9. MaRisk-Novelle: Was die neue Institutsklassifizierung konkret für Ihr Institut bedeutet

Größenklasse, Auslagerungen, DORA-Abgrenzung – und was jetzt zu tun ist

Drittparteienmanagement

Blog

April 7, 2026

9. MaRisk-Novelle: Was die neue Institutsklassifizierung konkret für Ihr Institut bedeutet

9. MaRisk-Novelle: Was bedeutet die neue Institutsklassifizierung konkret für Ihr Haus?

Die BaFin hat am 1. April 2026 den Konsultationsentwurf zur 9. Novelle der Mindestanforderungen an das Risikomanagement (MaRisk) veröffentlicht. Die Konsultationsfrist läuft bis zum 8. Mai 2026. Die Novelle verändert nicht nur den Text – sie verändert die Logik des Regelwerks. Für jedes betroffene Institut stellt sich jetzt eine ganz konkrete Frage: Wo stehe ich? Was gilt für mich? Und was muss ich tatsächlich tun?

Warum diese Novelle anders ist als ihre Vorgänger

Die bisherigen MaRisk-Novellen haben das Regelwerk in der Regel erweitert – um neue Anforderungen, zusätzliche Module, weitere Konkretisierungen. Die 9. Novelle geht den umgekehrten Weg: Sie kürzt, konsolidiert und verschlankt. Der Umfang der Konsultationsfassung sinkt von 148 Seiten (Vergleichsversion) auf 82 Seiten.

Das ist kein kosmetischer Eingriff. Die Novelle führt regulatorische Entwicklungen zusammen, die bisher parallel und teilweise überlappend liefen: die Aufsichtsmitteilung vom 26. November 2024 zur Stärkung der Proportionalität, das am 30. März 2026 veröffentlichte BRUBEG zur nationalen Umsetzung der CRD VI sowie die fortschreitende Verzahnung mit DORA und den aktuellen EBA-Leitlinien.

Gleichzeitig vollzieht die BaFin einen Paradigmenwechsel: weniger Detailsteuerung, mehr Prinzipienorientierung. Für die Institute bedeutet das mehr Gestaltungsspielraum – aber auch mehr Eigenverantwortung bei der Auslegung. Denn wo bisher eine Checkliste stand, steht künftig ein Grundsatz, der eigenständig interpretiert und dokumentiert werden muss.

Gilt die neue MaRisk überhaupt noch für mein Institut?

Nein, wenn es sich bei dem Institut um ein bedeutendes Institut (Significant Institutions, SIs) handelt. Denn diese werden künftig vollständig aus dem Anwendungsbereich der MaRisk herausgenommen und für sie gelten ausschließlich die EBA-Leitlinien unter direkter EZB-Aufsicht. Ziel ist die konsequente Vermeidung von Doppelregulierung.

Für alle Less Significant Institutions (LSIs) bleibt die MaRisk der zentrale aufsichtliche Rahmen – differenziert nun aber deutlich stärker nach Institutsgröße. Was das konkret bedeutet, zeigt die neue Institutsklassifizierung.

Die neue Institutsklassifizierung: Wo ordnet sich Ihr Institut ein?

Die neue Klassifizierung ist der Kern der Novelle – und der Ausgangspunkt für alle weiteren Fragen zur Anwendung. Die BaFin unterscheidet künftig drei Kategorien innerhalb der LSIs (vgl. AT 1 Tz. 3):

1. Sehr kleine Institute

  • Bilanzsumme ≤ 1 Mrd. Euro im Vierjahresdurchschnitt
  • Sonderregel für Factoringinstitute: zusätzlich jährliches Forderungsankaufsvolumen ≤ 5 Mrd. Euro im Vierjahresdurchschnitt
  • Können sämtliche MaRisk-Öffnungsklauseln nutzen
  • Dürfen auch SNCI-Erleichterungen in Anspruch nehmen, selbst wenn die SNCI-Kriterien formal nicht erfüllt sind
  • CRD-Drittstaatenzweigstellen der Risikoklasse 2 können ebenfalls als sehr klein eingestuft werden

2. Kleine Institute (SNCIs)

  • Eingestuft als Small and Non-Complex Institutions gemäß Art. 4 Abs. 1 Nr. 145 CRR
  • Bilanzsumme in der Regel ≤ 5 Mrd. Euro
  • Können alle für kleine Institute vorgesehenen Öffnungsklauseln nutzen

3. Sonstige LSIs (Nicht-SNCIs)

  • Für diese Gruppe bleiben diejenigen Öffnungsklauseln nutzbar, die nicht ausdrücklich auf sehr kleine oder kleine Institute beschränkt sind
  • Die Nutzung liegt im Ermessen der Geschäftsleitung – und muss institutsspezifisch begründet und dokumentiert werden

Praxishinweis: Die Einordnung ist keine Formalität. Sie bestimmt unmittelbar, welche Erleichterungen ein Institut nutzen darf – und welche nicht. Wer die falsche Größenklasse annimmt, handelt entweder nicht regelkonform oder verschenkt Effizienzpotenziale. Die Klassifizierung sollte aktiv geprüft, berechnet und schriftlich dokumentiert werden.

Auf Basis dieser Einordnung lassen sich die wesentlichen Änderungen der Novelle gezielt bewerten. Im Folgenden wird auf Schwerpunktthemen eingegangen, die für die meisten Institute unmittelbaren Handlungsbedarf erzeugen und auch im direkten Zusammenhang mit der Verordnung (EU) 2022/2554 (DORA) stehen.

Auslagerungen (AT 9)

Der AT 9 wird in der Konsultationsfassung erheblich gestrafft. Viele Detailregelungen und Aufzählungen entfallen. Die entscheidende Frage lautet: Werden dadurch auch die Anforderungen geringer? Die kurze Antwort: Nein – aber die Art der Anforderung verändert sich.

Risikoanalyse: weniger Anleitung, gleiche Verantwortung

Die bisherige Aufzählung der im Einzelnen zu analysierenden Aspekte in der Risikoanalyse (AT 9 Tz. 2) wird gestrichen. Was bleibt, ist der Grundsatz: „Alle im Zusammenhang mit der Auslagerung für das Institut relevanten Aspekte" sind zu berücksichtigen. Die Risikoanalyse ist mindestens jährlich, bei sehr kleinen Instituten alle zwei bis drei Jahre zu überprüfen und bei wesentlichen Änderungen der Risikosituation anzupassen (AT 9 Tz. 2).

