Skip to main content
8. Februar 2026

Die 9. MaRisk-Novelle: Regelkatalog versus Begründungslogik – Der neue Standard

Die deutsche Bankenaufsicht steht vor einer der bedeutendsten Weichenstellungen seit Einführung der Mindestanforderungen an das Risikomanagement (MaRisk) im Jahr 2005.

Mit der 9. MaRisk-Novelle, deren Konsultation für Anfang 2026 angekündigt ist und deren Inkrafttreten bis Ende 2026 erwartet wird, vollzieht die BaFin gemeinsam mit der Deutschen Bundesbank einen grundlegenden Paradigmenwechsel: weg von der detailorientierten „Checkbox-Compliance“ hin zu einer prinzipienbasierten, proportionalitätsgetriebenen Aufsichtslogik, bei der die prüfbare Begründungskette zum zentralen Nachweis der Angemessenheit wird.

Die Novelle reagiert damit auf eine seit der Finanzkrise 2008/2009 kontinuierlich gestiegene Regulierungsdichte, die durch internationale Vereinbarungen, europäische Leitlinien und nationale Detailvorgaben zu einem als überkomplex empfundenen Regelwerk geführt hat.

Gleichzeitig integriert die Aufsicht zentrale Elemente aus DORA, CRD VI, ESG-Regelwerk und den jüngsten EBA-Guidelines, um regulatorische Doppelungen abzubauen und Widersprüche zwischen nationalen und europäischen Vorgaben zu vermeiden.

Dieser Fachartikel analysiert die wesentlichen Inhalte der 9. MaRisk-Novelle, ordnet die neue Institutsklassifizierung und die differenzierten Anforderungen nach Größenklassen ein und zeigt konkrete Handlungsfelder für sehr kleine, kleine (SNCI: Small and Non-Complex Institution) sowie mittelgroße und große Institute auf.

MaRisk 9.0: Schlankes Risikomanagement statt Bürokratie-Overkill

Institutsklassen – Bilanzsumme & regulatorische Einordnung

Institutsklasse Bilanzsumme Regulatorische Einordnung
Sehr kleine Institute bis 1 Mrd. EUR Maximale Proportionalitätserleichterungen; etwa 40–45 % aller deutschen Kreditinstitute.
Kleine Institute (SNCI) 1–5 Mrd. EUR Deutliche Erleichterungen mit erhöhten Begründungsanforderungen; Definition nach Art. 4 Abs. 1 Nr. 145 CRR.
Übrige national beaufsichtigte Institute ab 5 Mrd. EUR Voller MaRisk-Umfang; Fokus auf prinzipienorientierte Steuerung und stringente Begründungsketten.

FAQ: MaRisk 9.0 – Paradigmenwechsel, Proportionalität & Verantwortung der Geschäftsleitung

  • Was ist das zentrale Ziel der 9. MaRisk-Novelle?

    Die 9. MaRisk-Novelle vollzieht einen Paradigmenwechsel weg von detailorientierter Checkbox-Compliance hin zu einer prinzipienbasierten, proportionalitätsgetriebenen Aufsichtslogik. Entscheidend ist künftig nicht mehr die formale Regelerfüllung, sondern die prüfbare Begründung der Angemessenheit institutsspezifischer Lösungen.

  • Was bedeutet „prüfbare Begründungskette“ in der Praxis?

    Institute müssen nachvollziehbar darlegen können, warum sie sich für bestimmte Methoden, Prozesse oder Vereinfachungen entschieden haben. Die Aufsicht bewertet künftig stärker die Plausibilität, Konsistenz und Angemessenheit dieser Begründungen statt das bloße Vorhandensein von Regelwerken.

  • Welche Verantwortung trägt die Geschäftsleitung unter MaRisk 9.0?

    Die Verantwortung der Geschäftsleitung wird deutlich gestärkt. Proportionalitätsentscheidungen, Wesentlichkeitseinschätzungen und Governance-Strukturen sind explizit Führungsaufgaben. Die Geschäftsleitung muss diese Entscheidungen gegenüber Prüfern erklären und vertreten können.

  • Was ändert sich bei der Proportionalität?

    Die MaRisk 9.0 führen eine klarere Institutsklassifizierung ein und öffnen den Anwendungsbereich von Erleichterungen deutlich, insbesondere für sehr kleine Institute und SNCI. Diese Erleichterungen sind jedoch kein Freifahrtschein, sondern müssen institutsspezifisch begründet werden.

  • Welche Rolle spielt die Wesentlichkeitsschwelle?

    Als Orientierungsgröße wird eine Wesentlichkeitsschwelle von 5 % des ökonomischen Risikodeckungspotenzials diskutiert. Risiken unterhalb dieser Schwelle können vereinfacht behandelt werden, sofern dokumentiert ist, dass sie kumuliert kein wesentliches Risiko darstellen.

  • Wie verändern sich die Anforderungen an Stresstests?

    Die Anzahl und Komplexität der Stresstests wird insbesondere für kleinere Institute reduziert. Vorgesehen sind ein risikoartenübergreifender Stresstest sowie je ein Stresstest pro wesentlicher Risikoart. Inverse Stresstests können für kleine Institute entfallen oder qualitativ erfolgen.

  • Wie grenzt die MaRisk 9.0 DORA ab?

    Die MaRisk konzentrieren sich künftig auf Governance-, Proportionalitäts- und Nicht-IKT-Themen. IKT-Risiken, IKT-Drittparteien und digitale Resilienz werden primär durch DORA geregelt. Institute müssen ihre Dienstleister daher sauber in DORA- und MaRisk-relevante Bereiche trennen.

  • Welche Bedeutung haben ESG-Risiken unter MaRisk 9.0?

    ESG-Risiken bleiben Bestandteil des Risikomanagements, sollen aber systematischer und ohne übermäßigen Formalismus integriert werden. Für kleine Institute ist eine geringere Dokumentationstiefe zulässig, während große Institute umfassende ESG-Integrationen umsetzen müssen.

  • Was müssen Institute jetzt konkret vorbereiten?

    Institute sollten frühzeitig eine Gap-Analyse durchführen, ihr Rechtskataster aktualisieren, Proportionalitätsentscheidungen dokumentieren und DORA-konforme IKT-Strukturen aufbauen. Ziel ist es, bei Inkrafttreten der Novelle schlüssige und prüfungssichere Begründungsketten vorweisen zu können.

  • Ist die MaRisk 9.0 eine Deregulierung?

    Nein. Die MaRisk 9.0 bedeuten keine Deregulierung, sondern eine Rückkehr zur ursprünglichen Idee: qualitativ hochwertige, risikoadäquate Steuerung auf Basis fundierter Eigenverantwortung. Die Anforderungen werden nicht weniger, sondern stärker an Angemessenheit und Begründungsfähigkeit geknüpft.

