MaRisk 2026: Weg von der Checkbox-Compliance, hin zur prinzipienbasierten Steuerung. Erfahre alles zur 9. Novelle, der neuen Institutsklassifizierung (SNCI) und wie du die „Begründungslogik“ als strategische Chance für dein Risikomanagement nutzt.
Die deutsche Bankenaufsicht vollzieht eine historische Kehrtwende: Rund 20 Jahre nach Einführung der MaRisk markiert die am 1. April 2026 veröffentlichte 9. Novelle das Ende der starren „Checkbox-Mentalität“. Mit MaRisk 10.0 gibt die BaFin den Instituten die methodische Freiheit zurück – fordert im Gegenzug jedoch eine lückenlose, prüfbare Begründungskette. Die Beweislast für die Angemessenheit gewählter Lösungen liegt nun vollständig beim Institut.
Das ist keine reine Verwaltungsreform, sondern eine massive strategische Chance: Wer die neue Proportionalitätslogik versteht, entschlackt seine Prozesse, reduziert regulatorischen Overhead und fokussiert sich wieder auf die tatsächliche Risikosteuerung statt auf formale Dokumentation. Die Novelle ist die Antwort der Aufsicht auf eine überkomplex gewordene Regulierungsdichte und schafft endlich die notwendigen Spielräume für eine nach Institutsgröße abgestufte Anwendung.
Gleichzeitig integriert die Aufsicht zentrale Elemente aus DORA (Digital Operational Resilience Act), CRD VI sowie den neuesten EBA-Guidelines zur Umwelt-Szenarioanalyse (EBA/GL/2025/04). Damit werden regulatorische Doppelungen abgebaut und Widersprüche zwischen nationalen und europäischen Vorgaben – insbesondere an der Schnittstelle zwischen IKT-Risiken und allgemeinem Auslagerungsmanagement – konsequent beseitigt.
Dieser Fachartikel analysiert die wesentlichen Inhalte der BaFin-Konsultation vom April 2026. Er ordnet die neue, transparente Institutsklassifizierung in sehr kleine Institute, kleine Institute (SNCI) und LSIs ein und zeigt konkrete Handlungsfelder auf. Zudem beleuchten wir die neue Urteilskompetenz, die künftig von Geschäftsleitern zwingend gefordert wird, um den Paradigmenwechsel zur Begründungslogik prüfungssicher zu bestehen.
Von der Detailvorgabe zur Prinzipienorientierung
Mit dem am 1. April 2026 veröffentlichten Konsultationsentwurf der 9. MaRisk-Novelle (MaRisk 10.0) vollzieht die BaFin eine bewusste Rückbesinnung auf die ursprüngliche Konzeption aus dem Jahr 2005. Das Ziel ist eine qualitativ hochwertige, risikoadäquate Steuerung auf Basis fundierter Eigenverantwortung statt formaler Regelerfüllung. Die Aufsicht verfolgt dabei zwei strategische Hauptziele:
Ziel 1: Radikale Reduktion der Komplexität
Die MaRisk wurden grundlegend entschlackt, um die Lesbarkeit zu erhöhen und administrative Lasten abzubauen. Dies wird erreicht durch:
Streichung von Redundanzen: Verzicht auf die Wiederholung gesetzlicher Vorgaben (z. B. aus dem KWG) und allgemeiner Management-Plattitüden.
Fokussierung der Verweise: Deutliche Reduktion dynamischer Verweise auf europäische Leitlinien. Die MaRisk sollen wieder als „Stand-alone“-Rahmenwerk für LSIs funktionieren.
Erweiterung der Ermessensspielräume: Weniger granulare „Muss-Vorschriften“ zugunsten von zielorientierten Grundsätzen.
Ziel 2: Transparente Proportionalität durch neue Klassifizierung
Die Novelle beendet die Unsicherheit bei der Anwendung von Öffnungsklauseln durch eine klare, dreistufige Institutsklassifizierung:
Sehr kleine Institute (bis 1 Mrd. € Bilanzsumme): Weitgehende Befreiung von komplexen Dokumentationspflichten (z. B. Entfall inverser Stresstests).
Kleine Institute (SNCIs gemäß CRR): Deutliche Erleichterungen bei gleichzeitigem Fokus auf eine modulbezogene Angemessenheitsprüfung.
Übrige LSIs: Anwendung des prinzipienbasierten Vollumfangs unter Berücksichtigung der individuellen Risikostruktur. Hinweis: Bedeutende Institute (SIs) unter direkter EZB-Aufsicht wurden offiziell aus dem Anwendungsbereich herausgenommen.
Keine Checkbox-Compliance – Die prüfbare Begründungskette zählt
Das zentrale Leitbild der MaRisk 10.0 lautet: Freiheit durch Begründung. Institute sollen keine formalen Detailanforderungen mehr „abhaken“, sondern die Beweislast für die Angemessenheit ihrer gewählten Lösungen tragen. Dies bedeutet konkret:
Urteilskompetenz als Prüfungsmaßstab: Maßgeblich ist nicht mehr das bloße Vorhandensein eines Dokuments, sondern die Qualität der Herleitung. Die Geschäftsleitung muss erklären können, warum gewählte Methoden (z. B. beim Risikotragfähigkeitskonzept) zum spezifischen Risikoprofil passen.
Wesentlichkeit & 5 %-Schwelle: Die BaFin erkennt nun offiziell eine Wesentlichkeitsschwelle von 5 % des ökonomischen Risikodeckungspotenzials (RDP) als Orientierungsgröße an. Wer Risiken unterhalb dieser Schwelle pauschal behandelt, muss lediglich sicherstellen (und dokumentieren), dass keine gefährlichen Kumulationseffekte entstehen.
Doppelte Proportionalität: Die Erleichterungen für kleinere Häuser sind kein „Freibrief“, sondern an eine erhöhte Begründungspflicht geknüpft. Je stärker von den Standardanforderungen abgewichen wird, desto präziser muss die Risiko-Angemessenheit im Rahmen der Risikoinventur hergeleitet werden.