In der Praxis ist die Durchführung strukturierter Risikoanalysen bereits heute eine der größten Herausforderungen im Auslagerungsmanagement. Die Streichung der konkreten Aspekt-Aufzählung macht es nicht einfacher – im Gegenteil: Institute müssen künftig eigenverantwortlich bestimmen, welche Aspekte in ihrer spezifischen Situation relevant sind, und diese Entscheidung dokumentieren. Wer bisher „nach Liste" gearbeitet hat, braucht jetzt einen institutsspezifischen Rahmen für die Risikoanalyse, der die eigene Geschäfts- und Risikostruktur abbildet.

Steuerung der Dienstleister: KPIs und Überwachung bleiben Pflicht

Die Anforderung, die Leistung des Auslagerungsunternehmens anhand vorzuhaltender Kriterien zu überwachen – etwa Key Performance Indicators (KPIs) und Key Risk Indicators (KRIs) – bleibt unverändert bestehen (AT 9 Tz. 9). Auch die Anforderung an vertraglich vereinbarte Informationspflichten des Dienstleisters gilt weiter.

Institute, die ihre KPI-/KRI-Systematik bisher nicht sauber aufgesetzt haben, sollten die Novelle als Anlass nehmen, das nachzuholen. Denn die prinzipienorientierte Formulierung gibt Prüfern mehr Spielraum bei der Bewertung, ob die Steuerung „angemessen" ist.

Die IKT-Trennlinie: Ende der Doppelbehandlung

Die bedeutendste inhaltliche Änderung im AT 9 betrifft die Abgrenzung zu DORA. Ausgelagerte oder fremdbezogene IKT-Dienstleistungen gemäß Art. 3 Nr. 21 der Verordnung (EU) 2022/2554 (DORA), die dem IKT-Drittparteienrisikomanagement gemäß Art. 28–30 DORA unterliegen, fallen künftig nicht mehr in den Anwendungsbereich des AT 9 (AT 9 Tz. 1, Erläuterungen).

Das ist konsequent und erleichtert das Handling in der Praxis erheblich. Denn bisher mussten Institute IKT-Dienstleistungen doppelt behandeln: einerseits als (wesentliche) Auslagerung oder sonstigen Fremdbezug nach MaRisk, andererseits als IKT-Drittdienstleistung nach DORA. Diese Doppelbehandlung entfällt.

Voraussetzung dafür ist allerdings, dass das Institut eine klare Abgrenzung zwischen IKT- und Non-IKT-Dienstleistungen vornimmt. Nur wenn diese Trennlinie sauber gezogen ist, kann eine einheitliche und konsistente Behandlung jeder Dienstleistung sichergestellt werden. In der Praxis bedeutet das:

  • Jede bestehende Auslagerung und jeder Fremdbezug muss daraufhin geprüft werden, ob eine IKT-Dienstleistung im Sinne von Art. 3 Nr. 21 DORA vorliegt – und damit unter DORA fällt – oder ob es sich um eine Non-IKT-Dienstleistung handelt, die weiterhin unter AT 9 MaRisk zu behandeln ist
  • Mischformen sind besonders kritisch: Dienstleistungen, die sowohl IKT- als auch Non-IKT-Komponenten umfassen, müssen differenziert betrachtet werden. Hier empfiehlt sich eine Analyse auf Leistungsebene, nicht auf Vertragsebene
  • Die Ergebnisse der Abgrenzung müssen dokumentiert und regelmäßig überprüft werden, da sich der Charakter einer Dienstleistung im Zeitverlauf ändern kann

Auslagerungsbeauftragter: formale Pflicht entfällt, faktische Notwendigkeit bleibt

Die explizite Anforderung zur Bestellung eines zentralen Auslagerungsbeauftragten wird aus AT 9 Tz. 12 gestrichen. Das heißt aber nicht, dass die Funktion entfällt. Denn die Novelle verlangt weiterhin ein zentrales Auslagerungsmanagement mit klar definierten Aufgaben (AT 9 Tz. 10): Implementierung und Weiterentwicklung des Auslagerungsmanagements, Erstellung und Pflege einer vollständigen Dokumentation aller Auslagerungen, Berichterstattung an die Geschäftsleitung sowie die Steuerung und Überwachung der Auslagerungsunternehmen.

Ein Auslagerungsmanagement braucht eine verantwortliche Person. Faktisch wird es in den meisten Instituten daher weiterhin einen Auslagerungsbeauftragten geben – auch ohne formale Pflicht. Bei sehr kleinen Instituten kann die Aufgabe im Rahmen einer Vorstandssitzung wahrgenommen werden, was eine spürbare Erleichterung darstellt.

Wichtig: Die Rolle des Auslagerungsbeauftragten nach MaRisk bezieht sich künftig ausschließlich auf Non-IKT-Dienstleistungen. Für das Management von IKT-Drittparteienrisiken verlangt DORA weiterhin eine eigenständige Steuerung durch den Third-Party-Risk Manager. Diese Funktion ist nicht identisch mit dem Auslagerungsbeauftragten, auch wenn sie in kleineren Instituten personell zusammenfallen kann. Entscheidend ist, dass die Verantwortlichkeiten klar getrennt und dokumentiert sind: Der Auslagerungsbeauftragte steuert Non-IKT-Auslagerungen nach MaRisk AT 9, der Third-Party-Risk Manager verantwortet das IKT-Drittparteienrisikomanagement nach Art. 28–30 DORA.

Register: gestrichen, aber nicht entbehrlich

Die Regelungen zum Auslagerungsregister in AT 9 Tz. 14 werden vollständig gestrichen. Die Pflicht zur Führung eines Registers ergibt sich jedoch weiterhin aus den EBA-Leitlinien zu Auslagerungen (EBA/GL/2019/02) und – für IKT-Drittdienstleistungen – aus dem Informationsregister nach Art. 28 Abs. 3 DORA.

Die Empfehlung: ein konsolidiertes Register für IKT- und Non-IKT-Dienstleistungen, das sich nach beiden Kategorien filtern lässt. So kann je nach Anwendungs- und Meldepflicht differenziert werden – für die DORA-Meldung auf Basis des Informationsregisters ebenso wie für die aufsichtliche Berichterstattung nach MaRisk. Voraussetzung dafür ist wiederum die bereits erwähnte klare Abgrenzung zwischen IKT- und Non-IKT-Dienstleistungen.

