Was ist das zentrale Ziel der 9. MaRisk-Novelle (April 2026)?

Das zentrale Ziel ist die deutliche Reduktion von Komplexität und eine stärkere Prinzipienorientierung. Die BaFin erweitert die Spielräume für Institute, Anforderungen proportional anzuwenden. Entscheidend ist künftig die prüfbare Begründung der Angemessenheit statt einer formalen Checkbox-Compliance.

Welche neuen Institutsklassen definiert die BaFin?

Die proportionale Anwendung richtet sich künftig nach drei klaren Größenklassen: 1. Sehr kleine Institute (Bilanzsumme bis 1 Mrd. EUR), 2. Kleine Institute (SNCI gemäß Art. 4 Abs. 1 Nr. 145 CRR) und 3. Übrige LSIs (weniger bedeutende Institute unter nationaler Aufsicht). Institute unter direkter EZB-Aufsicht (SIs) fallen aus dem MaRisk-Anwendungsbereich.

Was bedeutet &bdquo;prüfbare Begründungskette“ für den Vorstand?

Die Freiheit in der Methodenwahl ist an eine Beweislastumkehr gekoppelt: Die Geschäftsleitung muss für jede genutzte Öffnungsklausel oder Vereinfachung schriftlich herleiten können, warum diese angesichts des spezifischen Risikoprofils angemessen ist. Diese Urteilskompetenz wird zum zentralen Prüfungsmaßstab.

Wie wird die Wesentlichkeitsschwelle von 5 % angewendet?

Die BaFin erkennt eine Wesentlichkeitsschwelle von 5 % des ökonomischen Risikodeckungspotenzials (RDP) als angemessen an. Risiken unterhalb dieser Schwelle können pauschaliert behandelt werden. Die Aufsicht prüft jedoch verstärkt Kumulationseffekte, damit die Summe vieler kleiner Risiken nicht das Gesamtrisikoprofil gefährdet.

Welche EBA-Leitlinien werden mit der 9. Novelle umgesetzt?

Besonderes Augenmerk liegt auf den Leitlinien zur Umwelt-Szenarioanalyse (EBA/GL/2025/04). ESG-Risiken müssen nun über einen Zeithorizont von mindestens 10 Jahren in Stresstests und Resilienzanalysen einfließen. Zudem werden die Leitlinien zur Internen Governance integriert.

Wie erfolgt die Abgrenzung zum Digital Operational Resilience Act (DORA)?

Die 9. Novelle beseitigt regulatorische Doppelungen: IKT-Risiken, IKT-Drittparteienmanagement und digitale Resilienz werden primär durch DORA geregelt. Die MaRisk (insb. AT 7.2 und AT 9) setzen nur noch den übergreifenden Governance-Rahmen für Nicht-IKT-Auslagerungen und allgemeine operationelle Risiken.

Wie ändern sich die Anforderungen an Stresstests konkret?

Es gilt ein 3-bis-5-Modell: Ein risikoartenübergreifender Stresstest sowie Stresstests für jede wesentliche Risikoart pro Jahr sind in der Regel ausreichend. Inverse Stresstests können für SNCI und sehr kleine Institute künftig entfallen oder durch rein qualitative Analysen ersetzt werden.

Was ist der wichtigste nächste Schritt für Institute?

Die Durchführung einer Lückenanalyse (Gap-Analyse) basierend auf dem Konsultationsentwurf vom 01.04.2026. Insbesondere muss die Dokumentation der Proportionalitätsentscheidungen pro Modul vorbereitet werden, um bei Inkrafttreten Ende 2026 prüfungssicher zu sein.

3. April 2026

München, April 2026

Autor: Achim Schulz

Achim Schulz berichtet für den S+P Governance Hub über regulatorische Veränderungen, ESG-Risiken und digitale Resilienz. Sein Schwerpunkt liegt darauf, komplexe Regulatorik in praktische Führungswerkzeuge zu übersetzen.

S+P Fachredaktion | Experten für Risk, ESG & Governance

MaRisk 10.0: Der neue Standard – BaFin veröffentlicht 9. Novelle zur Konsultation

MaRisk 2026: Weg von der Checkbox-Compliance, hin zur prinzipienbasierten Steuerung. Erfahre alles zur 9. Novelle, der neuen Institutsklassifizierung (SNCI) und wie du die „Begründungslogik“ als strategische Chance für dein Risikomanagement nutzt.

Die deutsche Bankenaufsicht vollzieht eine historische Kehrtwende: Rund 20 Jahre nach Einführung der MaRisk markiert die am 1. April 2026 veröffentlichte 9. Novelle das Ende der starren „Checkbox-Mentalität“. Mit MaRisk 10.0 gibt die BaFin den Instituten die methodische Freiheit zurück – fordert im Gegenzug jedoch eine lückenlose, prüfbare Begründungskette. Die Beweislast für die Angemessenheit gewählter Lösungen liegt nun vollständig beim Institut.