Konsequenz für die Prüfungspraxis: Die BaFin hat klargestellt, dass Aufsichtsprüfer künftig primär die Plausibilität und Konsistenz der Begründungsketten bewerten. Ein „Mangel“ entsteht künftig weniger durch das Fehlen eines formalen Prozesses, sondern durch die Unfähigkeit des Instituts, die Angemessenheit seiner Steuerung methodisch sauber zu begründen.
Was Sie jetzt tun sollten (Umsetzungsempfehlung):
Überprüfen Sie Ihre bestehenden Organisationsrichtlinien (SfO). Überall dort, wo Sie Öffnungsklauseln nutzen, sollte bereits jetzt eine „Proportionalitäts-Akte“ angelegt werden. Diese dokumentiert pro AT- und BT-Modul die fachliche Herleitung, warum die gewählte Vereinfachung angesichts Ihres Geschäftsmodells risikoadäquat ist.
Strategischer Hinweis: Dieser Paradigmenwechsel bietet die Chance, das Risikomanagement von einem „Cost-Center“ zu einem agilen Steuerungsinstrument umzubauen. Die gewonnene Freiheit in der Methodenwahl reduziert den administrativen Overhead spürbar, sofern die Dokumentationslogik einmalig sauber aufgesetzt wurde.
Die 5-%-Hürde: Schwellenwert mit Warnhinweis
Mächtiges Werkzeug mit Kumulationsvorbehalt
Die 9. MaRisk-Novelle führt mit der quantitativen Orientierungsgröße von 5 % des Risikodeckungspotenzials (RDP) in der ökonomischen Perspektive (AT 2.2) ein klares Instrument zur Wesentlichkeitsbeurteilung ein. Dies ist ein entscheidendes Signal für die Proportionalität, da es Instituten ermöglicht, Ressourcen gezielt auf die „echten“ Risikotreiber zu fokussieren.
Doch Vorsicht: Die BaFin stellt in ihrem Konsultationsentwurf klar, dass dieser Schwellenwert kein automatischer „Freibrief“ für eine Vernachlässigung kleinerer Risiken ist. Die Anwendung ist an zwei strikte Bedingungen geknüpft:
1. Der Kumulationsvorbehalt
Die Aufsicht wird ihr Augenmerk in künftigen Prüfungen verstärkt auf sogenannte Aggregationseffekte richten. Institute müssen proaktiv nachweisen können, dass die Summe zahlreicher als „unwesentlich“ eingestufter Einzelrisiken in der Aggregation:
nicht doch eine Gefährdung für die Risikotragfähigkeit darstellt,
keine systemischen Risiken maskiert und
nicht durch gemeinsame Risikofaktoren (z. B. ESG-Treiber) zeitgleich schlagend werden kann.
2. Die präzise Überwachung von „Summenrisiken“
Die neue Begründungslogik verlangt eine ganzheitliche Sicht. Wer Risiken unterhalb der 5-%-Schwelle vereinfacht behandelt (z. B. durch pauschale Puffer oder Säule-1-Plus-Ansätze), unterliegt einer erhöhten Dokumentationspflicht im Rahmen der Risikoinventur.
Aktion: Es muss dokumentiert werden, wie das Institut sicherstellt, dass diese „unwesentlichen“ Risiken laufend überwacht werden, um einen unbemerkten Anstieg über die Wesentlichkeitsschwelle zu verhindern.
Praxistipp für die Umsetzung:
Führen Sie in Ihrer Risikoinventur eine „Schattenrechnung der Unwesentlichen“ ein. Listen Sie alle Risiken auf, die unter die 5-%-Regel fallen, und bilden Sie deren Summe. Übersteigt diese Gesamtsumme einen institutsindividuellen kritischen Wert (z. B. 15 % oder 20 % des RDP), ist eine detailliertere Analyse zwingend erforderlich, auch wenn jedes Einzelrisiko für sich genommen „klein“ bleibt.
Fazit: Die 5-%-Hürde ist ein mächtiges Instrument zur Prozessverschlankung. Sie funktioniert jedoch nur dann prüfungssicher, wenn die Begründungskette die Nicht-Wesentlichkeit nicht nur behauptet, sondern durch eine saubere Analyse der Interdependenzen und Kumulationen belegt.
Von der Aufsichtsmitteilung 2024 zum MaRisk-Standard 2026
Die Verstetigung der Erleichterungen für SNCI
Was die BaFin bereits am 26.11.2024 in ihrer Aufsichtsmitteilung zu „Erleichterungen für kleine und sehr kleine Institute“ als richtungsweisenden Vorgriff skizzierte, findet nun im Konsultationsentwurf der 9. Novelle seine formale gesetzliche Verankerung.
Die BaFin hält Wort: Die damals beschriebenen Vereinfachungen sind nun integraler Bestandteil der MaRisk 10.0. Damit wird die Unsicherheit beendet, ob diese Erleichterungen nur temporärer Natur waren. Folgende Kernpunkte der Mitteilung wurden direkt in den neuen Standard überführt:
Fokussierte Risikoinventur: Konzentration auf wesentliche Risiken unter Nutzung der 5-%-RDP-Schwelle.
Verschlankte Stresstests: Massive Reduktion der Szenarioanzahl und Komplexität für kleinere Häuser.
Funktionenbündelung: Die offizielle Erlaubnis zur Zusammenlegung von Schlüsselfunktionen (z. B. Compliance und Auslagerung) zur Ressourcenschonung.
Verbundvorteile: Anerkennung gruppen- oder verbundinterner Lösungen (z. B. bei der Dienstleisterbewertung), um Doppelarbeiten zu vermeiden.
Reporting-Effizienz: Wegfall redundanter Berichte (z. B. Sanierungsindikatoren für sehr kleine Institute).
Der entscheidende Hinweis für die Praxis: Die BaFin betont im aktuellen Entwurf erneut, dass die Verantwortung für die Nutzung dieser Erleichterungen bei der Geschäftsleitung liegt. Die damals geforderte „plausible Begründung“ ist nun der Kern der neuen Begründungslogik. Institute, die bereits seit Ende 2024 auf Basis der Aufsichtsmitteilung gearbeitet haben, sind somit bestens für die 9. Novelle gerüstet.