Ein Register zum Managen der Drittdienstleister muss in jedem Fall vorhanden sein – unabhängig davon, ob die MaRisk es explizit fordern oder nicht. Für die BaFin stellt ein Register mehr dar als nur eine Datenbank – es soll als Risikomanagementsystem verstanden werden.

Erleichterungen für kleine und sehr kleine Institute bei Auslagerungen

Die Novelle bringt für kleinere Institute spürbare Erleichterungen im Bereich Auslagerung:

  • Sehr kleine Institute können die Compliance-Funktion oder die Interne Revision vollständig auslagern (AT 9 Tz. 5). Außerdem kann das gesamte Auslagerungsmanagement vollständig an eine zentrale Gruppenstelle übertragen werden (AT 9 Tz. 10)
  • Kleine Institute (SNCIs) können die Compliance-Funktion oder die Interne Revision nur noch eingeschränkt vollständig auslagern – hier gelten zusätzliche Proportionalitätsanforderungen
  • Bei gruppen- und verbundinternen Auslagerungen kann auf die Erstellung von Ausstiegsstrategien und Handlungsoptionen verzichtet werden (AT 9 Tz. 13 d)

Technisch-organisatorische Ausstattung (AT 7.2)

Die Novelle streicht die bisherigen MaRisk-Anforderungen zu IT-Berechtigungen, IT-Systemen und IT-Risiken aus AT 7.2. Der Grund: DORA regelt diese Bereiche seit dem 17. Januar 2025 unmittelbar und detailliert. Damit vermeidet die BaFin eine Doppelregulierung – und vollzieht das gleiche Prinzip wie bei AT 9 für IKT-Dienstleistungen.

AT 7.2 wird auf seinen Kern reduziert: Umfang und Qualität der technisch-organisatorischen Ausstattung sind an den internen Erfordernissen, den Geschäftsaktivitäten und der Risikosituation auszurichten (AT 7.2 Tz. 1). Für die Generierung von Daten und Informationen zu wesentlichen Risikoarten sind angemessene Kapazitäten vorzuhalten und effektive Prozesse zur Sicherstellung der Datenqualität einzurichten (AT 7.2 Tz. 2).

Notfallmanagement (AT 7.3): Warum die Abgrenzung in der Praxis herausfordernd ist

Gleichzeitig bleibt das allgemeine Notfallkonzept in AT 7.3 vollständig bestehen. Hier entsteht in der Praxis eine echte Herausforderung, die auf den ersten Blick nicht offensichtlich ist.

Ausgangslage bisher: AT 7.3 der bisherigen MaRisk regelte IT und Notfallmanagement als zusammenhängendes Themenfeld. In vielen Instituten lag die Verantwortung für beides in derselben Organisationseinheit, die gleichen Dokumente deckten IT-Sicherheit und Notfallmanagement ab, und in Prüfungen wurde beides gemeinsam betrachtet.

Neue Lage: Durch die Streichung der IT-Anforderungen aus AT 7.2 und die Verlagerung auf DORA entstehen zwei getrennte regulatorische Verantwortungsbereiche:

  • IKT-bezogenes Notfallmanagement – vollständig durch DORA geregelt (insbesondere Art. 11 DORA: IKT-Business-Continuity-Leitlinie, Reaktions- und Wiederherstellungspläne, Kommunikationspläne bei IKT-Vorfällen, regelmäßige Tests digitaler operationaler Resilienz)
  • Allgemeines Notfallmanagement – weiterhin durch AT 7.3 MaRisk geregelt. Es umfasst die Vorsorge für alle Aktivitäten und Prozesse, die kritische oder wichtige Funktionen unterstützen – also auch Szenarien wie Personalausfall, Gebäudeausfall, Ausfall physischer Infrastruktur oder externe Bedrohungen jenseits der IKT

In der Praxis bedeutet das:

  • Organisatorisch: Wer ist intern zuständig für das DORA-konforme IKT-Notfallmanagement und wer für das allgemeine Notfallkonzept nach AT 7.3? Bisher war das in vielen Instituten dieselbe Einheit – oder sogar dieselbe Person. Künftig müssen die Verantwortlichkeiten klar abgegrenzt sein, damit keine Lücken entstehen und keine Doppelarbeit geleistet wird.

    Wichtig dabei: Die regulatorische Trennung in zwei Regelungsbereiche bedeutet nicht zwingend, dass zwei getrennte Abteilungen oder Personen erforderlich sind. Gerade bei kleinen und sehr kleinen Instituten kann das Notfallmanagement – sowohl der IKT- als auch der Non-IKT-Bereich – weiterhin organisatorisch in einer Einheit oder bei einer Person gebündelt werden. Entscheidend ist, dass beide Anforderungsstränge – DORA und MaRisk – jeweils regulierungskonform erfüllt, sauber voneinander abgegrenzt und dokumentiert sind. Wer also heute bereits einen Notfallbeauftragten hat, der beide Bereiche verantwortet, muss keine neue Stelle schaffen – sondern sicherstellen, dass die Person beide Regelwerke kennt, die unterschiedlichen Anforderungen umsetzt und dies nachvollziehbar dokumentiert.
  • Prozessual: Die Auswirkungsanalysen (Business Impact Analysen) nach AT 7.3 MaRisk müssen weiterhin alle Funktionen abdecken – einschließlich der IKT-Systeme und sonstiger notwendiger Ressourcen (AT 7.3 Tz. 1). Gleichzeitig verlangt DORA eigene Analysen und Tests der digitalen operationalen Resilienz. Die Frage, wo die MaRisk-Business-Impact-Analyse endet und wo das DORA-Testing beginnt, ist nicht trivial – und wird in Prüfungen relevant werden.
  • Dokumentarisch: Das allgemeine Notfallkonzept nach AT 7.3 muss Geschäftsfortführungs- und Wiederherstellungspläne umfassen und auf plausiblen Szenarien beruhen (AT 7.3 Tz. 2). Die DORA-IKT-Business-Continuity-Leitlinie hat ähnliche Anforderungen – aber für den IKT-Bereich. Wenn ein Prüfer fragt: „Welches Szenario fällt unter DORA und welches unter MaRisk AT 7.3?" – dann muss das Institut eine klare Antwort geben können. Wer beides in einem undifferenzierten Gesamtdokument zusammenwirft, riskiert Feststellungen – nicht weil etwas fehlt, sondern weil die regulatorische Zuordnung unklar ist.

