Die neunte Novelle der Mindestanforderungen an das Risikomanagement steht unmittelbar vor der Konsultation – und sie wird den aufsichtlichen Rahmen für das Risikomanagement deutscher Kreditinstitute so grundlegend verändern wie keine Überarbeitung zuvor. Der Kern des Wandels liegt nicht in einzelnen neuen Anforderungen, sondern in einem Systemwechsel: Weg von der regelbasierten Detailsteuerung, hin zu einer prinzipienbasierten Begründungslogik, die jedes Institut in die Pflicht nimmt, seine individuellen Lösungen nachvollziehbar und prüfbar zu dokumentieren.
Für deutsche Kreditinstitute, die in den Geschäftsfeldern Capital Markets, Asset Management oder klassischem Kreditgeschäft tätig sind, bedeutet die Novelle weit mehr als eine regulatorische Aktualisierung. Sie bündelt erstmals drei große europäische Regulierungswellen in einem nationalen Aufsichtsrahmen: die Umsetzung der Capital Requirements Directive VI (CRD VI) durch das Bankenrichtlinienumsetzungs- und Bürokratieentlastungsgesetz (BRUBEG), die Leitlinie EBA/GL/2025/01 der Europäischen Bankenaufsichtsbehörde (European Banking Authority, EBA) zur Steuerung von ESG-Risiken und die Abgrenzung zum Digital Operational Resilience Act (DORA). Wer diese drei Stränge nicht integriert betrachtet, wird die 9. MaRisk-Novelle nicht in ihrer vollen Tragweite erfassen.
Was: 9. Novelle der Mindestanforderungen an das Risikomanagement (MaRisk), Rundschreiben der BaFin
Wann: Konsultationsentwurf erwartet Q1/Q2 2026, Inkrafttreten voraussichtlich Ende 2026/Anfang 2027
Treiber: CRD-VI-Umsetzung (BRUBEG), EBA-Leitlinie EBA/GL/2025/01 (ESG-Risiken), DORA-Abgrenzung
Betroffen: Alle national beaufsichtigten Kreditinstitute in Deutschland
Erleichterungen: Ca. 950 Institute (rund 75 % aller deutschen Kreditinstitute) profitieren von neuer Institutsklassifizierung
Der Paradigmenwechsel: Von der Checkbox zur Begründungskette
Wer die bisherigen MaRisk-Novellen verfolgt hat, kennt das Muster: Europäische Leitlinien werden in nationales Recht überführt, Detailregelungen hinzugefügt, Prüfungsstandards verschärft. Die 9. Novelle bricht mit diesem Muster. Sie vollzieht einen Wechsel von imperativen Detailvorschriften zu drei Leitprinzipien, die den gesamten regulatorischen Rahmen neu ordnen.
Erstes Prinzip – Komplexitätsabbau
Doppelungen, Redundanzen und Wiederholungen von Gesetzesnormen werden gestrichen. Dynamische Verweise auf EBA-Leitlinien werden reduziert, um Normenkollisionen zu vermeiden. Module werden konsolidiert – am sichtbarsten beim bisherigen AT 7.2 zur technisch-organisatorischen Ausstattung, der nahezu vollständig entfällt, weil die DORA-Verordnung diese Materie EU-rechtlich abdeckt.
Zweites Prinzip – Doppelte Proportionalität
Anforderungen orientieren sich künftig nicht nur an der Institutsgröße, sondern auch an Geschäftsmodell, Komplexität und Risikoprofil. „Doppelt" bedeutet: Sowohl der Umfang der Anforderungen als auch die Nutzbarkeit von Öffnungsklauseln skalieren mit der Institutskategorie. Für ein Kreditinstitut mit einer Milliarde Euro Bilanzsumme und einfachem Geschäftsmodell gelten andere Erwartungen als für eine Universalbank mit komplexem Handelsgeschäft.
Drittes Prinzip – Begründungspflicht statt Regelbefolgung
Institute müssen keine starren Checklisten mehr abarbeiten. Stattdessen müssen sie begründen können, warum ihre institutsindividuelle Lösung angemessen ist. Offene Formulierungen wie „angemessen" oder „geeignet" werden zur Norm. Die Konsequenz: Prüfbare Dokumentationsketten werden wichtiger als formale Regelkonformität. Das erhöht die Geschäftsleiterhaftung unter § 25a Kreditwesengesetz (KWG) erheblich – falsche oder inkonsistente Begründungen begründen Organisationsverschulden.
