Überarbeitete EBA-Leitlinien – Worauf liegt nun der Fokus?
Die Anpassungen der Leitlinien für das Management von IKT- und Sicherheitsrisiken stehen in engem Zusammenhang mit dem kürzlich erfolgten Inkrafttreten des Digital Operational Resilience Act (DORA), der seit dem 17. Januar 2025 EU-weit gilt.
Die Änderungen schränken den Anwendungsbereich der ursprünglichen Leitlinien aus dem Jahr 2019 (EBA/GL/2019/04) erheblich ein, um sie an den harmonisierten Rahmen von DORA anzugleichen. Künftig werden die Leitlinien nur noch für bestimmte Institute gelten. Dazu gehören:
- Kreditinstitute
- Zahlungsinstitute
- Kontoinformationsdienstleister
- Ausgenommene Zahlungs- und E-Geld-Institute
Hierbei ist hervorzuheben, dass der Schwerpunkt der Leitlinien nun nicht mehr auf dem allgemeinen IKT-Risikomanagement liegt, sondern speziell auf der Pflege der Beziehungen zu den Nutzern von Zahlungsdiensten. Dies umfasst PSD2-bezogene Bereiche wie sichere Kommunikation, Datenschutz und durchgehende Serviceverfügbarkeit. Breiter angelegte Aktivitäten im Rahmen des IKT- und Sicherheitsrisikomanagements werden nun durch DORA geregelt.
BankingHub-Newsletter
Analysen, Artikel sowie Interviews rund um Trends und Innovationen im Banking alle 2-3 Wochen direkt in Ihr Postfach
Welche Ziele verfolgte die EBA primär mit der Überarbeitung der Leitlinien?
Es ist anzunehmen, dass die EBA mit der Überarbeitung der Leitlinien primär das Ziel verfolgte, regulatorische Überschneidungen zu beseitigen und mehr Rechtsklarheit zu schaffen.
Da DORA bereits umfassende und verbindliche Anforderungen an das IKT-Risikomanagement im gesamten EU-Finanzsektor festsetzt, ging es der EBA um folgende Punkte:
- Überschneidungen mit den in DORA festgelegten Compliance-Verpflichtungen zu vermeiden
- Die Kohärenz der Leitlinien mit dem DORA-Rechtsrahmen sicherzustellen (z. B. durch Angleichung der Terminologie)
- Klar zu definieren, welche Institute und Zuständigkeiten unter der direkten Aufsicht der EBA verbleiben
Die Änderungen tragen zudem zu einem kohärenteren EU-weiten Aufsichtsrahmen bei; dies gilt insbesondere für Institute, die nicht in den Anwendungsbereich von DORA fallen, aber weiterhin nationalen Vorschriften oder Anforderungen der PSD2 unterliegen.
Welche Auswirkungen haben die Änderungen für Institute?
Die überarbeiteten Leitlinien traten am 20. Mai 2025 in Kraft. Bis spätestens zu diesem Datum musste auch die Einhaltung der Vorschriften sichergestellt werden.
Für Institute, die vollständig DORA unterliegen und weiterhin in den nun engeren Anwendungsbereich der EBA-Leitlinien fallen, sind keine zusätzlichen Maßnahmen erforderlich. Institute, die nicht mehr unter die Leitlinien fallen, sind jedoch gut beraten, ihren aktuellen Compliance-Rahmen zu überprüfen. Je nachdem, wie die Leitlinien auf nationaler Ebene umgesetzt wurden, könnte bei diesen Instituten Potenzial zur Verschlankung interner Prozesse und zur Verringerung des regulatorischen Aufwands bestehen.
