Vier Tage vor diesem Artikel, am 25. Juni 2026, hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) die finale 9. Novelle der Mindestanforderungen an das Risikomanagement (MaRisk) veröffentlicht. Das Rundschreiben schrumpft von rund 122 auf etwa 80 Seiten, führt erstmals drei Größenklassen ein und nimmt die direkt von der Europäischen Zentralbank (EZB) beaufsichtigten Großbanken vollständig aus dem deutschen Anwendungsbereich heraus. Eine Übergangsfrist gibt es nicht, die Anforderungen gelten ab sofort. Für rund 950 Institute, etwa drei Viertel aller deutschen Kreditinstitute, bringt die Reform spürbare Erleichterungen.

Den Ton hatte BaFin-Exekutivdirektor Nikolas Speer schon am 23. Juni gesetzt, als er beim Bankentag der Börsen-Zeitung sprach. Der Titel seiner Rede lautete „Mehr Verantwortung, weniger Regeln. Wohin steuert die Bankenaufsicht?“. Es ist eine griffige Formel, und sie beschreibt die Richtung korrekt. Sie verdeckt aber, dass die 9. Novelle an einigen Stellen nicht weniger, sondern mehr verlangt. Wer die Reform nur als Entlastung liest, plant falsch.

In Kürze

Was: Finale 9. MaRisk-Novelle, prinzipienbasiert und strukturell neu geordnet

Wer: BaFin ∙ rund 950 weniger bedeutende Institute (LSI) profitieren

Wann: Veröffentlicht 25. Juni 2026, in Kraft ab sofort, keine Übergangsfrist

Umfang: Von rund 122 auf etwa 80 Seiten, ungefähr ein Drittel gekürzt

Haken: Neue Anforderungen zu KI-Modellen (AT 4.3.4) und Klimaszenarien trotz Kürzung

Drei Größenklassen: die strukturelle Neuordnung

Der eigentliche Bruch mit der bisherigen Logik ist nicht die Seitenzahl, sondern die Einführung von Proportionalität als Ordnungsprinzip. Die MaRisk unterscheidet künftig zwischen drei Klassen. Sehr kleine Institute mit einer Bilanzsumme bis zu einer Milliarde Euro erhalten die weitestgehenden Erleichterungen. Die kleinen und nicht-komplexen Institute, im Aufsichtsjargon Small and Non-Complex Institutions (SNCI), bilden die mittlere Klasse. Ihre Definition übernimmt die BaFin aus Artikel 4 Absatz 1 Nummer 145 der Capital Requirements Regulation (CRR), was in der Praxis eine Bilanzsumme bis etwa fünf Milliarden Euro und weitere Kriterien bedeutet. Die übrigen weniger bedeutenden Institute (Less Significant Institutions, LSI) bilden die dritte Gruppe.

Entscheidend ist, was am oberen Ende passiert. Die direkt von der EZB beaufsichtigten Significant Institutions (SI) fallen vollständig aus dem Anwendungsbereich der MaRisk heraus. Die Begründung ist sauber: Die EZB wendet die Leitlinien der Europäischen Bankenaufsichtsbehörde (European Banking Authority, EBA) ohnehin unmittelbar auf diese Häuser an. Eine parallele nationale MaRisk-Pflicht wäre Doppelregulierung. Diese Herausnahme ist neu, sie war noch nicht Bestandteil der 8. Novelle aus dem Mai 2024.

Die neunte MaRisk-Novelle ist mehr als eine Überarbeitung. Dr. Torsten Kelp, Leiter des MaRisk-Teams der BaFin, 25. Juni 2026

Kelp hat recht, und der Satz ist mehr als Eigenwerbung. Mit der Klassenlogik koppelt die BaFin die MaRisk erstmals explizit an den Proportionalitätsrahmen der CRR, deren dritte Fassung (CRR3) seit Januar 2025 anwendbar ist. Das ist konzeptionell eine Abkehr von der bisherigen Praxis, in der alle Institute denselben Text lasen und die Verhältnismäßigkeit individuell herausargumentieren mussten.

Die Entlastung in Zahlen

Das plakativste Beispiel der Reform sind die Stresstests. In der öffentlichen Wahrnehmung sinkt ihre Zahl von bis zu 40 auf 5. Diese Verkürzung ist eingängig, aber sie verdient eine Einordnung. Die Zahl 40 stammt aus den EBA-Leitlinien, die als Mindestumfang verschiedene Sensitivitätsanalysen und Stresstests vorsehen. Für die kleinen Institute hatte die BaFin bereits in einer Aufsichtsmitteilung vom 26. November 2024 festgelegt, dass sechs bis sieben Stresstests genügen. Die 9. Novelle kodifiziert diese Verwaltungspraxis, sie erfindet sie nicht neu.