Die neue Institutsklassifizierung
Eine der greifbarsten Neuerungen ist die Einführung einer einheitlichen dreistufigen Klassifizierung, die den gesamten MaRisk-Anwendungsbereich durchzieht.
| Kategorie | Bilanzsumme | Anteil (ca.) |
|---|---|---|
| Sehr kleine Institute | bis 1 Mrd. EUR | 40–45 % |
| Kleine Institute (SNCI) | 1 bis 5 Mrd. EUR | zusammen ca. 75 % (~950 Institute) |
| Übrige national beaufsichtigte Institute (LSI) | ab 5 Mrd. EUR | vollumfängliche Anforderungen |
Die Anhebung ist bemerkenswert: Die bisherige inoffizielle Größenschwelle lag bei rund 500 Millionen Euro Bilanzsumme. Die neue Fünf-Milliarden-Euro-Schwelle erweitert den Kreis entlasteter Institute massiv. Bedeutende Institute (Significant Institutions, SI), die direkt der Aufsicht der Europäischen Zentralbank (EZB) unterliegen, werden aus dem MaRisk-Anwendungsbereich weitgehend herausgenommen.
Für die tägliche Praxis bedeutet die Klassifizierung: Sehr kleine Institute dürfen Funktionen bündeln – etwa Compliance-Beauftragter und Auslagerungsbeauftragter in Personalunion. Sie können gruppen- oder verbundinterne Lösungen bei der Bewertung von Dienstleistern nutzen. Und sie müssen deutlich weniger Stresstests durchführen.
ESG-Risiken: Von der Kann- zur Muss-Anforderung
Die 7. MaRisk-Novelle hatte Risiken aus den Bereichen Umwelt, Soziales und Governance (Environmental, Social and Governance, ESG) erstmals erwähnt. Die 9. Novelle macht sie zur gesetzlichen Pflicht – und hat dafür nun eine parlamentarische Grundlage.
Das Bankenrichtlinienumsetzungs- und Bürokratieentlastungsgesetz (BRUBEG), am 29. Januar 2026 vom Bundestag verabschiedet, verankert ESG-Risiken direkt im Kreditwesengesetz. § 26c KWG schreibt vor, dass ESG-Risiken in allen Phasen des Risikomanagements berücksichtigt werden müssen – Identifikation, Messung, Steuerung, Überwachung. § 26d KWG verpflichtet jedes Institut zur Erstellung eines ESG-Risikoplans mit institutsspezifischen Zielen und Kennzahlen.
Die MaRisk-Novelle gestaltet diese gesetzlichen Vorgaben regulatorisch aus: ESG-Risiken werden explizit in Risikoinventur und Risikostrategie verankert. Sie gelten als Treiber aller traditionellen Risikoarten im bankinternen Kapitaladäquanzprozess (Internal Capital Adequacy Assessment Process, ICAAP). Eine jährliche Materialitätsanalyse zu den finanziellen Auswirkungen von ESG-Risiken auf das Geschäftsmodell wird Pflicht.
Allerdings greift auch hier die Proportionalität: Sehr kleine und kleine Institute dürfen sich bis 31. Dezember 2029 auf Klimarisiken fokussieren. Qualitative Ziele sind zunächst ausreichend; soziale und Governance-Risiken sind zunächst optional. Kleine Institute (Small and Non-Complex Institutions, SNCI) müssen ihren ESG-Risikoplan erst ab Januar 2027 vorlegen.
Die EBA-Leitlinie EBA/GL/2025/01 zur Steuerung von ESG-Risiken, veröffentlicht am 9. Januar 2025, gilt für größere Institute ab Januar 2026. Die BaFin hat klargestellt, dass sie diese Leitlinie für weniger bedeutende Institute nicht eigenständig anwenden wird – stattdessen erfolgt die nationale Umsetzung durch die MaRisk-Novelle mit proportionalen Erleichterungen.
DORA-MaRisk-Abgrenzung: Wer regelt was?
Die 9. Novelle löst ein Regelungsproblem, das die Branche seit dem Inkrafttreten der DORA-Verordnung (EU) 2022/2554 am 17. Januar 2025 beschäftigt: die Überschneidung zwischen MaRisk und DORA bei IT-bezogenen Anforderungen.
Die neue Architektur ist klar: DORA regelt abschließend die Bereiche Risiken der Informations- und Kommunikationstechnologie (IKT), IKT-Drittparteienrisiken, die digitale Resilienzstrategie und IKT-Meldepflichten bei schwerwiegenden Vorfällen. Die MaRisk behält die Zuständigkeit für sonstige Auslagerungen, die nicht IKT-bezogen sind, für nicht-IKT-bezogene operationelle Risiken sowie für ESG-Risiken, Governance, Kredit- und Marktrisiken.
