Vier Tage vor diesem Artikel, am 25. Juni 2026, hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) die finale 9. Novelle der Mindestanforderungen an das Risikomanagement (MaRisk) veröffentlicht. Das Rundschreiben schrumpft von rund 122 auf etwa 80 Seiten, führt erstmals drei Größenklassen ein und nimmt die direkt von der Europäischen Zentralbank (EZB) beaufsichtigten Großbanken vollständig aus dem deutschen Anwendungsbereich heraus. Eine Übergangsfrist gibt es nicht, die Anforderungen gelten ab sofort. Für rund 950 Institute, etwa drei Viertel aller deutschen Kreditinstitute, bringt die Reform spürbare Erleichterungen.
Den Ton hatte BaFin-Exekutivdirektor Nikolas Speer schon am 23. Juni gesetzt, als er beim Bankentag der Börsen-Zeitung sprach. Der Titel seiner Rede lautete „Mehr Verantwortung, weniger Regeln. Wohin steuert die Bankenaufsicht?“. Es ist eine griffige Formel, und sie beschreibt die Richtung korrekt. Sie verdeckt aber, dass die 9. Novelle an einigen Stellen nicht weniger, sondern mehr verlangt. Wer die Reform nur als Entlastung liest, plant falsch.
Was: Finale 9. MaRisk-Novelle, prinzipienbasiert und strukturell neu geordnet
Wer: BaFin ∙ rund 950 weniger bedeutende Institute (LSI) profitieren
Wann: Veröffentlicht 25. Juni 2026, in Kraft ab sofort, keine Übergangsfrist
Umfang: Von rund 122 auf etwa 80 Seiten, ungefähr ein Drittel gekürzt
Haken: Neue Anforderungen zu KI-Modellen (AT 4.3.4) und Klimaszenarien trotz Kürzung
Drei Größenklassen: die strukturelle Neuordnung
Der eigentliche Bruch mit der bisherigen Logik ist nicht die Seitenzahl, sondern die Einführung von Proportionalität als Ordnungsprinzip. Die MaRisk unterscheidet künftig zwischen drei Klassen. Sehr kleine Institute mit einer Bilanzsumme bis zu einer Milliarde Euro erhalten die weitestgehenden Erleichterungen. Die kleinen und nicht-komplexen Institute, im Aufsichtsjargon Small and Non-Complex Institutions (SNCI), bilden die mittlere Klasse. Ihre Definition übernimmt die BaFin aus Artikel 4 Absatz 1 Nummer 145 der Capital Requirements Regulation (CRR), was in der Praxis eine Bilanzsumme bis etwa fünf Milliarden Euro und weitere Kriterien bedeutet. Die übrigen weniger bedeutenden Institute (Less Significant Institutions, LSI) bilden die dritte Gruppe.
Entscheidend ist, was am oberen Ende passiert. Die direkt von der EZB beaufsichtigten Significant Institutions (SI) fallen vollständig aus dem Anwendungsbereich der MaRisk heraus. Die Begründung ist sauber: Die EZB wendet die Leitlinien der Europäischen Bankenaufsichtsbehörde (European Banking Authority, EBA) ohnehin unmittelbar auf diese Häuser an. Eine parallele nationale MaRisk-Pflicht wäre Doppelregulierung. Diese Herausnahme ist neu, sie war noch nicht Bestandteil der 8. Novelle aus dem Mai 2024.
Kelp hat recht, und der Satz ist mehr als Eigenwerbung. Mit der Klassenlogik koppelt die BaFin die MaRisk erstmals explizit an den Proportionalitätsrahmen der CRR, deren dritte Fassung (CRR3) seit Januar 2025 anwendbar ist. Das ist konzeptionell eine Abkehr von der bisherigen Praxis, in der alle Institute denselben Text lasen und die Verhältnismäßigkeit individuell herausargumentieren mussten.
