EBA-Guideline: Banken müssen Zusammenarbeit mit Drittanbietern anpassen

EBA-Guideline: Banken müssen Zusammenarbeit mit Drittanbietern anpassen

Institute sollen die Vorgaben von DORA und EBA in einer eigenen Richtlinie zusammenführen.

Keyfacts:

  • Die European Banking Authority (EBA) hat die Richtlinien zum Auslagerungsmanagement überarbeitet und zur Konsultation vorgelegt.
  • Das Ziel lautet, frühere EBA-Vorgaben mit denen von DORA zu harmonisieren.
  • Vor allem direkt von der EZB beaufsichtigte Banken müssen rasch handeln und die veränderten Anforderungen umsetzen.

Das Management von Drittparteienrisiken steht auf der Agenda der europäischen Bankenaufsicht weiter ganz oben. Mit dem Inkrafttreten des Digital Operational Resilience Act (DORA) im Januar 2025 gelten für das IT-Outsourcing in der Finanzindustrie – das unter DORA als Third Party Risk Management (TPRM), also Drittparteienrisikomanagement, subsummiert wird – neue Regeln.

Nun hat die European Banking Authority (EBA) „Guidelines on the sound management of third-party risk“ zur Konsultation vorgelegt. Damit sollen nicht nur die bisherigen EBA-Guidelines zum Thema Outsourcing ersetzt, sondern neue Maßstäbe für die nicht unter die DORA fallenden Auslagerungen gesetzt werden.

Das Ziel: Die EBA-Guidelines sollen weiterentwickelt und insbesondere mit der DORA harmonisiert werden. Der Entwurf kann bis zum 8. Oktober 2025 kommentiert werden.

Von besonderer Bedeutung ist das Konsultationspapier der EBA für Institute, die direkt von der Europäischen Zentralbank beaufsichtigt werden – die sogenannten Significant Institutions (SIs). Denn nach der Finalisierung und Veröffentlichung der neuen Richtlinien bleibt ihnen eine Umsetzungsfrist von zwei Jahren, um die Vorgaben anzuwenden und – dieser Punkt ist besonders hervorzuheben – für Bestandsverträge umzusetzen.

Die nationalen Aufsichtsbehörden (in Deutschland die BaFin) sind aufgefordert, die Anforderungen in ihre Vorgaben zu übernehmen. Auch die national beaufsichtigten Banken – die Less Significant Institutions (LSIs) – müssen die Guidelines dann also zeitnah erfüllen.

EBA-Entwurf: Ein Blick auf die wesentlichen Erkenntnisse und Neuerungen

Welche Neuerungen bringt der Entwurf der EBA-Guidelines mit? Zunächst einmal löst die EBA die vorhandene Doppelregulierung für IT-Auslagerungen auf, da Banken seit dem Inkrafttreten der DORA auch die der EBA zum Outsourcing erfüllen mussten. Hierzu werden neue Grundbegrifflichkeiten eingeführt, die Banken berücksichtigen müssen. So beziehen sich die formulierten Anforderungen nun auf sogenannte TPAs (Third Party Arrangements). Diese Bezeichnung löst den Begriff „Outsourcing“ ab.

Dasselbe gilt für die Dienstleister, die nun als TPSPs (Third Party Service Provider) definiert sind – TPSP ersetzt den zuvor verwendeten Begriff „Service Provider“. Ein Blick auf die Definitionen der EBA zeigt, dass Institute fachlich davon ausgehen können, dass die Begriffe mit der gleichen Bedeutung versehen sind. Die EBA strebt offenbar lediglich zur Vereinheitlichung mit anderen Regularien – zum Beispiel DORA – einheitliche Begriffe an.

Dieses Bestreben wird dadurch untermauert, dass einige neue rechtliche Rahmenbedingungen in die Guideline integriert werden. Darauf weist die EBA ausdrücklich hin: Weitere regulatorische Anforderungen, insbesondere DORA, würden für eine Harmonisierung der unterschiedlichen Rahmenwerke sowie für die Gewährleistung gleicher Wettbewerbsbedingungen berücksichtigt.

Im Mittelpunkt der Guideline stehen Nicht-IT-Services

Im Mittelpunkt des EBA-Papiers stehen TPAs, die keine IKT-Dienstleistungen gemäß DORA sind. Eine Doppelregulierung soll also verhindert werden, denn DORA regelt bekanntlich zahlreiche Aspekte rund um IKT-Dienstleister.