Aufsichtsphilosophie: Rückkehr zu den Ursprüngen

Von der Detailvorgabe zur Prinzipienorientierung

Die 9. MaRisk-Novelle markiert eine bewusste Rückbesinnung auf die ursprüngliche Konzeption der MaRisk aus dem Jahr 2005: qualitativ hochwertige, risikoadäquate Steuerung auf Basis fundierter Eigenverantwortung statt formaler Regelerfüllung. Die Aufsicht verfolgt dabei zwei Hauptziele:

Ziel 1: Reduktion der Komplexität

Die MaRisk sollen lesbarer, schlanker und weniger redundant werden. Dies soll erreicht werden durch Streichung von Doppelungen und Allgemeinplätzen, Zusammenfassung inhaltlich ähnlicher Vorgaben, Verzicht auf Wiederholung gesetzlicher Vorgaben, Vergrößerung der Ermessensspielräume durch weniger granulare Vorgaben sowie deutliche Reduktion der Verweise auf europäische Leitlinien.

Ziel 2: Stärkung der Proportionalität

Die Novelle führt eine neue Institutsklassifizierung mit differenzierten Anforderungen ein und schafft mehr Öffnungsklauseln für kleine und sehr kleine Institute. Dabei bleibt die individuelle Beurteilung nach Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten möglich, wobei dieser Grundsatz voraussichtlich an zentraler Stelle ausgeführt wird. Die Verantwortung für die Anwendung von Öffnungsklauseln liegt bei der Geschäftsleitung und kann im Rahmen bankgeschäftlicher Prüfungen von der Aufsicht hinterfragt werden.

Keine Checkbox-Compliance – die prüfbare Begründungskette zählt

Das zentrale Leitbild der 9. Novelle lautet: Institute sollen keine formalen Detailanforderungen mehr „abhaken“, sondern prüfbare Begründungsketten zur Angemessenheit ihrer gewählten Lösungen darstellen. Dies bedeutet konkret:

Mehr Gestaltungsspielräume: Die MaRisk legen Ziele und Grundsätze fest, die Institute entscheiden selbst über die Umsetzung. Maßgeblich ist, dass die Banken erklären können, warum sie sich für welche Maßnahmen entschieden haben und dass die Aufsicht dies als angemessen anerkennt.

Wesentlichkeit und Fokussierung: Institute müssen nicht jedes noch so kleine Risiko bis ins kleinste Detail regeln. Es reicht, auf wesentliche Risiken zu fokussieren und darauf zu achten, dass kumulierte unwesentliche Risiken sich nicht zu einem wesentlichen Risiko formen.

Doppelte Proportionalität: Die MaRisk berücksichtigen künftig stärker, wie groß und komplex ein Institut ist, wodurch kleinere Institute weniger strenge Auflagen erhalten. Dies ist kein Freifahrtschein – die Angemessenheit muss sorgfältig begründet werden.

Die Aufsicht hat angekündigt, dass sich diese neue Philosophie auch auf die Prüfungspraxis auswirken wird: Prüfer werden künftig stärker die Qualität der Begründungen und die Plausibilität der institutsspezifischen Ansätze bewerten statt formale Regelkonformität abzuprüfen.

Die 5-%-Hürde: Schwellenwert mit Warnhinweis

Die 5-%-Hürde: Mächtiges Werkzeug mit Kumulationsvorbehalt

Die Einführung einer quantitativen Orientierungsgröße von 5 % des Risikodeckungspotenzials (RDP) für die Wesentlichkeit ist ein deutliches Signal für die Proportionalität.

Doch Vorsicht: Dieser Schwellenwert ist kein automatischer „Freibrief“. Die Aufsicht wird ihr Augenmerk verstärkt auf sogenannte Kumulationseffekte richten. Institute müssen nachweisen können, dass die Summe zahlreicher „unwesentlicher“ Einzelrisiken in der Aggregation nicht doch die Stabilität gefährdet oder systemische Risiken maskiert.

Die Begründungslogik verlangt hier eine ganzheitliche Sicht: Wer Risiken unterhalb der Schwelle vereinfacht behandelt, muss die Überwachung dieser „Summenrisiken“ im Rahmen der Risikoinventur umso präziser dokumentieren.

Neue Institutsklassifizierung und Proportionalitätslogik

Geschäftsleiter – Verantwortung & Haftung unter MaRisk 9.0

Als Geschäftsleiter tragen Sie die Gesamtverantwortung für das Risikomanagement, die Governance und die Organisation Ihres Instituts. Mit der 9. MaRisk-Novelle rückt diese Verantwortung stärker denn je in den Fokus der Aufsicht.

Die MaRisk 9.0 markieren einen klaren Paradigmenwechsel: Nicht mehr das formale Abarbeiten von Detailvorgaben ist entscheidend, sondern Ihre Fähigkeit, prüfbare Begründungsketten zur Angemessenheit der gewählten Lösungen darzulegen. Proportionalität wird damit zu einer zentralen Führungsaufgabe.

  • Gesamtverantwortung für Proportionalitätsentscheidungen und deren nachvollziehbare Begründung
  • Nachweis einer wirksamen Governance- und Risikosteuerungslogik
  • Tragfähige Begründung von Wesentlichkeit, ICAAP/RTF und Stresstests
  • Klare Abgrenzung zwischen MaRisk- und DORA-Verantwortlichkeiten
  • Vermeidung von Organisationsverschulden nach § 25a KWG
  • Schutz des Instituts sowie Ihrer persönlichen Haftungsposition

Quick-Check: MaRisk 9.0 – Begründungs- & Proportionalitätslogik

Check Zentrale Fragestellung nach MaRisk 9.0
Prinzipienlogik verstanden?
Zählt im Institut prüfbare Angemessenheit statt Checkbox-Compliance?
Proportionalität dokumentiert?
Sind genutzte Erleichterungen je AT-/BT-Modul begründet?
Wesentlichkeit definiert?
Ist klar, welche Risiken wesentlich sind (z. B. 5-%-RDP-Schwelle)?
ICAAP/RTF begründbar?
Ist die Methodik erklärbar und prüfungssicher?
Stresstests proportional?
Passen Anzahl, Tiefe und Szenarien zum Risikoprofil?
DORA sauber abgegrenzt?
Klare Trennung IKT-Drittparteien (DORA) vs. sonstige Auslagerungen (MaRisk)?
Governance verantwortet?
Kann die Geschäftsleitung ihre Entscheidungen vertreten?

🚦 Einordnung aus Sicht der MaRisk 9.0

ROT
Hohe Prüfungs- und Haftungsrisiken
GELB
Teilweise tragfähige Begründungen
GRÜN
Schlüssige Begründungsketten

Aufsichtsmitteilung vom 26.11.2024 als Vorläufer

Mit der Aufsichtsmitteilung vom 26.11.2024 zu „Erleichterungen im Risikomanagement für kleine und sehr kleine Kreditinstitute" hat die BaFin bereits konkrete Vereinfachungen beschrieben, die als Vorgriff auf die 9. Novelle verstanden werden und in die endgültige MaRisk-Fassung integriert werden sollen. Diese Mitteilung definiert erstmals einheitlich die Größenklassen und beschreibt Erleichterungen in folgenden Bereichen:

  • Vereinfachte Risikoinventur mit Fokus auf wesentliche Risiken

  • Reduzierte Anzahl und Komplexität von Stresstests

  • Möglichkeit zur Funktionenbündelung (z.B. Compliance- und Auslagerungsbeauftragte)

  • Nutzung gruppen- oder verbundinterner Lösungen zur Bewertung von Dienstleistern

  • Schlankere Berichterstattung und Prozessdokumentation

  • Verzicht auf separate Berichte für Sanierungsindikatoren bei sehr kleinen Instituten

Die BaFin betont, dass die Verantwortung für die Nutzung dieser Erleichterungen bei der Geschäftsleitung liegt und dass die Entscheidungen im Rahmen von Prüfungen plausibel begründet und dokumentiert sein müssen.

