Warum die neue Orientierungshilfe der BaFin zu IKT-Risiken beim Einsatz von künstlicher Intelligenz in die richtige Kerbe schlägt

10 min read
Warum die neue Orientierungshilfe der BaFin zu IKT-Risiken beim Einsatz von künstlicher Intelligenz in die richtige Kerbe schlägt

Die BaFin hat eine neue Orientierungshilfe zu IKT-Drittparteirisikomanagement veröffentlicht, die Finanzinstitute bei der Umsetzung der DORA-Anforderungen an das Management von ICT-Dienstleistern unterstützt. Dieses Dokument konkretisiert die aufsichtlichen Erwartungen und gibt praktische Hinweise für die Implementierung — ein wichtiger Kompass für Institute, die zwischen den abstrakt formulierten DORA-Artikeln und der operativen Umsetzung navigieren.

Dieser Artikel analysiert die zentralen Inhalte der Orientierungshilfe, ordnet sie in den regulatorischen Kontext ein und zeigt, welche konkreten Maßnahmen Finanzinstitute jetzt ergreifen sollten.

Kontext: Warum diese Orientierungshilfe?

DORA Artikel 28–44 regeln das ICT-Drittparteirisikomanagement umfassend, lassen aber Interpretationsspielräume bei der praktischen Umsetzung. Die BaFin-Orientierungshilfe schließt diese Lücke: Sie übersetzt die EU-Verordnung in konkrete aufsichtliche Erwartungen für den deutschen Markt. Für Institute, die bisher mit MaRisk AT 9 (Auslagerungen) und den BAIT/VAIT gearbeitet haben, zeigt die Orientierungshilfe, wo DORA über die bisherigen Anforderungen hinausgeht.

Zentrale Inhalte der Orientierungshilfe

1. ICT-Drittparteienregister

Die BaFin erwartet ein vollständiges, aktuelles Register aller ICT-Dienstleister mit: Vertragsinformationen, Kritikalitätseinordnung, erbrachten Leistungen, Datenstandorten, und Unterauftragnehmerketten. Das Register muss jederzeit für aufsichtliche Anfragen verfügbar sein. Die BaFin betont, dass das Register nicht nur eine Bestandsliste, sondern ein aktives Steuerungsinstrument sein muss.

2. Risikobewertung vor Vertragsabschluss

Vor der Beauftragung eines ICT-Dienstleisters müssen Institute: die Kritikalität der ausgelagerten Funktion bewerten, die IKT-Risikomanagement-Fähigkeiten des Anbieters prüfen, Konzentrationsrisiken analysieren (Abhängigkeit von einzelnen Anbietern), und Exit-Strategien dokumentieren. Die Orientierungshilfe konkretisiert, welche Nachweise die BaFin als ausreichend betrachtet.

3. Vertragliche Mindestanforderungen

Die Orientierungshilfe listet die nach DORA Artikel 30 geforderten Vertragsklauseln und gibt Formulierungshinweise:

  • Audit- und Zugangsrechte: Das Institut muss den Anbieter vor Ort prüfen können oder sich auf unabhängige Prüfberichte stützen dürfen.
  • Incident-Meldepflichten: Der Dienstleister muss Sicherheitsvorfälle innerhalb definierter Fristen melden (kompatibel mit DORA 4h/24h/72h).
  • Kündigungsrechte und Exit-Strategien: Klare Regelungen für den geordneten Übergang bei Vertragskündigung, einschließlich Datenrückgabe und Übergangsunterstützung.
  • Unterauftragsvergabe: Zustimmungsvorbehalte und Transparenz bei Weiterverlagerung an Subdienstleister.

4. Laufende Überwachung

Die Orientierungshilfe betont, dass die jährliche Bewertung nicht ausreicht. Institute müssen: kontinuierliches Monitoring der Dienstleisterperformance implementieren, Sicherheitsratings oder vergleichbare Indikatoren nutzen, Vorfälle beim Dienstleister zeitnah erfassen und bewerten, und regelmäßige Vertragsreviews durchführen (mindestens jährlich für kritische Dienstleister).

