9. MaRisk Novelle in Vorbereitung

Die deutsche Bankenaufsicht steht vor einer der bedeutendsten Weichenstellungen seit Einführung der Mindestanforderungen an das Risikomanagement (MaRisk) im Jahr 2005. Mit der 9. MaRisk-Novelle, deren Konsultation für Anfang 2026 angekündigt ist und deren Inkrafttreten bis Ende 2026 erwartet wird, vollzieht die BaFin gemeinsam mit der Deutschen Bundesbank einen grundlegenden Paradigmenwechsel: weg von der detailorientierten „Checkbox-Compliance" hin zu einer prinzipienbasierten, proportionalitätsgetriebenen Aufsichtslogik, bei der die prüfbare Begründungskette zum zentralen Nachweis der Angemessenheit wird.

Die Novelle reagiert damit auf eine seit der Finanzkrise 2008/2009 kontinuierlich gestiegene Regulierungsdichte, die durch internationale Vereinbarungen, europäische Leitlinien und nationale Detailvorgaben zu einem als überkomplex empfundenen Regelwerk geführt hat. Gleichzeitig integriert die Aufsicht zentrale Elemente aus DORA, CRD VI, ESG-Regelwerk und den jüngsten EBA-Guidelines, um regulatorische Doppelungen abzubauen und Widersprüche zwischen nationalen und europäischen Vorgaben zu vermeiden.

Dieser Fachartikel analysiert die wesentlichen Inhalte der 9. MaRisk-Novelle, ordnet die neue Institutsklassifizierung und die differenzierten Anforderungen nach Größenklassen ein und zeigt konkrete Handlungsfelder für sehr kleine, kleine (SNCI) sowie mittelgroße und große Institute auf.

Aufsichtsphilosophie: Rückkehr zu den Ursprüngen

Von der Detailvorgabe zur Prinzipienorientierung

Die 9. MaRisk-Novelle markiert eine bewusste Rückbesinnung auf die ursprüngliche Konzeption der MaRisk aus dem Jahr 2005: qualitativ hochwertige, risikoadäquate Steuerung auf Basis fundierter Eigenverantwortung statt formaler Regelerfüllung. Die Aufsicht verfolgt dabei zwei Hauptziele:

Ziel 1: Reduktion der Komplexität

Die MaRisk sollen lesbarer, schlanker und weniger redundant werden. Dies soll erreicht werden durch Streichung von Doppelungen und Allgemeinplätzen, Zusammenfassung inhaltlich ähnlicher Vorgaben, Verzicht auf Wiederholung gesetzlicher Vorgaben, Vergrößerung der Ermessensspielräume durch weniger granulare Vorgaben sowie deutliche Reduktion der Verweise auf europäische Leitlinien.

Ziel 2: Stärkung der Proportionalität

Die Novelle führt eine neue Institutsklassifizierung mit differenzierten Anforderungen ein und schafft mehr Öffnungsklauseln für kleine und sehr kleine Institute. Dabei bleibt die individuelle Beurteilung nach Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten möglich, wobei dieser Grundsatz voraussichtlich an zentraler Stelle ausgeführt wird. Die Verantwortung für die Anwendung von Öffnungsklauseln liegt bei der Geschäftsleitung und kann im Rahmen bankgeschäftlicher Prüfungen von der Aufsicht hinterfragt werden.

Keine Checkbox-Compliance – die prüfbare Begründungskette zählt

Das zentrale Leitbild der 9. Novelle lautet: Institute sollen keine formalen Detailanforderungen mehr „abhaken", sondern prüfbare Begründungsketten zur Angemessenheit ihrer gewählten Lösungen darstellen. Dies bedeutet konkret:

• Mehr Gestaltungsspielräume: Die MaRisk legen Ziele und Grundsätze fest, die Institute entscheiden selbst über die Umsetzung. Maßgeblich ist, dass die Banken erklären können, warum sie sich für welche Maßnahmen entschieden haben und dass die Aufsicht dies als angemessen anerkennt.
• Wesentlichkeit und Fokussierung: Institute müssen nicht jedes noch so kleine Risiko bis ins kleinste Detail regeln. Es reicht, auf wesentliche Risiken zu fokussieren und darauf zu achten, dass kumulierte unwesentliche Risiken sich nicht zu einem wesentlichen Risiko formen.
• Doppelte Proportionalität: Die MaRisk berücksichtigen künftig stärker, wie groß und komplex ein Institut ist, wodurch kleinere Institute weniger strenge Auflagen erhalten. Dies ist kein Freifahrtschein – die Angemessenheit muss sorgfältig begründet werden.