MaRisk 9.0 & DORA: Risikomanagement effizient entschlacken

Integration und Abgrenzung europäischer Regelwerke

DORA: Klare Trennung zwischen IKT und sonstigen Risiken

Ein zentrales Anliegen der 9. MaRisk-Novelle ist die saubere Abgrenzung zwischen nationalen MaRisk-Anforderungen und den europäischen DORA-Vorgaben (Digital Operational Resilience Act), um Doppelregulierung zu vermeiden.

DORA-Zuständigkeit

DORA soll vorrangig IKT-Risiken, IKT-Drittparteien, digitale Resilienz, Meldepflichten für IKT-Vorfälle sowie Resilienztests regeln. Die detaillierten Anforderungen für IKT-Auslagerungen werden vollständig von DORA abgedeckt.

MaRisk-Zuständigkeit

Die MaRisk bleiben für Nicht-IKT-Themen der zentrale nationale Rahmen: sonstige Auslagerungen (z.B. Zahlungsverkehrsabwicklung, Kreditbearbeitung, Portfolioverwaltung), klassische operationelle Risiken ohne IKT-Bezug, ESG-Risiken und übergreifende Governance- und Proportionalitätsprinzipien.

Anpassungen in AT 7.3 und AT 9

Insbesondere AT 7.3 (Notfallmanagement) und AT 9 (Auslagerungen) sollen deutlich klarer abgrenzen, was DORA vollständig abdeckt und wofür weiterhin die MaRisk maßgeblich bleiben. Im Auslagerungsmanagement nach AT 9 bedeutet dies, dass die MaRisk nur noch übergreifende Governance- und Proportionalitätsprinzipien setzen, während DORA die konkreten Anforderungen für IKT-Auslagerungen ausdifferenziert.

Praktische Konsequenz für Institute

Institute müssen ihre Dienstleister künftig in zwei Stränge sauber trennen: IKT-Drittparteien, die ausschließlich unter die DORA-Logik fallen (mit DORA-spezifischen Verträgen, Risikobewertungen, Resilienztests und Meldewegen), und sonstige Dienstleister, die mit der MaRisk-/EBA-Logik gesteuert werden (klassisches Auslagerungsmanagement nach AT 9, EBA-Guidelines on Outsourcing).

ESG-Risiken: Harmonisierung der Anforderungen

Die 7. MaRisk-Novelle hatte ESG-Risiken bereits quer über alle Risikoarten (Kredit-, Marktpreis-, Liquiditäts- und operationelle Risiken) integriert, was in der Praxis zu teils sehr hohen Aufwänden und Überschneidungen mit dem BaFin-Merkblatt zum Umgang mit Nachhaltigkeitsrisiken und EBA-Guidelines geführt hat.

Die 9. Novelle soll hier Abhilfe schaffen durch:

  • Präzisierung einzelner ESG-Anforderungen mit überschneidungsfreien Schnittstellen

  • Vereinheitlichte Anforderungen zu Prozessen und Dokumentationspflichten

  • Klarere Vorgaben zur ESG-Berichterstattung und Offenlegung

  • Systematische und risikoorientierte Integration in Risikoinventur und Risikostrategie ohne übermäßigen Formalisierungsgrad

Für kleine Institute (SNCI) wird erwartet, dass ESG-Risiken zwar systematisch erfasst werden müssen, die Dokumentationstiefe und -frequenz aber deutlich unterhalb der Anforderungen an große Institute liegen darf.

IRRBB und CSRBB: Feinjustierung nach der 8. Novelle

Die 8. MaRisk-Novelle (Mai 2024) hatte die EBA-Leitlinien zu Zinsänderungsrisiken im Anlagebuch (IRRBB) und Kreditspreadrisiken im Anlagebuch (CSRBB) umgesetzt und einen neuen Bereich BTR 5 für Kreditspreadrisiken eingeführt. In der Praxis sind jedoch offene Auslegungsfragen hinsichtlich bestimmter CSRBB-Vorgaben entstanden, insbesondere zur Integration in bestehende Risikomess- und Steuerungssysteme.

Die 9. Novelle soll hier Klarstellungen bringen:

  • Detailfragen zur Modellierung und Messung von Kreditspreadrisiken

  • Harmonisierung der Schnittstellen zu Risikotragfähigkeit, Stresstests und Berichterstattung

  • Proportionale Anforderungen für kleinere Institute, die weniger komplexe Anlagebücher haben

  • Klarere Abgrenzung zwischen IRRBB- und CSRBB-Komponenten

RD VI und EBA-Leitlinien: Reduktion dynamischer Verweise

Die MaRisk enthielten bislang zahlreiche dynamische Verweise auf EBA-Guidelines, was in der Praxis dazu führte, dass Institute bei jeder Aktualisierung einer Leitlinie prüfen mussten, ob und wie sich dies auf ihre MaRisk-Compliance auswirkt. Die 9. Novelle soll die Anzahl dieser Verweise deutlich reduzieren und künftig weitgehend darauf verzichten.

Stattdessen werden ausgewählte Inhalte aus CRD VI und EBA-Leitlinien entweder direkt in die MaRisk integriert oder es werden klare Referenzpunkte geschaffen, um Widersprüche zu EU-Recht zu vermeiden. Europäische Leitlinien bleiben relevant, werden aber nicht mehr im gleichen Umfang in die MaRisk „hineinzitiert".

MaRisk – klassische Regelorientierung vs. MaRisk 9.0

Themenfeld Bisherige MaRisk-Logik MaRisk 9.0 – neue Aufsichtslogik
Aufsichtsphilosophie Detailorientierte Vorgaben, formale Regelbefolgung, Fokus auf Vollständigkeit von Dokumentationen. Prinzipienorientierte Steuerung mit prüfbarer Begründungskette zur Angemessenheit institutsspezifischer Lösungen.
Rolle der Geschäftsleitung Verantwortung primär über formale Freigaben und Genehmigung von Regelwerken. Aktive Führungsverantwortung für Proportionalitätsentscheidungen, Wesentlichkeit und Governance.
Proportionalität Eingeschränkt nutzbar, häufig unklar abgegrenzt und stark durch Detailvorgaben limitiert. Deutlich ausgeweitet, insbesondere für sehr kleine Institute und SNCI – aber mit erhöhter Begründungspflicht.
Risikoinventur & Wesentlichkeit Breite Erfassung auch geringfügiger Risiken, häufig hoher Dokumentationsaufwand. Fokus auf wesentliche Risiken; Nutzung einer klaren Wesentlichkeitsschwelle (z. B. 5 % des Risikodeckungspotenzials).
Risikotragfähigkeit (ICAAP) Stark methoden- und detailgetrieben, begrenzte Spielräume bei der Ausgestaltung. Wahlfreiheit zwischen ökonomischem und normativem Ansatz, sofern schlüssig begründet.
Stresstests Hohe Anzahl und Granularität, inverse Stresstests meist verpflichtend. Reduzierte Anzahl (typisch 3–5 p. a.); inverse Stresstests für kleinere Institute qualitativ oder entfallend.
DORA-Abgrenzung Überschneidungen zwischen MaRisk, EBA-Guidelines und IT-Anforderungen. Klare Trennung: DORA für IKT-Risiken, MaRisk für Governance und Nicht-IKT-Themen.
Prüfungsschwerpunkt Kontrolle der formalen Regelkonformität und Vollständigkeit von Unterlagen. Bewertung der Plausibilität, Konsistenz und Qualität der Begründungen.
Haftungsrisiko für Geschäftsführer Haftung meist indirekt über formale Pflichtverletzungen. Erhöhtes Risiko bei fehlender oder inkonsistenter Begründung – Organisationsverschulden nach § 25a KWG.

