Seit Juli 2025 bewegen sich die Finanzinstitute in Deutschland in einem Umfeld, in dem die DORA-Anforderungen von den Prüfstellen aktiv geprüft werden, die NIS2-Richtlinie bald national umgesetzt wird und die EBA zudem plant, „Non-IKT-Dienstleister“ stärker zu regulieren und zu überwachen. Für alle Beteiligten bedeutet das ein deutlich höherer Umsetzungs- und Nachweisdruck.
Nach der ohnehin schon aufwendigen Umsetzung der 6. MaRisk-Novelle zu Auslagerungsverträgen, die in vielen Instituten noch nicht vollständig abgeschlossen ist, folgte nun eine noch größere Herausforderung: die Umsetzung der DORA-Anforderungen für IKT-Drittdienstleister.
Auch die IKT-Dienstleister selbst stehen aktuell vor viel Arbeit. Für die Finanzinstitute müssen Vertragsergänzungen und -anlagen nach DORA bereitgestellt werden, während gleichzeitig im eigenen Unternehmen die Umsetzung der NIS2-Anforderungen ansteht. Die nationalen Cyber-Sorgfaltspflichten werden deutlich ausgeweitet, sowohl hinsichtlich der Zahl der betroffenen Unternehmen als auch der strengeren Melde- und Sicherheitsanforderungen.
Parallel dazu hat die EBA am 08.Juli 2025 eine Konsultation für neue Leitlinien veröffentlicht, die non-ICT Third-Party-Arrangements (also Auslagerungen bzw. Drittanbieter-Beziehungen außerhalb klassischer IKT-Dienste) stärker regeln sollen. Das Ziel: Die Lücke der Finanzinstitute zwischen DORA (IKT) und bisherigen EBA-Auslagerungsregeln schließen.
Für wen ist das besonders relevant?
- Kreditinstitute, Zahlungs- und E-Geld-Institute, Versicherer, Kapitalverwaltungsgesellschaften, Börsen, Depotbanken
- Leasing, Factoring, Spezialbanken
- Dienstleister, die für kritische oder wichtige Funktionen arbeiten – sowohl IKT-Anbieter unter DORA als auch „Non-IKT-Dienstleister (Facility, HR, Back-Office, Zahlungsabwicklung etc.)
Konkrete Auswirkungen & Pain Points:
Im Bereich Informationsregister und Meldepflichten müssen kritische Konzentrationen identifiziert und vollständige Register geführt sowie fristgerecht eingereicht werden. Das stellt Unternehmen vor die Herausforderung, sämtliche relevanten Informationen lückenlos zu dokumentieren.
Beim Vertrags- und Outsourcing-Management steigen die Anforderungen deutlich an. Verträge müssen nun nicht nur für IKT-Dienstleister, sondern auch für „Non-IKT-Dienstleister“ verstärkte Klauseln enthalten, etwa zu Auditrechten, Datenlokation, Sub-Supplier-Regelungen sowie Exit- und Continuity-Vorgaben.
Für das Incident-Reporting gilt eine einheitliche und kurze Meldepflicht. Gleichzeitig besteht eine strikte Verpflichtung zur internen Dokumentation von Reaktions- und Eskalationsprozessen. Die Aufsichtsbehörden erwarten nachvollziehbare und klar definierte Abläufe.
Im Bereich Tests und TLP-/TIB-Anforderungen müssen regelmäßige Resilienz-Tests durchgeführt werden, die auf einer aussagekräftigen Testplanung basieren und eine belastbare Überprüfung der Sicherheitsmaßnahmen ermöglichen.
Schließlich führt der NIS2-Overlap zu einem steigenden Gesamtumfang an Cyber-Governance-Pflichten für Dienstleister. Dazu gehören Pflichten im Rahmen des ISMS, erweitertes Reporting, definierte Sanktionsrahmen und weitere regulatorische Anforderungen, die in die bestehenden Strukturen integriert werden müssen.
Bereits identifizierte Lücken im Rahmen von Prüfungsfeststellungen:
Es bestehen deutliche Defizite bei Strategien, Richt- und Leitlinien zu kritischen und wichtigen Funktionen sowie zu IKT-Drittdienstleistungen. Besonders auffällig sind fehlende oder unzureichende Konzepte und Leitfäden der “First-Line-of-Defense“.
Darüber hinaus führen unzureichend klassifizierte IKT-Dienstleistungsbezüge zu lückenhaften Informationsregistern. Schwächen zeigen sich auch bei der Einordnung und Abgrenzung von Drittdienstleistungen sowie in der Risikoanalyse und -bewertung.
Vertragliche Regelungen mit Dienstleistern sind häufig unzureichend, beispielsweise fehlen Vereinbarungen über Prüfrechte oder deren Nutzung. Zudem mangelt es an definierten Leistungsstandards wie KPIs, Serviceleveln (SLAs) oder anderen Qualitätsvorgaben. Nicht zuletzt fehlen klare Definitionen für risikorelevante Informationen, was die Transparenz und Steuerung zusätzlicher Risiken erschwert.
Die To-Do-Liste ist lang, und den Überblick zu behalten ist eine Herausforderung, die es zu meistern gilt.
Unterstützung beim Drittdienstleistermanagement
Mit unserer langjährigen Expertise unterstützen wir Finanzinstitute und Dienstleister bei den wichtigsten To-Dos.
Wichtig ist die Priorisierung der Top-Drittanbieter bzw. der wichtigsten IKT-Dienstleister. Bis zum Jahresende 2025 im Fokus stehen die Überprüfung der aktuellen Register und die anschließende Datenaufbereitung für Ergänzungen und Nachreichungen.
Incident- und Melde-Templates werden erstellt und Reporting-Owner benannt. Bei den Drittdienstleister-Verträgen stehen die Anpassungen kritischer Verträge und die Ergänzungen von Auditrechten und Exitstrategien im Fokus.
Für die Dienstleister ist zu prüfen, welche Geschäftsbereiche / Leistungskategorien künftig unter die NIS2 fallen könnten und welche zusätzlichen Nachweise erforderliche sind.
Wir unterstützen Sie bei Vertrags- und Dienstleistersteuerung, als auch beim Auslagerungs- und IKT-Drittdienstleistermanagement und bieten Support bei der Vorbereitung, Durchführung und Nachbereitung der bevorstehenden Audits.
Kontaktieren Sie uns und lassen Sie uns die Anforderungen gemeinsam bewältigen!
Ihre Ansprechpartner bei der WG-DATA GmbH für Finanzunternehmen und Dienstleister:
Ihre Ansprechpartnerin
Irena Hansmann
Managerin
Risiken und Compliance
irena.hansmann@wg-data.de
Ihr Ansprechpartner
Ergün Canbay
Manager
Risiken und Compliance
erguen.canbay@wg-data.de
