DORA vs. Third-Party Guidelines: Wo liegt die Grenze?

Wenn es um die Nutzung externer Dienstleister geht, herrscht oft Unsicherheit: Gilt DORA oder die EBA-Leitlinie? Muss ich beide Register führen? Welche Prüfpflichten greifen wann?

Die Antwort lautet: Es kommt auf die Art der Dienstleistung an.

• DORA regelt ausschließlich Risiken im Zusammenhang mit Informations- und Kommunikationstechnologie (IKT).

• Die EBA-Leitlinien betreffen alle nicht-IKT-bezogenen Dienstleistungen.

Das klingt zunächst simpel, doch in der Praxis gibt es viele Schnittstellen und Graubereiche. Genau deshalb lohnt es sich, die Unterschiede im Detail zu verstehen.

2. DORA im Überblick

Der Digital Operational Resilience Act (DORA) ist seit Januar 2023 in Kraft und gilt seit Januar 2025 verbindlich in allen EU-Mitgliedsstaaten. Er richtet sich an eine Vielzahl von Finanzmarktteilnehmern – von Banken und Wertpapierfirmen über Zahlungsinstitute bis hin zu Krypto-Dienstleistern.

Was DORA abdeckt

• IKT-Dienstleistungen wie Cloud-Computing, Hosting, Rechenzentren, Netzwerke, Cybersecurity-Services

• IKT-bezogene kritische oder wichtige Funktionen, die von Drittanbietern erbracht werden

• IKT-Risikomanagementprozesse einschließlich Monitoring, Incident Response und Meldepflichten

Besondere Anforderungen

• Einrichtung eines separaten Registers für IKT-Drittanbieter

• Strenge Anforderungen an Cyber-Resilienz, z. B. durch Penetrationstests und Szenario-Analysen

• Vertragsanforderungen: Audit- und Zugriffsrechte, Exit-Strategien, Subunternehmerkontrolle

• Aufsicht über kritische IKT-Dienstleister (z. B. Hyperscaler), auch auf EU-Ebene

Kurz gesagt: DORA ist der digitale Schutzschirm für deine IT-Landschaft.

3. Die EBA-Leitlinien zum Management von Drittparteirisiken

Während DORA sich auf die digitale operative Resilienz konzentriert, gehen die EBA-Leitlinien 2025 viel weiter. Sie decken alle nicht-IKT-bezogenen Dienstleistungen ab, die von Drittanbietern erbracht werden.

Typische Non-ICT-Dienstleistungen

• Administrative Services (z. B. Personalabrechnung, Facility Management)

• Zahlungsdienste außerhalb der Kern-IT

• Kundenservice-Center und Backoffice-Dienstleistungen

• Interne Kontrollfunktionen oder Compliance-Aufgaben

• Outsourcing von Geschäftsprozessen

Zentrale Ziele der Leitlinien

1. Robuste Governance: Klare Verantwortung der Geschäftsleitung für alle Drittparteienrisiken.

2. Vermeidung von „Empty Shells“: Institute müssen Substanz und Kontrolle behalten.

3. Schutz der Geschäftskontinuität: Durch Exit-Strategien und Business-Continuity-Pläne.

4. Ganzheitliches Risikomanagement: Identifikation, Bewertung und Steuerung operativer, rechtlicher, reputativer und konzentrationsbezogener Risiken.

5. Transparenz & Registerpflicht: Vollständige Dokumentation aller Drittparteienvereinbarungen.

6. Berücksichtigung des Proportionalitätsprinzips: Anforderungen abhängig von Größe und Komplexität des Instituts.

7. Kontrolle von Drittstaatenrisiken: Sicherstellung von DSGVO, Audit-Rechten und regulatorischer Compliance.

8. Systemstabilität: Aufsichtsbehörden sollen Konzentrationsrisiken aktiv überwachen.

Kurz gesagt: Die EBA-Leitlinien schaffen einen umfassenden Rahmen für jedes externe Vertragsverhältnis, das nicht unter DORA fällt.

4. Abgrenzung zwischen DORA und den EBA-Leitlinien

Die Grenze liegt klar in der Art der Dienstleistung:

• DORA: Nur IKT-bezogene Dienstleistungen (z. B. Cloud, Hosting, Cybersecurity).

• EBA-Leitlinien: Alle nicht-IKT-Dienstleistungen, unabhängig davon, ob ausgelagert oder von internen/externen Partnern erbracht.

👉 Die beiden Regelwerke ergänzen sich, anstatt sich zu überschneiden. Gemeinsam bilden sie den Rahmen für ein ganzheitliches Third-Party Risk Management.

5. Vergleich nach Dimensionen

Um die Unterschiede greifbarer zu machen, hier ein in Worte gefasster Vergleich:

5.1 Anwendungsbereich

• DORA: Nur IKT-Dienstleistungen und digitale Resilienz.