Erleichterung für das Notfallmanagement: Für kritische oder wichtige Funktionen ist die Wirksamkeit des Notfallkonzepts jährlich zu überprüfen (AT 7.3 Tz. 3). Die Geschäftsleitung ist mindestens quartalsweise und anlassbezogen über den Zustand des Notfallmanagements zu informieren. Wichtig ist hier, dass die MaRisk nun auch von kritischen oder wichtigen Funktionen spricht und nicht wie bisher von zeitkritischen Aktivitäten und Prozessen. Damit übernimmt die MaRisk die DORA-Begrifflichkeit und auch Definition in ihre Verwaltungspraxis. Für Institute, die DORA bereits vollständig implementiert haben, ergibt sich hier eine Möglichkeit zur Verzahnung: DORA-Testergebnisse können als Input für die MaRisk-Berichterstattung dienen – sofern die Abgrenzung sauber dokumentiert ist.

Größenspezifische Erleichterungen bei Auslagerungen im Überblick

Bereich Sehr kleine Institute Kleine Institute (SNCI) Sonstige LSIs
Risikoanalyse – Überprüfungsturnus Alle 2–3 Jahre Jährlich Jährlich
Auslagerung Compliance-Funktion/Interne Revision Vollständige Auslagerung möglich Nur eingeschränkt möglich (zusätzliche Proportionalitätsanforderungen) Nicht möglich
Auslagerungs-management Vollständige Übertragung auf zentrale Gruppenstelle möglich Zentrale Stelle möglich Eigenverantwortung
Auslagerungsbericht an die Geschäftsleitung Im Rahmen einer Vorstandssitzung ausreichend Jährlich + anlassbezogen Jährlich + anlassbezogen
Ausstiegs-strategie bei gruppeninternen Auslagerungen Verzicht möglich Verzicht möglich Verzicht möglich
IKT- vs. Non-IKT-Abgrenzung Erforderlich Erforderlich Erforderlich
Register (MaRisk) Formale Pflicht gestrichen – faktisch weiterhin über EBA-Leitlinien und DORA-Informationsregister erforderlich Formale Pflicht gestrichen – faktisch weiterhin über EBA-Leitlinien und DORA-Informationsregister erforderlich Formale Pflicht gestrichen – faktisch weiterhin über EBA-Leitlinien und DORA-Informationsregister erforderlich

Wichtig: Die Nutzung von Öffnungsklauseln ist kein Automatismus. Sie erfordert eine institutsspezifische Risikobewertung und eine nachvollziehbare Dokumentation, aus der hervorgeht, warum die Erleichterung im konkreten Fall angemessen ist.

Handlungsempfehlung: Was sollten Institute jetzt tun?

Die Novelle ist noch in der Konsultationsphase (Frist: 8. Mai 2026). Die Finalisierung ist für die zweite Jahreshälfte 2026 geplant. Da es sich überwiegend um Erleichterungen handelt, ist davon auszugehen, dass die Novelle mit Inkrafttreten unmittelbar und ohne Übergangsfristen wirksam wird.

  1. Größenklasse bestimmen: Berechnen Sie den Vierjahresdurchschnitt der Bilanzsumme. Gleichen Sie die SNCI-Kriterien nach Art. 4 Abs. 1 Nr. 145 CRR ab. Dokumentieren Sie die Einordnung schriftlich.
  2. Öffnungsklauseln inventarisieren: Welche Erleichterungen stehen Ihnen nach der neuen Klassifizierung zu? Welche davon nutzen Sie bereits – und sind diese korrekt begründet und dokumentiert?
  3. IKT- vs. Non-IKT-Dienstleistungen abgrenzen: Prüfen Sie jede bestehende Auslagerung und jeden Fremdbezug daraufhin, ob eine IKT-Dienstleistung im Sinne von Art. 3 Nr. 21 DORA vorliegt. Dokumentieren Sie die Ergebnisse. Achten Sie besonders auf Mischformen.
  4. Register konsolidieren: Führen Sie ein gemeinsames Register für IKT- und Non-IKT-Dienstleistungen mit entsprechenden Filtermöglichkeiten. So können Sie je nach Melde- und Aufsichtspflicht differenziert berichten.
  5. Risikoanalyse-Rahmen aktualisieren: Erarbeiten Sie einen institutsspezifischen Rahmen für die Durchführung von Risikoanalysen zu Auslagerungen – der nicht mehr auf einer Checkliste basiert, sondern die eigene Geschäfts- und Risikostruktur abbildet.
  6. Dienstleistersteuerung prüfen: Haben Sie KPIs und KRIs für Ihre wesentlichen Dienstleister definiert? Sind diese vertraglich vereinbart und werden sie tatsächlich ausgewertet?
  7. Notfallmanagement überprüfen: Haben Sie die Bestimmung der kritischen oder wichtigen Funktionen auch für Non-IKT-Dienstleistungen durchgeführt, als DORA umgesetzt wurde? Wenn nicht, dann holen Sie es jetzt nach und nutzen Sie die Methodik, die Sie bei der DORA-Implementierung entwickelt haben.
  8. Effizienzpotenziale heben: Wo können Sie Berichtsintervalle anpassen, Validierungsaufwand reduzieren oder Prozesse vereinfachen? Dokumentieren Sie die Begründung.

9. MaRisk-Novelle: Was die neue Institutsklassifizierung konkret für Ihr Institut bedeutet

9. MaRisk-Novelle: Was bedeutet die neue Institutsklassifizierung konkret für Ihr Haus?

Die BaFin hat am 1. April 2026 den Konsultationsentwurf zur 9. Novelle der Mindestanforderungen an das Risikomanagement (MaRisk) veröffentlicht. Die Konsultationsfrist läuft bis zum 8. Mai 2026. Die Novelle verändert nicht nur den Text – sie verändert die Logik des Regelwerks. Für jedes betroffene Institut stellt sich jetzt eine ganz konkrete Frage: Wo stehe ich? Was gilt für mich? Und was muss ich tatsächlich tun?

Warum diese Novelle anders ist als ihre Vorgänger

Die bisherigen MaRisk-Novellen haben das Regelwerk in der Regel erweitert – um neue Anforderungen, zusätzliche Module, weitere Konkretisierungen. Die 9. Novelle geht den umgekehrten Weg: Sie kürzt, konsolidiert und verschlankt. Der Umfang der Konsultationsfassung sinkt von 148 Seiten (Vergleichsversion) auf 82 Seiten.