Die Aufsicht hat angekündigt, dass sich diese neue Philosophie auch auf die Prüfungspraxis auswirken wird: Prüfer werden künftig stärker die Qualität der Begründungen und die Plausibilität der institutsspezifischen Ansätze bewerten statt formale Regelkonformität abzuprüfen.

Neue Institutsklassifizierung und Proportionalitätslogik

Drei Größenklassen mit differenzierten Anforderungen

Die 9. MaRisk-Novelle führt eine neue Institutsklassifizierung ein, die sich an Bilanzsummen und der EU-Definition für „kleine und nicht-komplexe Institute" (Small and Non-Complex Institutions, SNCI) nach Art. 4 Abs. 1 Nr. 145 CRR orientiert: (Table 1: Neue Institutsklassifizierung der 9. MaRisk-Novelle)

Etwa drei Viertel der deutschen Kreditinstitute – rund 950 Häuser – fallen unter die SNCI-Definition und können somit von den vorgesehenen Erleichterungen profitieren. Dies stellt eine erhebliche Ausweitung gegenüber früheren Proportionalitätsansätzen dar, bei denen die Aufsicht auf wesentlich geringere Bilanzsummen abgestellt hatte.

Aufsichtsmitteilung vom 26.11.2024 als Vorläufer

Mit der Aufsichtsmitteilung vom 26.11.2024 zu „Erleichterungen im Risikomanagement für kleine und sehr kleine Kreditinstitute" hat die BaFin bereits konkrete Vereinfachungen beschrieben, die als Vorgriff auf die 9. Novelle verstanden werden und in die endgültige MaRisk-Fassung integriert werden sollen. Diese Mitteilung definiert erstmals einheitlich die Größenklassen und beschreibt Erleichterungen in folgenden Bereichen:

• Vereinfachte Risikoinventur mit Fokus auf wesentliche Risiken
• Reduzierte Anzahl und Komplexität von Stresstests
• Möglichkeit zur Funktionenbündelung (z.B. Compliance- und Auslagerungsbeauftragte)
• Nutzung gruppen- oder verbundinterner Lösungen zur Bewertung von Dienstleistern
• Schlankere Berichterstattung und Prozessdokumentation
• Verzicht auf separate Berichte für Sanierungsindikatoren bei sehr kleinen Instituten

Die BaFin betont, dass die Verantwortung für die Nutzung dieser Erleichterungen bei der Geschäftsleitung liegt und dass die Entscheidungen im Rahmen von Prüfungen plausibel begründet und dokumentiert sein müssen.

Integration und Abgrenzung europäischer Regelwerke

DORA: Klare Trennung zwischen IKT und sonstigen Risiken

Ein zentrales Anliegen der 9. MaRisk-Novelle ist die saubere Abgrenzung zwischen nationalen MaRisk-Anforderungen und den europäischen DORA-Vorgaben (Digital Operational Resilience Act), um Doppelregulierung zu vermeiden.

DORA-Zuständigkeit

DORA soll vorrangig IKT-Risiken, IKT-Drittparteien, digitale Resilienz, Meldepflichten für IKT-Vorfälle sowie Resilienztests regeln. Die detaillierten Anforderungen für IKT-Auslagerungen werden vollständig von DORA abgedeckt.

MaRisk-Zuständigkeit

Die MaRisk bleiben für Nicht-IKT-Themen der zentrale nationale Rahmen: sonstige Auslagerungen (z.B. Zahlungsverkehrsabwicklung, Kreditbearbeitung, Portfolioverwaltung), klassische operationelle Risiken ohne IKT-Bezug, ESG-Risiken und übergreifende Governance- und Proportionalitätsprinzipien.

Anpassungen in AT 7.3 und AT 9

Insbesondere AT 7.3 (Notfallmanagement) und AT 9 (Auslagerungen) sollen deutlich klarer abgrenzen, was DORA vollständig abdeckt und wofür weiterhin die MaRisk maßgeblich bleiben. Im Auslagerungsmanagement nach AT 9 bedeutet dies, dass die MaRisk nur noch übergreifende Governance- und Proportionalitätsprinzipien setzen, während DORA die konkreten Anforderungen für IKT-Auslagerungen ausdifferenziert.