Zentrale inhaltliche Handlungsfelder

Risikoinventur, Wesentlichkeit und Risikotragfähigkeit

Die 9. MaRisk-Novelle führt eine klare Wesentlichkeitsschwelle ein, um Institute zu entlasten, die bislang auch marginale Risiken aufwändig dokumentieren und steuern mussten.

Wesentlichkeitsschwelle: 5 Prozent des RDP

Als Orientierungsgröße für Wesentlichkeit wird ein Schwellenwert von 5 Prozent des ökonomischen Risikodeckungspotenzials (RDP) diskutiert. Risiken, die unterhalb dieser Schwelle liegen, können vereinfachten Verfahren unterliegen, etwa „Säule-1+"-Ansätzen, barwertnahen Methoden oder pauschalen Behandlungen, sofern sie kumuliert kein wesentliches Risiko darstellen.

Fokussierung auf wesentliche Risiken

Die Risikoinventur soll sich konsequent auf wesentliche Risiken konzentrieren. Unwesentliche Risiken dürfen pauschal behandelt werden, solange dokumentiert ist, dass ihre kumulative Wirkung kontrolliert bleibt und keine systemischen Gefährdungen entstehen.

Klarstellungen zum Risikodeckungspotenzial

Die MaRisk sollen Klarstellungen zum Risikodeckungspotenzial enthalten, insbesondere zur 5-Prozent-Schwelle im ökonomischen Risikotragfähigkeitskonzept und zur Abbildung standardisierter Stresstestrahmenwerke. Für Institute, die den normativen Ansatz verfolgen, werden ebenfalls Präzisierungen erwartet.

Stresstests: Reduktion und Standardisierung

Die Anzahl und Komplexität der Stresstests soll erheblich reduziert werden, insbesondere für kleinere Institute:

Risikoartenübergreifender Stresstest plus Risikoarten-Stresstests

Vorgesehen sind ein risikoartenübergreifender Stresstest sowie je ein Stresstest pro wesentlicher Risikoart. Insgesamt deutet der Entwurf auf drei bis fünf Stresstests pro Jahr hin, abhängig von Risikoprofil und Größenklasse des Instituts.

Entfall inverser Stresstests für kleine Institute

Für kleinere Institute sollen inverse Stresstests künftig entfallen oder auf qualitative Analysen beschränkt werden, sofern das übrige Stresstestprogramm eine angemessene Steuerung erlaubt.

Standardisierte Verbundszenarien

Standardisierte Verbundszenarien der Verbünde und der Aufsicht sollen stärker anerkannt werden. Institute können auf diese Szenarien zurückgreifen, müssen aber dokumentieren, dass die Verbundszenarien mit dem eigenen Risikoprofil vergleichbar sind und eine angemessene Steuerung ermöglichen.

Sensitivitätsanalysen für sehr kleine Institute

Sehr kleine Institute können sich auf einfache Sensitivitätsanalysen beschränken, sofern diese ausreichen, um die wesentlichen Risikotreiber zu identifizieren und die Risikotragfähigkeit auch unter Stressbedingungen zu bewerten.

Governance, Compliance und Interne Revision

Die 9. MaRisk-Novelle will die Anforderungen an Governance, Compliance und Interne Revision verschlanken, gleichzeitig aber qualitativ stärken.

Klarere Aufgabenzuordnung

Die Aufsicht wird etwas eindeutiger regeln, welche Aufgaben sie der Geschäftsleitung, den Aufsichtsorganen und der Compliance-Funktion zuschreibt. Der Fokus soll auf wirksamer Überwachung wesentlicher Rechtsvorschriften liegen, nicht auf formaler Dokumentation.

Funktionenbündelung für kleine Institute

Kleine Institute dürfen Compliance- und Auslagerungsbeauftragte als gemeinsame Funktion kombinieren, sofern die operative Unabhängigkeit der jeweiligen Tätigkeiten gewahrt bleibt.

Interne Revision: Fokus auf risikoorientierte Prüfung

Die konkret ausformulierten Anforderungen an die Interne Revision sollen verschlankt werden, die qualitativen Anforderungen an risikoorientierte Prüfungsplanung, IKS-Bewertung und nachvollziehbare Kontrollen werden jedoch steigen. Die Revision wird künftig stärker prüfen müssen, ob die Begründungsketten der Institute schlüssig und angemessen sind.

Modelllandschaft und Validierung

Für mittelgroße und große Institute (ab 5 Mrd. EUR Bilanzsumme) ergeben sich erweiterte Anforderungen an die Modelllandschaft:

Unabhängige Modellvalidierung

Selbst entwickelte Modelle zur Risikomessung und -steuerung müssen unabhängig validiert werden. Dies umfasst insbesondere Kreditrisikomodelle, Zinsrisikomodelle, Liquiditätsrisikomodelle und ESG-Risikomodelle.

Modellinventar

Institute müssen ein vollständiges Modellinventar erstellen, das alle eingesetzten Modelle dokumentiert, deren Einsatzbereiche beschreibt, Validierungszyklen festlegt und Verantwortlichkeiten zuordnet.

Verbundlösungen und Branchenpools

Kleinere Institute können auf Verbundlösungen oder Branchenpools zurückgreifen. Sie müssen jedoch prüfen und dokumentieren, ob und inwieweit diese Lösungen mit dem eigenen Portfolio vergleichbar sind. Anders als bei selbst entwickelten Modellen fällt die Dokumentation deutlich schlanker aus.

Handlungsfelder nach Institutsgrößen

Die konkreten Auswirkungen der 9. MaRisk-Novelle unterscheiden sich erheblich nach Institutsgröße. Tabelle 2 gibt einen Überblick über die zentralen Handlungsfelder je Größenklasse.