Rechenbeispiel: Stresstests nach neuer Logik

EBA-Mindestumfang: mindestens 40 Sensitivitätsanalysen und Stresstests

Kleine Institute (SNCI): 6 bis 7 Stresstests, bereits seit der Aufsichtsmitteilung von November 2024

Sehr kleine Institute: ein risikoartenübergreifender Stresstest plus je einer pro wesentlicher Risikoart, in der Regel rund 5

Lesart: Die Reduktion ist real, „5 statt 40“ ist aber plakativ. Maßgeblich ist die Institutsstruktur, nicht eine fixe Zahl.

Ähnlich verhält es sich mit dem Seitenumfang. Speer formulierte die Kürzung am 1. April 2026, zum Start der Konsultation, so: „Wir haben die MaRisk grundlegend überarbeitet. Das Rundschreiben ist jetzt noch stärker prinzipienbasiert gestaltet, und wir haben die Komplexität deutlich reduziert.“ Rechnerisch passt das: 122 Seiten minus ein Drittel ergeben rund 80. Der Punkt ist, dass die Seitenzahl allein wenig über die tatsächliche Belastung der einzelnen Bank aussagt. Drei der vier Kürzungsursachen sind keine Deregulierung.

Der zweite Blick: wo „weniger Regeln“ trügt

Die Kürzung speist sich aus vier Quellen, die sich in ihrer Wirkung deutlich unterscheiden. Erstens fallen die SI aus dem Text, was ihn verkürzt, aber für die verbleibenden Institute nichts erleichtert. Zweitens ist das Modul zur Informations- und Kommunikationstechnik (AT 7.2) weitgehend gestrichen, weil diese Risiken nun primär unter den Digital Operational Resilience Act (DORA) fallen. Die Pflicht wandert, sie verschwindet nicht. Drittens wurden echte Doppelungen und Formatierungstexte konsolidiert, das ist der einzige unstrittige Effizienzgewinn. Viertens erhöht die stärkere Prinzipienorientierung die Begründungslast: Wo früher eine Checkliste abgearbeitet wurde, müssen Institute künftig eigene Lösungen herleiten und dokumentieren. Das kann aufwändiger sein, nicht leichter.

Hinzu kommen Anforderungen, die trotz der Kürzung neu in den Text gekommen sind. Das neue Modul AT 4.3.4 verlangt erstmals explizit eine Governance für Modelle und Künstliche Intelligenz. Wo Institute KI in Kreditrisiko-, Stresstest- oder Bewertungsmodellen einsetzen, fordert die MaRisk künftig Validierung, Erklärbarkeit und eine klare Verantwortungszuordnung. Für Häuser, die KI bislang ohne formalisierten Rahmen nutzen, ist das eine echte Neupflicht.

Verschärft hat die BaFin außerdem die Szenarioanalyse für Umwelt-, Sozial- und Governance-Risiken (Environmental, Social and Governance, ESG). In Harmonisierung mit den EBA-Leitlinien EBA/GL/2025/04 müssen Institute Klimarisiken künftig über einen Horizont von mindestens zehn Jahren analysieren, mit kombinierten Methoden und wissenschaftlich fundierten Szenarien. Historische Daten allein genügen nicht mehr. Das ist anspruchsvoll und bindet Ressourcen, die durch die gestrichenen Stresstests nicht eins zu eins frei werden.

Das Branchenecho

Die Konsultation lief vom 1. April bis zum 8. Mai 2026, eine vergleichsweise kurze Frist von fünf Wochen, in der 35 Stellungnahmen eingingen. Die Deutsche Kreditwirtschaft (DK) begrüßte in ihrer Stellungnahme vom 8. Mai die grundsätzliche Neuausrichtung in Richtung Proportionalität und Prinzipienbasierung. Im selben Atemzug mahnte sie aber, dass die angestrebten Erleichterungen auch in der Praxis spürbar werden müssten und eine Reihe von Aspekten weiter anzupassen sei. Konkret kritisierten die Verbände, dass einzelne neue Anforderungen, allen voran das KI-Modul und die ESG-Szenarien, die proklamierte Vereinfachung an anderer Stelle wieder einkassieren.

Am stärksten profitieren die genossenschaftlichen und öffentlichen Institute, die das Gros der sehr kleinen und kleinen Häuser stellen. Für die großen, EZB-beaufsichtigten Banken ändert sich auf den ersten Blick wenig, weil sie ohnehin den EBA-Leitlinien direkt unterliegen. Auf den zweiten Blick verlieren sie mit der MaRisk allerdings einen vertrauten nationalen Bezugsrahmen, was die interne Governance-Dokumentation in der Übergangsphase eher komplizierter macht.

