9. MaRisk-Novelle: Die finale Fassung ist da – was hat die BaFin gegenüber der Konsultation noch geändert?

Drittparteienmanagement

9. MaRisk-Novelle: Die finale Fassung ist da – was hat die BaFin gegenüber der Konsultation noch geändert?

9. MaRisk-Novelle: Die finale Fassung ist da – was hat die BaFin gegenüber der Konsultation noch geändert?

Die BaFin hat am 30. Juni 2026 die finale Fassung der 9. MaRisk-Novelle als Rundschreiben 06/2026 (BA) veröffentlicht. Damit endet die Konsultationsphase, die am 1. April 2026 begonnen hatte – und es beginnt die Umsetzungsphase. Ohne Übergangsfristen.

In einem früheren Beitrag haben wir die Konsultationsfassung analysiert und die wesentlichen Änderungen im AT 9 – Auslagerungsmanagement – eingeordnet. Heute geht es um die Frage, die Institute jetzt konkret beschäftigt: Was hat die BaFin zwischen Konsultation und finaler Fassung noch geändert?

Die Antwort: Zehn Änderungen im AT 9 allein – teils redaktionell, teils inhaltlich.

Das Wichtigste vorab: Keine Übergangsfristen

Die finale MaRisk gilt mit Inkrafttreten unmittelbar. Es gibt keine Schonfrist, keine gestaffelte Einführung. Wer die Konsultationsfassung bereits als Arbeitsgrundlage genutzt hat, ist gut aufgestellt – muss aber die nachfolgenden Änderungen noch einarbeiten. Wer noch nicht begonnen hat, sollte jetzt priorisieren.

Die zehn Änderungen im AT 9 im Überblick

1. DORA-Abgrenzung: Vom Fließtext zum Erläuterungskasten

In der Konsultationsfassung war die Abgrenzung zu DORA als Fließtext in Tz. 1 integriert – ohne besondere Hervorhebung. Die finale Fassung hebt diese Regelung in einen eigenständigen, benannten Erläuterungskasten: „DORA (Verordnung (EU) 2022/2554)".

Das ist keine kosmetische Änderung. Die BaFin setzt damit ein klares Signal: Die Trennlinie zwischen IKT-Dienstleistungen unter DORA und Non-IKT-Auslagerungen unter AT 9 ist kein Randthema – sie ist strukturprägend für das gesamte Auslagerungsmanagement. Institute, die diese Abgrenzung noch nicht sauber dokumentiert haben, sollten das jetzt nachholen.

2. Geldwäscheprävention: Neu im AT 9

Vollständig neu ist ein Erläuterungskasten in Tz. 1 zur Geldwäscheprävention. Die finale Fassung stellt klar: Das Geldwäschegesetz (GwG) und die neue EU-Geldwäsche-Verordnung (AMLR, Verordnung (EU) 2024/1624) sind bei Auslagerungsentscheidungen anzuwenden.

In der Konsultationsfassung fehlte dieser Hinweis im AT 9 vollständig. Die Botschaft ist eindeutig: Auslagerungsentscheidungen sind nicht nur ein Risikomanagement-Thema – sie haben auch eine AML-Dimension. Compliance und Geldwäschebeauftragter müssen bei der Risikoanalyse systematisch einbezogen werden.

Praxishinweis: Prüfen Sie, ob Ihre Auslagerungsstrategie und Ihre Risikoanalyse-Prozesse die GwG- und AMLR-Anforderungen bereits berücksichtigen. Wenn nicht, ist das eine Lücke, die die Aufsicht künftig adressieren wird.

3. Risikoanalyse: „Maßgebliche" statt „eingebundene" Organisationseinheiten

Eine auf den ersten Blick kleine Formulierungsänderung mit erheblicher Wirkung: In Tz. 2 wurden die „in die Arbeitsabläufe eingebundenen Organisationseinheiten" durch die „maßgeblichen Organisationseinheiten" ersetzt.