Handlungsfelder – Proportionalität nach Institutsklassen

Handlungsfeld Sehr kleine Institute
(bis 1 Mrd. EUR)		 Kleine Institute / SNCI
(1–5 Mrd. EUR)		 Mittelgroße / große Institute
(ab 5 Mrd. EUR)
Risikoinventur & RTF Fokus auf wesentliche Risiken; 5-%-Schwelle; vereinfachte Verfahren (Säule-1-plus, barwertnah). Wesentliche Risiken im Fokus; unwesentliche Risiken pauschal erfassbar, sofern kumuliert nicht wesentlich. Vollumfängliche ökonomische oder normative RTF; hohe Modellierungs- und Granularitätstiefe.
Stresstests 1 risikoartenübergreifender Stresstest + 1 je wesentliche Risikoart; inverse Stresstests qualitativ oder entfallend; Sensitivitätsanalysen ausreichend. 3–5 Stresstests p. a.; inverse Stresstests qualitativ oder entfallend; Nutzung von Verbundszenarien möglich. Vollständiges Stresstestprogramm; verpflichtende inverse Stresstests; institutsspezifische Szenarien; unabhängige Validierung.
Governance & Compliance Funktionenbündelung möglich; schlankes Berichtswesen; Fokus auf wesentliche Rechtsvorschriften. Gestrafftes Reporting; systematische ESG-Integration; belastbare Proportionalitätsargumentation. Konzeptioneller Umbau auf Prinzipienlogik; eigenverantwortliche Steuerung; stringente Begründungsketten.
DORA-Umsetzung Nutzung gruppen-/verbundinterner Lösungen; Trennung IKT-Drittparteien vs. sonstige Dienstleister. IKT-Risikomanagement und Incident-Management gemäß DORA; Anpassung von Auslagerungsverträgen. Umfassende DORA-Compliance; IT-Systemanpassungen; komplexes Vertragsmanagement.
ESG-Risiken Systematische, aber formalisierungsarme Integration in Risikoinventur und Risikostrategie. Risikoorientierte Integration; moderate Dokumentationstiefe. Vollumfängliche ESG-Integration; zusätzliche Datenfelder in IT-Systemen; qualifiziertes Fachpersonal erforderlich.
Modelle & Validierung Nutzung von Verbundlösungen; Prüfung der Vergleichbarkeit; schlanke Dokumentation. Verbundlösungen oder Branchenpools; Plausibilisierung und Dokumentation der Vergleichbarkeit. Umfassendes Modellinventar; unabhängige Validierung; teilweise eigene Modellentwicklung.
Dokumentation Schlanke Prozessdokumentation; keine separaten Sanierungs- oder Notfallberichte. Anpassung des MaRisk-Handbuchs, Richtlinien und Prozessbeschreibungen je AT-/BT-Modul. Überarbeitung sämtlicher Richtlinien, Handbücher und Arbeitsanweisungen (SfO); detaillierte Angemessenheitsbegründungen.
Aufwand Gering bis moderat Moderat Erheblich

Risikoinventur & RTF

Sehr klein: Fokus auf wesentliche Risiken; 5-%-Schwelle; vereinfachte Verfahren.

SNCI: Wesentliche Risiken im Fokus; unwesentliche Risiken pauschal erfassbar.

Groß: Vollumfängliche ökonomische oder normative RTF mit hoher Granularität.

Stresstests

Sehr klein: 1 Gesamt- + 1 Risikoart-Stresstest; Sensitivitäten ausreichend.

SNCI: 3–5 Stresstests p. a.; Verbundszenarien möglich.

Groß: Vollständiges Programm inkl. inverser Stresstests und Validierung.

Governance & Compliance

Sehr klein: Funktionenbündelung; schlankes Berichtswesen.

SNCI: Gestrafftes Reporting; ESG systematisch integriert.

Groß: Prinzipienlogik; stringente Begründungsketten.

DORA-Umsetzung

Sehr klein: Verbundlösungen; einfache Dienstleistertrennung.

SNCI: IKT-Risikomanagement & Incident-Handling gemäß DORA.

Groß: Vollständige DORA-Compliance; komplexes Vertragsmanagement.

ESG-Risiken

Sehr klein: Systematisch, aber formalisierungsarm.

SNCI: Risikoorientiert mit moderater Dokumentation.

Groß: Vollintegration inkl. IT-Systemanpassungen.

Modelle & Validierung

Sehr klein: Verbundlösungen; schlanke Dokumentation.

SNCI: Branchenpools; Plausibilisierung erforderlich.

Groß: Eigenmodelle; unabhängige Validierung.

Dokumentation & Aufwand

Sehr klein: Schlank; geringer bis moderater Aufwand.

SNCI: Anpassung von Handbüchern; moderater Aufwand.

Groß: Vollständige Überarbeitung; erheblicher Aufwand.

Sehr kleine Institute (bis 1 Mrd. EUR Bilanzsumme)

Sehr kleine Institute profitieren besonders stark von der Proportionalität der 9. MaRisk-Novelle. Die bereits im November 2024 von der BaFin angekündigten Erleichterungen sollen in die Verordnung einfließen.

Umsetzungsaufwand: Gering bis moderat. Der Aufwand entsteht vor allem dabei, nachvollziehbar zu begründen, weshalb die gewählten Vereinfachungen für das eigene Risikoprofil angemessen sind und ob die regulatorischen Mindestnormen für das eigene Ambitionsniveau ausreichen.

Zentrale Handlungsfelder:

  • Risikoinventur und Risikotragfähigkeit: Konzentration auf wesentliche Risiken mit einem Schwellenwert von 5 Prozent des ökonomischen Risikodeckungspotenzials; Nutzung vereinfachter Verfahren wie „Säule 1+"-Ansätze oder barwertnahe Verfahren.

  • Stresstests: Reduktion auf einen risikoartenübergreifenden Stresstest und je einen Test pro wesentlicher Risikoart; einfache Sensitivitätsanalysen können ausreichend sein; inverse Stresstests können qualitativ erfolgen oder gänzlich entfallen.

  • Funktionenbündelung: Compliance- und Auslagerungsbeauftragte dürfen als gemeinsame Funktion kombiniert werden, sofern deren operative Tätigkeiten weiter unabhängig voneinander stattfinden können.

  • Auslagerungsmanagement: Nutzung gruppen- oder verbundinterner Lösungen zur Bewertung von Dienstleistern; Trennung zwischen IKT-Drittparteien (DORA-Logik) und sonstigen Dienstleistern (MaRisk-Logik).

  • Dokumentation: Schlankere Berichterstattung und Prozessdokumentation; keine separaten Berichte für Sanierungsindikatoren erforderlich.

Kleine Institute / SNCI (1-5 Mrd. EUR Bilanzsumme)

Kleine Institute erhalten ebenfalls deutliche Erleichterungen, gegenüber sehr kleinen Instituten steigt der Aufwand jedoch bei differenzierteren Nachweisen[7].

Umsetzungsaufwand: Moderat. Der Aufwand fällt vor allem für eine Gap-Analyse an, die die heutige MaRisk-Implementation an die Proportionalitätslogik anpasst, idealerweise pro AT/BT-Modul. Dazu kommen anzupassende Dokumente wie MaRisk-Handbücher, Prozessbeschreibungen und Richtlinien, um die Proportionalitätsargumentation zu verankern. Risikoberichte dürfen gestrafft werden, müssen aber ihre Aussagekraft behalten. Schulungen sind nötig, damit die Prinzipienlogik institutsintern gelebt wird.

Zentrale Handlungsfelder:

  • Risikomanagement: Wesentliche Risiken stehen im Fokus; unwesentliche dürfen pauschal behandelt werden, sofern sie kumuliert kein wesentliches Risiko ergeben.