Das ist kein kosmetischer Eingriff. Die Novelle führt regulatorische Entwicklungen zusammen, die bisher parallel und teilweise überlappend liefen: die Aufsichtsmitteilung vom 26. November 2024 zur Stärkung der Proportionalität, das am 30. März 2026 veröffentlichte BRUBEG zur nationalen Umsetzung der CRD VI sowie die fortschreitende Verzahnung mit DORA und den aktuellen EBA-Leitlinien.

Gleichzeitig vollzieht die BaFin einen Paradigmenwechsel: weniger Detailsteuerung, mehr Prinzipienorientierung. Für die Institute bedeutet das mehr Gestaltungsspielraum – aber auch mehr Eigenverantwortung bei der Auslegung. Denn wo bisher eine Checkliste stand, steht künftig ein Grundsatz, der eigenständig interpretiert und dokumentiert werden muss.

Gilt die neue MaRisk überhaupt noch für mein Institut?

Nein, wenn es sich bei dem Institut um ein bedeutendes Institut (Significant Institutions, SIs) handelt. Denn diese werden künftig vollständig aus dem Anwendungsbereich der MaRisk herausgenommen und für sie gelten ausschließlich die EBA-Leitlinien unter direkter EZB-Aufsicht. Ziel ist die konsequente Vermeidung von Doppelregulierung.

Für alle Less Significant Institutions (LSIs) bleibt die MaRisk der zentrale aufsichtliche Rahmen – differenziert nun aber deutlich stärker nach Institutsgröße. Was das konkret bedeutet, zeigt die neue Institutsklassifizierung.

Die neue Institutsklassifizierung: Wo ordnet sich Ihr Institut ein?

Die neue Klassifizierung ist der Kern der Novelle – und der Ausgangspunkt für alle weiteren Fragen zur Anwendung. Die BaFin unterscheidet künftig drei Kategorien innerhalb der LSIs (vgl. AT 1 Tz. 3):

1. Sehr kleine Institute

  • Bilanzsumme ≤ 1 Mrd. Euro im Vierjahresdurchschnitt
  • Sonderregel für Factoringinstitute: zusätzlich jährliches Forderungsankaufsvolumen ≤ 5 Mrd. Euro im Vierjahresdurchschnitt
  • Können sämtliche MaRisk-Öffnungsklauseln nutzen
  • Dürfen auch SNCI-Erleichterungen in Anspruch nehmen, selbst wenn die SNCI-Kriterien formal nicht erfüllt sind
  • CRD-Drittstaatenzweigstellen der Risikoklasse 2 können ebenfalls als sehr klein eingestuft werden

2. Kleine Institute (SNCIs)

  • Eingestuft als Small and Non-Complex Institutions gemäß Art. 4 Abs. 1 Nr. 145 CRR
  • Bilanzsumme in der Regel ≤ 5 Mrd. Euro
  • Können alle für kleine Institute vorgesehenen Öffnungsklauseln nutzen

3. Sonstige LSIs (Nicht-SNCIs)

  • Für diese Gruppe bleiben diejenigen Öffnungsklauseln nutzbar, die nicht ausdrücklich auf sehr kleine oder kleine Institute beschränkt sind
  • Die Nutzung liegt im Ermessen der Geschäftsleitung – und muss institutsspezifisch begründet und dokumentiert werden

Praxishinweis: Die Einordnung ist keine Formalität. Sie bestimmt unmittelbar, welche Erleichterungen ein Institut nutzen darf – und welche nicht. Wer die falsche Größenklasse annimmt, handelt entweder nicht regelkonform oder verschenkt Effizienzpotenziale. Die Klassifizierung sollte aktiv geprüft, berechnet und schriftlich dokumentiert werden.

Auf Basis dieser Einordnung lassen sich die wesentlichen Änderungen der Novelle gezielt bewerten. Im Folgenden wird auf Schwerpunktthemen eingegangen, die für die meisten Institute unmittelbaren Handlungsbedarf erzeugen und auch im direkten Zusammenhang mit der Verordnung (EU) 2022/2554 (DORA) stehen.

Auslagerungen (AT 9)

Der AT 9 wird in der Konsultationsfassung erheblich gestrafft. Viele Detailregelungen und Aufzählungen entfallen. Die entscheidende Frage lautet: Werden dadurch auch die Anforderungen geringer? Die kurze Antwort: Nein – aber die Art der Anforderung verändert sich.

Risikoanalyse: weniger Anleitung, gleiche Verantwortung

Die bisherige Aufzählung der im Einzelnen zu analysierenden Aspekte in der Risikoanalyse (AT 9 Tz. 2) wird gestrichen. Was bleibt, ist der Grundsatz: „Alle im Zusammenhang mit der Auslagerung für das Institut relevanten Aspekte" sind zu berücksichtigen. Die Risikoanalyse ist mindestens jährlich, bei sehr kleinen Instituten alle zwei bis drei Jahre zu überprüfen und bei wesentlichen Änderungen der Risikosituation anzupassen (AT 9 Tz. 2).

In der Praxis ist die Durchführung strukturierter Risikoanalysen bereits heute eine der größten Herausforderungen im Auslagerungsmanagement. Die Streichung der konkreten Aspekt-Aufzählung macht es nicht einfacher – im Gegenteil: Institute müssen künftig eigenverantwortlich bestimmen, welche Aspekte in ihrer spezifischen Situation relevant sind, und diese Entscheidung dokumentieren. Wer bisher „nach Liste" gearbeitet hat, braucht jetzt einen institutsspezifischen Rahmen für die Risikoanalyse, der die eigene Geschäfts- und Risikostruktur abbildet.

Steuerung der Dienstleister: KPIs und Überwachung bleiben Pflicht

Die Anforderung, die Leistung des Auslagerungsunternehmens anhand vorzuhaltender Kriterien zu überwachen – etwa Key Performance Indicators (KPIs) und Key Risk Indicators (KRIs) – bleibt unverändert bestehen (AT 9 Tz. 9). Auch die Anforderung an vertraglich vereinbarte Informationspflichten des Dienstleisters gilt weiter.

Institute, die ihre KPI-/KRI-Systematik bisher nicht sauber aufgesetzt haben, sollten die Novelle als Anlass nehmen, das nachzuholen. Denn die prinzipienorientierte Formulierung gibt Prüfern mehr Spielraum bei der Bewertung, ob die Steuerung „angemessen" ist.

Die IKT-Trennlinie: Ende der Doppelbehandlung

Die bedeutendste inhaltliche Änderung im AT 9 betrifft die Abgrenzung zu DORA. Ausgelagerte oder fremdbezogene IKT-Dienstleistungen gemäß Art. 3 Nr. 21 der Verordnung (EU) 2022/2554 (DORA), die dem IKT-Drittparteienrisikomanagement gemäß Art. 28–30 DORA unterliegen, fallen künftig nicht mehr in den Anwendungsbereich des AT 9 (AT 9 Tz. 1, Erläuterungen).

