DORA vs. Third-Party Guidelines: Wo liegt die Grenze?
Die Finanzwelt befindet sich in einem massiven Umbruch. Digitalisierung, Outsourcing und der Einsatz spezialisierter Dienstleister haben dazu geführt, dass Finanzinstitute heute in einem hochgradig vernetzten Ökosystem arbeiten. Das bringt viele Vorteile, birgt aber auch erhebliche Risiken – insbesondere dann, wenn die Steuerung und Kontrolle externer Partner nicht klar geregelt ist.
Genau hier setzen zwei wichtige europäische Regelwerke an: der Digital Operational Resilience Act (DORA) und die neuen EBA-Leitlinien zum Management von Drittparteirisiken (Third-Party Guidelines, 2025). Beide verfolgen das Ziel, die Widerstandsfähigkeit von Finanzinstituten zu stärken, haben aber unterschiedliche Schwerpunkte.
👉 In diesem Artikel erfährst du, wo die Grenze zwischen DORA und den EBA-Leitlinien liegt, welche Anforderungen auf dich als Finanzinstitut zukommen und wie du die beiden Regelwerke in der Praxis miteinander verzahnst.
DORA vs. EBA-Leitlinien: Wo liegt die Grenze?
Aspekt
🖥️ DORA (ICT-Fokus)
📑 EBA-Leitlinien (Non-ICT-Fokus)
Anwendungsbereich
IKT-Dienstleistungen wie Cloud, Rechenzentren, Cybersecurity
Nicht-IKT-Dienstleistungen wie Kundenservice, Backoffice, Compliance
Ziel
Sicherstellung digitaler operativer Resilienz
Ganzheitliches Management aller Drittparteirisiken
Register
Separates Register für alle IKT-Drittanbieter
Register für Non-ICT-Dienstleister mit allen Vereinbarungen
Wenn es um die Nutzung externer Dienstleister geht, herrscht oft Unsicherheit: Gilt DORA oder die EBA-Leitlinie? Muss ich beide Register führen? Welche Prüfpflichten greifen wann?
Die Antwort lautet: Es kommt auf die Art der Dienstleistung an.
DORA regelt ausschließlich Risiken im Zusammenhang mit Informations- und Kommunikationstechnologie (IKT).
Die EBA-Leitlinien betreffen alle nicht-IKT-bezogenen Dienstleistungen.
Das klingt zunächst simpel, doch in der Praxis gibt es viele Schnittstellen und Graubereiche. Genau deshalb lohnt es sich, die Unterschiede im Detail zu verstehen.
2. DORA im Überblick
Der Digital Operational Resilience Act (DORA) ist seit Januar 2023 in Kraft und gilt seit Januar 2025 verbindlich in allen EU-Mitgliedsstaaten. Er richtet sich an eine Vielzahl von Finanzmarktteilnehmern – von Banken und Wertpapierfirmen über Zahlungsinstitute bis hin zu Krypto-Dienstleistern.
Was DORA abdeckt
IKT-Dienstleistungen wie Cloud-Computing, Hosting, Rechenzentren, Netzwerke, Cybersecurity-Services
IKT-bezogene kritische oder wichtige Funktionen, die von Drittanbietern erbracht werden
IKT-Risikomanagementprozesse einschließlich Monitoring, Incident Response und Meldepflichten
Besondere Anforderungen
Einrichtung eines separaten Registers für IKT-Drittanbieter
Strenge Anforderungen an Cyber-Resilienz, z. B. durch Penetrationstests und Szenario-Analysen
Vertragsanforderungen: Audit- und Zugriffsrechte, Exit-Strategien, Subunternehmerkontrolle
Aufsicht über kritische IKT-Dienstleister (z. B. Hyperscaler), auch auf EU-Ebene
Kurz gesagt: DORA ist der digitale Schutzschirm für deine IT-Landschaft.
3. Die EBA-Leitlinien zum Management von Drittparteirisiken
Während DORA sich auf die digitale operative Resilienz konzentriert, gehen die EBA-Leitlinien 2025 viel weiter. Sie decken alle nicht-IKT-bezogenen Dienstleistungen ab, die von Drittanbietern erbracht werden.
Typische Non-ICT-Dienstleistungen
Administrative Services (z. B. Personalabrechnung, Facility Management)
Zahlungsdienste außerhalb der Kern-IT
Kundenservice-Center und Backoffice-Dienstleistungen
Interne Kontrollfunktionen oder Compliance-Aufgaben
Outsourcing von Geschäftsprozessen
Zentrale Ziele der Leitlinien
Robuste Governance: Klare Verantwortung der Geschäftsleitung für alle Drittparteienrisiken.