Handlungsempfehlungen für deutsche Institute

Die 9. Novelle gilt ab sofort, ohne Schonfrist. Die Reform belohnt Häuser, die ihre Größenklasse sauber bestimmen und die neuen Pflichten früh adressieren, statt sich von der Entlastungsrhetorik in Sicherheit wiegen zu lassen. Fünf Handlungsfelder stehen im Vordergrund.

1. Größenklasse bestimmen und dokumentieren

Sofort: Jedes Institut sollte seine Einordnung als sehr kleines Institut, SNCI, übriges LSI oder SI sauber herleiten und belegen. Die SNCI-Schwelle folgt der CRR-Definition, nicht einer reinen Bilanzsummen-Grenze. Eine falsche Selbsteinstufung führt entweder zu unnötigem Aufwand oder zu einer Erleichterung, die im Prüfungsfall nicht trägt.

2. KI-Governance nach AT 4.3.4 aufsetzen

Kurzfristig: Wer KI in Kreditrisiko-, Stresstest- oder Bewertungsmodellen einsetzt, braucht künftig dokumentierte Validierung, Erklärbarkeit und klare Verantwortlichkeiten. Institute sollten ihren Modellbestand inventarisieren und prüfen, welche Verfahren unter die neue Modul-Pflicht fallen, bevor die nächste Prüfung diese Frage stellt.

3. ESG-Szenarioanalyse ertüchtigen

2026 bis 2027: Die Harmonisierung mit EBA/GL/2025/04 verlangt Klimaszenarien über einen Horizont von mindestens zehn Jahren mit wissenschaftlich fundierten Annahmen. Institute sollten ihre Datengrundlage und Methodik prüfen, da rein historische Ansätze nicht mehr genügen. Hier entsteht der größte neue Ressourcenbedarf der Novelle.

4. DORA-Schnittstelle schließen

Kurzfristig: Mit der Auslagerung von AT 7.2 verlagert sich die IKT-Steuerung in den DORA-Rahmen. Institute, die Proportionalitätsausnahmen unter DORA nutzen, sollten prüfen, ob zwischen der schlankeren MaRisk und ihrer DORA-Umsetzung eine Regelungslücke entsteht, und die geforderte IKT-Strategie als Bindeglied formulieren.

5. Von der Checkliste zum Prinzip

Laufend: Die stärkere Prinzipienorientierung verlagert die Beweislast zum Institut. Statt vorgefertigter Antworten ist künftig eine nachvollziehbare eigene Herleitung gefragt. Risikofunktionen sollten ihre Begründungs- und Dokumentationsfähigkeit ausbauen, denn im Zweifel bewertet die Aufsicht die Qualität der Argumentation, nicht das Abhaken einer Liste.

Timeline: Der Weg zur 9. MaRisk-Novelle
Von der Vorgänger-Novelle bis zur prinzipienbasierten Reform
29. Mai 2024
8. MaRisk-Novelle (Rundschreiben 06/2024 BA)
Inhaltliche Anpassungen, aber noch keine Größenklassen und keine Herausnahme der EZB-Banken.
26. November 2024
BaFin-Aufsichtsmitteilung zur Proportionalität
Legt für kleine Institute 6 bis 7 Stresstests fest. Vorgriff auf die spätere Kodifizierung.
1. April 2026
Start der Konsultation 02/2026
Entwurf der 9. Novelle veröffentlicht, Frist zur Stellungnahme bis 8. Mai.
8. Mai 2026
Ende der Konsultation, 35 Stellungnahmen
Die Deutsche Kreditwirtschaft begrüßt die Richtung, mahnt aber praxistaugliche Erleichterungen an.
25. Juni 2026
Veröffentlichung der finalen 9. Novelle
Drei Größenklassen, EZB-Banken raus, rund ein Drittel kürzer. In Kraft ab sofort, ohne Übergangsfrist.
2026 bis 2027
Umsetzung KI-Modul und ESG-Szenarien
Institute bauen Governance nach AT 4.3.4 auf und ertüchtigen Klimaszenarien nach EBA/GL/2025/04.
Christian Schablitzki

Christian Schablitzki

Strategy & Management Consultant · Agentic-AI-Experte für Finanzinstitute

Über 20 Jahre in Investmentbanking und Derivatehandel, anschließend mehr als 10 Jahre als Berater für Finanzinstitute. Aktuell Partner bei Infosys Consulting in Deutschland. Zertifiziert in Google AI, Generative AI Leader (Google Cloud) und IBM RAG and Agentic AI.

LinkedIn-Profil →
newsletter
the agentic banker

Lesen Sie weiter – alle 14 Tage in Ihrem Postfach.

Kapitalmarkt-Insights, Regulierungs-Updates und AI-Trends. Kompakt, fundiert, kostenlos.

DSGVO-konform. Jederzeit abbestellbar.

← Zurück zur Übersicht