigkeit zu stärken. Es wird immer deutlicher, dass das bisherige regulatorische Auslagerungsmanagement nun zu einem einheitlichen TPRM werden wird. Es ist zu erwarten, dass die die EBA-Leitlinien von der BaFin angewendet werden.