Der Begriff „maßgeblich" ist weiter als „eingebunden". Er kann auch Risikocontrolling, Datenschutz und Interne Revision erfassen – selbst dann, wenn diese nicht direkt in die ausgelagerten Prozesse eingebunden sind. Institute, die ihre Risikoanalyse bisher auf die unmittelbar betroffenen Fachbereiche beschränkt haben, müssen den Kreis der einzubeziehenden Einheiten überprüfen.

Der Begriff ist nicht legaldefiniert. Hier sind aufsichtliche Klarstellungen oder Prüfungspraxis abzuwarten – bis dahin gilt: im Zweifel breiter einbeziehen und die Entscheidung dokumentieren.

4. Interne Revision: Explizite laufende Überwachungspflicht

Die Konsultationsfassung formulierte die Pflicht der Internen Revision bei Auslagerungen allgemein. Die finale Fassung präzisiert: „Die Interne Revision des auslagernden Instituts muss sich regelmäßig von der Einhaltung dieser Voraussetzungen überzeugen."

Das ist eine explizite, laufende Monitoring-Pflicht – keine einmalige Prüfung bei Vertragsabschluss. Für die Interne Revision bedeutet das: Die Überwachung der Auslagerungsvoraussetzungen muss als eigenständiger, wiederkehrender Prüfungsgegenstand in den Revisionsplan aufgenommen und dokumentiert werden – sollte es allerdings auch bisher schon.

5. Fehlende Handlungsoptionen: Notfallplanung als Mindestanforderung (neu)

Völlig neu ist ein Erläuterungskasten in Tz. 6: „Existieren keine Handlungsoptionen, ist zumindest eine angemessene Berücksichtigung in der Notfallplanung erforderlich."

Diese Regelung adressiert eine Realität, die in der Praxis häufig vorkommt: Auslagerungen an Monopoldienstleister oder hochkonzentrierte Cloud-Anbieter, bei denen ein Ausstieg faktisch nicht möglich ist. Bisher war unklar, was in solchen Konstellationen zu tun ist. Die finale Fassung gibt eine klare Mindestantwort: Wenn kein Ausstieg möglich ist, muss das in der Notfallplanung angemessen berücksichtigt werden.

Was „angemessen" bedeutet, bleibt interpretationsbedürftig. Hier sind aufsichtliche Konkretisierungen zu erwarten. Bis dahin empfiehlt sich eine dokumentierte Analyse der betroffenen Auslagerungen und eine explizite Einbindung in das Notfallkonzept nach AT 7.3.

6. Auslagerungsvertrag: „In Textform" statt „schriftlich"

Eine rechtlich relevante Präzisierung in Tz. 7: Statt „schriftlich" gilt nun „in Textform" als Formvorschrift für den Auslagerungsvertrag.

Der Unterschied ist nicht trivial: „Schriftlich" im Sinne von § 126 BGB erfordert eine eigenhändige Unterschrift. „Textform" nach § 126b BGB genügt einer lesbaren Erklärung in dauerhafter Wiedergabe – also auch E-Mail oder PDF ohne qualifizierte elektronische Signatur.

Für bestehende Verträge, die schriftlich geschlossen wurden, besteht kein Anpassungsbedarf – die höhere Form erfüllt die niedrigere. Für neue Verträge und Musterverträge sollten die Formulierungen angepasst werden. Offen bleibt, ob bestimmte kritische Klauseln weiterhin der Schriftform bedürfen – das ist institutsspezifisch zu bewerten.

7. Notfallkonzepte: Eigenständiger Pflichtbestandteil des Auslagerungsvertrags

In der Konsultationsfassung waren die Anforderungen an Notfallkonzepte mit Dienstleistungsgüte und Versicherungsnachweis in einem kombinierten Buchstaben zusammengefasst. Die finale Fassung macht daraus einen eigenständigen Buchstaben g): „Anforderungen für die Umsetzung und Überprüfung von Notfallkonzepten."

