EBA Guidelines Non-ICT Third Party Risk und 9. MaRisk-Novelle: Warum jetzt die Zeit zum Handeln ist 

Die erwarteten EBA Guidelines Non-ICT Third Party Risk (TPR) und die 9. MaRisk-Novelle werden die Anforderungen an das Third Party Risk Management weiter konkretisieren. Dabei zeigt sich bereits heute eine klare Tendenz: Die Aufsicht erwartet weniger theoretische Konzepte und mehr nachweisbare Umsetzungsfähigkeit. Besonders die Themen Inventarisierung, Ausstiegspläne und Proportionalität rücken dabei in den Fokus. Warum Institute gerade jetzt handeln sollten und welche Schwerpunkte sich bereits abzeichnen, beleuchtet dieser Beitrag. 

Inventarisierung: Das Fundament eines wirksamen TPRM 

Viele Institute stellen sich aktuell die Frage, ob sie auf die finale Veröffentlichung der regulatorischen Anforderungen warten sollten. 

Die Antwort lautet klar: Nein. 

Der wichtigste erste Schritt besteht in der vollständigen Inventarisierung des TPRM-Portfolios. Nur wer Transparenz über sämtliche Drittbezüge geschaffen hat, kann Risiken wirksam steuern und zukünftige regulatorische Anforderungen effizient erfüllen. 

Eine belastbare Inventarisierung schafft: 

• Transparenz über alle Drittbezüge  

• Klarheit über kritische und wichtige Funktionen (CIF)  

• Eine verlässliche Datenbasis für regulatorische Anforderungen  

• Die Grundlage für Risikoanalysen und Steuerungsmaßnahmen  

Besonders die sogenannten „sonstigen Fremdbezüge“ verdienen dabei Aufmerksamkeit. In vielen Instituten liegen hier noch erhebliche Herausforderungen verborgen, die bei späteren Prüfungen schnell sichtbar werden können. 

Die regulatorische Stoßrichtung ist eindeutig: Die Aufsicht erwartet eine durchgängige Transparenz über externe Leistungsbezüge und deren Risiken. 

Ausstiegspläne: Von der Dokumentation zur Umsetzbarkeit 

Ein weiterer Schwerpunkt der erwarteten Anforderungen betrifft Exit- und Ausstiegskonzepte. 

Dokumentierte Ausstiegsstrategien gehören mittlerweile in vielen Häusern zum Standard. Künftig wird jedoch stärker hinterfragt werden, ob diese Konzepte tatsächlich operativ umsetzbar sind. 

Im Fokus stehen insbesondere: 

• Konkret ausgearbeitete Ausstiegspläne  

• Operativ umsetzbare Maßnahmen  

• Regelmäßige Tests  

• Nachweise über die tatsächliche Funktionsfähigkeit  

Der entscheidende Unterschied liegt dabei in der praktischen Erprobung. 

Getestete Ausstiegspläne zeigen, ob Abhängigkeiten tatsächlich verstanden wurden und ob ein Institut im Ernstfall handlungsfähig bleibt. Gleichzeitig werden genau solche Nachweise von Prüfern zunehmend eingefordert. 

Besonders herausfordernd sind dabei Cloud-Umgebungen und Hyperscaler. Technische Lock-ins, komplexe Datenmigrationen und lange Exit-Zeiträume können die Umsetzung erheblich erschweren. 

Die zentrale Frage lautet daher nicht mehr, ob ein Ausstiegsplan existiert, sondern ob dieser unter realistischen Bedingungen funktionieren würde. 

Proportionalität: Erleichterung mit Nachweispflicht 

Mit den neuen Anforderungen werden zugleich Möglichkeiten geschaffen, das Prinzip der Proportionalität stärker anzuwenden. 

Gerade kleinere Institute sehen darin häufig eine willkommene Erleichterung. In der Praxis wird jedoch oft übersehen, dass Proportionalität eine nachvollziehbare Begründung voraussetzt. 

Proportionalität bedeutet nicht: 

• Automatische Ausnahmen  

• Weniger Anforderungen  

• Pauschale Vereinfachungen  

Vielmehr bedeutet sie: 

• Bewusste Entscheidungen  

• Dokumentierte Risikobetrachtungen  

• Nachvollziehbare Begründungen  

Die Aufsicht wird zunehmend erwarten, dass Institute darlegen können, warum eine vereinfachte Vorgehensweise angemessen ist, welche Risiken dennoch bestehen und welche alternativen Maßnahmen implementiert wurden. 

Erfahrungsgemäß entstehen solche Begründungen häufig erst kurz vor einer Prüfung oder einem Audit. Dies führt regelmäßig zu Lücken und erheblichem Zusatzaufwand. 

Deutlich nachhaltiger ist es, eine strukturierte Begründungslogik frühzeitig aufzubauen und kontinuierlich fortzuführen. 

Drei Handlungsfelder für die kommenden Monate 

Aus den aktuellen Diskussionen ergeben sich drei klare Prioritäten: 

1. Vollständige Inventarisierung aller Drittbezüge und Überprüfung bestehender Klassifizierungen.  

2. Aufbau und Test kritischer Ausstiegspläne – zunächst auch durch Dokumententests oder Tabletop-Übungen.  

3. Entwicklung einer nachvollziehbaren Proportionalitätslogik mit fortlaufender Dokumentation.  

Fazit 

Die erwarteten EBA Guidelines Non-ICT Third Party Risk und die 9. MaRisk-Novelle verfolgen eine klare Zielsetzung: Transparenz, Steuerungsfähigkeit und Nachvollziehbarkeit sollen gestärkt werden. 

Dabei geht es weniger um zusätzliche Dokumentation als um die tatsächliche Umsetzungsfähigkeit der Institute. 

Die wichtigsten Botschaften lassen sich daher auf drei Grundsätze reduzieren: 

Starten statt warten. 
Testen statt dokumentieren. 
Begründen statt pauschalisieren. 

Institute, die diese Themen bereits heute angehen, schaffen die Grundlage für eine nachhaltige regulatorische Compliance und stärken gleichzeitig ihre operationelle Resilienz. 

Ihr Austausch mit bmc 

Die regulatorischen Anforderungen rund um die EBA Guidelines Non-ICT Third Party Risk und die 9. MaRisk-Novelle entwickeln sich kontinuierlich weiter. Gleichzeitig stehen viele Institute vor ähnlichen Fragestellungen: Wie gelingt eine vollständige Inventarisierung? Welche Ausstiegspläne sollten priorisiert getestet werden? Und wie lässt sich Proportionalität nachvollziehbar dokumentieren? 

Wenn Sie diese Themen für Ihr Institut diskutieren möchten, tauschen wir uns gerne mit Ihnen aus. 

Vereinbaren Sie einen unverbindlichen Gesprächstermin mit Ingo Soboll und unserem Expertenteam. Gemeinsam betrachten wir Ihre aktuellen Herausforderungen und mögliche Lösungsansätze im Third Party Risk Management, Auslagerungsmanagement und im Kontext der kommenden regulatorischen Anforderungen.