MaRisk 10.0 & DORA: Risikomanagement effizient gestalten
Integration und Abgrenzung europäischer Regelwerke
DORA: Die regulatorische Demarkationslinie
Ein Kernstück der 9. MaRisk-Novelle (MaRisk 10.0) ist die finale Demarkationslinie zwischen den nationalen Anforderungen und dem europäischen DORA (Digital Operational Resilience Act). Ziel der Aufsicht ist die strikte Vermeidung von Doppelregulierung und der Aufbau eines „Single Rulebooks“.
DORA-Zuständigkeit (Exklusivität)
Der Konsultationsentwurf 2026 stellt klar: IKT-Risiken unterliegen ab sofort exklusiv der DORA-Logik. Dies umfasst:
IKT-Drittparteienrisikomanagement: Die Überwachung von IT-Dienstleistern folgt rein den DORA-Vorgaben.
Digitale Resilienz-Tests: Inklusive der Durchführung von TLPT für bedeutende Institute.
Meldewesen: Einheitliche Wege für schwerwiegende IKT-Vorfälle.
MaRisk-Zuständigkeit (Governance-Rahmen)
Die MaRisk bleiben der zentrale nationale Anker für Nicht-IKT-Themen und die übergeordnete Steuerung:
Sonstige Auslagerungen: Strategische Steuerung von Dienstleistern in Bereichen wie Kreditbearbeitung, Wertpapierabwicklung oder Facility Management (AT 9).
Allgemeines Notfallmanagement: Übergeordnete Strategien (AT 7.3), die über die reine IT-Wiederherstellung hinausgehen.
Übergreifende Governance: Die Letztverantwortung der Geschäftsleitung für das Gesamtrisikoprofil des Instituts.
Anpassungen in AT 7.2, AT 7.3 und AT 9
Die BaFin hat die Module AT 7.2 (IKT) und AT 9 (Auslagerungen) im Entwurf 2026 radikal entschlackt. Die MaRisk enthalten hier fast nur noch dynamische Verweise auf DORA.
Praktische Konsequenz: Institute müssen ihr Auslagerungsregister in zwei Stränge teilen. Während für IKT-Dienstleister die spezifischen DORA-Mindestklauseln zwingend sind, gilt für sonstige Dienstleister weiterhin die klassische MaRisk-/EBA-Logik.
ESG-Risiken: Von der Integration zur Resilienzanalyse
Während die vorangegangenen Novellen ESG-Risiken primär als „Risikotreiber“ einführten, harmonisiert die 9. Novelle die Anforderungen nun mit den neuesten EBA-Leitlinien zur Umwelt-Szenarioanalyse (EBA/GL/2025/04).
Die BaFin präzisiert im Entwurf:
10-Jahres-Horizont: Institute müssen nun zwingend Resilienzanalysen über einen Zeitraum von mindestens 10 Jahren durchführen, um langfristige physikalische und transitorische Klimarisiken abzubilden.
Methoden-Mix: Gefordert wird ein Mix aus portfolio-, sektor- und szenariobezogenen Methoden. Ein reines Abstellen auf historische Daten wird als unzureichend abgelehnt.
Proportionalität für SNCI: Für kleine Institute (SNCI) und sehr kleine Institute stellt die BaFin klar, dass qualitative Ansätze ausreichend sind, sofern keine signifikanten Klumpenrisiken in exponierten Sektoren vorliegen.
Interne Governance: EBA-Leitlinien im Blick
Die 9. MaRisk-Novelle dient auch der Harmonisierung mit den aktualisierten europäischen Vorgaben zur internen Organisation. Hierbei ist jedoch eine wichtige regulatorische Besonderheit zu beachten:
Status der EBA-Leitlinien: Die neuen Leitlinien zur internen Governance (Internal Governance), auf die sich die MaRisk 10.0 bezieht, liegen vonseiten der EBA aktuell noch als Konsultationsfassung vor.
Operative Konsequenz: Da die finale Fassung der EBA-Leitlinien noch aussteht, besteht hier ein gewisses Maß an „regulatorischer Unschärfe“. Institute sollten ihre Governance-Anpassungen (AT 4.4.1) daher so flexibel gestalten, dass spätere Feinjustierungen aus dem finalen EU-Papier ohne kompletten Prozessumbau integriert werden können.
Schwerpunkte: Es zeichnet sich ab, dass die EBA den Fokus verstärkt auf die Diversität in Leitungsorganen, die kollektive Eignung des Vorstands und eine noch tiefere Verankerung von Nachhaltigkeitsaspekten in der Aufbauorganisation legt.
IRRBB und CSRBB: Die finale Justierung
Die 9. Novelle nutzt zudem die Gelegenheit zur Feinjustierung von BTR 5 (Kreditspreadrisiken) nach den Erfahrungen der 8. Novelle:
Integration: CSRBB muss nun vollumfänglich und methodisch konsistent in die ökonomische und normative Risikotragfähigkeit integriert sein.
Klarstellung: Die Abgrenzung zwischen marktinduzierten Spreadschwankungen und bonitätsbedingten Änderungen wurde methodisch geschärft, um die Vergleichbarkeit der Stresstestergebnisse zu erhöhen.
Zusammenfassung: Was Sie jetzt tun sollten
1. Provider-Klassifizierung: Führen Sie ein Audit Ihres Dienstleister-Portfolios durch. Trennen Sie strikt in „IKT-Drittpartei“ (DORA) und „sonstige Auslagerung“ (MaRisk AT 9).
2. Szenario-Inventur: Erweitern Sie Ihre Stresstest-Szenarien um die geforderte 10-jährige ESG-Perspektive. Dokumentieren Sie bei SNCI explizit die Angemessenheit Ihres qualitativen Ansatzes.
3. Governance-Monitoring: Behalten Sie den Status der EBA-Konsultation zur Internen Governance im Blick, um bei der Finalisierung der MaRisk Ende 2026 nicht von Detailänderungen überrascht zu werden.
IRRBB und CSRBB: Klarstellung und operative Verschlankung
Mit der 9. MaRisk-Novelle (MaRisk 10.0) reagiert die Aufsicht auf die hohen Umsetzungsaufwände der Vorgängerversion. Die starre Verweisungslogik auf EBA-Leitlinien wird zugunsten eines prinzipienorientierten, nationalen Standards aufgebrochen.