Praktische Konsequenz für Institute

Institute müssen ihre Dienstleister künftig in zwei Stränge sauber trennen: IKT-Drittparteien, die ausschließlich unter die DORA-Logik fallen (mit DORA-spezifischen Verträgen, Risikobewertungen, Resilienztests und Meldewegen), und sonstige Dienstleister, die mit der MaRisk-/EBA-Logik gesteuert werden (klassisches Auslagerungsmanagement nach AT 9, EBA-Guidelines on Outsourcing).

ESG-Risiken: Harmonisierung der Anforderungen

Die 7. MaRisk-Novelle hatte ESG-Risiken bereits quer über alle Risikoarten (Kredit-, Marktpreis-, Liquiditäts- und operationelle Risiken) integriert, was in der Praxis zu teils sehr hohen Aufwänden und Überschneidungen mit dem BaFin-Merkblatt zum Umgang mit Nachhaltigkeitsrisiken und EBA-Guidelines geführt hat.

Die 9. Novelle soll hier Abhilfe schaffen durch:

• Präzisierung einzelner ESG-Anforderungen mit überschneidungsfreien Schnittstellen
• Vereinheitlichte Anforderungen zu Prozessen und Dokumentationspflichten
• Klarere Vorgaben zur ESG-Berichterstattung und Offenlegung
• Systematische und risikoorientierte Integration in Risikoinventur und Risikostrategie ohne übermäßigen Formalisierungsgrad

Für kleine Institute (SNCI) wird erwartet, dass ESG-Risiken zwar systematisch erfasst werden müssen, die Dokumentationstiefe und -frequenz aber deutlich unterhalb der Anforderungen an große Institute liegen darf.

IRRBB und CSRBB: Feinjustierung nach der 8. Novelle

Die 8. MaRisk-Novelle (Mai 2024) hatte die EBA-Leitlinien zu Zinsänderungsrisiken im Anlagebuch (IRRBB) und Kreditspreadrisiken im Anlagebuch (CSRBB) umgesetzt und einen neuen Bereich BTR 5 für Kreditspreadrisiken eingeführt. In der Praxis sind jedoch offene Auslegungsfragen hinsichtlich bestimmter CSRBB-Vorgaben entstanden, insbesondere zur Integration in bestehende Risikomess- und Steuerungssysteme.

Die 9. Novelle soll hier Klarstellungen bringen:

• Detailfragen zur Modellierung und Messung von Kreditspreadrisiken
• Harmonisierung der Schnittstellen zu Risikotragfähigkeit, Stresstests und Berichterstattung
• Proportionale Anforderungen für kleinere Institute, die weniger komplexe Anlagebücher haben
• Klarere Abgrenzung zwischen IRRBB- und CSRBB-Komponenten

CRD VI und EBA-Leitlinien: Reduktion dynamischer Verweise

Die MaRisk enthielten bislang zahlreiche dynamische Verweise auf EBA-Guidelines, was in der Praxis dazu führte, dass Institute bei jeder Aktualisierung einer Leitlinie prüfen mussten, ob und wie sich dies auf ihre MaRisk-Compliance auswirkt. Die 9. Novelle soll die Anzahl dieser Verweise deutlich reduzieren und künftig weitgehend darauf verzichten.

Stattdessen werden ausgewählte Inhalte aus CRD VI und EBA-Leitlinien entweder direkt in die MaRisk integriert oder es werden klare Referenzpunkte geschaffen, um Widersprüche zu EU-Recht zu vermeiden. Europäische Leitlinien bleiben relevant, werden aber nicht mehr im gleichen Umfang in die MaRisk „hineinzitiert".

Zentrale inhaltliche Handlungsfelder

Risikoinventur, Wesentlichkeit und Risikotragfähigkeit

Die 9. MaRisk-Novelle führt eine klare Wesentlichkeitsschwelle ein, um Institute zu entlasten, die bislang auch marginale Risiken aufwändig dokumentieren und steuern mussten.

Wesentlichkeitsschwelle: 5 Prozent des RDP

Als Orientierungsgröße für Wesentlichkeit wird ein Schwellenwert von 5 Prozent des ökonomischen Risikodeckungspotenzials (RDP) diskutiert. Risiken, die unterhalb dieser Schwelle liegen, können vereinfachten Verfahren unterliegen, etwa „Säule-1+"-Ansätzen, barwertnahen Methoden oder pauschalen Behandlungen, sofern sie kumuliert kein wesentliches Risiko darstellen.