Das ist eine wesentliche Neuerung, denn in der Vergangenheit fanden auch I(K)T-Dienstleistungen unter den EBA-Guidelines Anwendung. Nun folgen sie umfänglich den DORA-Vorgaben und sind aus dem Wirkungsbereich der EBA-Guidelines ausgenommen.

Besonderheiten und Ausnahmen und der Blick auf kritische oder wichtige Funktionen

Eine Besonderheit gibt es aber: In Artikel 31 des Konsultationsentwurfs wird in der Fußnote eine Erweiterung formuliert. Sollte es sich um ein TPA („non-ICT service“) handeln und im Rahmen dieser Leistungen auch IKT-Dienstleistungen genutzt werden, so obliegt es dem Institut, auf Basis der – so wörtlich – „Materialität“ der IKT-Dienstleistung festzulegen, welche Vorgaben zur Anwendung kommen.

Geändert hat sich außerdem, dass Marktinformationsdienstleister keine Ausnahme mehr für einen Auslagerungsbestand darstellen. Da beispielsweise einige Dienstleister nicht mehr unter die 2999-DORA030-Ausnahme als IKT-Dienstleister fallen, müssen sie künftig gemäß den EBA-Guidelines geprüft und berücksichtigt werden.

Ein wesentlicher und kritischer Punkt bleibt weiterhin die Bestimmung, ob ein TPA unter die Definition einer kritischen oder wichtigen Funktion fällt – wie auch in DORA geregelt. Denn davon hängen Folgeaktivitäten ab, etwa mit Blick auf die Risikoanalyse, den Vertrag oder die Exit-Strategie. Die Definition einer kritischen oder wichtigen Funktion bleibt nach den Konsultationen des Entwurfs grundsätzlich unverändert und stellt somit eine Harmonisierung mit DORA sicher.

EBA unterstreicht den Ruf nach einer Strategie für Auslagerungen

Hervorzuheben ist auch die Festlegung der EBA, dass das Management von Finanzinstitutionen nun eine Strategie für den Umgang mit Drittparteienrisiken entwickeln und regelmäßig überprüfen soll – auf Basis des Risikoprofils sowie unter Berücksichtigung des Proportionalitätsprinzips. So steht es in Artikel 38 der EBA-Guideline. Zwar halten die meisten Finanzinstitute bereits heute eine Strategie für ihre Auslagerungen (in der MaRisk gefordert) und IKT-Dienstleistungen vor – durch die EBA-Guidelines wird der Ruf danach nun noch verstärkt.

Neben der Strategie ist – wie in der Vergangenheit – auch eine Richtlinie vorzuhalten. Die EBA hebt dabei deutlich hervor, dass diese sowohl TPAs als auch IKT-Dienstleistungen umfassen und eindeutige, umfassende Vorgaben für die jeweiligen Arten von Beschaffungen formulieren soll.

Eine erhebliche Veränderung bringen neue Mindestanforderungen an die vertragliche Vereinbarung mit TPAs mit sich. Während die bisherigen EBA-Guidelines zum Outsourcing vertragliche Mindestinhalte nur für kritische oder wichtige Funktionen definierten, führen die neuen EBA-Guidelines zum TPRM nun auch Mindestinhalte für alle TPAs ein.

Vom Auslagerungsregister zum erweiterten EBA-Register

Auch die Anforderungen an das frühere Auslagerungsregister wurden angepasst, sodass sie künftig als sogenanntes EBA-Register umfassend mit denen des Informationsregisters nach DORA übereinstimmen. Das zeigt sich zusätzlich daran, dass dem EBA-Register neue Datenfelder hinzugefügt werden, die zugleich Pflichtfelder des Informationsregisters sind.

Zu beachten ist dabei allerdings, dass das EBA-Register nur noch TPAs ohne IKT-Dienstleistungen enthalten soll – auch, um eine mögliche Doppelmeldung an die Aufsicht zu vermeiden. Und anders als im Informationsregister müssen TPAs bis zu fünf Jahre nach ihrer Kündigung weiterhin im EBA-Register gemeldet werden.

Zu den weiteren Veränderungen zählen die Konkretisierung der Aufgaben des internen Audits, die Zusammenfassung und Verschärfung der Aspekte der Risikoanalyse, der Wegfall spezifischer Anforderungen an Cloud Service Provider sowie konkretisierte Vorgaben an gruppeninterne TPAs.

Auslagerungen nach DORA effizient steuern

Die neuen Anforderungen an Vertragsinhalte, Register und Prozesse stellen Institute vor komplexe Aufgaben. Wie ein professionelles Contract Lifecycle Management helfen kann, zeigt dieser Artikel.