Die wichtigsten Änderungen im Überblick:
1. Flexibilität in der Ermittlung (BTR 5 Tz. 1)
Kreditspreadrisiken im Anlagebuch (CSRBB) müssen nicht zwingend als isolierte Risikoart geführt werden.
Neu: CSRBB kann gemeinsam mit anderen Risikoarten (z. B. Marktrisiko) ermittelt werden.
Bedingung: Unabhängig von der internen Zusammenfassung muss der Ausweis im Berichtswesen separat erfolgen, um die Transparenz zu wahren.
2. Präzisierung des Perimeters (BTR 5 Tz. 2)
Das Institut bestimmt eigenverantwortlich, welche Positionen einem Kreditspreadrisiko unterliegen. Dabei gelten klare Leitplanken:
Einbeziehungspflicht: Zum beizulegenden Zeitwert bewertete Positionen der Aktivseite sind zwingend zu berücksichtigen.
Ausschlussmöglichkeit: Notleidende Risikopositionen (NPLs) werden explizit nicht berücksichtigt.
Begründungspflicht: Die Nichtberücksichtigung von Positionen ist keine pauschale Entscheidung mehr, sondern muss angemessen begründet und dokumentiert werden.
3. Erleichterungen für bestimmte Produkte
Eine pauschale Ausnahme von Positionen allein aufgrund der Haltedauer ist weiterhin untersagt. Jedoch erlaubt die Aufsicht nun pauschalere Betrachtungen für Nichtberücksichtigungen bei:
Standard-Krediten: Wenn die Kreditkonditionierung keine Kreditspreadsensitivität aufweist und keine Veräußerungsabsicht besteht.
Derivaten: Wenn der Basiswert per Konstruktion keine Kreditrisikosensitivität besitzt.
4. Konservative Vereinfachung (BTR 5 Tz. 3)
Idiosynkratische Komponenten: Diese dürfen nun bei der Bestimmung berücksichtigt werden, sofern dies zu einer konservativeren Risikomessung führt und plausibel begründet ist.
5. Harmonisierung mit DORA und CRR
Kleines Handelsbuch: Institute mit einem kleinen Handelsbuch (gemäß Art. 94 CRR) müssen eine integrierte Behandlung von Handels- und Anlagebuch vornehmen, sofern das Kreditspreadrisiko nicht anderweitig abgedeckt ist.
Interne Risikotransfers: Transfers zwischen Anlage- und Handelsbuch müssen lückenlos dokumentiert sein und im Einklang mit der Risikopolitik stehen.
Was Sie jetzt tun sollten (Handlungsempfehlung):
1. Inventur der CSRBB-Positionen: Überprüfen Sie Ihr Anlagebuch. Nutzen Sie die neue Möglichkeit, Standard-Kredite ohne Spreadsensitivität begründet aus dem Perimeter zu nehmen, um das zu steuernde Volumen zu fokussieren.
2. Anpassung der Berichterstattung: Stellen Sie sicher, dass Ihr Reporting einen separaten Ausweis für CSRBB ermöglicht, auch wenn die Messung integriert mit anderen Risiken erfolgt.
3. Dokumentations-Check: Bereiten Sie die Begründungsketten für die Nichtberücksichtigung bestimmter Portfolien vor. Nach der neuen Philosophie ist die Plausibilität der Herleitung der zentrale Prüfungsanker.
Haben Sie bereits eine erste Indikation, welche Teile Ihres Kreditportfolios Sie unter der neuen Begründungslogik als „nicht spreadsensitiv“ klassifizieren möchten?
CRD VI und EBA-Leitlinien: Ende der „Verweis-Odysee“
Bisher glich das Studium der MaRisk oft einer Schnitzeljagd durch europäische Gesetzestexte. Zahlreiche dynamische Verweise auf EBA-Guidelines zwangen Institute dazu, bei jeder Aktualisierung auf EU-Ebene zeitaufwendige Impact-Analysen für ihre nationale Compliance durchzuführen.
Die 9. Novelle (MaRisk 10.0) bricht mit dieser Praxis und setzt auf das Prinzip „Nationale Eigenständigkeit bei europäischer Konformität“.
Die wesentlichen Änderungen im Überblick:
1. Reduktion dynamischer Verweise
Die BaFin verzichtet künftig weitgehend darauf, die MaRisk lediglich als „Hülle“ für europäische Leitlinien zu nutzen. Stattdessen werden die für den deutschen Markt relevanten Anforderungen direkt in den Text der MaRisk geschrieben.
Vorteil: Die MaRisk werden wieder zu einem „Single Point of Truth“. Ein Blick in das Rundschreiben genügt in den meisten Fällen, um die Erwartungshaltung der Aufsicht zu verstehen.
2. Integration statt Zitieren
Ausgewählte Inhalte aus der CRD VI (Capital Requirements Directive) und wesentliche Aspekte der EBA-Leitlinien werden stofflich in die MaRisk-Module integriert.
Klare Referenzpunkte: Wo Verweise unvermeidbar sind (z. B. bei hochtechnischen Standards), werden diese so präzise gesetzt, dass Widersprüche zum EU-Recht ausgeschlossen sind, ohne den Lesefluss zu unterbrechen.
3. Proportionalität durch „Filterfunktion“
Nicht jede EBA-Leitlinie ist für jedes kleine Institut (SNCI) in voller Tiefe sinnvoll. Durch die Integration in die MaRisk fungiert die BaFin als regulatorischer Filter:
Die Aufsicht übersetzt die oft sehr komplexen europäischen Vorgaben in eine für den deutschen Markt angemessene Sprache und Detailtiefe.
Europäische Leitlinien bleiben als Auslegungshilfe im Hintergrund relevant, verlieren aber ihren Charakter als „unmittelbare Detailvorschrift“ innerhalb der MaRisk-Struktur.
Strategische Bedeutung für die Praxis:
Diese Entschlackung ist das Fundament für die neue Begründungslogik. Da die Anforderungen nun klarer im nationalen Text stehen, entfällt die Ausrede der „unklaren europäischen Vorgabe“. Institute können – und müssen – ihre Prozesse nun direkt gegen den MaRisk-Text spiegeln.
Checkliste für Ihr Rechtskataster:
Entschlackung: Prüfen Sie Ihr Rechtskataster auf Verweise, die durch die 9. Novelle hinfällig werden, da die Inhalte nun direkt in der MaRisk stehen.