5. Konzentrationsrisiko

Ein Schwerpunkt der Orientierungshilfe: die BaFin erwartet eine systematische Analyse von Konzentrationsrisiken. Wenn mehrere kritische Funktionen von einem einzigen Cloud-Anbieter abhängen, muss das Institut: das Risiko quantifizieren, Alternativstrategien dokumentieren, Exit-Fähigkeit nachweisen, und das Konzentrationsrisiko in die Risikoberichterstattung an den Vorstand aufnehmen.

Was Institute jetzt tun sollten

  1. Bestandsaufnahme: Vollständiges ICT-Drittparteienregister erstellen oder aktualisieren. Alle Dienstleister nach Kritikalität klassifizieren.
  2. Vertragsreview: Bestehende Verträge mit kritischen ICT-Dienstleistern gegen DORA Artikel 30 und die BaFin-Anforderungen prüfen. Lücken dokumentieren und Nachverhandlungen initiieren.
  3. Monitoring aufbauen: Kontinuierliches Dienstleister-Monitoring implementieren — mindestens Security Ratings, Incident-Tracking und Performance-KPIs.
  4. Konzentrationsanalyse: Systematische Bewertung der Abhängigkeiten von einzelnen Anbietern. Exit-Strategien für kritische Dienstleister dokumentieren und testen.
  5. Governance stärken: ICT-Drittparteienrisiko als regelmäßigen Vorstandsbericht etablieren. Eskalationswege definieren.

Häufig gestellte Fragen

Ersetzt die Orientierungshilfe die MaRisk AT 9 Anforderungen?

Nein. DORA und die BaFin-Orientierungshilfe ergänzen MaRisk AT 9 für ICT-spezifische Auslagerungen. MaRisk AT 9 bleibt für nicht-ICT-bezogene Auslagerungen relevant. Institute müssen beide Rahmenwerke berücksichtigen, können aber ein integriertes Auslagerungsmanagement betreiben.

Wie granular muss das ICT-Drittparteienregister sein?

Die BaFin erwartet für jeden ICT-Dienstleister mindestens: Vertragspartner und Kontaktdaten, erbrachte ICT-Leistung, Kritikalitätseinordnung, Datenstandorte (einschließlich Subdienstleister), Vertragslaufzeit und Kündigungsfristen, und letzte Risikobewertung mit Datum.

Was passiert bei Nichteinhaltung?

Die BaFin kann im Rahmen des SREP-Prozesses Feststellungen treffen, die zu: Auflagen und Fristen für die Nachbesserung, erhöhten Kapitalanforderungen (Pillar 2), Beschränkungen für neue Auslagerungen, und im schwerwiegenden Fall zu Bußgeldern führen können.

Hat ihnen der Beitrag gefallen? Teilen Sie es mit:

Ihr strategischer Erfolg beginnt hier

Unsere Kunden vertrauen auf unsere Expertise in digitaler Transformation, Compliance und Risikomanagement

Bereit für den nächsten Schritt?

Vereinbaren Sie jetzt ein strategisches Beratungsgespräch mit unseren Experten

30 Minuten • Unverbindlich • Sofort verfügbar

Zur optimalen Vorbereitung Ihres Strategiegesprächs:

Ihre strategischen Ziele und Herausforderungen
Gewünschte Geschäftsergebnisse und ROI-Erwartungen
Aktuelle Compliance- und Risikosituation
Stakeholder und Entscheidungsträger im Projekt

Bevorzugen Sie direkten Kontakt?

Direkte Hotline für Entscheidungsträger

Strategische Anfragen per E-Mail

Detaillierte Projektanfrage

Für komplexe Anfragen oder wenn Sie spezifische Informationen vorab übermitteln möchten