Das erhöht die Aufmerksamkeit auf dieses Thema bei der Vertragsgestaltung und bei Prüfungen. Wer Notfallkonzepte bisher nur am Rande im Auslagerungsvertrag adressiert hat, sollte seine Musterverträge anpassen.

8. Weiterverlagerungen: Verschärfte Berichtspflicht

In Tz. 8 wurde ein neuer Satz aufgenommen: Das Auslagerungsunternehmen muss auch nach einer Weiterverlagerung auf ein Subunternehmen gegenüber dem auslagernden Institut berichtspflichtig bleiben.

Das stärkt die Kontrolle über mehrstufige Auslagerungsketten erheblich. Bestehende Auslagerungsverträge, die Weiterverlagerungen erlauben, sollten daraufhin geprüft werden, ob diese Berichtspflicht explizit vereinbart ist. Wenn nicht, ist nachzuverhandeln.

9. Auslagerungsregister: KWG-Korrektur und explizite Benennung

In Tz. 12 b) wurde der fehlerhafte Verweis auf „§ 25 KWG" auf § 25b Abs. 1 Satz 4 KWG korrigiert. Zudem wird das Register nun explizit als „Auslagerungsregister" bezeichnet.

Inhaltlich ändert sich nichts – aber die Korrektur der Rechtsgrundlage ist relevant für die Dokumentation und für Prüfungen. Wer in internen Richtlinien oder Registervorlagen auf den alten Paragraphen verwiesen hat, sollte das anpassen.

10. Gruppenweites Auslagerungsregister: Neue Erleichterung (Tz. 14 e))

Die bedeutendste strukturelle Neuerung gegenüber der Konsultation: Eine vollständig neue Tz. 14 e) erlaubt es Gruppen und Finanzverbünden, ein zentrales Auslagerungsregister auf Gruppen- oder Verbundebene einzurichten und zu führen.

Voraussetzung: Das einzelne Institut und die zuständige Behörde müssen das individuelle Register ohne größere Verzögerung abrufen können. Was „ohne größere Verzögerung" bedeutet, ist nicht definiert – Institute sollten intern SLAs für die Bereitstellung festlegen und dokumentieren.

Für Bankengruppen, Finanzholding-Gruppen und Finanzverbünde – etwa Sparkassen oder Genossenschaftsbanken – ist das eine erhebliche Vereinfachung. Die Möglichkeit sollte geprüft und, wo sinnvoll, genutzt werden.

Handlungsempfehlung: Was jetzt zu tun ist

Die finale MaRisk gilt ab sofort. Auf Basis der Delta-Analyse ergeben sich folgende Prioritäten:

Sofortiger Handlungsbedarf

  • Musterverträge für wesentliche Auslagerungen auf den neuen Pflichtbestandteil Notfallkonzepte (Buchstabe g)) anpassen
  • Bestehende Verträge mit Weiterverlagerungserlaubnis auf explizite Berichtspflicht prüfen und ggf. nachverhandeln

Kurzfristiger Handlungsbedarf

  • Kreis der einzubeziehenden Organisationseinheiten bei der Risikoanalyse überprüfen – insbesondere Compliance, Risikocontrolling, Datenschutz und Interne Revision aktiv einbeziehen
  • Formalen Überwachungsprozess der Revisions-Voraussetzungen bei Auslagerungen einrichten und dokumentieren
  • AML-Dimension in Auslagerungsstrategie und Risikoanalyse-Prozesse integrieren

Mittelfristiger Handlungsbedarf

  • Auslagerungen ohne praktische Handlungsoptionen identifizieren und in die Notfallplanung nach AT 7.3 integrieren
  • Prüfen, ob ein gruppenweites zentrales Auslagerungsregister eingerichtet werden kann (neue Erleichterung Tz. 14 e))

Fazit

Die finale MaRisk ist keine bloße Bestätigung der Konsultationsfassung. Zehn Änderungen im AT 9 – darunter eine vollständig neue Regelung zum gruppenweiten Auslagerungsregister, eine neue AML-Anforderung und eine verschärfte Berichtspflicht bei Weiterverlagerungen – machen eine gezielte Nacharbeit erforderlich.