Fokus-Shift: Nutzen Sie die freiwerdenden Kapazitäten in der Rechtsabteilung (weniger Monitoring von EBA-Updates), um die geforderten prüfbaren Begründungsketten für Ihre Proportionalitätsentscheidungen aufzubauen.
Zusammenfassend: Die MaRisk 10.0 beendet das Zeitalter der regulatorischen Suchspiele. Das Regelwerk wird schlanker, autonomer und für die Institute in der täglichen Anwendung deutlich effizienter.
Zentrale inhaltliche Handlungsfelder
1. Risikoinventur, Wesentlichkeit und Risikotragfähigkeit
Die 9. MaRisk-Novelle schafft durch klare Schwellenwerte die notwendige Entlastung für die Risikoinventur (AT 2.2). Die aufwändige Dokumentation marginaler Risiken entfällt zugunsten einer fokussierten Wesentlichkeitsbetrachtung.
Die 5-Prozent-Regel (RDP): Die BaFin legt 5 % des ökonomischen Risikodeckungspotenzials (RDP) als Orientierungsgröße für die Wesentlichkeit fest.
Vereinfachte Verfahren: Risiken unterhalb dieser Schwelle können über „Säule-1+“-Ansätze oder pauschale Risikopuffer abgedeckt werden.
Kumulations-Check: Institute müssen jedoch proaktiv dokumentieren, dass die Summe aller „unwesentlichen“ Einzelrisiken in der Aggregation keine systemische Gefährdung darstellt.
Präzisierung des ICAAP: Für den normativen und ökonomischen Ansatz werden im Entwurf 2026 standardisierte Erwartungen an die Abbildung von Stresstestrahmenwerken definiert, was die Vergleichbarkeit (Peer-Group-Analyse) erhöht.
2. Stresstests: Radikale Reduktion und Fokus
Die Anzahl der verpflichtenden Stresstests wird massiv zusammengestrichen, um die operative Effizienz zu steigern – insbesondere für kleinere Häuser.
Das 3-bis-5-Modell: Vorgesehen sind ein risikoartenübergreifender Gesamtbank-Stresstest sowie je ein Test pro wesentlicher Risikoart. Dies führt in der Praxis zu einer Frequenz von drei bis fünf Tests pro Jahr.
Entfall inverser Stresstests: Für sehr kleine Institute und SNCIs können inverse Stresstests künftig vollständig entfallen oder durch rein qualitative Analysen ersetzt werden, sofern das Standard-Programm die Risikotreiber ausreichend isoliert.
Anerkennung von Verbundszenarien: Die Nutzung von Szenarien der Verbünde oder der Aufsicht wird erleichtert. Bedingung: Das Institut muss in einer kurzen Begründungskette nachweisen, dass die Verbundszenarien für das eigene spezifische Risikoprofil repräsentativ sind.
Sensitivitätsanalysen: Sehr kleine Institute dürfen sich auf einfache Sensitivitätsbetrachtungen beschränken, um die Tragfähigkeit unter Stress zu bewerten.
3. Governance, Compliance und Interne Revision
Hier steht die qualitative Stärkung bei gleichzeitiger Verschlankung der administrativen Prozesse im Vordergrund.
Klare Aufgabenzuordnung: Die MaRisk 10.0 definiert die Rollen der Geschäftsleitung und des Aufsichtsorgans präziser. Der Fokus liegt auf der inhaltlichen Überwachung wesentlicher Rechtsvorschriften statt auf dem reinen „Abhaken“ von Compliance-Listen.
Effizienz durch Funktionenbündelung: Für SNCIs und sehr kleine Institute ist die Bündelung von Schlüsselfunktionen (z. B. Compliance- und Auslagerungsbeauftragter in Personalunion) nun offiziell zulässig, sofern die Unabhängigkeit gewahrt bleibt.
Revision als Prüfinstanz der Begründungslogik: Die Anforderungen an die Prozessdokumentation der Internen Revision werden schlanker. Im Gegenzug steigt die Anforderung an die Prüfung der Begründungsketten: Die Revision muss bewerten, ob die vom Institut gewählten Proportionalitätsentscheidungen methodisch schlüssig und angemessen sind.
4. Modelllandschaft und Validierung (AT 4.3.4)
Für Institute ab 5 Mrd. EUR Bilanzsumme (übrige LSIs) steigen die qualitativen Anforderungen an die technische Infrastruktur.
Verpflichtendes Modellinventar: Jedes eingesetzte Modell (Rating, Stresstest, ESG-Szenario, KI) muss zentral dokumentiert sein (Einsatzbereich, Validierungszyklus, Verantwortlichkeit).
Unabhängige Validierung: Für selbst entwickelte Modelle ist eine strikte Trennung zwischen Modellbau und Validierung zwingend. Dies betrifft insbesondere die neuen ESG-Risikomodelle und KI-gestützte Systeme.
Verbundlösungen: Kleinere Häuser können weiterhin auf Branchenpools zurückgreifen. Die Dokumentationslast bleibt hier minimal, solange die Vergleichbarkeit des eigenen Portfolios mit dem Pool-Standard einmal jährlich plausibilisiert wird.
Was Sie jetzt tun sollten:
Prüfen Sie Ihre aktuelle Stresstest-Planung. Durch den Entfall inverser Stresstests und die Anerkennung von Verbundszenarien ergeben sich für 2027 erhebliche Ressourcen-Einsparungen, die Sie bereits heute in den Aufbau der geforderten ESG-Datenstrategie (10-Jahres-Horizont) investieren können.
MaRisk 10.0 & DORA: Jetzt regulatorisch auf dem neuesten Stand bleiben
Neue BaFin-Vorgaben, DORA-Anforderungen und steigende Haftungsrisiken: In unseren Seminaren erhältst du konkrete Umsetzungstipps für dein Unternehmen.
MaRisk für Wertpapierinstitute
Handlungsfelder nach Institutsgrößen
Die konkreten Auswirkungen der 9. MaRisk-Novelle unterscheiden sich erheblich nach Institutsgröße. Tabelle 2 gibt einen Überblick über die zentralen Handlungsfelder je Größenklasse.