  • Stresstests: Drei bis fünf Stresstests pro Jahr; inverse Stresstests dürfen auf qualitative Analysen beschränkt werden oder entfallen, sofern das Stresstestprogramm eine angemessene Steuerung erlaubt; Nutzung standardisierter Verbundszenarien möglich.

  • Modellvalidierung: Bei Verbundlösungen oder Branchenpools muss geprüft werden, ob und inwieweit sie sich mit dem eigenen Portfolio vergleichen lassen; die Dokumentation fällt deutlich schlanker aus als bei selbst entwickelten Modellen.

  • ESG-Integration: ESG-Risiken müssen systematisch und risikoorientiert in die Risikoinventur und Risikostrategie aufgenommen werden, jedoch ohne übermäßigen Formalisierungsgrad.

  • •CRD VI/DORA-Umsetzung: MaRisk-Strukturen geben den Referenzrahmen vor, während IT-Governance und Auslagerungsdokumentation an DORA-Anforderungen anzupassen sind.

Mittelgroße und große Institute (ab 5 Mrd. EUR Bilanzsumme)

Mittelgroße und große Institute müssen sich auf größeren Aufwand einstellen. Der Schwerpunkt liegt darauf, von der detail- auf die prinzipienorientierte Steuerung umzustellen und neue Regelwerke zu integrieren.

Umsetzungsaufwand: Erheblich. Es steht ein umfassender konzeptioneller und operativer Umbau bevor. Dies zieht eine strategisch neu ausgerichtete Risikosteuerung nach sich sowie eine Governance und Risikokultur, die die Gesamtverantwortung der Geschäftsleitung stärker in den Vordergrund rückt.

Zentrale Handlungsfelder:

  • Konzeptioneller Umbau: Change Management wird erheblichen Aufwand nach sich ziehen, um die Steuerungslogiken innerhalb des Instituts von detaillierten Vorgaben auf eigenverantwortliche Prinzipienorientierung umzustellen.

  • Systemanpassungen: Bestehende IT-Systeme müssen um Datenfelder für ESG-Risiken ergänzt sowie um DORA-Compliance und Auslagerungsmanagement erweitert werden.

  • Ressourcenaufbau: Fachkräfte und Schulungen sind nötig, um die eingesetzten Modelle zu validieren, ESG-Risikomanagement zu betreiben und DORA-Compliance zu gewährleisten.

  • Dokumentation: Richtlinien, Handbücher und Arbeitsanweisungen (SfO) müssen in allen betroffenen Bereichen überarbeitet werden, insbesondere mit Blick auf Angemessenheit und Begründungsfähigkeit der gewählten Ansätze.

  • Vertragsmanagement: Je nach Größe und Komplexität des Instituts müssen bis zu mehrere hundert Auslagerungsverträge angepasst werden, um DORA-Anforderungen für IKT-Drittparteien zu erfüllen und MaRisk-Anforderungen für sonstige Auslagerungen zu gewährleisten.

  • Prüfungsvorbereitung: Externe Wirtschaftsprüfer kontrollieren, ob die Vorgaben eingehalten werden; nachweisbare Compliance und schlüssige Begründungsketten sind unverzichtbar.

  • Internationale und komplexe Geschäftsaktivitäten: Zusätzlicher Aufwand entsteht bei internationaler Ausrichtung; einige Geschäftsaktivitäten erfordern Beobachtung von Veröffentlichungen des Baseler Ausschusses und des Financial Stability Boards.

Besonderheit: Verbundinstitute

Zentrale fachliche und technische Verbundanbieter müssen sich weiterhin dem vollen MaRisk-Umfang unterwerfen, weil viele ihrer Mitgliedsinstitute die SNCI-Kriterien nicht erfüllen. Einzelne Verbundinstitute profitieren deshalb womöglich nur begrenzt von den Erleichterungen, falls sie auf standardisierte Verbundlösungen zurückgreifen wollen.

Konkreter Vorbereitungs- und Anpassungsbedarf

Unabhängig von der Größe sollten sich alle Institute bereits frühzeitig auf die 9. MaRisk-Novelle vorbereiten. Tabelle 3 fasst die zentralen Vorbereitungsschritte mit Zeitplan zusammen.

Umsetzungsfahrplan zur MaRisk-Novelle

Phase Maßnahme Zeitrahmen
Akutmaßnahmen Q1 2026 Gap-Analyse erstellen und systematisch mit dem Konsultationsentwurf abgleichen, sobald dieser vorliegt. Januar – März 2026
Konsultation Q1/Q2 2026 Aktiv an der Konsultation teilnehmen und praktische Erfahrungen aus den jüngsten MaRisk-Novellen einbringen. Februar – April 2026
Vorbereitung Q2/Q3 2026 Dokumentation erstellen, die im Rahmen der Proportionalität sämtliche genutzten Erleichterungen nachvollziehbar und prüfungssicher aufführt. April – September 2026
Rechtskataster Q2/Q3 2026 Systematische Erfassung sämtlicher neuer und geänderter Anforderungen im institutseigenen Rechtskataster. April – September 2026
DORA-Readiness (laufend) IKT-Themen entlang DORA organisieren (Risikomanagement, Incident-Management, IKT-Drittparteien); qualitative und quantitative Risikobewertungen nachvollziehbar dokumentieren. Laufend bis Q4 2026
Fachbereichseinbindung Q3 2026 Neben der Geschäftsführung alle betroffenen Fachbereiche einbinden, um die Umsetzung der MaRisk mit Blick auf stärkere Eigenverantwortung vorzubereiten. Juli – September 2026
Prüfungsvorbereitung Q4 2026 Prüfungen vorbereiten, insbesondere zu den Methoden, nach denen Risikobewertungen in Risikotragfähigkeitskonzepte (ICAAP) einfließen. Oktober – Dezember 2026
Implementierung ab Q4 2026 Umsetzung der finalisierten MaRisk-Novelle; Schulungen, Systemanpassungen, Vertragsmanagement und Change-Management. Ab Ende 2026 / Anfang 2027

Akutmaßnahmen Q1 2026

Maßnahme: Gap-Analyse und Abgleich mit Konsultationsentwurf.

Zeitrahmen: Januar – März 2026

Konsultation Q1/Q2 2026

Maßnahme: Aktive Teilnahme an der Konsultation mit Praxiserfahrungen.

Zeitrahmen: Februar – April 2026

Vorbereitung Q2/Q3 2026

Maßnahme: Prüfungssichere Dokumentation der Proportionalität.

Zeitrahmen: April – September 2026

Rechtskataster Q2/Q3 2026

Maßnahme: Vollständige Aktualisierung des Rechtskatasters.

Zeitrahmen: April – September 2026

DORA-Readiness

Maßnahme: Organisation aller IKT-Themen inkl. Dokumentation.

Zeitrahmen: Laufend bis Q4 2026

Fachbereichseinbindung Q3 2026

Maßnahme: Einbindung aller relevanten Fachbereiche.

Zeitrahmen: Juli – September 2026

Prüfungsvorbereitung Q4 2026

Maßnahme: Vorbereitung auf Prüfungen mit Fokus ICAAP.

