EBA konsultiert Entwurf von Leitlinien zum Risikomanagement bei Dritten in Bezug auf nicht-IKT-bezogene Dienstleistungen

Die Europäische Bankenaufsichtsbehörde („EBA“) hat eine öffentliche Konsultation zum Entwurf der Leitlinien für ein solides Management von Risiken durch Dritte („Leitlinien“) gestartet. Die Leitlinien konzentrieren sich auf Vereinbarungen mit Dritten in Bezug auf nicht-IKT-bezogene Dienstleistungen, die von Drittanbietern und deren Subunternehmern erbracht werden. Die Leitlinien zielen darauf ab, die Leitlinien der EBA zu Auslagerungsvereinbarungen (EBA/GL/2019/02) („Outsourcing-Leitlinien“) aus dem Jahr 2019 zu überarbeiten und zu aktualisieren, um sie an die Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor („DORA“) anzupassen.

Geltungsbereich der Leitlinien

1. Die Leitlinien beschränken den Geltungsbereich auf nicht-IKT-bezogene Drittanbieter („TPSP“). Vereinbarungen mit IKT-Drittanbietern („ICT TPSP“) fallen weiterhin unter den DORA.
2. Die Leitlinien gelten für zuständige Behörden sowie für Finanzinstitute wie Kreditinstitute, Drittstaatenzweigniederlassungen, Wertpapierinstitute, Zahlungsinstitute, E-Geld-Institute, Emittenten von Asset-Referenced Tokens (ARTs) und bestimmte Gläubiger, die zusammen als „Finanzunternehmen“ bezeichnet werden. Emittenten von ARTs, die keine Institute sind, fallen ebenfalls in den Geltungsbereich. Kontoinformationsdienstleister (AISPs) sind ausgeschlossen, wenn sie ausschließlich Kontoinformationsdienste erbringen.

Was wird von Finanzunternehmen erwartet?

Die Leitlinien legen die internen Governance-Regelungen fest, einschließlich eines soliden Risikomanagements, die Finanzunternehmen umsetzen sollten, wenn sie sich auf Vereinbarungen mit Dritten („TPA“) stützen, bei denen ein TPSP eine Funktion, insbesondere kritische oder wichtige Funktionen oder Teile davon, übernimmt.

TPA ist ein neues Konzept, das in den Leitlinien eingeführt wurde und definiert ist als „eine Vereinbarung jeglicher Art zwischen einem Finanzunternehmen und einem Drittanbieter, einschließlich konzerninterner Drittanbieter, über die Erbringung einer oder mehrerer Funktionen für das Finanzunternehmen“. Die Definition umfasst alle Arten von Vereinbarungen (sofern nicht ausdrücklich ausgeschlossen), was bedeutet, dass sowohl Outsourcing-Vereinbarungen als Teilmenge als auch das, was derzeit als Nicht-Outsourcing gilt, unter die Leitlinien fallen. Dies bedeutet letztlich, dass der erste Schritt der Unterscheidung zwischen Outsourcing und Nicht-Outsourcing nicht mehr erforderlich ist, um festzustellen, ob die Leitlinien Anwendung finden. Die TPA-Definition schließt Vereinbarungen zwischen einem TPSP und einem Unternehmen in der Lieferkette (d. h. einem Subunternehmer des Finanzunternehmens) aus.

Ähnlich wie in den Outsourcing-Richtlinien definieren die Richtlinien den Begriff „Funktion“ als „Prozess, Dienstleistung oder Tätigkeit oder einen Teil davon“. Die Definition von „kritischer und wichtiger Funktion“ lautet: „Eine Funktion, deren Störung die finanzielle Leistungsfähigkeit eines Finanzunternehmens oder die Solidität oder Kontinuität seiner Dienstleistungen und Aktivitäten erheblich beeinträchtigen würde, oder deren Unterbrechung, mangelhafte oder fehlgeschlagene Erfüllung die fortgesetzte Einhaltung der Bedingungen und Verpflichtungen seiner Zulassung oder seiner sonstigen Verpflichtungen gemäß dem geltenden Finanzdienstleistungsrecht erheblich beeinträchtigen würde“, was der Definition in der DORA ähnelt. Anhang I der Leitlinien enthält eine nicht erschöpfende Liste von Funktionen, die von einem TSPS erbracht werden könnten. Als allgemeiner Grundsatz schließen die Leitlinien die folgenden Funktionen aus, z. B. Dienstleistungen, die keine wesentlichen Auswirkungen auf die Risikopositionen der Finanzinstitute oder auf ihre operative Widerstandsfähigkeit haben (z. B. Beratung durch einen Architekten, Rechtsberatung und Vertretung vor Gerichten und Verwaltungsbehörden, Reinigung, Gartenpflege und Instandhaltung der Räumlichkeiten usw.).