Das ist konsequent und erleichtert das Handling in der Praxis erheblich. Denn bisher mussten Institute IKT-Dienstleistungen doppelt behandeln: einerseits als (wesentliche) Auslagerung oder sonstigen Fremdbezug nach MaRisk, andererseits als IKT-Drittdienstleistung nach DORA. Diese Doppelbehandlung entfällt.

Voraussetzung dafür ist allerdings, dass das Institut eine klare Abgrenzung zwischen IKT- und Non-IKT-Dienstleistungen vornimmt. Nur wenn diese Trennlinie sauber gezogen ist, kann eine einheitliche und konsistente Behandlung jeder Dienstleistung sichergestellt werden. In der Praxis bedeutet das:

  • Jede bestehende Auslagerung und jeder Fremdbezug muss daraufhin geprüft werden, ob eine IKT-Dienstleistung im Sinne von Art. 3 Nr. 21 DORA vorliegt – und damit unter DORA fällt – oder ob es sich um eine Non-IKT-Dienstleistung handelt, die weiterhin unter AT 9 MaRisk zu behandeln ist
  • Mischformen sind besonders kritisch: Dienstleistungen, die sowohl IKT- als auch Non-IKT-Komponenten umfassen, müssen differenziert betrachtet werden. Hier empfiehlt sich eine Analyse auf Leistungsebene, nicht auf Vertragsebene
  • Die Ergebnisse der Abgrenzung müssen dokumentiert und regelmäßig überprüft werden, da sich der Charakter einer Dienstleistung im Zeitverlauf ändern kann

Auslagerungsbeauftragter: formale Pflicht entfällt, faktische Notwendigkeit bleibt

Die explizite Anforderung zur Bestellung eines zentralen Auslagerungsbeauftragten wird aus AT 9 Tz. 12 gestrichen. Das heißt aber nicht, dass die Funktion entfällt. Denn die Novelle verlangt weiterhin ein zentrales Auslagerungsmanagement mit klar definierten Aufgaben (AT 9 Tz. 10): Implementierung und Weiterentwicklung des Auslagerungsmanagements, Erstellung und Pflege einer vollständigen Dokumentation aller Auslagerungen, Berichterstattung an die Geschäftsleitung sowie die Steuerung und Überwachung der Auslagerungsunternehmen.

Ein Auslagerungsmanagement braucht eine verantwortliche Person. Faktisch wird es in den meisten Instituten daher weiterhin einen Auslagerungsbeauftragten geben – auch ohne formale Pflicht. Bei sehr kleinen Instituten kann die Aufgabe im Rahmen einer Vorstandssitzung wahrgenommen werden, was eine spürbare Erleichterung darstellt.

Wichtig: Die Rolle des Auslagerungsbeauftragten nach MaRisk bezieht sich künftig ausschließlich auf Non-IKT-Dienstleistungen. Für das Management von IKT-Drittparteienrisiken verlangt DORA weiterhin eine eigenständige Steuerung durch den Third-Party-Risk Manager. Diese Funktion ist nicht identisch mit dem Auslagerungsbeauftragten, auch wenn sie in kleineren Instituten personell zusammenfallen kann. Entscheidend ist, dass die Verantwortlichkeiten klar getrennt und dokumentiert sind: Der Auslagerungsbeauftragte steuert Non-IKT-Auslagerungen nach MaRisk AT 9, der Third-Party-Risk Manager verantwortet das IKT-Drittparteienrisikomanagement nach Art. 28–30 DORA.

Register: gestrichen, aber nicht entbehrlich

Die Regelungen zum Auslagerungsregister in AT 9 Tz. 14 werden vollständig gestrichen. Die Pflicht zur Führung eines Registers ergibt sich jedoch weiterhin aus den EBA-Leitlinien zu Auslagerungen (EBA/GL/2019/02) und – für IKT-Drittdienstleistungen – aus dem Informationsregister nach Art. 28 Abs. 3 DORA.

Die Empfehlung: ein konsolidiertes Register für IKT- und Non-IKT-Dienstleistungen, das sich nach beiden Kategorien filtern lässt. So kann je nach Anwendungs- und Meldepflicht differenziert werden – für die DORA-Meldung auf Basis des Informationsregisters ebenso wie für die aufsichtliche Berichterstattung nach MaRisk. Voraussetzung dafür ist wiederum die bereits erwähnte klare Abgrenzung zwischen IKT- und Non-IKT-Dienstleistungen.

Ein Register zum Managen der Drittdienstleister muss in jedem Fall vorhanden sein – unabhängig davon, ob die MaRisk es explizit fordern oder nicht. Für die BaFin stellt ein Register mehr dar als nur eine Datenbank – es soll als Risikomanagementsystem verstanden werden.

Erleichterungen für kleine und sehr kleine Institute bei Auslagerungen

Die Novelle bringt für kleinere Institute spürbare Erleichterungen im Bereich Auslagerung:

  • Sehr kleine Institute können die Compliance-Funktion oder die Interne Revision vollständig auslagern (AT 9 Tz. 5). Außerdem kann das gesamte Auslagerungsmanagement vollständig an eine zentrale Gruppenstelle übertragen werden (AT 9 Tz. 10)
  • Kleine Institute (SNCIs) können die Compliance-Funktion oder die Interne Revision nur noch eingeschränkt vollständig auslagern – hier gelten zusätzliche Proportionalitätsanforderungen
  • Bei gruppen- und verbundinternen Auslagerungen kann auf die Erstellung von Ausstiegsstrategien und Handlungsoptionen verzichtet werden (AT 9 Tz. 13 d)

Technisch-organisatorische Ausstattung (AT 7.2)

Die Novelle streicht die bisherigen MaRisk-Anforderungen zu IT-Berechtigungen, IT-Systemen und IT-Risiken aus AT 7.2. Der Grund: DORA regelt diese Bereiche seit dem 17. Januar 2025 unmittelbar und detailliert. Damit vermeidet die BaFin eine Doppelregulierung – und vollzieht das gleiche Prinzip wie bei AT 9 für IKT-Dienstleistungen.