Zeitrahmen: Oktober – Dezember 2026

Implementierung

Maßnahme: Umsetzung der finalen MaRisk-Novelle.

Zeitrahmen: Ab Ende 2026 / Anfang 2027

Gap-Analyse und Rechtskataster

Die Gap-Analyse ist der zentrale Startpunkt für die Vorbereitung. Institute sollten systematisch abgleichen, welche Anforderungen der neuen MaRisk bereits erfüllt sind, wo Anpassungsbedarf besteht und welche Erleichterungen genutzt werden können. Die Analyse sollte idealerweise pro AT- und BT-Modul erfolgen und folgende Fragen beantworten:

  • Welche bestehenden Prozesse und Dokumentationen entsprechen bereits der Prinzipienlogik?

  • Wo bestehen unnötige Detailvorgaben, die verschlankt werden können?

  • Welche Proportionalitätserleichterungen kommen für unser Institut in Frage?

  • Wie müssen Begründungsketten dokumentiert werden, um prüfungssicher zu sein?

  • Welche Schnittstellen zu DORA, ESG-Regelwerk und CRD VI sind zu berücksichtigen?

Parallel dazu sollten alle neuen und geänderten Anforderungen systematisch im institutseigenen Rechtskataster erfasst werden, um Compliance-Lücken zu vermeiden und Umsetzungsverantwortlichkeiten klar zuzuordnen.

DORA-Readiness und IKT-Risikomanagement

Institute sollten ihre IKT-Themen bereits jetzt entlang der DORA-Struktur organisieren, auch wenn die 9. MaRisk-Novelle noch nicht final vorliegt:

  • IKT-Risikomanagement: Identifikation, Bewertung, Steuerung und Überwachung von IKT-Risiken gemäß DORA-Vorgaben

  • Incident-Management: Meldeprozesse für IKT-Vorfälle einrichten, die den DORA-Meldefristen entsprechen

  • IKT-Drittparteien: Separate Governance für IKT-Drittparteien etablieren und von sonstigen Dienstleistern trennen

  • Resilienztests: DORA-konforme Resilienztests vorbereiten (TLPT für kritische Institute)

  • Dokumentation: Qualitative und quantitative Risikobewertungen nachvollziehbar dokumentieren, um Compliance nachzuweisen

Die MaRisk werden künftig stärker auf die Notwendigkeit verweisen, DORA-konforme Abläufe einzuführen, bleiben dabei aber auf Prinzipien- und Governance-Ebene

Die „Schnittstellenfalle“: DORA vs. MaRisk

Vorsicht vor der Schnittstellenfalle: Obwohl die theoretische Abgrenzung zwischen IKT-Risiken (DORA) und sonstigen Auslagerungsrisiken (MaRisk AT 9) logisch erscheint, drohen in der Praxis ineffiziente Doppelstrukturen.

Ein klassisches Beispiel sind hybride Dienstleister, die sowohl IKT-Infrastruktur als auch fachliche Back-Office-Prozesse bereitstellen. Hier besteht die Gefahr, dass Institute zwei isolierte Risiko-Assessments für denselben Anbieter durchführen. Um diesen „regulatorischen Overhead“ zu vermeiden, ist eine stringente Schnittstellen-Governance unerlässlich. Nur durch ein integriertes Provider-Management, das die Anforderungen beider Welten harmonisiert, lässt sich die angestrebte Entschlackung der MaRisk tatsächlich in operative Effizienz übersetzen.

Proportionalitätsdokumentation

Ein zentraler Erfolgsfaktor für die Nutzung von Erleichterungen ist die prüfungssichere Dokumentation der Proportionalitätsentscheidungen. Institute müssen schlüssig begründen können, warum die gewählten Vereinfachungen für ihr spezifisches Risikoprofil angemessen sind.

Die Dokumentation sollte enthalten:

  • Beschreibung des Instituts (Größe, Komplexität, Geschäftsmodell, Risikostruktur)

  • Auflistung der in Anspruch genommenen Erleichterungen pro AT/BT-Modul

  • Begründung, warum jede Erleichterung für das Institut angemessen ist

  • Nachweis, dass trotz Vereinfachung die Steuerungsfähigkeit und Risikotragfähigkeit gewahrt bleiben

  • Eskalationsmechanismen, falls sich das Risikoprofil ändert und Erleichterungen nicht mehr angemessen sind

Die BaFin hat ausdrücklich vorbehalten, gewährte Erleichterungen für kleinere Institute auf den Prüfstand zu stellen, sollte sich deren Risikolage im Durchschnitt erheblich verschlechtern. Proportionalität ist kein Freifahrtschein, sondern erfordert begründete Eigenverantwortung.

Fachbereichseinbindung und Change Management

Die Umstellung auf Prinzipienorientierung kann nicht allein von Risikomanagement oder Compliance getragen werden. Erforderlich ist ein umfassendes Change Management, das alle betroffenen Fachbereiche einbindet:

  • Geschäftsleitung: Muss die Gesamtverantwortung für Proportionalitätsentscheidungen übernehmen und diese gegenüber Aufsicht und Prüfern vertreten können

  • Risikomanagement: Muss die methodischen Grundlagen für Wesentlichkeitsschwellen, Risikotragfähigkeit und Stresstests schaffen

  • Compliance: Muss die regulatorischen Anforderungen in operative Umsetzungsmaßnahmen übersetzen

  • IT: Muss Systeme für ESG-Daten, DORA-Compliance und Auslagerungsmanagement anpassen

  • Operative Bereiche: Müssen verstehen, wie sich Prinzipienorientierung auf ihre tägliche Arbeit auswirkt

Schulungen sind nötig, damit die von der Aufsicht gewünschte Prinzipienlogik auch innerhalb der Häuser gelebt wird und nicht nur formal dokumentiert ist.

Kritische Erfolgsfaktoren

Aus den Analysen lassen sich folgende kritische Erfolgsfaktoren für die Umsetzung der 9. MaRisk-Novelle ableiten:

  1. Frühzeitige und systematische Vorbereitung: Gap-Analyse, Rechtskataster, DORA-Readiness sollten nicht auf den finalen Entwurf warten

  2. Prüfungssichere Begründungsketten: Dokumentation der Proportionalitätsentscheidungen mit klarer Argumentation, warum gewählte Ansätze angemessen sind

  3. Fachbereichsübergreifendes Change Management: Prinzipienorientierung muss institutsweit verstanden und gelebt werden

  4. Klare DORA-MaRisk-Trennung: Saubere Abgrenzung zwischen IKT-Drittparteien (DORA) und sonstigen Auslagerungen (MaRisk)

  5. Kontinuierliches Monitoring: Proportionalitätsentscheidungen müssen regelmäßig überprüft werden, ob sie noch zum aktuellen Risikoprofil passen

  6. Aktive Konsultationsbeteiligung: Institute sollten ihre praktischen Erfahrungen in die Konsultation einbringen, um praxisgerechte Regelungen zu fördern

Ausblick: Die MaRisk der Zukunft

Die 9. MaRisk-Novelle markiert eine bedeutende Weiterentwicklung des Regelwerks mit Rückbesinnung auf dessen ursprüngliche Prinzipienorientierung. Die Aufsicht signalisiert damit, dass sie den Instituten wieder mehr Verantwortung zutraut und ihnen mehr Gestaltungsspielraum geben will – vorausgesetzt, sie können fundiert begründen, warum ihre Lösungen angemessen sind.

