EBA-Leitlinie 2025: Paradigmenwechsel im Drittparteirisikomanagement

Drittparteienmanagement

Blog

October 1, 2025

EBA-Leitlinie 2025: Paradigmenwechsel im Drittparteirisikomanagement

EBA-Leitlinie 2025: Paradigmenwechsel im Drittparteirisikomanagement

Am 8. Juli 2025 hat die Europäische Bankenaufsichtsbehörde (EBA) den Entwurf ihrer neuen Leitlinie zum Management von Drittanbieterrisiken zur Konsultation veröffentlicht. Was auf den ersten Blick wie eine technische Überarbeitung der bisherigen Outsourcing-Regelungen wirkt, markiert tatsächlich einen fundamentalen Wandel: Institute müssen künftig nicht nur klassische Auslagerungen, sondern sämtliche Non-IKT-Drittparteibeziehungen nach einheitlichen, verschärften Standards steuern.

Von Outsourcing zu Third-Party Risk: Der neue Regelungsrahmen

Die bisherige EBA-Leitlinie von 2019 konzentrierte sich primär auf Outsourcing-Vereinbarungen im engeren Sinne. Der neue Entwurf erweitert den Anwendungsbereich erheblich und führt den umfassenden Begriff "Third-Party Arrangement" ein. Outsourcing wird damit zur Unterkategorie einer deutlich breiteren Risikobetrachtung.

Konkret bedeutet das: Alle Vereinbarungen mit externen Dienstleistern – unabhängig von ihrer formalen Ausgestaltung – fallen unter die Leitlinie, sofern es sich nicht um IKT-Services handelt. Diese sind seit Januar 2025 durch DORA (Digital Operational Resilience Act) geregelt. Damit entsteht erstmals eine lückenlose regulatorische Architektur für das gesamte Drittanbieterrisikomanagement.

Was ändert sich konkret für betroffene Institute?

Erweiterte Anwendung

Neben Kreditinstituten und Wertpapierfirmen erfasst die Leitlinie nun auch Emittenten von Asset-Referenced Tokens (ARTs) gemäß MiCAR sowie Kreditgeber nach Mortgage Credit Directive. Der Kreis der regulierten Institute wird damit deutlich ausgeweitet.

Neue Registerpflicht

Institute müssen künftig ein vollständiges Register aller Non-IKT-Drittparteibeziehungen führen – konsistent mit dem DORA-Register für IKT-Services. Gefordert werden detaillierte Angaben zu:

  • Recovery Time Objectives (RTO) und Recovery Point Objectives (RPO)
  • Substituierbarkeit und Reintegrierbarkeit
  • Exit-Plänen
  • Geschätzten jährlichen Kosten

Die Anforderungen orientieren sich explizit am DORA-Standard.

Verstärkte Geschäftsleitungsverantwortung

Das Managementorgan bleibt – wie bereits in der Leitlinie von 2019 – in der uneingeschränkten, nicht delegierbaren Verantwortung für das Drittparteirisikomanagement. Neu hinzu kommt jedoch die explizite Pflicht zur Definition, Genehmigung und regelmäßigen Überprüfung einer umfassenden Strategie für alle Non-IKT-Drittparteibeziehungen. Damit wird die bereits unter DORA für IKT-Dienstleistungen bestehende Strategiepflicht konsequent auf alle übrigen Drittparteien ausgeweitet. Das bewährte Prinzip bleibt bestehen: Institute dürfen nicht zu „leeren Hüllen" werden – ausreichende eigene Substanz und Steuerungsfähigkeit müssen jederzeit gewährleistet sein.

Schärfere Due Diligence und Risikobewertung

Die bereits 2019 geforderte Prüfung von operationellen, rechtlichen und Reputationsrisiken wird substanziell erweitert. Neu hinzu kommen explizit:

  • ESG-Risiken
  • AML/CFT-Risiken
  • Internationale Menschenrechts- und Umweltstandards

Aspekte, die in der bisherigen Leitlinie nicht ausdrücklich adressiert wurden. Zudem müssen Institute künftig komplexe Subcontracting-Ketten und deren spezifische Lieferkettenrisiken detailliert analysieren sowie die Business-Continuity- und Notfallpläne der Dienstleister prüfen. Die bereits 2019 bestehenden Anforderungen an die Bewertung von Drittland-Anbietern werden präzisiert und um konkrete Prüfpunkte zur politischen Stabilität und zu lokalen Insolvenzregelungen ergänzt.