Das ist keine reine Verwaltungsreform, sondern eine massive strategische Chance: Wer die neue Proportionalitätslogik versteht, entschlackt seine Prozesse, reduziert regulatorischen Overhead und fokussiert sich wieder auf die tatsächliche Risikosteuerung statt auf formale Dokumentation. Die Novelle ist die Antwort der Aufsicht auf eine überkomplex gewordene Regulierungsdichte und schafft endlich die notwendigen Spielräume für eine nach Institutsgröße abgestufte Anwendung.

Gleichzeitig integriert die Aufsicht zentrale Elemente aus DORA (Digital Operational Resilience Act), CRD VI sowie den neuesten EBA-Guidelines zur Umwelt-Szenarioanalyse (EBA/GL/2025/04). Damit werden regulatorische Doppelungen abgebaut und Widersprüche zwischen nationalen und europäischen Vorgaben – insbesondere an der Schnittstelle zwischen IKT-Risiken und allgemeinem Auslagerungsmanagement – konsequent beseitigt.

Dieser Fachartikel analysiert die wesentlichen Inhalte der BaFin-Konsultation vom April 2026. Er ordnet die neue, transparente Institutsklassifizierung in sehr kleine Institute, kleine Institute (SNCI) und LSIs ein und zeigt konkrete Handlungsfelder auf. Zudem beleuchten wir die neue Urteilskompetenz, die künftig von Geschäftsleitern zwingend gefordert wird, um den Paradigmenwechsel zur Begründungslogik prüfungssicher zu bestehen.

MaRisk 9.0: Schlankes Risikomanagement statt Bürokratie-Overkill

Inhaltsverzeichnis

MaRisk 10.0: Der neue Standard – BaFin veröffentlicht 9. Novelle zur Konsultation

FAQ: 9. MaRisk-Novelle (10.0) – Paradigmenwechsel, Proportionalität & Verantwortung
Aufsichtsphilosophie: Rückkehr zu den Ursprüngen
Die 5-%-Hürde: Schwellenwert mit Warnhinweis
Neue Institutsklassifizierung und Proportionalitätslogik
Von der Aufsichtsmitteilung 2024 zum MaRisk-Standard 2026
Integration und Abgrenzung europäischer Regelwerke
IRRBB und CSRBB: Klarstellung und operative Verschlankung
CRD VI und EBA-Leitlinien: Ende der „Verweis-Odysee“
Zentrale inhaltliche Handlungsfelder
Handlungsfelder nach Institutsgrößen
Sehr kleine Institute (bis 1 Mrd. EUR Bilanzsumme)
Kleine Institute / SNCI (1-5 Mrd. EUR Bilanzsumme)
Mittelgroße und große Institute (ab 5 Mrd. EUR Bilanzsumme)
Besonderheit: Verbundinstitute
Konkreter Vorbereitungs- und Anpassungsbedarf
Gap-Analyse und Rechtskataster
DORA-Readiness und IKT-Risikomanagement
Die „Schnittstellenfalle“: DORA vs. MaRisk
Proportionalitätsdokumentation
Fachbereichseinbindung und Change Management
Kritische Erfolgsfaktoren
Ausblick: Die MaRisk der Zukunft – Risikomanagement als Wettbewerbsfaktor
Quellen

MaRisk 2026 Hub: DORA, ESG & Risk Management für C-Level

Programme & Lehrgänge
S+P C.O.R.E.
S+P als Fachexperte in den Medien – Governance & Haftung für Geschäftsführer

Institutsklassen – Bilanzsumme & regulatorische Einordnung

Institutsklasse	Bilanzsumme	Regulatorische Einordnung
Sehr kleine Institute	bis 1 Mrd. EUR	Maximale Proportionalitätserleichterungen; etwa 40–45 % aller deutschen Kreditinstitute.
Kleine Institute (SNCI)	1–5 Mrd. EUR	Deutliche Erleichterungen mit erhöhten Begründungsanforderungen; Definition nach Art. 4 Abs. 1 Nr. 145 CRR.
Übrige national beaufsichtigte Institute	ab 5 Mrd. EUR	Voller MaRisk-Umfang; Fokus auf prinzipienorientierte Steuerung und stringente Begründungsketten.

FAQ: 9. MaRisk-Novelle (10.0) – Paradigmenwechsel, Proportionalität & Verantwortung

Was ist das zentrale Ziel der 9. MaRisk-Novelle (April 2026)?

Das zentrale Ziel ist die deutliche Reduktion von Komplexität und eine stärkere Prinzipienorientierung. Die BaFin erweitert die Spielräume für Institute, Anforderungen proportional anzuwenden. Entscheidend ist künftig die prüfbare Begründung der Angemessenheit statt einer formalen „Checkbox-Compliance“.
Welche neuen Institutsklassen definiert die BaFin?