AT 7.2 wird auf seinen Kern reduziert: Umfang und Qualität der technisch-organisatorischen Ausstattung sind an den internen Erfordernissen, den Geschäftsaktivitäten und der Risikosituation auszurichten (AT 7.2 Tz. 1). Für die Generierung von Daten und Informationen zu wesentlichen Risikoarten sind angemessene Kapazitäten vorzuhalten und effektive Prozesse zur Sicherstellung der Datenqualität einzurichten (AT 7.2 Tz. 2).

Notfallmanagement (AT 7.3): Warum die Abgrenzung in der Praxis herausfordernd ist

Gleichzeitig bleibt das allgemeine Notfallkonzept in AT 7.3 vollständig bestehen. Hier entsteht in der Praxis eine echte Herausforderung, die auf den ersten Blick nicht offensichtlich ist.

Ausgangslage bisher: AT 7.3 der bisherigen MaRisk regelte IT und Notfallmanagement als zusammenhängendes Themenfeld. In vielen Instituten lag die Verantwortung für beides in derselben Organisationseinheit, die gleichen Dokumente deckten IT-Sicherheit und Notfallmanagement ab, und in Prüfungen wurde beides gemeinsam betrachtet.

Neue Lage: Durch die Streichung der IT-Anforderungen aus AT 7.2 und die Verlagerung auf DORA entstehen zwei getrennte regulatorische Verantwortungsbereiche:

  • IKT-bezogenes Notfallmanagement – vollständig durch DORA geregelt (insbesondere Art. 11 DORA: IKT-Business-Continuity-Leitlinie, Reaktions- und Wiederherstellungspläne, Kommunikationspläne bei IKT-Vorfällen, regelmäßige Tests digitaler operationaler Resilienz)
  • Allgemeines Notfallmanagement – weiterhin durch AT 7.3 MaRisk geregelt. Es umfasst die Vorsorge für alle Aktivitäten und Prozesse, die kritische oder wichtige Funktionen unterstützen – also auch Szenarien wie Personalausfall, Gebäudeausfall, Ausfall physischer Infrastruktur oder externe Bedrohungen jenseits der IKT

In der Praxis bedeutet das:

  • Organisatorisch: Wer ist intern zuständig für das DORA-konforme IKT-Notfallmanagement und wer für das allgemeine Notfallkonzept nach AT 7.3? Bisher war das in vielen Instituten dieselbe Einheit – oder sogar dieselbe Person. Künftig müssen die Verantwortlichkeiten klar abgegrenzt sein, damit keine Lücken entstehen und keine Doppelarbeit geleistet wird.

    Wichtig dabei: Die regulatorische Trennung in zwei Regelungsbereiche bedeutet nicht zwingend, dass zwei getrennte Abteilungen oder Personen erforderlich sind. Gerade bei kleinen und sehr kleinen Instituten kann das Notfallmanagement – sowohl der IKT- als auch der Non-IKT-Bereich – weiterhin organisatorisch in einer Einheit oder bei einer Person gebündelt werden. Entscheidend ist, dass beide Anforderungsstränge – DORA und MaRisk – jeweils regulierungskonform erfüllt, sauber voneinander abgegrenzt und dokumentiert sind. Wer also heute bereits einen Notfallbeauftragten hat, der beide Bereiche verantwortet, muss keine neue Stelle schaffen – sondern sicherstellen, dass die Person beide Regelwerke kennt, die unterschiedlichen Anforderungen umsetzt und dies nachvollziehbar dokumentiert.
  • Prozessual: Die Auswirkungsanalysen (Business Impact Analysen) nach AT 7.3 MaRisk müssen weiterhin alle Funktionen abdecken – einschließlich der IKT-Systeme und sonstiger notwendiger Ressourcen (AT 7.3 Tz. 1). Gleichzeitig verlangt DORA eigene Analysen und Tests der digitalen operationalen Resilienz. Die Frage, wo die MaRisk-Business-Impact-Analyse endet und wo das DORA-Testing beginnt, ist nicht trivial – und wird in Prüfungen relevant werden.
  • Dokumentarisch: Das allgemeine Notfallkonzept nach AT 7.3 muss Geschäftsfortführungs- und Wiederherstellungspläne umfassen und auf plausiblen Szenarien beruhen (AT 7.3 Tz. 2). Die DORA-IKT-Business-Continuity-Leitlinie hat ähnliche Anforderungen – aber für den IKT-Bereich. Wenn ein Prüfer fragt: „Welches Szenario fällt unter DORA und welches unter MaRisk AT 7.3?" – dann muss das Institut eine klare Antwort geben können. Wer beides in einem undifferenzierten Gesamtdokument zusammenwirft, riskiert Feststellungen – nicht weil etwas fehlt, sondern weil die regulatorische Zuordnung unklar ist.

Erleichterung für das Notfallmanagement: Für kritische oder wichtige Funktionen ist die Wirksamkeit des Notfallkonzepts jährlich zu überprüfen (AT 7.3 Tz. 3). Die Geschäftsleitung ist mindestens quartalsweise und anlassbezogen über den Zustand des Notfallmanagements zu informieren. Wichtig ist hier, dass die MaRisk nun auch von kritischen oder wichtigen Funktionen spricht und nicht wie bisher von zeitkritischen Aktivitäten und Prozessen. Damit übernimmt die MaRisk die DORA-Begrifflichkeit und auch Definition in ihre Verwaltungspraxis. Für Institute, die DORA bereits vollständig implementiert haben, ergibt sich hier eine Möglichkeit zur Verzahnung: DORA-Testergebnisse können als Input für die MaRisk-Berichterstattung dienen – sofern die Abgrenzung sauber dokumentiert ist.

Größenspezifische Erleichterungen bei Auslagerungen im Überblick

Bereich Sehr kleine Institute Kleine Institute (SNCI) Sonstige LSIs
Risikoanalyse – Überprüfungsturnus Alle 2–3 Jahre Jährlich Jährlich
Auslagerung Compliance-Funktion/Interne Revision Vollständige Auslagerung möglich Nur eingeschränkt möglich (zusätzliche Proportionalitätsanforderungen) Nicht möglich
Auslagerungs-management Vollständige Übertragung auf zentrale Gruppenstelle möglich Zentrale Stelle möglich Eigenverantwortung
Auslagerungsbericht an die Geschäftsleitung Im Rahmen einer Vorstandssitzung ausreichend Jährlich + anlassbezogen Jährlich + anlassbezogen
Ausstiegs-strategie bei gruppeninternen Auslagerungen Verzicht möglich Verzicht möglich Verzicht möglich
IKT- vs. Non-IKT-Abgrenzung Erforderlich Erforderlich Erforderlich
Register (MaRisk) Formale Pflicht gestrichen – faktisch weiterhin über EBA-Leitlinien und DORA-Informationsregister erforderlich Formale Pflicht gestrichen – faktisch weiterhin über EBA-Leitlinien und DORA-Informationsregister erforderlich Formale Pflicht gestrichen – faktisch weiterhin über EBA-Leitlinien und DORA-Informationsregister erforderlich

Wichtig: Die Nutzung von Öffnungsklauseln ist kein Automatismus. Sie erfordert eine institutsspezifische Risikobewertung und eine nachvollziehbare Dokumentation, aus der hervorgeht, warum die Erleichterung im konkreten Fall angemessen ist.