Sehr kleine Institute profitieren besonders stark von der Proportionalität der 9. MaRisk-Novelle. Die bereits im November 2024 von der BaFin angekündigten Erleichterungen sollen in die Verordnung einfließen.
Umsetzungsaufwand: Gering bis moderat. Der Aufwand entsteht vor allem dabei, nachvollziehbar zu begründen, weshalb die gewählten Vereinfachungen für das eigene Risikoprofil angemessen sind und ob die regulatorischen Mindestnormen für das eigene Ambitionsniveau ausreichen.
Zentrale Handlungsfelder:
Risikoinventur und Risikotragfähigkeit: Konzentration auf wesentliche Risiken mit einem Schwellenwert von 5 Prozent des ökonomischen Risikodeckungspotenzials; Nutzung vereinfachter Verfahren wie „Säule 1+“-Ansätze oder barwertnahe Verfahren.
Stresstests: Reduktion auf einen risikoartenübergreifenden Stresstest und je einen Test pro wesentlicher Risikoart; einfache Sensitivitätsanalysen können ausreichend sein; inverse Stresstests können qualitativ erfolgen oder gänzlich entfallen.
Funktionenbündelung: Compliance- und Auslagerungsbeauftragte dürfen als gemeinsame Funktion kombiniert werden, sofern deren operative Tätigkeiten weiter unabhängig voneinander stattfinden können.
Auslagerungsmanagement: Nutzung gruppen- oder verbundinterner Lösungen zur Bewertung von Dienstleistern; Trennung zwischen IKT-Drittparteien (DORA-Logik) und sonstigen Dienstleistern (MaRisk-Logik).
Dokumentation: Schlankere Berichterstattung und Prozessdokumentation; keine separaten Berichte für Sanierungsindikatoren erforderlich.
Kleine Institute / SNCI (1-5 Mrd. EUR Bilanzsumme)
Kleine Institute erhalten ebenfalls deutliche Erleichterungen, gegenüber sehr kleinen Instituten steigt der Aufwand jedoch bei differenzierteren Nachweisen[7].
Umsetzungsaufwand: Moderat. Der Aufwand fällt vor allem für eine Gap-Analyse an, die die heutige MaRisk-Implementation an die Proportionalitätslogik anpasst, idealerweise pro AT/BT-Modul. Dazu kommen anzupassende Dokumente wie MaRisk-Handbücher, Prozessbeschreibungen und Richtlinien, um die Proportionalitätsargumentation zu verankern. Risikoberichte dürfen gestrafft werden, müssen aber ihre Aussagekraft behalten. Schulungen sind nötig, damit die Prinzipienlogik institutsintern gelebt wird.
Zentrale Handlungsfelder:
Risikomanagement: Wesentliche Risiken stehen im Fokus; unwesentliche dürfen pauschal behandelt werden, sofern sie kumuliert kein wesentliches Risiko ergeben.
Stresstests: Drei bis fünf Stresstests pro Jahr; inverse Stresstests dürfen auf qualitative Analysen beschränkt werden oder entfallen, sofern das Stresstestprogramm eine angemessene Steuerung erlaubt; Nutzung standardisierter Verbundszenarien möglich.
Modellvalidierung: Bei Verbundlösungen oder Branchenpools muss geprüft werden, ob und inwieweit sie sich mit dem eigenen Portfolio vergleichen lassen; die Dokumentation fällt deutlich schlanker aus als bei selbst entwickelten Modellen.
ESG-Integration: ESG-Risiken müssen systematisch und risikoorientiert in die Risikoinventur und Risikostrategie aufgenommen werden, jedoch ohne übermäßigen Formalisierungsgrad.
•CRD VI/DORA-Umsetzung: MaRisk-Strukturen geben den Referenzrahmen vor, während IT-Governance und Auslagerungsdokumentation an DORA-Anforderungen anzupassen sind.
Mittelgroße und große Institute (ab 5 Mrd. EUR Bilanzsumme)
Mittelgroße und große Institute müssen sich auf größeren Aufwand einstellen. Der Schwerpunkt liegt darauf, von der detail- auf die prinzipienorientierte Steuerung umzustellen und neue Regelwerke zu integrieren.
Umsetzungsaufwand: Erheblich. Es steht ein umfassender konzeptioneller und operativer Umbau bevor. Dies zieht eine strategisch neu ausgerichtete Risikosteuerung nach sich sowie eine Governance und Risikokultur, die die Gesamtverantwortung der Geschäftsleitung stärker in den Vordergrund rückt.
Zentrale Handlungsfelder:
Konzeptioneller Umbau: Change Management wird erheblichen Aufwand nach sich ziehen, um die Steuerungslogiken innerhalb des Instituts von detaillierten Vorgaben auf eigenverantwortliche Prinzipienorientierung umzustellen.
Systemanpassungen: Bestehende IT-Systeme müssen um Datenfelder für ESG-Risiken ergänzt sowie um DORA-Compliance und Auslagerungsmanagement erweitert werden.
Ressourcenaufbau: Fachkräfte und Schulungen sind nötig, um die eingesetzten Modelle zu validieren, ESG-Risikomanagement zu betreiben und DORA-Compliance zu gewährleisten.
Dokumentation: Richtlinien, Handbücher und Arbeitsanweisungen (SfO) müssen in allen betroffenen Bereichen überarbeitet werden, insbesondere mit Blick auf Angemessenheit und Begründungsfähigkeit der gewählten Ansätze.
Vertragsmanagement: Je nach Größe und Komplexität des Instituts müssen bis zu mehrere hundert Auslagerungsverträge angepasst werden, um DORA-Anforderungen für IKT-Drittparteien zu erfüllen und MaRisk-Anforderungen für sonstige Auslagerungen zu gewährleisten.
Prüfungsvorbereitung: Externe Wirtschaftsprüfer kontrollieren, ob die Vorgaben eingehalten werden; nachweisbare Compliance und schlüssige Begründungsketten sind unverzichtbar.
Internationale und komplexe Geschäftsaktivitäten: Zusätzlicher Aufwand entsteht bei internationaler Ausrichtung; einige Geschäftsaktivitäten erfordern Beobachtung von Veröffentlichungen des Baseler Ausschusses und des Financial Stability Boards.