Die gute Nachricht: Wer die Konsultationsfassung bereits als Arbeitsgrundlage genutzt hat, hat den größten Teil der Arbeit bereits geleistet. Es geht jetzt um die Feinarbeit – aber diese Feinarbeit ist aufsichtsrechtlich relevant und wird in Prüfungen sichtbar werden.

9. MaRisk-Novelle: Die finale Fassung ist da – was hat die BaFin gegenüber der Konsultation noch geändert?

9. MaRisk-Novelle: Die finale Fassung ist da – was hat die BaFin gegenüber der Konsultation noch geändert?

Die BaFin hat am 30. Juni 2026 die finale Fassung der 9. MaRisk-Novelle als Rundschreiben 06/2026 (BA) veröffentlicht. Damit endet die Konsultationsphase, die am 1. April 2026 begonnen hatte – und es beginnt die Umsetzungsphase. Ohne Übergangsfristen.

In einem früheren Beitrag haben wir die Konsultationsfassung analysiert und die wesentlichen Änderungen im AT 9 – Auslagerungsmanagement – eingeordnet. Heute geht es um die Frage, die Institute jetzt konkret beschäftigt: Was hat die BaFin zwischen Konsultation und finaler Fassung noch geändert?

Die Antwort: Zehn Änderungen im AT 9 allein – teils redaktionell, teils inhaltlich.

Das Wichtigste vorab: Keine Übergangsfristen

Die finale MaRisk gilt mit Inkrafttreten unmittelbar. Es gibt keine Schonfrist, keine gestaffelte Einführung. Wer die Konsultationsfassung bereits als Arbeitsgrundlage genutzt hat, ist gut aufgestellt – muss aber die nachfolgenden Änderungen noch einarbeiten. Wer noch nicht begonnen hat, sollte jetzt priorisieren.

Die zehn Änderungen im AT 9 im Überblick

1. DORA-Abgrenzung: Vom Fließtext zum Erläuterungskasten

In der Konsultationsfassung war die Abgrenzung zu DORA als Fließtext in Tz. 1 integriert – ohne besondere Hervorhebung. Die finale Fassung hebt diese Regelung in einen eigenständigen, benannten Erläuterungskasten: „DORA (Verordnung (EU) 2022/2554)".

Das ist keine kosmetische Änderung. Die BaFin setzt damit ein klares Signal: Die Trennlinie zwischen IKT-Dienstleistungen unter DORA und Non-IKT-Auslagerungen unter AT 9 ist kein Randthema – sie ist strukturprägend für das gesamte Auslagerungsmanagement. Institute, die diese Abgrenzung noch nicht sauber dokumentiert haben, sollten das jetzt nachholen.

2. Geldwäscheprävention: Neu im AT 9

Vollständig neu ist ein Erläuterungskasten in Tz. 1 zur Geldwäscheprävention. Die finale Fassung stellt klar: Das Geldwäschegesetz (GwG) und die neue EU-Geldwäsche-Verordnung (AMLR, Verordnung (EU) 2024/1624) sind bei Auslagerungsentscheidungen anzuwenden.

In der Konsultationsfassung fehlte dieser Hinweis im AT 9 vollständig. Die Botschaft ist eindeutig: Auslagerungsentscheidungen sind nicht nur ein Risikomanagement-Thema – sie haben auch eine AML-Dimension. Compliance und Geldwäschebeauftragter müssen bei der Risikoanalyse systematisch einbezogen werden.

Praxishinweis: Prüfen Sie, ob Ihre Auslagerungsstrategie und Ihre Risikoanalyse-Prozesse die GwG- und AMLR-Anforderungen bereits berücksichtigen. Wenn nicht, ist das eine Lücke, die die Aufsicht künftig adressieren wird.