Während sehr kleine und kleine Institute von deutlichen Erleichterungen profitieren, steht mittelgroßen und großen Instituten ein umfassender konzeptioneller und operativer Umbau bevor. Die angekündigte Vereinfachung bedeutet jedoch keine Deregulierung, sondern eine Rückkehr zu dem bereits 2005 intendierten Ansatz: qualitativ hochwertige, risikoadäquate Steuerung auf Basis fundierter Eigenverantwortung statt formaler Regelerfüllung.

Institute, die diesen Wandel als Chance begreifen und die Vorbereitungszeit bis zum Inkrafttreten der Novelle nutzen, können langfristig von effizienteren Prozessen, flexibleren Steuerungsansätzen und geringerem regulatorischem Aufwand profitieren. Entscheidend wird sein, ob es gelingt, die neue Aufsichtsphilosophie in eine gelebte Risikokultur zu übersetzen, bei der Eigenverantwortung, Wesentlichkeit und Begründungsfähigkeit im Mittelpunkt stehen.

Quellen

Verband Öffentlicher Banken Deutschlands. (2025, Oktober 28). MaRisk-Novelle in den Startlöchern. https://www.voeb.de/fachthemen/detail/marisk-novelle-in-den-startloechern

Ad-hoc News. (2026, Februar 4). BaFin setzt 2026 auf IT-Sicherheit und Bürokratieabbau. https://www.ad-hoc-news.de/boerse/news/ueberblick/bafin-setzt-2026-auf-it-sicherheit-und-buerokratieabbau/68552591

EZB Agenda "Streamlining supervision, safeguarding resilience"

  • Europäische Zentralbank (EZB) / Europäische Bankenaufsicht (SSM):

    • European Central Bank, ECB Banking Supervision: „Streamlining supervision, safeguarding resilience“ (Bericht, 10.12.2025), HTML- und PDF‑Fassung.bankingsupervision.europa+1 [PDF]

    • ECB Banking Supervision: Themenseite „Streamlining supervision, safeguarding resilience“ mit Überblick über Reformagenda und Ansatz zur Vereinfachung.bankingsupervision.europa+1

    • ECB: „Simplification of the European prudential regulatory, supervisory and reporting framework“ – Bericht der High‑Level Task Force on Simplification (HLTF), 11.12.2025.ecb.europa+1

    • ECB: „What was the ECB High‑Level Task Force on Simplification?“ – Erläuternder Artikel zum Mandat und zu den Empfehlungen der HLTF.[ecb.europa]​

  • Deutsche Bundesbank:

    • Deutsche Bundesbank: „Simplifying banking regulation: task force presents its proposals“ – Kurzbeitrag zur Vorstellung der HLTF‑Vorschläge und ihrer Einbettung in den europäischen Rahmen.[bundesbank]​

  • Europäisches Parlament:

    • European Parliament Research Service (EPRS): „ECB task force on banking simplification – reviewing the recommendations“ – Analysepapier zu den Vereinfachungsvorschlägen (inkl. Rolle der HLTF und Implikationen für den EU‑Rechtsrahmen).[europarl.europa [PDF]]​

AI Compliance Officer – S+P Seminare

Verwandte Hubs & Programme

Future Governance & Performance Hub

Steuere DORA, ESG und KI mit System. Der zentrale Hub für C-Level-Führungskräfte, die Governance in messbare Performance übersetzen.

Zum Hub

DORA Compliance Expert

Baue IKT-Resilienz auf und erfülle die Anforderungen des DORA Acts mit praxiserprobten Tools.

Zum Lehrgang

KI-Governance & AI Act

Setze KI rechtskonform ein und erfülle die Anforderungen des EU AI Acts.

Mehr zu diesem Thema

ESG-Compliance Manager

Integriere ESG- und CSRD-Anforderungen wirksam in deine Governance-Struktur.

Zum ESG-Lehrgang

Compliance Excellence (C-Level)

Strategische Compliance-Kompetenz für Geschäftsführung und Aufsichtsorgane.

Zu den Seminaren

Cyber & Mentale Resilienz

Stärkung der organisatorischen Widerstandskraft durch BCM und Krisenmanagement.

Zum Resilience-Lehrgang

AI Compliance Officer

Praxisnahe Umsetzung des EU AI Acts mit Policies, Vorlagen und Governance-Frameworks.

Zum Seminar

Fazit: KI-Governance als Wettbewerbsvorteil

Schatten-KI ist weit mehr als ein IT-Problem. Es ist eine Frage deiner persönlichen Haftung und der Zukunftsfähigkeit deines Unternehmens. Wenn du die Zügel jetzt in die Hand nimmst, verwandelst du ein unkontrolliertes Risiko in einen rechtssicheren Innovationsprozess.

Indem du einen AI Compliance Officer einsetzt und klare Leitplanken durch ein KI-Inventar und eine AI Policy setzt, schützt du dich vor Bußgeldern und nutzt das volle Potenzial der künstlichen Intelligenz – ohne dabei den Boden unter den Füßen zu verlieren.

Was ist dein nächster Schritt? Möchtest du, dass ich dir einen Entwurf für eine erste AI Policy erstelle, die du direkt an deine Abteilungsleiter schicken kannst, oder soll ich dir eine Checkliste für die KI-Inventur ausarbeiten?

S+P C.O.R.E.

Strategische Exzellenz auf C-Level erfordert kontinuierliche Orientierung. Damit du nach deinem Lehrgang nicht allein gelassen wirst, haben wir S+P C.O.R.E. entwickelt.

S+P Mehrwert-Garantie: Dein Wissens-Vorsprung für 2026

Jede Buchung eines S+P Seminars beinhaltet automatisch den kostenfreien Zugang zum quartalsweisen S+P C.O.R.E. Executive Update. Warum? Weil wir wissen, dass die regulatorische Welt nicht stillsteht. Wir halten dein Wissen aktuell – garantiert.

S+P C.O.R.E

Dein Mehrwert mit S+P C.O.R.E.

Fokusbereich Dein konkreter Mehrwert
Compliance Sicherheit im Handeln: Einordnung aktueller Anforderungen (z. B. DORA / NIS 2, EU AI Act, ESG, Compliance), damit du genau weißt, was für Haftung und Praxis tatsächlich relevant ist.
Optimization Effizienz statt Bürokratie: Umsetzung regulatorischer Vorgaben mit smarten Prozessen, geeigneten Tools und effizienten Outsourcing-Strukturen.
Regulatory Frühwarnsystem nutzen: Strukturierte Bewertung neuer Aufsichtsschwerpunkte und regulatorischer Trends, bevor sie zum akuten Handlungsdruck werden.
Exchange Vorsprung durch Dialog: Austausch im geschützten Raum mit Fach- und Führungskräften auf Augenhöhe – mit praxiserprobten Lösungsansätzen aus dem Kreis deiner Peers.
Bekannt aus

S+P als Fachexperte in den Medien – Governance & Haftung für Geschäftsführer