Fokussierung auf wesentliche Risiken

Die Risikoinventur soll sich konsequent auf wesentliche Risiken konzentrieren. Unwesentliche Risiken dürfen pauschal behandelt werden, solange dokumentiert ist, dass ihre kumulative Wirkung kontrolliert bleibt und keine systemischen Gefährdungen entstehen.

Klarstellungen zum Risikodeckungspotenzial

Die MaRisk sollen Klarstellungen zum Risikodeckungspotenzial enthalten, insbesondere zur 5-Prozent-Schwelle im ökonomischen Risikotragfähigkeitskonzept und zur Abbildung standardisierter Stresstestrahmenwerke. Für Institute, die den normativen Ansatz verfolgen, werden ebenfalls Präzisierungen erwartet.

Stresstests: Reduktion und Standardisierung

Die Anzahl und Komplexität der Stresstests soll erheblich reduziert werden, insbesondere für kleinere Institute:

Risikoartenübergreifender Stresstest plus Risikoarten-Stresstests

Vorgesehen sind ein risikoartenübergreifender Stresstest sowie je ein Stresstest pro wesentlicher Risikoart. Insgesamt deutet der Entwurf auf drei bis fünf Stresstests pro Jahr hin, abhängig von Risikoprofil und Größenklasse des Instituts.

Entfall inverser Stresstests für kleine Institute

Für kleinere Institute sollen inverse Stresstests künftig entfallen oder auf qualitative Analysen beschränkt werden, sofern das übrige Stresstestprogramm eine angemessene Steuerung erlaubt.

Standardisierte Verbundszenarien

Standardisierte Verbundszenarien der Verbünde und der Aufsicht sollen stärker anerkannt werden. Institute können auf diese Szenarien zurückgreifen, müssen aber dokumentieren, dass die Verbundszenarien mit dem eigenen Risikoprofil vergleichbar sind und eine angemessene Steuerung ermöglichen.

Sensitivitätsanalysen für sehr kleine Institute

Sehr kleine Institute können sich auf einfache Sensitivitätsanalysen beschränken, sofern diese ausreichen, um die wesentlichen Risikotreiber zu identifizieren und die Risikotragfähigkeit auch unter Stressbedingungen zu bewerten.

Governance, Compliance und Interne Revision

Die 9. MaRisk-Novelle will die Anforderungen an Governance, Compliance und Interne Revision verschlanken, gleichzeitig aber qualitativ stärken.

Klarere Aufgabenzuordnung

Die Aufsicht wird etwas eindeutiger regeln, welche Aufgaben sie der Geschäftsleitung, den Aufsichtsorganen und der Compliance-Funktion zuschreibt. Der Fokus soll auf wirksamer Überwachung wesentlicher Rechtsvorschriften liegen, nicht auf formaler Dokumentation.

Funktionenbündelung für kleine Institute

Kleine Institute dürfen Compliance- und Auslagerungsbeauftragte als gemeinsame Funktion kombinieren, sofern die operative Unabhängigkeit der jeweiligen Tätigkeiten gewahrt bleibt.

Interne Revision: Fokus auf risikoorientierte Prüfung

Die konkret ausformulierten Anforderungen an die Interne Revision sollen verschlankt werden, die qualitativen Anforderungen an risikoorientierte Prüfungsplanung, IKS-Bewertung und nachvollziehbare Kontrollen werden jedoch steigen. Die Revision wird künftig stärker prüfen müssen, ob die Begründungsketten der Institute schlüssig und angemessen sind.

Modelllandschaft und Validierung

Für mittelgroße und große Institute (ab 5 Mrd. EUR Bilanzsumme) ergeben sich erweiterte Anforderungen an die Modelllandschaft:

Unabhängige Modellvalidierung

Selbst entwickelte Modelle zur Risikomessung und -steuerung müssen unabhängig validiert werden. Dies umfasst insbesondere Kreditrisikomodelle, Zinsrisikomodelle, Liquiditätsrisikomodelle und ESG-Risikomodelle.

Modellinventar

Institute müssen ein vollständiges Modellinventar erstellen, das alle eingesetzten Modelle dokumentiert, deren Einsatzbereiche beschreibt, Validierungszyklen festlegt und Verantwortlichkeiten zuordnet.