3. Risikoanalyse: „Maßgebliche" statt „eingebundene" Organisationseinheiten

Eine auf den ersten Blick kleine Formulierungsänderung mit erheblicher Wirkung: In Tz. 2 wurden die „in die Arbeitsabläufe eingebundenen Organisationseinheiten" durch die „maßgeblichen Organisationseinheiten" ersetzt.

Der Begriff „maßgeblich" ist weiter als „eingebunden". Er kann auch Risikocontrolling, Datenschutz und Interne Revision erfassen – selbst dann, wenn diese nicht direkt in die ausgelagerten Prozesse eingebunden sind. Institute, die ihre Risikoanalyse bisher auf die unmittelbar betroffenen Fachbereiche beschränkt haben, müssen den Kreis der einzubeziehenden Einheiten überprüfen.

Der Begriff ist nicht legaldefiniert. Hier sind aufsichtliche Klarstellungen oder Prüfungspraxis abzuwarten – bis dahin gilt: im Zweifel breiter einbeziehen und die Entscheidung dokumentieren.

4. Interne Revision: Explizite laufende Überwachungspflicht

Die Konsultationsfassung formulierte die Pflicht der Internen Revision bei Auslagerungen allgemein. Die finale Fassung präzisiert: „Die Interne Revision des auslagernden Instituts muss sich regelmäßig von der Einhaltung dieser Voraussetzungen überzeugen."

Das ist eine explizite, laufende Monitoring-Pflicht – keine einmalige Prüfung bei Vertragsabschluss. Für die Interne Revision bedeutet das: Die Überwachung der Auslagerungsvoraussetzungen muss als eigenständiger, wiederkehrender Prüfungsgegenstand in den Revisionsplan aufgenommen und dokumentiert werden – sollte es allerdings auch bisher schon.

5. Fehlende Handlungsoptionen: Notfallplanung als Mindestanforderung (neu)

Völlig neu ist ein Erläuterungskasten in Tz. 6: „Existieren keine Handlungsoptionen, ist zumindest eine angemessene Berücksichtigung in der Notfallplanung erforderlich."

Diese Regelung adressiert eine Realität, die in der Praxis häufig vorkommt: Auslagerungen an Monopoldienstleister oder hochkonzentrierte Cloud-Anbieter, bei denen ein Ausstieg faktisch nicht möglich ist. Bisher war unklar, was in solchen Konstellationen zu tun ist. Die finale Fassung gibt eine klare Mindestantwort: Wenn kein Ausstieg möglich ist, muss das in der Notfallplanung angemessen berücksichtigt werden.

Was „angemessen" bedeutet, bleibt interpretationsbedürftig. Hier sind aufsichtliche Konkretisierungen zu erwarten. Bis dahin empfiehlt sich eine dokumentierte Analyse der betroffenen Auslagerungen und eine explizite Einbindung in das Notfallkonzept nach AT 7.3.

6. Auslagerungsvertrag: „In Textform" statt „schriftlich"

Eine rechtlich relevante Präzisierung in Tz. 7: Statt „schriftlich" gilt nun „in Textform" als Formvorschrift für den Auslagerungsvertrag.

Der Unterschied ist nicht trivial: „Schriftlich" im Sinne von § 126 BGB erfordert eine eigenhändige Unterschrift. „Textform" nach § 126b BGB genügt einer lesbaren Erklärung in dauerhafter Wiedergabe – also auch E-Mail oder PDF ohne qualifizierte elektronische Signatur.

Für bestehende Verträge, die schriftlich geschlossen wurden, besteht kein Anpassungsbedarf – die höhere Form erfüllt die niedrigere. Für neue Verträge und Musterverträge sollten die Formulierungen angepasst werden. Offen bleibt, ob bestimmte kritische Klauseln weiterhin der Schriftform bedürfen – das ist institutsspezifisch zu bewerten.