Verschärfte vertragliche Anforderungen

Verträge müssen künftig folgende Elemente enthalten:

  • Präzisere Service-Level-Agreements mit quantitativen und qualitativen Leistungskennzahlen
  • Uneingeschränkte Prüfungsrechte für Institute und Aufsichtsbehörden
  • Verbindliche Übergangsfristen für Exit-Szenarien

Subcontracting ist nur unter strengen Auflagen zulässig, und der Hauptdienstleister muss sicherstellen, dass sämtliche Pflichten auch auf Subunternehmer durchgreifen.

Warum ist das jetzt relevant?

Drittanbieterrisikomanagement entwickelt sich vom Compliance-Thema zum strategischen Steuerungsinstrument. Institute, die nicht rechtzeitig handeln, riskieren nicht nur aufsichtsrechtliche Maßnahmen, sondern auch operative Störungen und Wettbewerbsnachteile. Die Übergangsfrist bis 2028 mag lang erscheinen – angesichts der erforderlichen organisatorischen, prozessualen und vertraglichen Anpassungen ist sie jedoch ambitioniert.

Gleichzeitig bietet die Harmonisierung mit DORA erhebliche Chancen: Institute, die beide Frameworks integriert umsetzen, schaffen einheitliche Governance-Strukturen, erhöhen ihre Transparenz und stärken nachhaltig ihre operationelle Resilienz.

Erste Schritte: Was Institute jetzt tun sollten

  1. Gap-Analyse starten: Bestehende Strukturen gegen die neuen Anforderungen prüfen und Handlungsfelder sowie kritische Lücken identifizieren.
  2. Projektplan entwickeln: Basierend auf den identifizierten Gaps einen priorisierten Umsetzungsplan mit konkreten Meilensteinen, Verantwortlichkeiten und Zeitschienen erstellen – einschließlich Vertragsüberprüfungen, Registeraufbau und organisatorischer Anpassungen.
  3. Ressourcen bereitstellen: Entsprechend dem Projektumfang Budget und Personal für die Umsetzung sicherstellen – dies ist eine Geschäftsleitungsaufgabe, die auf der Gap-Analyse aufbaut.
  4. Umsetzung starten: Die im Projektplan definierten Maßnahmen schrittweise implementieren und dabei Quick Wins mit strukturellen Transformationen kombinieren.

Ausblick

In den kommenden Beiträgen dieser Serie werden wir die Anforderungen im Detail beleuchten: von der Abgrenzung zu DORA über konkrete Registerpflichten bis hin zu praktischen Umsetzungsempfehlungen. Ziel ist es, Compliance- und Auslagerungsverantwortlichen sowie der Geschäftsleitung einen praxisnahen Leitfaden für die anstehende Transformation an die Hand zu geben.

Sie möchten wissen, wo Ihr Institut steht? Sprechen Sie uns an für eine unverbindliche Ersteinschätzung Ihres Handlungsbedarfs – auf Basis Ihrer bestehenden Strukturen und individuellen Herausforderungen.

EBA-Leitlinie 2025: Paradigmenwechsel im Drittparteirisikomanagement

EBA-Leitlinie 2025: Paradigmenwechsel im Drittparteirisikomanagement

Am 8. Juli 2025 hat die Europäische Bankenaufsichtsbehörde (EBA) den Entwurf ihrer neuen Leitlinie zum Management von Drittanbieterrisiken zur Konsultation veröffentlicht. Was auf den ersten Blick wie eine technische Überarbeitung der bisherigen Outsourcing-Regelungen wirkt, markiert tatsächlich einen fundamentalen Wandel: Institute müssen künftig nicht nur klassische Auslagerungen, sondern sämtliche Non-IKT-Drittparteibeziehungen nach einheitlichen, verschärften Standards steuern.

