08/2025 – Fachartikel von Yahya Mohamed Mao, Swiss GRC AG
Die regulatorische Landschaft für Third-Party Risk Management (TPRM) verändert sich grundlegend. Mit der neuen EBA-Guideline, der DORA-Verordnung und der erwarteten Anpassung der MaRisk müssen Finanzinstitute ihr Auslagerungsmanagement strategisch neu ausrichten. Die Deggendorfer Notiz 2025/06 liefert hierzu eine fundierte Analyse und zeigt klar: Excel und Insellösungen reichen nicht mehr aus.
Die Grundlage für die neue Deggendorfer Notiz 2025/06 von Prof. Dr. Andreas Igl bildet das im Juli 2025 veröffentlichte Consultation Paper der Europäischen Bankenaufsichtsbehörde (EBA). Das Konsultationspapier konkretisiert erstmals umfassend die Anforderungen an das Management von Risiken aus non-ICT-Drittparteien und steht im engen Zusammenhang mit der seit Januar 2025 gültigen DORA-Verordnung (EU 2022/2554). In Verbindung mit dem bestehenden Rahmen der MaRisk AT 9 ergeben sich erhebliche Auswirkungen auf das Auslagerungsmanagement deutscher Kreditinstitute.
Der regulatorische Dreiklang: EBA-Guideline, DORA und MaRisk im Zusammenspiel
Mit der Konsultation der neuen EBA-Guideline zur Steuerung von Risiken aus Drittparteien (non-ICT) und der seit Januar 2025 geltenden DORA-Verordnung (EU 2022/2554) liegt erstmals ein klar strukturierter europäischer Rahmen für das TPRM vor.
Während DORA auf IKT-Dienstleister und deren Resilienz abzielt, fokussiert die EBA-Guideline auf nicht-IKT-bezogene Drittparteien, insbesondere bei der Erbringung kritischer oder wichtiger Funktionen. Die nationale Verwaltungsvorschrift MaRisk AT 9, lange Zeit Referenzrahmen in Deutschland, wird künftig von diesen europäischen Vorgaben beeinflusst und muss sich voraussichtlich entsprechend weiterentwickeln.
Kernerkenntnis aus der Deggendorfer Notiz: Die bisherige Praxis, Auslagerungen nur begrenzt und vorrangig operativ zu steuern, genügt nicht mehr. Zukünftig rückt die funktionale Kritikalität in den Mittelpunkt – unabhängig vom IKT-Bezug oder der vertraglichen Struktur.
Die erste Entscheidung: ICT oder non-ICT?
Die Deggendorfer Notiz zeigt, dass die Trennung zwischen ICT- und non-ICT-Dienstleistungen zur neuen Weichenstellung im TPRM wird. Sie bestimmt:
- welche regulatorischen Anforderungen gelten (DORA vs. EBA-Guideline),
- welche Klassifizierungen vorgenommen werden müssen,
- welche Dokumentations-, Überwachungs- und Meldepflichten zu erfüllen sind.
Diese Trennung erfordert robuste Governance-Strukturen, die in der Lage sind, Auslagerungen konsistent und risikoorientiert zu klassifizieren. Die Verantwortung dafür liegt zunehmend auf Vorstandsebene, da die Ableitung kritischer Funktionen strategischen Charakter hat.
Von der Auslagerung zur Funktionssicht: TPRM wird strategisch
Ein Paradigmenwechsel zeichnet sich ab: Nicht mehr die rechtliche Auslagerung als solche ist zentral, sondern die Funktion, die durch eine Drittpartei unterstützt wird. Dies führt zu tiefgreifenden Veränderungen in der Risikosteuerung:
- Die Bewertung erfolgt funktionsbasiert und nicht primär vertraglich.
- Die Relevanz ergibt sich aus der Bedeutung für das Geschäftsmodell – nicht nur aus zeitkritischen Aspekten.
- Das Proportionalitätsprinzip erlaubt eine differenzierte Umsetzung, abhängig von Institutstyp und Risikoexponierung.
Fazit aus Sicht der Deggendorfer Notiz: Die klassische organisatorische Perspektive muss einer strategisch-risikoorientierten Governance weichen.
Excel war gestern: Steuerung und Berichtspflichten steigen deutlich
Die Deggendorfer Notiz kritisiert offen, dass viele Institute ihre Drittparteibeziehungen weiterhin über Excel-Listen und dezentrale Dokumentationen verwalten. Damit lassen sich die geforderten Vorgaben – wie Informationsregister, Kontrollrechte, Notfallplanung, Exit-Strategien und strukturierte Berichterstattung – nicht mehr erfüllen.
DORA verlangt u.a.:
- ein zentrales Informationsregister (Art. 28),
- IKT-bezogene Resilienztests und Audits,
- direkte Meldepflichten bei Incidents (Art. 19).
Die EBA-Guideline (non-ICT):
- fordert umfassende Vertragsgestaltung inkl. KPIs und Audit-Rechten,
- legt besonderen Wert auf funktionsbezogene Risikobewertung,
- verlangt Governance-Massnahmen über die gesamte Dienstleisterkette hinweg.
Die Botschaft ist klar: Instituten wird empfohlen, bestehende Prozesse zu professionalisieren und zu digitalisieren.
Umsetzung: Von regulatorischer Anforderung zur technologischen Unterstützung
Auch wenn die Deggendorfer Notiz bewusst technologie-neutral formuliert ist, ergibt sich aus ihrer Analyse ein klarer Umsetzungsimpuls: Die Steuerung von Drittparteirisiken muss in strukturierte, toolgestützte Systeme überführt werden. Nur so lassen sich Transparenz, Nachvollziehbarkeit, Auditierbarkeit und Skalierbarkeit sicherstellen.
Swiss GRC bietet hierzu ein modulares System, das:
- ein zentrales Informationsregister integriert,
- risikobasierte Klassifizierungen und Governance-Workflows unterstützt,
- eine konsistente Dokumentation und automatisierte Berichtserstellung ermöglicht.
Erfahren Sie mehr zur Lösung für TPRM unserer Schwesterfirma, Swiss GRC AG: Third-Party-Risiken sicher und souverän managen
Fazit: TPRM wird zur Führungsaufgabe
Die Deggendorfer Notiz 2025/06 zeigt eindrücklich, dass das Management von Drittparteien zu einer Kernkompetenz in der Governance von Kreditinstituten wird. Die Anforderungen aus DORA, der neuen EBA-Guideline und künftig auch aus MaRisk zwingen Organisationen dazu, ihre Auslagerungsstrategien neu zu denken – strategisch, systematisch und risikoorientiert.
Wer jetzt handelt, stärkt nicht nur seine regulatorische Resilienz, sondern auch die eigene digitale und organisatorische Zukunftsfähigkeit.
Kontakt Beratung TPRM und Einführung
Swiss Infosec AG, Meienriesliweg 15, 6210 Sursee
Unverbindliche Anfrage unter +41 41 984 12 12 oder infosec@infosec.ch
Kontakt TPRM-Software und Betrieb
Swiss GRC AG, Hirschmattstrasse 36, 6003 Luzern
+41 41 220 75 00, www.swissgrc.com, sales@swissgrc.com