Verbundlösungen und Branchenpools

Kleinere Institute können auf Verbundlösungen oder Branchenpools zurückgreifen. Sie müssen jedoch prüfen und dokumentieren, ob und inwieweit diese Lösungen mit dem eigenen Portfolio vergleichbar sind. Anders als bei selbst entwickelten Modellen fällt die Dokumentation deutlich schlanker aus.

Handlungsfelder nach Institutsgrößen

Die konkreten Auswirkungen der 9. MaRisk-Novelle unterscheiden sich erheblich nach Institutsgröße. Tabelle 2 gibt einen Überblick über die zentralen Handlungsfelder je Größenklasse.

Sehr kleine Institute (bis 1 Mrd. EUR Bilanzsumme)

Sehr kleine Institute profitieren besonders stark von der Proportionalität der 9. MaRisk-Novelle. Die bereits im November 2024 von der BaFin angekündigten Erleichterungen sollen in die Verordnung einfließen.

Umsetzungsaufwand: Gering bis moderat. Der Aufwand entsteht vor allem dabei, nachvollziehbar zu begründen, weshalb die gewählten Vereinfachungen für das eigene Risikoprofil angemessen sind und ob die regulatorischen Mindestnormen für das eigene Ambitionsniveau ausreichen.

Zentrale Handlungsfelder:

• Risikoinventur und Risikotragfähigkeit: Konzentration auf wesentliche Risiken mit einem Schwellenwert von 5 Prozent des ökonomischen Risikodeckungspotenzials; Nutzung vereinfachter Verfahren wie „Säule 1+"-Ansätze oder barwertnahe Verfahren.
• Stresstests: Reduktion auf einen risikoartenübergreifenden Stresstest und je einen Test pro wesentlicher Risikoart; einfache Sensitivitätsanalysen können ausreichend sein; inverse Stresstests können qualitativ erfolgen oder gänzlich entfallen.
• Funktionenbündelung: Compliance- und Auslagerungsbeauftragte dürfen als gemeinsame Funktion kombiniert werden, sofern deren operative Tätigkeiten weiter unabhängig voneinander stattfinden können.
• Auslagerungsmanagement: Nutzung gruppen- oder verbundinterner Lösungen zur Bewertung von Dienstleistern; Trennung zwischen IKT-Drittparteien (DORA-Logik) und sonstigen Dienstleistern (MaRisk-Logik).
• Dokumentation: Schlankere Berichterstattung und Prozessdokumentation; keine separaten Berichte für Sanierungsindikatoren erforderlich.

Kleine Institute / SNCI (1-5 Mrd. EUR Bilanzsumme)

Kleine Institute erhalten ebenfalls deutliche Erleichterungen, gegenüber sehr kleinen Instituten steigt der Aufwand jedoch bei differenzierteren Nachweisen[7].

Umsetzungsaufwand: Moderat. Der Aufwand fällt vor allem für eine Gap-Analyse an, die die heutige MaRisk-Implementation an die Proportionalitätslogik anpasst, idealerweise pro AT/BT-Modul. Dazu kommen anzupassende Dokumente wie MaRisk-Handbücher, Prozessbeschreibungen und Richtlinien, um die Proportionalitätsargumentation zu verankern. Risikoberichte dürfen gestrafft werden, müssen aber ihre Aussagekraft behalten. Schulungen sind nötig, damit die Prinzipienlogik institutsintern gelebt wird.

Zentrale Handlungsfelder:

• Risikomanagement: Wesentliche Risiken stehen im Fokus; unwesentliche dürfen pauschal behandelt werden, sofern sie kumuliert kein wesentliches Risiko ergeben.
• Stresstests: Drei bis fünf Stresstests pro Jahr; inverse Stresstests dürfen auf qualitative Analysen beschränkt werden oder entfallen, sofern das Stresstestprogramm eine angemessene Steuerung erlaubt; Nutzung standardisierter Verbundszenarien möglich.
• Modellvalidierung: Bei Verbundlösungen oder Branchenpools muss geprüft werden, ob und inwieweit sie sich mit dem eigenen Portfolio vergleichen lassen; die Dokumentation fällt deutlich schlanker aus als bei selbst entwickelten Modellen.
• ESG-Integration: ESG-Risiken müssen systematisch und risikoorientiert in die Risikoinventur und Risikostrategie aufgenommen werden, jedoch ohne übermäßigen Formalisierungsgrad.
• •CRD VI/DORA-Umsetzung: MaRisk-Strukturen geben den Referenzrahmen vor, während IT-Governance und Auslagerungsdokumentation an DORA-Anforderungen anzupassen sind.