Besonderheit: Verbundinstitute
Zentrale fachliche und technische Verbundanbieter müssen sich weiterhin dem vollen MaRisk-Umfang unterwerfen, weil viele ihrer Mitgliedsinstitute die SNCI-Kriterien nicht erfüllen. Einzelne Verbundinstitute profitieren deshalb womöglich nur begrenzt von den Erleichterungen, falls sie auf standardisierte Verbundlösungen zurückgreifen wollen.
Konkreter Vorbereitungs- und Anpassungsbedarf
Unabhängig von der Größe sollten sich alle Institute bereits frühzeitig auf die 9. MaRisk-Novelle vorbereiten. Tabelle 3 fasst die zentralen Vorbereitungsschritte mit Zeitplan zusammen.
Gap-Analyse und Rechtskataster
Die Gap-Analyse ist der zentrale Startpunkt für die Vorbereitung. Institute sollten systematisch abgleichen, welche Anforderungen der neuen MaRisk bereits erfüllt sind, wo Anpassungsbedarf besteht und welche Erleichterungen genutzt werden können. Die Analyse sollte idealerweise pro AT- und BT-Modul erfolgen und folgende Fragen beantworten:
Welche bestehenden Prozesse und Dokumentationen entsprechen bereits der Prinzipienlogik?
Wo bestehen unnötige Detailvorgaben, die verschlankt werden können?
Welche Proportionalitätserleichterungen kommen für unser Institut in Frage?
Wie müssen Begründungsketten dokumentiert werden, um prüfungssicher zu sein?
Welche Schnittstellen zu DORA, ESG-Regelwerk und CRD VI sind zu berücksichtigen?
Parallel dazu sollten alle neuen und geänderten Anforderungen systematisch im institutseigenen Rechtskataster erfasst werden, um Compliance-Lücken zu vermeiden und Umsetzungsverantwortlichkeiten klar zuzuordnen.
DORA-Readiness und IKT-Risikomanagement
Institute sollten ihre IKT-Themen bereits jetzt entlang der DORA-Struktur organisieren, auch wenn die 9. MaRisk-Novelle noch nicht final vorliegt:
IKT-Risikomanagement: Identifikation, Bewertung, Steuerung und Überwachung von IKT-Risiken gemäß DORA-Vorgaben
Incident-Management: Meldeprozesse für IKT-Vorfälle einrichten, die den DORA-Meldefristen entsprechen
IKT-Drittparteien: Separate Governance für IKT-Drittparteien etablieren und von sonstigen Dienstleistern trennen
Resilienztests: DORA-konforme Resilienztests vorbereiten (TLPT für kritische Institute)
Dokumentation: Qualitative und quantitative Risikobewertungen nachvollziehbar dokumentieren, um Compliance nachzuweisen
Die MaRisk werden künftig stärker auf die Notwendigkeit verweisen, DORA-konforme Abläufe einzuführen, bleiben dabei aber auf Prinzipien- und Governance-Ebene
Die „Schnittstellenfalle“: DORA vs. MaRisk
Vorsicht vor der Schnittstellenfalle: Obwohl die theoretische Abgrenzung zwischen IKT-Risiken (DORA) und sonstigen Auslagerungsrisiken (MaRisk AT 9) logisch erscheint, drohen in der Praxis ineffiziente Doppelstrukturen.
Ein klassisches Beispiel sind hybride Dienstleister, die sowohl IKT-Infrastruktur als auch fachliche Back-Office-Prozesse bereitstellen. Hier besteht die Gefahr, dass Institute zwei isolierte Risiko-Assessments für denselben Anbieter durchführen. Um diesen „regulatorischen Overhead“ zu vermeiden, ist eine stringente Schnittstellen-Governance unerlässlich. Nur durch ein integriertes Provider-Management, das die Anforderungen beider Welten harmonisiert, lässt sich die angestrebte Entschlackung der MaRisk tatsächlich in operative Effizienz übersetzen.
Proportionalitätsdokumentation
Ein zentraler Erfolgsfaktor für die Nutzung von Erleichterungen ist die prüfungssichere Dokumentation der Proportionalitätsentscheidungen. Institute müssen schlüssig begründen können, warum die gewählten Vereinfachungen für ihr spezifisches Risikoprofil angemessen sind.
Die Dokumentation sollte enthalten:
Beschreibung des Instituts (Größe, Komplexität, Geschäftsmodell, Risikostruktur)
Auflistung der in Anspruch genommenen Erleichterungen pro AT/BT-Modul
Begründung, warum jede Erleichterung für das Institut angemessen ist
Nachweis, dass trotz Vereinfachung die Steuerungsfähigkeit und Risikotragfähigkeit gewahrt bleiben
Eskalationsmechanismen, falls sich das Risikoprofil ändert und Erleichterungen nicht mehr angemessen sind
Die BaFin hat ausdrücklich vorbehalten, gewährte Erleichterungen für kleinere Institute auf den Prüfstand zu stellen, sollte sich deren Risikolage im Durchschnitt erheblich verschlechtern. Proportionalität ist kein Freifahrtschein, sondern erfordert begründete Eigenverantwortung.
Fachbereichseinbindung und Change Management
Die Umstellung auf Prinzipienorientierung kann nicht allein von Risikomanagement oder Compliance getragen werden. Erforderlich ist ein umfassendes Change Management, das alle betroffenen Fachbereiche einbindet:
Geschäftsleitung: Muss die Gesamtverantwortung für Proportionalitätsentscheidungen übernehmen und diese gegenüber Aufsicht und Prüfern vertreten können
Risikomanagement: Muss die methodischen Grundlagen für Wesentlichkeitsschwellen, Risikotragfähigkeit und Stresstests schaffen
Compliance: Muss die regulatorischen Anforderungen in operative Umsetzungsmaßnahmen übersetzen
IT: Muss Systeme für ESG-Daten, DORA-Compliance und Auslagerungsmanagement anpassen
Operative Bereiche: Müssen verstehen, wie sich Prinzipienorientierung auf ihre tägliche Arbeit auswirkt
Schulungen sind nötig, damit die von der Aufsicht gewünschte Prinzipienlogik auch innerhalb der Häuser gelebt wird und nicht nur formal dokumentiert ist.