Im Allgemeinen ähneln die Verpflichtungen gemäß den Leitlinien denen der DORA in Bezug auf IKT-Dienstleistungen und der Outsourcing-Leitlinien. Im Wesentlichen sollten Finanzunternehmen über Folgendes verfügen.

• Management von Drittparteirisiken: Finanzunternehmen müssen die mit den TPA in Verbindung stehenden Risiken gemäß den in den Leitlinien festgelegten Regeln verwalten.
• Überwachung von TPA: Finanzunternehmen müssen eine angemessene Aufsicht über TPA einrichten, einschließlich der Entgegennahme von Berichten, der Durchführung von Risikobewertungen usw.
• Interne Governance: Finanzinstitute müssen sicherstellen, dass ein robustes internes Governance-System in Bezug auf TPA und TPSP eingerichtet ist und dass das Leitungsorgan des Finanzinstituts ordnungsgemäß über TPSP informiert wird.
• Führen eines Registers: Finanzinstitute müssen ein Register über TPA führen, das, sofern es nicht mit dem Informationsregister gemäß Artikel 28 Absatz 3 DORA zusammengeführt wird, so weit wie möglich mit diesem übereinstimmt. Finanzunternehmen werden aufgefordert, Diskrepanzen zwischen diesen beiden Registern zu vermeiden, wenn sie nicht zusammengeführt werden. Die Leitlinien enthalten eine Liste von Daten, die in ein solches Register aufzunehmen sind und die denen im Informationsregister gemäß Artikel 28 Absatz 3 DORA ähneln. Finanzunternehmen müssen das Register den zuständigen Behörden auf Anfrage zur Verfügung stellen.

Bei der Anwendung der in den Leitlinien festgelegten Anforderungen können Finanzinstitute unter Berücksichtigung der Komplexität der von TPSPs erbrachten Funktionen, der mit den TPAs verbundenen Risiken, der Kritikalität oder Bedeutung der von TPSPs erbrachten Funktionen und der potenziellen Auswirkungen auf die Kontinuität ihrer Tätigkeiten den Grundsatz der Verhältnismäßigkeit anwenden.

Was Finanzinstitute tun müssen:

• Erfassung der Nicht-IKT-TPAs, einschließlich derjenigen, die als Outsourcing-Vereinbarungen und Nicht-Outsourcing angesehen wurden,
• Feststellung, ob eins der TPAs einer Nachbesserung bedarf (z. B. wenn sie weder als Outsourcing-Vereinbarung noch als IKT-Dienstleistung im Sinne der DORA angesehen wurden),
• die bestehenden Unterlagen (Checklisten, Fragebögen, Vorlagen, interne Governance-Dokumente) anhand der Anforderungen in den Leitlinien abgleichen und notwendige Aktualisierungen vornehmen,
• das Risikomanagement der TPAs gemäß den Anforderungen in den Leitlinien einrichten,
• das Register einrichten (oder, falls bereits vorhanden, anpassen) und pflegen.

Nächste Schritte

Die Frist für die Einreichung von Kommentaren zu den Leitlinien endet am 8. Oktober 2025, und es ist möglich, dass die Leitlinien bis Ende 2025 finalisiert werden. Nach ihrer Finalisierung werden die Leitlinien die Outsourcing-Leitlinien aufheben. Die endgültigen Leitlinien gelten für neue Verträge ab dem Datum ihres Inkrafttretens. Für bestehende Verträge sehen die Leitlinien eine Übergangsfrist von zwei Jahren ab dem Datum des Inkrafttretens vor, innerhalb derer die Finanzinstitute die Leitlinien in Bezug auf alle TPA einhalten müssen.