7. Notfallkonzepte: Eigenständiger Pflichtbestandteil des Auslagerungsvertrags

In der Konsultationsfassung waren die Anforderungen an Notfallkonzepte mit Dienstleistungsgüte und Versicherungsnachweis in einem kombinierten Buchstaben zusammengefasst. Die finale Fassung macht daraus einen eigenständigen Buchstaben g): „Anforderungen für die Umsetzung und Überprüfung von Notfallkonzepten."

Das erhöht die Aufmerksamkeit auf dieses Thema bei der Vertragsgestaltung und bei Prüfungen. Wer Notfallkonzepte bisher nur am Rande im Auslagerungsvertrag adressiert hat, sollte seine Musterverträge anpassen.

8. Weiterverlagerungen: Verschärfte Berichtspflicht

In Tz. 8 wurde ein neuer Satz aufgenommen: Das Auslagerungsunternehmen muss auch nach einer Weiterverlagerung auf ein Subunternehmen gegenüber dem auslagernden Institut berichtspflichtig bleiben.

Das stärkt die Kontrolle über mehrstufige Auslagerungsketten erheblich. Bestehende Auslagerungsverträge, die Weiterverlagerungen erlauben, sollten daraufhin geprüft werden, ob diese Berichtspflicht explizit vereinbart ist. Wenn nicht, ist nachzuverhandeln.

9. Auslagerungsregister: KWG-Korrektur und explizite Benennung

In Tz. 12 b) wurde der fehlerhafte Verweis auf „§ 25 KWG" auf § 25b Abs. 1 Satz 4 KWG korrigiert. Zudem wird das Register nun explizit als „Auslagerungsregister" bezeichnet.

Inhaltlich ändert sich nichts – aber die Korrektur der Rechtsgrundlage ist relevant für die Dokumentation und für Prüfungen. Wer in internen Richtlinien oder Registervorlagen auf den alten Paragraphen verwiesen hat, sollte das anpassen.

10. Gruppenweites Auslagerungsregister: Neue Erleichterung (Tz. 14 e))

Die bedeutendste strukturelle Neuerung gegenüber der Konsultation: Eine vollständig neue Tz. 14 e) erlaubt es Gruppen und Finanzverbünden, ein zentrales Auslagerungsregister auf Gruppen- oder Verbundebene einzurichten und zu führen.

Voraussetzung: Das einzelne Institut und die zuständige Behörde müssen das individuelle Register ohne größere Verzögerung abrufen können. Was „ohne größere Verzögerung" bedeutet, ist nicht definiert – Institute sollten intern SLAs für die Bereitstellung festlegen und dokumentieren.

Für Bankengruppen, Finanzholding-Gruppen und Finanzverbünde – etwa Sparkassen oder Genossenschaftsbanken – ist das eine erhebliche Vereinfachung. Die Möglichkeit sollte geprüft und, wo sinnvoll, genutzt werden.

Handlungsempfehlung: Was jetzt zu tun ist

Die finale MaRisk gilt ab sofort. Auf Basis der Delta-Analyse ergeben sich folgende Prioritäten:

Sofortiger Handlungsbedarf

  • Musterverträge für wesentliche Auslagerungen auf den neuen Pflichtbestandteil Notfallkonzepte (Buchstabe g)) anpassen
  • Bestehende Verträge mit Weiterverlagerungserlaubnis auf explizite Berichtspflicht prüfen und ggf. nachverhandeln

Kurzfristiger Handlungsbedarf

  • Kreis der einzubeziehenden Organisationseinheiten bei der Risikoanalyse überprüfen – insbesondere Compliance, Risikocontrolling, Datenschutz und Interne Revision aktiv einbeziehen
  • Formalen Überwachungsprozess der Revisions-Voraussetzungen bei Auslagerungen einrichten und dokumentieren
  • AML-Dimension in Auslagerungsstrategie und Risikoanalyse-Prozesse integrieren

Mittelfristiger Handlungsbedarf

  • Auslagerungen ohne praktische Handlungsoptionen identifizieren und in die Notfallplanung nach AT 7.3 integrieren
  • Prüfen, ob ein gruppenweites zentrales Auslagerungsregister eingerichtet werden kann (neue Erleichterung Tz. 14 e))

Fazit

Die finale MaRisk ist keine bloße Bestätigung der Konsultationsfassung. Zehn Änderungen im AT 9 – darunter eine vollständig neue Regelung zum gruppenweiten Auslagerungsregister, eine neue AML-Anforderung und eine verschärfte Berichtspflicht bei Weiterverlagerungen – machen eine gezielte Nacharbeit erforderlich.