Besonderheit: Verbundinstitute

Zentrale fachliche und technische Verbundanbieter müssen sich weiterhin dem vollen MaRisk-Umfang unterwerfen, weil viele ihrer Mitgliedsinstitute die SNCI-Kriterien nicht erfüllen. Einzelne Verbundinstitute profitieren deshalb womöglich nur begrenzt von den Erleichterungen, falls sie auf standardisierte Verbundlösungen zurückgreifen wollen.

Mittelgroße und große Institute (ab 5 Mrd. EUR Bilanzsumme)

Mittelgroße und große Institute müssen sich auf größeren Aufwand einstellen. Der Schwerpunkt liegt darauf, von der detail- auf die prinzipienorientierte Steuerung umzustellen und neue Regelwerke zu integrieren.

Umsetzungsaufwand: Erheblich. Es steht ein umfassender konzeptioneller und operativer Umbau bevor. Dies zieht eine strategisch neu ausgerichtete Risikosteuerung nach sich sowie eine Governance und Risikokultur, die die Gesamtverantwortung der Geschäftsleitung stärker in den Vordergrund rückt.

Zentrale Handlungsfelder:

• Konzeptioneller Umbau: Change Management wird erheblichen Aufwand nach sich ziehen, um die Steuerungslogiken innerhalb des Instituts von detaillierten Vorgaben auf eigenverantwortliche Prinzipienorientierung umzustellen.
• Systemanpassungen: Bestehende IT-Systeme müssen um Datenfelder für ESG-Risiken ergänzt sowie um DORA-Compliance und Auslagerungsmanagement erweitert werden.
• Ressourcenaufbau: Fachkräfte und Schulungen sind nötig, um die eingesetzten Modelle zu validieren, ESG-Risikomanagement zu betreiben und DORA-Compliance zu gewährleisten.
• Dokumentation: Richtlinien, Handbücher und Arbeitsanweisungen (SfO) müssen in allen betroffenen Bereichen überarbeitet werden, insbesondere mit Blick auf Angemessenheit und Begründungsfähigkeit der gewählten Ansätze.
• Vertragsmanagement: Je nach Größe und Komplexität des Instituts müssen bis zu mehrere hundert Auslagerungsverträge angepasst werden, um DORA-Anforderungen für IKT-Drittparteien zu erfüllen und MaRisk-Anforderungen für sonstige Auslagerungen zu gewährleisten.
• Prüfungsvorbereitung: Externe Wirtschaftsprüfer kontrollieren, ob die Vorgaben eingehalten werden; nachweisbare Compliance und schlüssige Begründungsketten sind unverzichtbar.
• Internationale und komplexe Geschäftsaktivitäten: Zusätzlicher Aufwand entsteht bei internationaler Ausrichtung; einige Geschäftsaktivitäten erfordern Beobachtung von Veröffentlichungen des Baseler Ausschusses und des Financial Stability Boards.

Konkreter Vorbereitungs- und Anpassungsbedarf

Unabhängig von der Größe sollten sich alle Institute bereits frühzeitig auf die 9. MaRisk-Novelle vorbereiten. Tabelle 3 fasst die zentralen Vorbereitungsschritte mit Zeitplan zusammen.

Gap-Analyse und Rechtskataster

Die Gap-Analyse ist der zentrale Startpunkt für die Vorbereitung. Institute sollten systematisch abgleichen, welche Anforderungen der neuen MaRisk bereits erfüllt sind, wo Anpassungsbedarf besteht und welche Erleichterungen genutzt werden können. Die Analyse sollte idealerweise pro AT- und BT-Modul erfolgen und folgende Fragen beantworten:

• Welche bestehenden Prozesse und Dokumentationen entsprechen bereits der Prinzipienlogik?
• Wo bestehen unnötige Detailvorgaben, die verschlankt werden können?
• Welche Proportionalitätserleichterungen kommen für unser Institut in Frage?
• Wie müssen Begründungsketten dokumentiert werden, um prüfungssicher zu sein?
• Welche Schnittstellen zu DORA, ESG-Regelwerk und CRD VI sind zu berücksichtigen?