Von Outsourcing zu Third-Party Risk: Der neue Regelungsrahmen

Die bisherige EBA-Leitlinie von 2019 konzentrierte sich primär auf Outsourcing-Vereinbarungen im engeren Sinne. Der neue Entwurf erweitert den Anwendungsbereich erheblich und führt den umfassenden Begriff "Third-Party Arrangement" ein. Outsourcing wird damit zur Unterkategorie einer deutlich breiteren Risikobetrachtung.

Konkret bedeutet das: Alle Vereinbarungen mit externen Dienstleistern – unabhängig von ihrer formalen Ausgestaltung – fallen unter die Leitlinie, sofern es sich nicht um IKT-Services handelt. Diese sind seit Januar 2025 durch DORA (Digital Operational Resilience Act) geregelt. Damit entsteht erstmals eine lückenlose regulatorische Architektur für das gesamte Drittanbieterrisikomanagement.

Was ändert sich konkret für betroffene Institute?

Erweiterte Anwendung

Neben Kreditinstituten und Wertpapierfirmen erfasst die Leitlinie nun auch Emittenten von Asset-Referenced Tokens (ARTs) gemäß MiCAR sowie Kreditgeber nach Mortgage Credit Directive. Der Kreis der regulierten Institute wird damit deutlich ausgeweitet.

Neue Registerpflicht

Institute müssen künftig ein vollständiges Register aller Non-IKT-Drittparteibeziehungen führen – konsistent mit dem DORA-Register für IKT-Services. Gefordert werden detaillierte Angaben zu:

  • Recovery Time Objectives (RTO) und Recovery Point Objectives (RPO)
  • Substituierbarkeit und Reintegrierbarkeit
  • Exit-Plänen
  • Geschätzten jährlichen Kosten

Die Anforderungen orientieren sich explizit am DORA-Standard.

Verstärkte Geschäftsleitungsverantwortung

Das Managementorgan bleibt – wie bereits in der Leitlinie von 2019 – in der uneingeschränkten, nicht delegierbaren Verantwortung für das Drittparteirisikomanagement. Neu hinzu kommt jedoch die explizite Pflicht zur Definition, Genehmigung und regelmäßigen Überprüfung einer umfassenden Strategie für alle Non-IKT-Drittparteibeziehungen. Damit wird die bereits unter DORA für IKT-Dienstleistungen bestehende Strategiepflicht konsequent auf alle übrigen Drittparteien ausgeweitet. Das bewährte Prinzip bleibt bestehen: Institute dürfen nicht zu „leeren Hüllen" werden – ausreichende eigene Substanz und Steuerungsfähigkeit müssen jederzeit gewährleistet sein.

Schärfere Due Diligence und Risikobewertung

Die bereits 2019 geforderte Prüfung von operationellen, rechtlichen und Reputationsrisiken wird substanziell erweitert. Neu hinzu kommen explizit:

  • ESG-Risiken
  • AML/CFT-Risiken
  • Internationale Menschenrechts- und Umweltstandards

Aspekte, die in der bisherigen Leitlinie nicht ausdrücklich adressiert wurden. Zudem müssen Institute künftig komplexe Subcontracting-Ketten und deren spezifische Lieferkettenrisiken detailliert analysieren sowie die Business-Continuity- und Notfallpläne der Dienstleister prüfen. Die bereits 2019 bestehenden Anforderungen an die Bewertung von Drittland-Anbietern werden präzisiert und um konkrete Prüfpunkte zur politischen Stabilität und zu lokalen Insolvenzregelungen ergänzt.

Verschärfte vertragliche Anforderungen

Verträge müssen künftig folgende Elemente enthalten:

  • Präzisere Service-Level-Agreements mit quantitativen und qualitativen Leistungskennzahlen
  • Uneingeschränkte Prüfungsrechte für Institute und Aufsichtsbehörden
  • Verbindliche Übergangsfristen für Exit-Szenarien

Subcontracting ist nur unter strengen Auflagen zulässig, und der Hauptdienstleister muss sicherstellen, dass sämtliche Pflichten auch auf Subunternehmer durchgreifen.

Warum ist das jetzt relevant?