DORA: IKT-Risikomanagement, IKT-Drittparteienrisiken, digitale Resilienzstrategie, Meldepflichten bei IKT-Vorfällen
MaRisk: Nicht-IKT-Auslagerungen (AT 9), ESG-Risiken, Kredit-/Marktrisiken, Governance, operationelle Risiken (nicht-IKT)
Bindeglied: IKT-Strategie in der MaRisk verknüpft Geschäftsstrategie mit DORA-Resilienzstrategie
Die konkreteste Konsequenz: AT 7.2, das bisherige Modul zur technisch-organisatorischen Ausstattung, wird nahezu vollständig gestrichen. Für alle Institute wird eine saubere Trennung zwischen IKT-Drittparteien (DORA) und klassischen Dienstleistern (MaRisk AT 9) zur Pflicht. Gleichzeitig wird eine IKT-Strategie als Bindeglied zwischen Geschäftsstrategie und digitaler Resilienzstrategie in die MaRisk integriert – um sicherzustellen, dass IT-Governance auf Geschäftsleitungsebene verankert bleibt.
Für den bisherigen Auslagerungsabschnitt AT 9 bedeutet das eine Neustrukturierung: IKT-Auslagerungen fallen künftig unter DORA, einschließlich der Anforderungen an kritische IKT-Drittdienstleister mit Registrierungspflicht und EBA-Aufsichtsbefugnissen. MaRisk AT 9 fokussiert sich auf Nicht-IKT-Auslagerungen und behält die Kernprinzipien: Keine unkontrollierbaren Risiken durch Auslagerung, die Steuerungs-, Kontroll- und Prüfungsfähigkeit muss jederzeit erhalten bleiben.
Governance: Neue Anforderungen durch CRD VI
Durch das BRUBEG werden die §§ 25c und 25d des Kreditwesengesetzes neu gefasst. Die MaRisk flankiert diese Governance-Anforderungen regulatorisch. Drei Neuerungen stechen hervor.
Erstens: Für Inhaber von Schlüsselfunktionen gelten neue Qualifikations- und Eignungsanforderungen (Fit & Proper). Zweitens: Die Leiter interner Kontrollfunktionen – Risikomanagement, Compliance, Interne Revision – erhalten gestärkte Rechte. Dazu gehört ein direktes Berichtsrecht an das Aufsichtsorgan sowie ein Kündigungsschutz mit Zustimmungsvorbehalt des Aufsichtsorgans. Drittens: Große Institute müssen Bestellungsabsichten für Schlüsselfunktionsinhaber 30 Arbeitstage vor Amtsantritt bei der BaFin anzeigen.
Stresstest-Erleichterungen und Kreditprozess
Die Proportionalität zeigt sich besonders deutlich bei den Stresstests. Sehr kleine Institute müssen künftig nur einen risikoartenübergreifenden Test plus je einen Test pro wesentlicher Risikoart durchführen – Sensitivitätsanalysen sind ausreichend. Kleine Institute führen drei bis fünf Tests pro Jahr durch; inverse Stresstests können qualitativ oder gar entfallen; statt drei Liquiditätsstresstests genügt einer.
| Institutsgruppe | Stresstestanforderungen |
|---|---|
| Sehr kleine Institute | 1 risikoartenübergreifender Test + je 1 pro wesentliche Risikoart; Sensitivitätsanalysen ausreichend |
| Kleine Institute (SNCI) | 3–5 Tests p.a.; inverse Stresstests qualitativ oder entfallend; nur 1 Liquiditätsstresstest p.a. (statt 3) |
| Große Institute (LSI) | Vollständiges Programm, verpflichtende inverse Stresstests, 3 Liquiditätsstresstests p.a. |
Auch im Kreditprozess gibt es Erleichterungen: Die Validierung von Risikomodellen kann auf einen Turnus von zwei bis drei Jahren gestreckt werden, der Rückgriff auf externe Validierungsberichte ist zulässig. Für kleine Institute ist die Wertermittlung von Kreditsicherheiten nur noch alle zwei Jahre erforderlich statt jährlich.
Eine neue Wesentlichkeitsschwelle kommt hinzu: Fünf Prozent des ökonomischen Risikodeckungspotenzials dienen als Orientierungsgröße für die Einstufung wesentlicher Risiken. Ein Kumulationsvorbehalt stellt sicher, dass die Summe mehrerer unwesentlicher Risiken kein wesentliches Risiko ergeben darf.
Was die Entlastung wirklich bedeutet – und wo die Tücken liegen
Die Erleichterungen sind real – aber sie sind kein Freibrief. Drei Aspekte verdienen besondere Aufmerksamkeit.