Die gute Nachricht: Wer die Konsultationsfassung bereits als Arbeitsgrundlage genutzt hat, hat den größten Teil der Arbeit bereits geleistet. Es geht jetzt um die Feinarbeit – aber diese Feinarbeit ist aufsichtsrechtlich relevant und wird in Prüfungen sichtbar werden.

Jetzt Whitepaper anfordern

Vielen Dank! Wir haben Ihre Nachricht erhalten und senden Ihnen das Whitepaper schnellstmöglich zu
Oops! Bitte überprüfen Sie Ihre Eingaben oder versuchen Sie es in wenigen Minuten erneut. Sollte das Problem bestehen bleiben, kontaktieren Sie uns bitte direkt
Grafik zur Abgrenzung von MaRisk (Nicht-IKT-Auslagerung) und DORA (IKT-Drittdienstleistungen) mit dreistufiger Institutsklassifizierung gemäß 9. MaRisk-Novelle

9. MaRisk-Novelle: Was die neue Institutsklassifizierung konkret für Ihr Institut bedeutet

Die 9. MaRisk-Novelle markiert einen Paradigmenwechsel: Weniger Detailregeln, mehr Eigenverantwortung – und eine neue Logik, die bestimmt, was für Ihr Institut überhaupt noch gilt. Künftig unterscheidet die BaFin drei Größenklassen innerhalb der LSIs, die unmittelbar festlegen, welche Erleichterungen nutzbar sind. Gleichzeitig zieht die Novelle eine klare Trennlinie zu DORA: IKT-Dienstleistungen fallen nicht mehr unter AT 9 MaRisk. Was das konkret bedeutet: neue Anforderungen an die Risikoanalyse ohne Checkliste, veränderte Regeln für den Auslagerungsbeauftragten und ein Register für IKT- und Non-IKT-Dienstleistungen.

Mehr erfahren
Treppenstufen-Diagramm mit vier Phasen des Projektmanagements: Gap-Analyse, Projektplan, Ressourcen und Umsetzung, dargestellt mit passenden Icons.

EBA-Leitlinie 2025: Paradigmenwechsel im Drittparteirisikomanagement

Die neue EBA-Leitlinie zum Management von Drittanbieterrisiken markiert einen Paradigmenwechsel: Künftig müssen alle Non-IKT-Drittparteibeziehungen nach verschärften Standards gesteuert werden – nicht nur klassische Auslagerungen. Was sich konkret ändert: Neue Registerpflichten mit DORA-Standard, explizite Strategieverpflichtung der Geschäftsleitung, erweiterte Due Diligence (ESG, AML/CFT, Lieferketten) und verschärfte Vertragsanforderungen. Die Übergangsfrist bis 2028 erscheint lang – angesichts der organisatorischen und vertraglichen Anpassungen ist sie jedoch ambitioniert.

Mehr erfahren
Drittparteibeziehungen", "Transformation" und "Bankenbranche", um die Sichtbarkeit in Suchmaschinen zu verbessern. Er beschreibt auch den Inhalt des Bildes präzise

EBA Leitlinie - Sound Management of Third-Party Risk

Die EBA erweitert ihre Outsourcing-Regeln bis 2028 auf alle Drittparteibeziehungen – Institute müssen jetzt ihre komplette Drittanbieter-Strategie neu aufstellen. Unser Whitepaper zeigt Ihnen die konkreten Handlungsschritte und wie Sie die Transformation strategisch für sich nutzen.

Mehr erfahren