Handlungsempfehlung: Was sollten Institute jetzt tun?

Die Novelle ist noch in der Konsultationsphase (Frist: 8. Mai 2026). Die Finalisierung ist für die zweite Jahreshälfte 2026 geplant. Da es sich überwiegend um Erleichterungen handelt, ist davon auszugehen, dass die Novelle mit Inkrafttreten unmittelbar und ohne Übergangsfristen wirksam wird.

  1. Größenklasse bestimmen: Berechnen Sie den Vierjahresdurchschnitt der Bilanzsumme. Gleichen Sie die SNCI-Kriterien nach Art. 4 Abs. 1 Nr. 145 CRR ab. Dokumentieren Sie die Einordnung schriftlich.
  2. Öffnungsklauseln inventarisieren: Welche Erleichterungen stehen Ihnen nach der neuen Klassifizierung zu? Welche davon nutzen Sie bereits – und sind diese korrekt begründet und dokumentiert?
  3. IKT- vs. Non-IKT-Dienstleistungen abgrenzen: Prüfen Sie jede bestehende Auslagerung und jeden Fremdbezug daraufhin, ob eine IKT-Dienstleistung im Sinne von Art. 3 Nr. 21 DORA vorliegt. Dokumentieren Sie die Ergebnisse. Achten Sie besonders auf Mischformen.
  4. Register konsolidieren: Führen Sie ein gemeinsames Register für IKT- und Non-IKT-Dienstleistungen mit entsprechenden Filtermöglichkeiten. So können Sie je nach Melde- und Aufsichtspflicht differenziert berichten.
  5. Risikoanalyse-Rahmen aktualisieren: Erarbeiten Sie einen institutsspezifischen Rahmen für die Durchführung von Risikoanalysen zu Auslagerungen – der nicht mehr auf einer Checkliste basiert, sondern die eigene Geschäfts- und Risikostruktur abbildet.
  6. Dienstleistersteuerung prüfen: Haben Sie KPIs und KRIs für Ihre wesentlichen Dienstleister definiert? Sind diese vertraglich vereinbart und werden sie tatsächlich ausgewertet?
  7. Notfallmanagement überprüfen: Haben Sie die Bestimmung der kritischen oder wichtigen Funktionen auch für Non-IKT-Dienstleistungen durchgeführt, als DORA umgesetzt wurde? Wenn nicht, dann holen Sie es jetzt nach und nutzen Sie die Methodik, die Sie bei der DORA-Implementierung entwickelt haben.
  8. Effizienzpotenziale heben: Wo können Sie Berichtsintervalle anpassen, Validierungsaufwand reduzieren oder Prozesse vereinfachen? Dokumentieren Sie die Begründung.
Grafik zur Abgrenzung von MaRisk (Nicht-IKT-Auslagerung) und DORA (IKT-Drittdienstleistungen) mit dreistufiger Institutsklassifizierung gemäß 9. MaRisk-Novelle

Am 1. April 2026 hat die BaFin den Konsultationsentwurf zur 9. Novelle der Mindestanforderungen an das Risikomanagement (MaRisk) veröffentlicht. Was auf den ersten Blick wie eine Verschlankung des Regelwerks wirkt ist tatsächlich ein grundlegender Systemwechsel: Die Novelle überführt bisher detailliert geregelte Anforderungen in Prinzipien, die Institute eigenverantwortlich auslegen und dokumentieren müssen. Gleichzeitig führt sie eine dreistufige Institutsklassifizierung ein, die unmittelbar bestimmt, welche Erleichterungen ein Institut nutzen darf. Und sie vollzieht die regulatorische Konsequenz aus DORA: IKT-Dienstleistungen fallen künftig nicht mehr unter AT 9 MaRisk – die bisherige Doppelbehandlung entfällt.

Jetzt Whitepaper anfordern

Vielen Dank! Wir haben Ihre Nachricht erhalten und senden Ihnen das Whitepaper schnellstmöglich zu
Oops! Bitte überprüfen Sie Ihre Eingaben oder versuchen Sie es in wenigen Minuten erneut. Sollte das Problem bestehen bleiben, kontaktieren Sie uns bitte direkt
Treppenstufen-Diagramm mit vier Phasen des Projektmanagements: Gap-Analyse, Projektplan, Ressourcen und Umsetzung, dargestellt mit passenden Icons.

EBA-Leitlinie 2025: Paradigmenwechsel im Drittparteirisikomanagement

Die neue EBA-Leitlinie zum Management von Drittanbieterrisiken markiert einen Paradigmenwechsel: Künftig müssen alle Non-IKT-Drittparteibeziehungen nach verschärften Standards gesteuert werden – nicht nur klassische Auslagerungen. Was sich konkret ändert: Neue Registerpflichten mit DORA-Standard, explizite Strategieverpflichtung der Geschäftsleitung, erweiterte Due Diligence (ESG, AML/CFT, Lieferketten) und verschärfte Vertragsanforderungen. Die Übergangsfrist bis 2028 erscheint lang – angesichts der organisatorischen und vertraglichen Anpassungen ist sie jedoch ambitioniert.

Mehr erfahren
Abstrakte Illustration eines Schutzschilds mit Schloss-Symbol vor einem Netzwerk aus verbundenen Knotenpunkten – Darstellung von Sicherheit, Resilienz und Drittparteirisikomanagement im Finanzsektor.

EBA Leitlinie - Sound Management of Third-Party Risk

Die EBA erweitert ihre Outsourcing-Regeln bis 2028 auf alle Drittparteibeziehungen – Institute müssen jetzt ihre komplette Drittanbieter-Strategie neu aufstellen. Unser Whitepaper zeigt Ihnen die konkreten Handlungsschritte und wie Sie die Transformation strategisch für sich nutzen.

Mehr erfahren