Erstens: Die Begründungslogik ist anspruchsvoller als Regelbefolgung. Wer bisher Checklisten abgearbeitet hat, konnte Fehler erkennen und korrigieren. Wer künftig begründen muss, warum eine bestimmte Lösung angemessen ist, braucht ein tieferes Verständnis der eigenen Risikolage und muss diese Einschätzung lückenlos dokumentieren. Die Prüfbarkeit der Begründungskette wird zum zentralen Qualitätsmerkmal – und damit auch zum primären Prüfungsschwerpunkt der Internen Revision und der Aufsicht.
Zweitens: Die Überlagerung dreier Regulierungswellen – CRD VI, DORA und ESG – erzeugt trotz der proklamierten Vereinfachung eine hohe Umsetzungskomplexität. Institute, deren Bilanzsumme knapp oberhalb der Fünf-Milliarden-Euro-Schwelle liegt, trifft die volle Wucht aller drei Wellen gleichzeitig. Für sie ist die 9. Novelle keine Entlastung, sondern eine dreifache Implementierungsaufgabe.
Drittens: Der Konsultationsentwurf lag zum Zeitpunkt dieser Analyse noch nicht offiziell vor. Alle inhaltlichen Details basieren auf den Ergebnissen der Fachgremiumssitzung vom 11. September 2025, BaFin-Aufsichtsmitteilungen und Branchenanalysen. Konkrete Modulnummerierungen und finale Formulierungen können sich im Konsultationsverfahren noch ändern. Institute, die jetzt mit der Vorbereitung beginnen, sollten ihre Maßnahmenplanung daher bewusst modular anlegen – mit festen Kernbausteinen und flexiblen Ergänzungsmodulen.
Handlungsempfehlungen
Die verbleibende Zeit bis zum erwarteten Inkrafttreten Ende 2026 oder Anfang 2027 ist knapper, als sie auf den ersten Blick erscheint. Fünf Maßnahmen sollten Kreditinstitute jetzt priorisieren:
Jedes Institut sollte unverzüglich prüfen, in welche Kategorie es fällt, welche Öffnungsklauseln anwendbar sind und wo die bisherige Praxis angepasst werden muss. Die Bilanzsumme allein ist nicht entscheidend – Geschäftsmodell und Risikoprofil fließen in die Einstufung ein. Wer die Wesentlichkeitsschwelle von fünf Prozent des Risikodeckungspotenzials nicht kennt, kann seine Risikoinventur nicht korrekt kalibrieren.
Die gesetzliche Pflicht durch §§ 26c und 26d KWG steht. Kleine Institute sollten mit Klimarisiken beginnen und qualitative Ziele definieren. Größere Institute müssen die EBA/GL/2025/01 bereits jetzt vollständig umsetzen und alle ESG-Dimensionen in die Risikoinventur integrieren. Die jährliche Materialitätsanalyse sollte bereits 2026 erstmals durchgeführt werden, um Erfahrungswerte zu sammeln.
Die Unterscheidung zwischen IKT-Drittparteien und klassischen Dienstleistern muss in der Vertragslandschaft, im Auslagerungsregister und in der operativen Steuerung vollzogen werden. Wer noch kein sauberes Mapping hat, riskiert Doppelarbeiten und Aufsichtsfeststellungen. Die IKT-Strategie als neues Bindeglied zwischen Geschäftsstrategie und DORA-Resilienzstrategie sollte zeitnah erarbeitet werden.
Der Wechsel von Regelkatalog zu Begründungslogik erfordert neue Dokumentationsstandards. Institute müssen ihre Risikostrategie, Limitsetzung und Organisationsentscheidungen so dokumentieren, dass die Angemessenheit jederzeit nachvollziehbar und prüfbar ist. Ein strukturiertes Rechtskataster, das MaRisk-Module, DORA-Artikel und KWG-Paragraphen verknüpft, wird zum unverzichtbaren Steuerungsinstrument.
Die neuen Fit-&-Proper-Anforderungen, das gestärkte Berichtsrecht der Kontrollfunktionen und die Vorabanzeigeflicht für Schlüsselfunktionen erfordern Anpassungen in Satzungen, Geschäftsordnungen und Organisationsrichtlinien. Große Institute sollten die 30-Arbeitstage-Frist bei der Personalplanung für Schlüsselfunktionsinhaber einkalkulieren.
Lesen Sie weiter – alle 14 Tage in Ihrem Postfach.
Kapitalmarkt-Insights, Regulierungs-Updates und AI-Trends. Kompakt, fundiert, kostenlos.
DSGVO-konform. Jederzeit abbestellbar.