Mit der 9. MaRisk Novelle Konsultation vom 01.04.2026 wird AT 9 künftig ausschließlich Non ICT Auslagerungen regeln und damit nur noch einen kleinen Teil des Third Party Risikos abdecken. Die neuen „EBA Draft Guidelines on the sound management of third party risk“ gelten dagegen für alle CRR Institute – nicht nur bedeutende – und setzen einen deutlich breiteren, funktionsorientierten Maßstab für das Management von Non ICT Drittparteien. Sie schaffen einen europäischen Rahmen für sämtliche Non ICT Drittparteienbeziehungen, strukturieren Register, Risikoanalyse, Due Diligence und Vertragsgestaltung neu und lösen sich vom klassischen Auslagerungsbegriff. IKT Drittparteien sind ausgenommen und fallen vollständig unter DORA. Damit entsteht ein klarer Ordnungsrahmen: DORA für ICT Risiken, künftige AT 9 für Non ICT Auslagerungen und die EBA Guidelines on the sound management of third party risk als Gesamtmodell für das Non ICT Third Party Risk Management. Die Umsetzung nach finaler Veröffentlichung der neuen MaRisk und der EBA Guideline erfordert angepasste Governance Strukturen und ein institutsweites TPRM Framework.