Die Entlastung in Zahlen
Das plakativste Beispiel der Reform sind die Stresstests. In der öffentlichen Wahrnehmung sinkt ihre Zahl von bis zu 40 auf 5. Diese Verkürzung ist eingängig, aber sie verdient eine Einordnung. Die Zahl 40 stammt aus den EBA-Leitlinien, die als Mindestumfang verschiedene Sensitivitätsanalysen und Stresstests vorsehen. Für die kleinen Institute hatte die BaFin bereits in einer Aufsichtsmitteilung vom 26. November 2024 festgelegt, dass sechs bis sieben Stresstests genügen. Die 9. Novelle kodifiziert diese Verwaltungspraxis, sie erfindet sie nicht neu.
EBA-Mindestumfang: mindestens 40 Sensitivitätsanalysen und Stresstests
Kleine Institute (SNCI): 6 bis 7 Stresstests, bereits seit der Aufsichtsmitteilung von November 2024
Sehr kleine Institute: ein risikoartenübergreifender Stresstest plus je einer pro wesentlicher Risikoart, in der Regel rund 5
Lesart: Die Reduktion ist real, „5 statt 40“ ist aber plakativ. Maßgeblich ist die Institutsstruktur, nicht eine fixe Zahl.
Ähnlich verhält es sich mit dem Seitenumfang. Speer formulierte die Kürzung am 1. April 2026, zum Start der Konsultation, so: „Wir haben die MaRisk grundlegend überarbeitet. Das Rundschreiben ist jetzt noch stärker prinzipienbasiert gestaltet, und wir haben die Komplexität deutlich reduziert.“ Rechnerisch passt das: 122 Seiten minus ein Drittel ergeben rund 80. Der Punkt ist, dass die Seitenzahl allein wenig über die tatsächliche Belastung der einzelnen Bank aussagt. Drei der vier Kürzungsursachen sind keine Deregulierung.
Der zweite Blick: wo „weniger Regeln“ trügt
Die Kürzung speist sich aus vier Quellen, die sich in ihrer Wirkung deutlich unterscheiden. Erstens fallen die SI aus dem Text, was ihn verkürzt, aber für die verbleibenden Institute nichts erleichtert. Zweitens ist das Modul zur Informations- und Kommunikationstechnik (AT 7.2) weitgehend gestrichen, weil diese Risiken nun primär unter den Digital Operational Resilience Act (DORA) fallen. Die Pflicht wandert, sie verschwindet nicht. Drittens wurden echte Doppelungen und Formatierungstexte konsolidiert, das ist der einzige unstrittige Effizienzgewinn. Viertens erhöht die stärkere Prinzipienorientierung die Begründungslast: Wo früher eine Checkliste abgearbeitet wurde, müssen Institute künftig eigene Lösungen herleiten und dokumentieren. Das kann aufwändiger sein, nicht leichter.
Hinzu kommen Anforderungen, die trotz der Kürzung neu in den Text gekommen sind. Das neue Modul AT 4.3.4 verlangt erstmals explizit eine Governance für Modelle und Künstliche Intelligenz. Wo Institute KI in Kreditrisiko-, Stresstest- oder Bewertungsmodellen einsetzen, fordert die MaRisk künftig Validierung, Erklärbarkeit und eine klare Verantwortungszuordnung. Für Häuser, die KI bislang ohne formalisierten Rahmen nutzen, ist das eine echte Neupflicht.
Verschärft hat die BaFin außerdem die Szenarioanalyse für Umwelt-, Sozial- und Governance-Risiken (Environmental, Social and Governance, ESG). In Harmonisierung mit den EBA-Leitlinien EBA/GL/2025/04 müssen Institute Klimarisiken künftig über einen Horizont von mindestens zehn Jahren analysieren, mit kombinierten Methoden und wissenschaftlich fundierten Szenarien. Historische Daten allein genügen nicht mehr. Das ist anspruchsvoll und bindet Ressourcen, die durch die gestrichenen Stresstests nicht eins zu eins frei werden.