• EBA-Leitlinien: Alle Non-ICT-Dienstleistungen (z. B. Kundenservice, interne Kontrollen, ESG-bezogene Services).

5.2 Fokus

• DORA: Sicherheit, Verfügbarkeit und Integrität von IT-Systemen und Daten.

• EBA-Leitlinien: Governance, Vertragsmanagement, Business Continuity, Risikosteuerung.

5.3 Regulierungsansatz

• DORA: Separates IKT-Register, strenge Cyberanforderungen, Meldung von Vorfällen.

• EBA-Leitlinien: Register für Non-ICT-Dienstleister, Fokus auf Due Diligence, Interessenkonflikte und Exit-Strategien.

5.4 Rechtsgrundlage

• DORA: Verordnung, gilt unmittelbar in allen EU-Staaten.

• EBA-Leitlinien: Leitlinien, die von nationalen Behörden umgesetzt werden, im Zusammenspiel mit CRD, PSD2, MiFID II, MiCAR.

5.5 Zielgruppe

• DORA: Finanzinstitute + IKT-Dienstleister mit kritischen Funktionen.

• EBA-Leitlinien: Finanzinstitute + alle Drittanbieter außerhalb von IKT.

6. Was bedeutet das für dich in der Praxis?

Du musst künftig zwei Register führen:

1. IKT-Drittanbieter-Register (DORA)

2. Non-ICT-Drittanbieter-Register (EBA)

Beide Register müssen konsistent sein und können teilweise zusammengeführt werden. Wichtig ist aber die klare Abgrenzung, damit du regulatorische Anforderungen nachweisen kannst.

Darüber hinaus musst du:

• Risikobewertungen für beide Bereiche durchführen

• Verträge mit klaren SLAs, Audit- und Exit-Klauseln gestalten

• Aufsichtsdialoge vorbereiten und proaktiv berichten

• Business Continuity sicherstellen – egal ob IT-Ausfall oder Dienstleisterproblem

7. Typische Fallstricke

Viele Institute unterschätzen die Herausforderungen an der Schnittstelle von DORA und den EBA-Leitlinien. Hier die häufigsten Fehler:

• Vermischung von ICT und Non-ICT: Fehlende Abgrenzung in den Registern.

• Unklare Verantwortlichkeiten: Delegation an Dienstleister ohne eigene Substanz.

• Mangelnde Exit-Strategien: Verträge ohne klare Beendigungs- und Notfallpläne.

• Übersehen von ESG-Aspekten: Non-ICT-Dienstleistungen müssen ESG-Kriterien berücksichtigen.

• Fehlende Aufsichtskommunikation: Reaktives statt proaktives Reporting.

8. Best Practices für dein Institut

Damit du auf der sicheren Seite bist, solltest du folgende Maßnahmen umsetzen:

• Strategisch denken: DORA und EBA-Leitlinien als zwei Seiten derselben Medaille verstehen.

• Register konsistent halten: ICT- und Non-ICT-Dienstleister getrennt erfassen, aber mit gleichen Standards.

• Tools nutzen: Digitale Register, Templates und Checklisten zur Dokumentation.

• Schulungen etablieren: Management und Mitarbeiter auf die neuen Pflichten vorbereiten.

• Aufsichtsdialog suchen: Frühzeitig den Kontakt zu Behörden herstellen, um Interpretationsfragen zu klären.

• Kontinuität sichern: Notfallpläne testen, Szenario-Analysen durchführen, Substituierbarkeit prüfen.

9. Verbindung zu ESG & Governance

Ein wichtiger Aspekt der EBA-Leitlinien ist die Integration von ESG-Kriterien in das Third-Party Risk Management. Du musst sicherstellen, dass Dienstleister nicht nur regulatorische, sondern auch nachhaltigkeitsbezogene Standards erfüllen. Das stärkt nicht nur die Compliance, sondern auch deine Reputation.

10. Fazit: DORA und EBA – Zwei Bausteine für deine Zukunftssicherheit

Die Abgrenzung zwischen DORA und den EBA-Leitlinien ist klar:

• DORA = ICT-Dienstleistungen

• EBA-Leitlinien = Non-ICT-Dienstleistungen

Beide Regelwerke sind keine Konkurrenz, sondern ergänzen sich. Für dich bedeutet das: Doppelter Aufwand, aber auch doppelter Schutz.

Wenn du die Vorgaben richtig umsetzt, erreichst du nicht nur Compliance, sondern auch echte Resilienz und Wettbewerbsfähigkeit.

👉 Dein nächster Schritt

Wenn du die neuen Anforderungen nicht nur verstehen, sondern auch praxisnah umsetzen willst, dann nutze den zentralen Anlaufpunkt von S+P:

🔗 Third-Party Risk Management Hub

Dort findest du vertiefende Artikel, Checklisten und Seminare, die dich fit machen für die Zukunft.