Vermeidung von „Empty Shells“: Institute müssen Substanz und Kontrolle behalten.
Schutz der Geschäftskontinuität: Durch Exit-Strategien und Business-Continuity-Pläne.
Ganzheitliches Risikomanagement: Identifikation, Bewertung und Steuerung operativer, rechtlicher, reputativer und konzentrationsbezogener Risiken.
Transparenz & Registerpflicht: Vollständige Dokumentation aller Drittparteienvereinbarungen.
Berücksichtigung des Proportionalitätsprinzips: Anforderungen abhängig von Größe und Komplexität des Instituts.
Kontrolle von Drittstaatenrisiken: Sicherstellung von DSGVO, Audit-Rechten und regulatorischer Compliance.
Systemstabilität: Aufsichtsbehörden sollen Konzentrationsrisiken aktiv überwachen.
Kurz gesagt: Die EBA-Leitlinien schaffen einen umfassenden Rahmen für jedes externe Vertragsverhältnis, das nicht unter DORA fällt.
4. Abgrenzung zwischen DORA und den EBA-Leitlinien
Die Grenze liegt klar in der Art der Dienstleistung:
DORA: Nur IKT-bezogene Dienstleistungen (z. B. Cloud, Hosting, Cybersecurity).
EBA-Leitlinien: Alle nicht-IKT-Dienstleistungen, unabhängig davon, ob ausgelagert oder von internen/externen Partnern erbracht.
👉 Die beiden Regelwerke ergänzen sich, anstatt sich zu überschneiden. Gemeinsam bilden sie den Rahmen für ein ganzheitliches Third-Party Risk Management.
5. Vergleich nach Dimensionen
Um die Unterschiede greifbarer zu machen, hier ein in Worte gefasster Vergleich:
5.1 Anwendungsbereich
DORA: Nur IKT-Dienstleistungen und digitale Resilienz.
EBA-Leitlinien: Alle Non-ICT-Dienstleistungen (z. B. Kundenservice, interne Kontrollen, ESG-bezogene Services).
5.2 Fokus
DORA: Sicherheit, Verfügbarkeit und Integrität von IT-Systemen und Daten.
EBA-Leitlinien: Governance, Vertragsmanagement, Business Continuity, Risikosteuerung.
5.3 Regulierungsansatz
DORA: Separates IKT-Register, strenge Cyberanforderungen, Meldung von Vorfällen.
EBA-Leitlinien: Register für Non-ICT-Dienstleister, Fokus auf Due Diligence, Interessenkonflikte und Exit-Strategien.
5.4 Rechtsgrundlage
DORA: Verordnung, gilt unmittelbar in allen EU-Staaten.
EBA-Leitlinien: Leitlinien, die von nationalen Behörden umgesetzt werden, im Zusammenspiel mit CRD, PSD2, MiFID II, MiCAR.
5.5 Zielgruppe
DORA: Finanzinstitute + IKT-Dienstleister mit kritischen Funktionen.
EBA-Leitlinien: Finanzinstitute + alle Drittanbieter außerhalb von IKT.
6. Was bedeutet das für dich in der Praxis?
Du musst künftig zwei Register führen:
IKT-Drittanbieter-Register (DORA)
Non-ICT-Drittanbieter-Register (EBA)
Beide Register müssen konsistent sein und können teilweise zusammengeführt werden. Wichtig ist aber die klare Abgrenzung, damit du regulatorische Anforderungen nachweisen kannst.
Darüber hinaus musst du:
Risikobewertungen für beide Bereiche durchführen
Verträge mit klaren SLAs, Audit- und Exit-Klauseln gestalten
Aufsichtsdialoge vorbereiten und proaktiv berichten
Business Continuity sicherstellen – egal ob IT-Ausfall oder Dienstleisterproblem
7. Typische Fallstricke
Viele Institute unterschätzen die Herausforderungen an der Schnittstelle von DORA und den EBA-Leitlinien. Hier die häufigsten Fehler:
Vermischung von ICT und Non-ICT: Fehlende Abgrenzung in den Registern.
Unklare Verantwortlichkeiten: Delegation an Dienstleister ohne eigene Substanz.