Das Branchenecho
Die Konsultation lief vom 1. April bis zum 8. Mai 2026, eine vergleichsweise kurze Frist von fünf Wochen, in der 35 Stellungnahmen eingingen. Die Deutsche Kreditwirtschaft (DK) begrüßte in ihrer Stellungnahme vom 8. Mai die grundsätzliche Neuausrichtung in Richtung Proportionalität und Prinzipienbasierung. Im selben Atemzug mahnte sie aber, dass die angestrebten Erleichterungen auch in der Praxis spürbar werden müssten und eine Reihe von Aspekten weiter anzupassen sei. Konkret kritisierten die Verbände, dass einzelne neue Anforderungen, allen voran das KI-Modul und die ESG-Szenarien, die proklamierte Vereinfachung an anderer Stelle wieder einkassieren.
Am stärksten profitieren die genossenschaftlichen und öffentlichen Institute, die das Gros der sehr kleinen und kleinen Häuser stellen. Für die großen, EZB-beaufsichtigten Banken ändert sich auf den ersten Blick wenig, weil sie ohnehin den EBA-Leitlinien direkt unterliegen. Auf den zweiten Blick verlieren sie mit der MaRisk allerdings einen vertrauten nationalen Bezugsrahmen, was die interne Governance-Dokumentation in der Übergangsphase eher komplizierter macht.
Handlungsempfehlungen für deutsche Institute
Die 9. Novelle gilt ab sofort, ohne Schonfrist. Die Reform belohnt Häuser, die ihre Größenklasse sauber bestimmen und die neuen Pflichten früh adressieren, statt sich von der Entlastungsrhetorik in Sicherheit wiegen zu lassen. Fünf Handlungsfelder stehen im Vordergrund.
Sofort: Jedes Institut sollte seine Einordnung als sehr kleines Institut, SNCI, übriges LSI oder SI sauber herleiten und belegen. Die SNCI-Schwelle folgt der CRR-Definition, nicht einer reinen Bilanzsummen-Grenze. Eine falsche Selbsteinstufung führt entweder zu unnötigem Aufwand oder zu einer Erleichterung, die im Prüfungsfall nicht trägt.
Kurzfristig: Wer KI in Kreditrisiko-, Stresstest- oder Bewertungsmodellen einsetzt, braucht künftig dokumentierte Validierung, Erklärbarkeit und klare Verantwortlichkeiten. Institute sollten ihren Modellbestand inventarisieren und prüfen, welche Verfahren unter die neue Modul-Pflicht fallen, bevor die nächste Prüfung diese Frage stellt.
2026 bis 2027: Die Harmonisierung mit EBA/GL/2025/04 verlangt Klimaszenarien über einen Horizont von mindestens zehn Jahren mit wissenschaftlich fundierten Annahmen. Institute sollten ihre Datengrundlage und Methodik prüfen, da rein historische Ansätze nicht mehr genügen. Hier entsteht der größte neue Ressourcenbedarf der Novelle.
Kurzfristig: Mit der Auslagerung von AT 7.2 verlagert sich die IKT-Steuerung in den DORA-Rahmen. Institute, die Proportionalitätsausnahmen unter DORA nutzen, sollten prüfen, ob zwischen der schlankeren MaRisk und ihrer DORA-Umsetzung eine Regelungslücke entsteht, und die geforderte IKT-Strategie als Bindeglied formulieren.
Laufend: Die stärkere Prinzipienorientierung verlagert die Beweislast zum Institut. Statt vorgefertigter Antworten ist künftig eine nachvollziehbare eigene Herleitung gefragt. Risikofunktionen sollten ihre Begründungs- und Dokumentationsfähigkeit ausbauen, denn im Zweifel bewertet die Aufsicht die Qualität der Argumentation, nicht das Abhaken einer Liste.
Christian Schablitzki
Strategy & Management Consultant · Agentic-AI-Experte für Finanzinstitute
Über 20 Jahre in Investmentbanking und Derivatehandel, anschließend mehr als 10 Jahre als Berater für Finanzinstitute. Aktuell Partner bei Infosys Consulting in Deutschland. Zertifiziert in Google AI, Generative AI Leader (Google Cloud) und IBM RAG and Agentic AI.
LinkedIn-Profil →Lesen Sie weiter – alle 14 Tage in Ihrem Postfach.
Kapitalmarkt-Insights, Regulierungs-Updates und AI-Trends. Kompakt, fundiert, kostenlos.
DSGVO-konform. Jederzeit abbestellbar.