Kritische Erfolgsfaktoren
Aus den Analysen lassen sich folgende kritische Erfolgsfaktoren für die Umsetzung der 9. MaRisk-Novelle ableiten:
1. Frühzeitige und systematische Vorbereitung: Gap-Analyse, Rechtskataster, DORA-Readiness sollten nicht auf den finalen Entwurf warten
2. Prüfungssichere Begründungsketten: Dokumentation der Proportionalitätsentscheidungen mit klarer Argumentation, warum gewählte Ansätze angemessen sind
3. Fachbereichsübergreifendes Change Management: Prinzipienorientierung muss institutsweit verstanden und gelebt werden
4. Klare DORA-MaRisk-Trennung: Saubere Abgrenzung zwischen IKT-Drittparteien (DORA) und sonstigen Auslagerungen (MaRisk)
5. Kontinuierliches Monitoring: Proportionalitätsentscheidungen müssen regelmäßig überprüft werden, ob sie noch zum aktuellen Risikoprofil passen
6. Aktive Konsultationsbeteiligung: Institute sollten ihre praktischen Erfahrungen in die Konsultation einbringen, um praxisgerechte Regelungen zu fördern
Ausblick: Die MaRisk der Zukunft – Risikomanagement als Wettbewerbsfaktor
Die 9. MaRisk-Novelle ist weit mehr als ein bloßes Update; sie markiert den Beginn einer neuen Ära in der Bankenaufsicht. Mit der Rückbesinnung auf die ursprüngliche Prinzipienorientierung sendet die BaFin ein klares Signal an den Markt: Vertrauen in die Urteilskompetenz der Institute, sofern diese durch fundierte und prüfbare Begründungen untermauert wird.
Die Weichenstellung für 2027
Während sehr kleine und kleine Institute (SNCI) von massiven operativen Erleichterungen profitieren, stehen mittelgroße und große Häuser vor einem tiefgreifenden konzeptionellen Umbau. Doch für alle gilt: Die angekündigte Vereinfachung ist keine Deregulierung. Sie ist die Rückkehr zu einer qualitativ hochwertigen, risikoadäquaten Steuerung auf Basis echter Eigenverantwortung. Wer das Risikomanagement bisher als rein reaktive „Checkbox-Aufgabe“ verstanden hat, wird unter der neuen Begründungslogik scheitern.
Resilienz durch Eigenverantwortung
Institute, die diesen Wandel als strategische Chance begreifen, werden langfristig profitieren:
Effizienz: Verschlankte Prozesse durch die konsequente Nutzung der 5 %-Wesentlichkeitsschwelle.
Fokus: Konzentration der Ressourcen auf echte Risikotreiber wie ESG-Langzeitszenarien und digitale Resilienz (DORA).
Flexibilität: Schnellere Anpassung an Marktveränderungen durch methodische Gestaltungsspielräume.
Gelebte Risikokultur statt bloßer Dokumentation
Der Erfolg der MaRisk 10.0 wird sich daran messen lassen, ob es gelingt, die neue Aufsichtsphilosophie in eine gelebte Risikokultur zu übersetzen. Eigenverantwortung, Wesentlichkeit und Begründungsfähigkeit müssen in Fleisch und Blut der Organisation übergehen.
Die Vorbereitungszeit bis zum finalen Inkrafttreten Ende 2026 ist das Fenster für diesen kulturellen Wandel. Banken, die heute in ihre Begründungskompetenz investieren, sichern sich nicht nur die Compliance, sondern einen echten Wettbewerbsvorteil in einer immer komplexer werdenden Finanzwelt.
Whitepaper jetzt kostenlos anfordern
Quellen
?? Nationale Entwicklungen (BaFin, VÖB, News)
BaFin (2026, 1. April):
Konsultation 02/2026 – MaRisk-Novelle
BaFin (2026):
MaRisk-Novelle – Konsultationsfassung (Rundschreiben)
?? Europäische Bankenaufsichtsbehörde (EBA)
EBA (2026):
Guidelines on environmental scenario analysis (final / DE-Version)
EBA (2026):
Press Release – Consultation on revised Guidelines on internal governance
EBA (2025):
Consultation Paper – Draft amended Guidelines on internal governance
?? Weitere europäische Institutionen
EZB Agenda „Streamlining supervision, safeguarding resilience“
– Europäische Zentralbank (EZB) / Europäische Bankenaufsicht (SSM):
European Central Bank, ECB Banking Supervision: „Streamlining supervision, safeguarding resilience“ (Bericht, 10.12.2025), HTML- und PDF?Fassung. bankingsupervision.europa+1 [PDF]
ECB Banking Supervision: Themenseite „Streamlining supervision, safeguarding resilience“ mit Überblick über Reformagenda und Ansatz zur Vereinfachung. bankingsupervision.europa+1
ECB: „Simplification of the European prudential regulatory, supervisory and reporting framework“ – Bericht der High?Level Task Force on Simplification (HLTF), 11.12.2025. ecb.europa+1
ECB: „What was the ECB High?Level Task Force on Simplification?“ – Erläuternder Artikel zum Mandat und zu den Empfehlungen der HLTF.[ecb.europa]?
– Deutsche Bundesbank:
Deutsche Bundesbank: „Simplifying banking regulation: task force presents its proposals“ – Kurzbeitrag zur Vorstellung der HLTF?Vorschläge und ihrer Einbettung in den europäischen Rahmen.[bundesbank]?
– Europäisches Parlament:
European Parliament Research Service (EPRS): „ECB task force on banking simplification – reviewing the recommendations“ – Analysepapier zu den Vereinfachungsvorschlägen (inkl. Rolle der HLTF und Implikationen für den EU?Rechtsrahmen).[europarl.europa [PDF]]?
Weitere Informationen
Verband Öffentlicher Banken Deutschlands. (2025, Oktober 28). MaRisk-Novelle in den Startlöchern. https://www.voeb.de/fachthemen/detail/marisk-novelle-in-den-startloechern
Ad-hoc News. (2026, Februar 4). BaFin setzt 2026 auf IT-Sicherheit und Bürokratieabbau. https://www.ad-hoc-news.de/boerse/news/ueberblick/bafin-setzt-2026-auf-it-sicherheit-und-buerokratieabbau/68552591