Mangelnde Exit-Strategien: Verträge ohne klare Beendigungs- und Notfallpläne.
Übersehen von ESG-Aspekten: Non-ICT-Dienstleistungen müssen ESG-Kriterien berücksichtigen.
Ein wichtiger Aspekt der EBA-Leitlinien ist die Integration von ESG-Kriterien in das Third-Party Risk Management. Du musst sicherstellen, dass Dienstleister nicht nur regulatorische, sondern auch nachhaltigkeitsbezogene Standards erfüllen. Das stärkt nicht nur die Compliance, sondern auch deine Reputation.
10. Fazit: DORA und EBA – Zwei Bausteine für deine Zukunftssicherheit
Die Abgrenzung zwischen DORA und den EBA-Leitlinien ist klar:
DORA = ICT-Dienstleistungen
EBA-Leitlinien = Non-ICT-Dienstleistungen
Beide Regelwerke sind keine Konkurrenz, sondern ergänzen sich. Für dich bedeutet das: Doppelter Aufwand, aber auch doppelter Schutz.
Wenn du die Vorgaben richtig umsetzt, erreichst du nicht nur Compliance, sondern auch echte Resilienz und Wettbewerbsfähigkeit.
👉 Dein nächster Schritt
Wenn du die neuen Anforderungen nicht nur verstehen, sondern auch praxisnah umsetzen willst, dann nutze den zentralen Anlaufpunkt von S+P:
DORA regelt ICT-Risiken (z. B. Cloud, Hosting, Cybersecurity) und die digitale Resilienz. Die EBA-Leitlinien (2025) decken Non-ICT-Drittparteien ab (z. B. Backoffice, Kundenservice, Compliance-Services). Beide ergänzen sich zu einem ganzheitlichen TPRM.
Stell dir zwei Register vor: IKT-Register (DORA) für alle ICT-Dienstleister und Non-ICT-Register (EBA) für alle übrigen Drittparteien. Entscheidend ist die Art der Leistung, nicht die Rechtsform oder das Vertragslabel „Outsourcing“.
Ja, getrennt führen – aber konsistent gestalten. Du kannst sie technisch in einem System abbilden, solange Trennung, Filterbarkeit und Nachweise pro Regelwerk klar sind (z. B. CSV-Export je Register).
Governance durch das Leitungsorgan, Kritikalitäts-Einstufung, Due Diligence, Vertrags-Mindestinhalte (KPIs/SLAs, Audit, Exit), Konzentrationsrisiken, Registerpflicht und Proportionalität – inkl. ESG– und Drittstaaten-Aspekten.
Trenne vertraglich und im Register nach Leistungsanteilen: ICT-Teile → DORA; Non-ICT-Teile → EBA. Falls untrennbar, wähle das strengere Set (DORA) für die betroffenen Elemente und dokumentiere deine Abgrenzung nachvollziehbar.
SLA-Erfüllung, Incidents/Time-to-Recover, Audit-Findings & Remediation, Wechsel-/Konzentrationsrisiko, ESG-Status, Register-Vollständigkeit. Quartalsberichte ans Leitungsorgan sind Best Practice.
Ein gemeinsames TPRM-Framework mit zwei Registern, einheitlicher Methodik (Scoring, Due Diligence), Role-Based Workflows und zentralem Reporting. So bleibst du konsistent – bei klarer ICT/Non-ICT-Abgrenzung.
Checklisten, Register-Templates, Vertragsbausteine (Audit, Exit, DSGVO) sowie Training zu DORA & EBA. Mit S+P Certified bekommst du digitale Nachweise für Prüfungen und interne Sichtbarkeit.
DORA & NIS-2: Umsetzung, Governance & Resilienz 2026
Dieser Hub bündelt alle relevanten Inhalte zu DORA, NIS-2 und MaRisk.
Du erhältst konkrete Umsetzungshilfen für ICT Risk, Third Party Risk
und digitale Resilienz im Unternehmen.
DORA & NIS-2 verstehen und umsetzen
DORA & NIS-2 Hub ➜
Zentrale Übersicht zu DORA, NIS-2 und MaRisk:
Anforderungen, Umsetzung und Best Practices kompakt gebündelt.
Sie sehen gerade einen Platzhalterinhalt von Turnstile. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Sie sehen gerade einen Platzhalterinhalt von Facebook. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Sie sehen gerade einen Platzhalterinhalt von Instagram. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Sie sehen gerade einen Platzhalterinhalt von X. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