Jetzt lesen

Diese Auswirkungen haben die neuen EBA-Anforderungen für Finanzinstitute

Mit dem Entwurf der EBA-Guidelines sollen regulatorische Diskrepanzen aufgelöst und die Vorgaben der EBA sowie die Regelungen der DORA harmonisiert werden. IKT-Dienstleistungen sollen den Vorgaben der DORA folgen, TPAs denen der EBA-Guidelines.

Beide Regelwerke sollen auf Institutsebene in einer integrierten Richtlinie zusammengeführt werden. Die Herausforderungen liegen dabei im Detail: So ist gemäß Artikel 31 bei komplexen Dienstleistungen (zum Beispiel Business Process Outsourcings) die Materialität potenzieller IKT-Dienstleistungen zu bewerten und fallbezogen vom Institut festzulegen, welchen Vorgaben es folgt – und über welches Register beispielsweise gemeldet wird.

Vorgaben zur Definition einer kritischen oder wichtigen Funktion, zur Risikoanalyse, zur Due Diligence oder auch zur Exit-Strategie sind in weiten Teilen seit 2019 unverändert geblieben. Sie wurden bereits durch die DORA aufgegriffen und zeigen, dass ein integriertes Modell – etwa eine einheitliche Risikoanalyse für TPAs (vormals Auslagerungen) und für kritische oder wichtige IKT-Dienstleistungen – weiterhin sinnvoll ist.

Damit sich Effizienzen und Synergien auch in der Praxis realisieren lassen, stehen Finanzinstitute nun vor der Aufgabe, die etablierten Strukturen und Prozesse für Auslagerungen und IKT-Dienstleistungen kritisch zu überprüfen, abzustimmen und aufeinander abzustimmen.

Hohe Aufwände für Analyse, Umsetzung und Harmonisierung der Vorgaben absehbar

Denn um den neuen Anforderungen gerecht zu werden, sind teilweise erhebliche Aufwände für die Analyse, Umsetzung und Harmonisierung der Vorgaben erforderlich. Das zeigen einige Beispiele aus dem Entwurf der EBA-Guideline:

Beispiel 1: Es wird eine Richtlinie gefordert, die zwischen TPAs und IKT-Dienstleistungen unterscheidet. In der Praxis führt das dazu, dass bestehende Vorgaben in einer Richtlinie zusammengeführt und dabei klar zwischen den Anforderungen, Prozessen und Kontrollen unterschieden wird, die jeweils für die betreffende Dienstleistung gelten. Gleiches gilt für die Strategie, die sich auf TPAs beziehen soll.

Beispiel 2: Die Anforderungen an Mindestinhalte in den vertraglichen Vereinbarungen mit TPAs werden voraussichtlich hohe Aufwände verursachen. Zum einen sind die Vorgaben neu und müssen zunächst umgesetzt werden. Zum anderen überarbeiten viele Finanzinstitute derzeit ihre Bestandsverträge, um sie DORA-konform zu gestalten.

Diese vertraglichen Mindestinhalte müssen daraufhin analysiert werden, ob sich Überschneidungen zwischen den Anforderungen der EBA-Guidelines und der DORA ergeben. Ziel ist es, eine einheitliche Nutzung gleichlautender Anlagen (etwa in Form von Vertragsergänzungen) zu ermöglichen und Synergieeffekte zu erzielen – insbesondere im Hinblick auf die Abstimmung mit Dienstleistern.

Denn klar ist: Einzelne Dienstleister erbringen sowohl Leistungen nach DORA (IKT-Dienstleistungen) als auch solche nach der EBA-Guideline (TPAs). Ein konsolidiertes Vorgehen sowie gleichartige Vertragsergänzungen – insbesondere für Rahmenverträge – sind daher unbedingt anzustreben.

Die für das EBA-Register erforderlichen Daten sollen im Idealfall identisch mit denen des Informationsregisters nach DORA sein. Daraus ergibt sich für Finanzinstitute die Frage, ob sie das EBA-Register künftig vollständig an DORA angleichen oder alternativ zwei separate Register pflegen.

Dabei kommt es auch darauf an, ob eine Softwarelösung für das EBA- und/oder Informationsregister zum Einsatz kommt – und ob dieses Tool die Anforderungen sowie das Zielbild technisch abbilden kann. Es besteht also nicht nur zügiger, sondern auch umfangreicher Handlungsbedarf in den Instituten, um nach Finalisierung der EBA-Guideline rasch handlungsfähig zu sein und Compliance sicherzustellen.

Sourcing als Erfolgsfaktor für Banken und Versicherer

Sourcing neu gedacht – mehr Effizienz, mehr Handlungsspielraum.

Studie herunterladen