Parallel dazu sollten alle neuen und geänderten Anforderungen systematisch im institutseigenen Rechtskataster erfasst werden, um Compliance-Lücken zu vermeiden und Umsetzungsverantwortlichkeiten klar zuzuordnen.

DORA-Readiness und IKT-Risikomanagement

Institute sollten ihre IKT-Themen bereits jetzt entlang der DORA-Struktur organisieren, auch wenn die 9. MaRisk-Novelle noch nicht final vorliegt:

• IKT-Risikomanagement: Identifikation, Bewertung, Steuerung und Überwachung von IKT-Risiken gemäß DORA-Vorgaben
• Incident-Management: Meldeprozesse für IKT-Vorfälle einrichten, die den DORA-Meldefristen entsprechen
• IKT-Drittparteien: Separate Governance für IKT-Drittparteien etablieren und von sonstigen Dienstleistern trennen
• Resilienztests: DORA-konforme Resilienztests vorbereiten (TLPT für kritische Institute)
• Dokumentation: Qualitative und quantitative Risikobewertungen nachvollziehbar dokumentieren, um Compliance nachzuweisen

Die MaRisk werden künftig stärker auf die Notwendigkeit verweisen, DORA-konforme Abläufe einzuführen, bleiben dabei aber auf Prinzipien- und Governance-Ebene[1].

Proportionalitätsdokumentation

Ein zentraler Erfolgsfaktor für die Nutzung von Erleichterungen ist die prüfungssichere Dokumentation der Proportionalitätsentscheidungen. Institute müssen schlüssig begründen können, warum die gewählten Vereinfachungen für ihr spezifisches Risikoprofil angemessen sind[1][2][7].

Die Dokumentation sollte enthalten:

• Beschreibung des Instituts (Größe, Komplexität, Geschäftsmodell, Risikostruktur)
• Auflistung der in Anspruch genommenen Erleichterungen pro AT/BT-Modul
• Begründung, warum jede Erleichterung für das Institut angemessen ist
• Nachweis, dass trotz Vereinfachung die Steuerungsfähigkeit und Risikotragfähigkeit gewahrt bleiben
• Eskalationsmechanismen, falls sich das Risikoprofil ändert und Erleichterungen nicht mehr angemessen sind

Die BaFin hat ausdrücklich vorbehalten, gewährte Erleichterungen für kleinere Institute auf den Prüfstand zu stellen, sollte sich deren Risikolage im Durchschnitt erheblich verschlechtern. Proportionalität ist kein Freifahrtschein, sondern erfordert begründete Eigenverantwortung.

Fachbereichseinbindung und Change Management

Die Umstellung auf Prinzipienorientierung kann nicht allein von Risikomanagement oder Compliance getragen werden. Erforderlich ist ein umfassendes Change Management, das alle betroffenen Fachbereiche einbindet:

• Geschäftsleitung: Muss die Gesamtverantwortung für Proportionalitätsentscheidungen übernehmen und diese gegenüber Aufsicht und Prüfern vertreten können
• Risikomanagement: Muss die methodischen Grundlagen für Wesentlichkeitsschwellen, Risikotragfähigkeit und Stresstests schaffen
• Compliance: Muss die regulatorischen Anforderungen in operative Umsetzungsmaßnahmen übersetzen
• IT: Muss Systeme für ESG-Daten, DORA-Compliance und Auslagerungsmanagement anpassen
• Operative Bereiche: Müssen verstehen, wie sich Prinzipienorientierung auf ihre tägliche Arbeit auswirkt

Schulungen sind nötig, damit die von der Aufsicht gewünschte Prinzipienlogik auch innerhalb der Häuser gelebt wird und nicht nur formal dokumentiert ist[7].

Kritische Erfolgsfaktoren und Ausblick

Die 9. MaRisk-Novelle stellt Institute vor einen grundlegenden Perspektivwechsel: von der formalen Regelerfüllung zur begründeten Eigenverantwortung. Dieser Wandel birgt Chancen und Risiken gleichermaßen.