Drittanbieterrisikomanagement entwickelt sich vom Compliance-Thema zum strategischen Steuerungsinstrument. Institute, die nicht rechtzeitig handeln, riskieren nicht nur aufsichtsrechtliche Maßnahmen, sondern auch operative Störungen und Wettbewerbsnachteile. Die Übergangsfrist bis 2028 mag lang erscheinen – angesichts der erforderlichen organisatorischen, prozessualen und vertraglichen Anpassungen ist sie jedoch ambitioniert.

Gleichzeitig bietet die Harmonisierung mit DORA erhebliche Chancen: Institute, die beide Frameworks integriert umsetzen, schaffen einheitliche Governance-Strukturen, erhöhen ihre Transparenz und stärken nachhaltig ihre operationelle Resilienz.

Erste Schritte: Was Institute jetzt tun sollten

  1. Gap-Analyse starten: Bestehende Strukturen gegen die neuen Anforderungen prüfen und Handlungsfelder sowie kritische Lücken identifizieren.
  2. Projektplan entwickeln: Basierend auf den identifizierten Gaps einen priorisierten Umsetzungsplan mit konkreten Meilensteinen, Verantwortlichkeiten und Zeitschienen erstellen – einschließlich Vertragsüberprüfungen, Registeraufbau und organisatorischer Anpassungen.
  3. Ressourcen bereitstellen: Entsprechend dem Projektumfang Budget und Personal für die Umsetzung sicherstellen – dies ist eine Geschäftsleitungsaufgabe, die auf der Gap-Analyse aufbaut.
  4. Umsetzung starten: Die im Projektplan definierten Maßnahmen schrittweise implementieren und dabei Quick Wins mit strukturellen Transformationen kombinieren.

Ausblick

In den kommenden Beiträgen dieser Serie werden wir die Anforderungen im Detail beleuchten: von der Abgrenzung zu DORA über konkrete Registerpflichten bis hin zu praktischen Umsetzungsempfehlungen. Ziel ist es, Compliance- und Auslagerungsverantwortlichen sowie der Geschäftsleitung einen praxisnahen Leitfaden für die anstehende Transformation an die Hand zu geben.

Sie möchten wissen, wo Ihr Institut steht? Sprechen Sie uns an für eine unverbindliche Ersteinschätzung Ihres Handlungsbedarfs – auf Basis Ihrer bestehenden Strukturen und individuellen Herausforderungen.

Treppenstufen-Diagramm mit vier Phasen des Projektmanagements: Gap-Analyse, Projektplan, Ressourcen und Umsetzung, dargestellt mit passenden Icons.

Institute müssen bis 2028 handeln – was sich konkret ändert

Am 8. Juli 2025 hat die Europäische Bankenaufsichtsbehörde (EBA) den Entwurf ihrer neuen Leitlinie zum Management von Drittanbieterrisiken zur Konsultation veröffentlicht. Was auf den ersten Blick wie eine technische Überarbeitung der bisherigen Outsourcing-Regelungen wirkt, markiert tatsächlich einen fundamentalen Wandel: Institute müssen künftig nicht nur klassische Auslagerungen, sondern sämtliche Non-IKT-Drittparteibeziehungen nach einheitlichen, verschärften Standards steuern.

Jetzt Whitepaper anfordern

Vielen Dank! Wir haben Ihre Nachricht erhalten und senden Ihnen das Whitepaper schnellstmöglich zu
Oops! Bitte überprüfen Sie Ihre Eingaben oder versuchen Sie es in wenigen Minuten erneut. Sollte das Problem bestehen bleiben, kontaktieren Sie uns bitte direkt
Abstrakte Illustration eines Schutzschilds mit Schloss-Symbol vor einem Netzwerk aus verbundenen Knotenpunkten – Darstellung von Sicherheit, Resilienz und Drittparteirisikomanagement im Finanzsektor.

EBA Leitlinie - Sound Management of Third-Party Risk

Die EBA erweitert ihre Outsourcing-Regeln bis 2028 auf alle Drittparteibeziehungen – Institute müssen jetzt ihre komplette Drittanbieter-Strategie neu aufstellen. Unser Whitepaper zeigt Ihnen die konkreten Handlungsschritte und wie Sie die Transformation strategisch für sich nutzen.

Mehr erfahren