Chancen der Prinzipienorientierung

• Effizientere Ressourcennutzung: Institute können sich auf wesentliche Risiken konzentrieren und Ressourcen dort einsetzen, wo sie den größten Steuerungsnutzen haben
• Flexibilität: Prinzipien bleiben stabil, während sich Detailanforderungen an veränderte Geschäftsmodelle und Technologien anpassen lassen
• Individuelle Lösungen: Institute können Steuerungsansätze entwickeln, die optimal zu ihrem Risikoprofil passen, statt generische „One-size-fits-all"-Lösungen zu implementieren
• Wettbewerbsvorteil: Institute, die überzeugende Begründungsketten aufbauen, können sich gegenüber Wettbewerbern differenzieren

Risiken und Herausforderungen

• Erhöhte Begründungslast: Die Freiheit, eigene Lösungen zu entwickeln, geht einher mit der Pflicht, diese umfassend zu begründen und zu dokumentieren
• Unklarheit in der Anfangsphase: Bis sich eine Prüfungspraxis zur neuen Prinzipienlogik etabliert hat, besteht Unsicherheit, was die Aufsicht als „angemessen" akzeptiert
• Know-how-Aufbau: Kleinere Institute müssen möglicherweise Expertise aufbauen, um Proportionalitätsentscheidungen fundiert treffen zu können
• Aufsichtliche Erwartungshaltung: Die BaFin behält sich vor, Erleichterungen zurückzunehmen, falls sich die Risikolage verschlechtert – dies erfordert kontinuierliches Monitoring

Kritische Erfolgsfaktoren

Aus den Analysen lassen sich folgende kritische Erfolgsfaktoren für die Umsetzung der 9. MaRisk-Novelle ableiten:

1. Frühzeitige und systematische Vorbereitung: Gap-Analyse, Rechtskataster, DORA-Readiness sollten nicht auf den finalen Entwurf warten
2. Prüfungssichere Begründungsketten: Dokumentation der Proportionalitätsentscheidungen mit klarer Argumentation, warum gewählte Ansätze angemessen sind
3. Fachbereichsübergreifendes Change Management: Prinzipienorientierung muss institutsweit verstanden und gelebt werden
4. Klare DORA-MaRisk-Trennung: Saubere Abgrenzung zwischen IKT-Drittparteien (DORA) und sonstigen Auslagerungen (MaRisk)
5. Kontinuierliches Monitoring: Proportionalitätsentscheidungen müssen regelmäßig überprüft werden, ob sie noch zum aktuellen Risikoprofil passen
6. Aktive Konsultationsbeteiligung: Institute sollten ihre praktischen Erfahrungen in die Konsultation einbringen, um praxisgerechte Regelungen zu fördern

Ausblick: Die MaRisk der Zukunft

Die 9. MaRisk-Novelle markiert eine bedeutende Weiterentwicklung des Regelwerks mit Rückbesinnung auf dessen ursprüngliche Prinzipienorientierung. Die Aufsicht signalisiert damit, dass sie den Instituten wieder mehr Verantwortung zutraut und ihnen mehr Gestaltungsspielraum geben will – vorausgesetzt, sie können fundiert begründen, warum ihre Lösungen angemessen sind.

Während sehr kleine und kleine Institute von deutlichen Erleichterungen profitieren, steht mittelgroßen und großen Instituten ein umfassender konzeptioneller und operativer Umbau bevor. Die angekündigte Vereinfachung bedeutet jedoch keine Deregulierung, sondern eine Rückkehr zu dem bereits 2005 intendierten Ansatz: qualitativ hochwertige, risikoadäquate Steuerung auf Basis fundierter Eigenverantwortung statt formaler Regelerfüllung.

Institute, die diesen Wandel als Chance begreifen und die Vorbereitungszeit bis zum Inkrafttreten der Novelle nutzen, können langfristig von effizienteren Prozessen, flexibleren Steuerungsansätzen und geringerem regulatorischem Aufwand profitieren. Entscheidend wird sein, ob es gelingt, die neue Aufsichtsphilosophie in eine gelebte Risikokultur zu übersetzen, bei der Eigenverantwortung, Wesentlichkeit und Begründungsfähigkeit im Mittelpunkt stehen.

References

Verband Öffentlicher Banken Deutschlands. (2025, Oktober 28). MaRisk-Novelle in den Startlöchern. https://www.voeb.de/fachthemen/detail/marisk-novelle-in-den-startloechern

Ad-hoc News. (2026, Februar 4). BaFin setzt 2026 auf IT-Sicherheit und Bürokratieabbau. https://www.ad-hoc-news.de/boerse/news/ueberblick/bafin-setzt-2026-auf-it-sicherheit-und-buerokratieabbau/68552591