Die proportionale Anwendung richtet sich künftig nach drei klaren Größenklassen:
1. Sehr kleine Institute: Bilanzsumme bis 1 Mrd. EUR.
2. Kleine Institute (SNCI): Gemäß Definition Art. 4 Abs. 1 Nr. 145 CRR.
3. Übrige LSIs: Weniger bedeutende Institute unter nationaler Aufsicht.
Wichtig: Institute unter direkter EZB-Aufsicht (SIs) werden aus dem MaRisk-Anwendungsbereich herausgenommen.
Was bedeutet „prüfbare Begründungskette“ für den Vorstand?

Die Freiheit in der Methodenwahl ist an eine Beweislastumkehr gekoppelt: Die Geschäftsleitung muss für jede genutzte Öffnungsklausel oder Vereinfachung schriftlich herleiten können, warum diese angesichts des spezifischen Risikoprofils angemessen ist. Diese „Urteilskompetenz“ wird zum zentralen Prüfungsmaßstab der Aufsicht.
Wie wird die Wesentlichkeitsschwelle von 5 % angewendet?

Die BaFin erkennt eine Wesentlichkeitsschwelle von 5 % des ökonomischen Risikodeckungspotenzials (RDP) als angemessen an. Risiken unterhalb dieser Schwelle können pauschaliert behandelt werden. Aber: Die Aufsicht prüft künftig verstärkt Kumulationseffekte – die Summe vieler kleiner Risiken darf in der Aggregation nicht das Gesamtrisikoprofil gefährden.
Welche EBA-Leitlinien werden mit der 9. Novelle umgesetzt?

Besonderes Augenmerk liegt auf den Leitlinien zur Umwelt-Szenarioanalyse (EBA/GL/2025/04). ESG-Risiken müssen nun über einen Zeithorizont von mindestens 10 Jahren in Stresstests und Resilienzanalysen einfließen. Zudem werden die (noch in Konsultation befindlichen) Leitlinien zur Internen Governance integriert.
Wie erfolgt die Abgrenzung zum Digital Operational Resilience Act (DORA)?

Die 9. Novelle beseitigt regulatorische Doppelungen: IKT-Risiken, IKT-Drittparteienmanagement und digitale Resilienz werden primär durch DORA geregelt. Die MaRisk (insb. AT 7.2 und AT 9) setzen hier nur noch den übergreifenden Governance-Rahmen für Nicht-IKT-Auslagerungen und allgemeine operationelle Risiken.
Wie ändern sich die Anforderungen an Stresstests konkret?

Es gilt ein „3 bis 5“-Modell: In der Regel sind ein risikoartenübergreifender Stresstest sowie Stresstests für jede wesentliche Risikoart pro Jahr ausreichend. Inverse Stresstests können für SNCI und sehr kleine Institute künftig entfallen oder durch rein qualitative Analysen ersetzt werden.
Was ist der wichtigste nächste Schritt für Institute?

Die Durchführung einer Lückenanalyse (Gap-Analyse) basierend auf dem Konsultationsentwurf vom 01.04.2026. Insbesondere muss die Dokumentation der Proportionalitätsentscheidungen („Warum nutzen wir diese Erleichterung?“) pro Modul vorbereitet werden, um bei Inkrafttreten Ende 2026 prüfungssicher zu sein.

Aufsichtsphilosophie: Rückkehr zu den Ursprüngen

Von der Detailvorgabe zur Prinzipienorientierung

Mit dem am 1. April 2026 veröffentlichten Konsultationsentwurf der 9. MaRisk-Novelle (MaRisk 10.0) vollzieht die BaFin eine bewusste Rückbesinnung auf die ursprüngliche Konzeption aus dem Jahr 2005. Das Ziel ist eine qualitativ hochwertige, risikoadäquate Steuerung auf Basis fundierter Eigenverantwortung statt formaler Regelerfüllung. Die Aufsicht verfolgt dabei zwei strategische Hauptziele:

Ziel 1: Radikale Reduktion der Komplexität

Die MaRisk wurden grundlegend entschlackt, um die Lesbarkeit zu erhöhen und administrative Lasten abzubauen. Dies wird erreicht durch:

Streichung von Redundanzen: Verzicht auf die Wiederholung gesetzlicher Vorgaben (z. B. aus dem KWG) und allgemeiner Management-Plattitüden.
Fokussierung der Verweise: Deutliche Reduktion dynamischer Verweise auf europäische Leitlinien. Die MaRisk sollen wieder als „Stand-alone“-Rahmenwerk für LSIs funktionieren.
Erweiterung der Ermessensspielräume: Weniger granulare „Muss-Vorschriften“ zugunsten von zielorientierten Grundsätzen.

Ziel 2: Transparente Proportionalität durch neue Klassifizierung

Die Novelle beendet die Unsicherheit bei der Anwendung von Öffnungsklauseln durch eine klare, dreistufige Institutsklassifizierung:

Sehr kleine Institute (bis 1 Mrd. € Bilanzsumme): Weitgehende Befreiung von komplexen Dokumentationspflichten (z. B. Entfall inverser Stresstests).
Kleine Institute (SNCIs gemäß CRR): Deutliche Erleichterungen bei gleichzeitigem Fokus auf eine modulbezogene Angemessenheitsprüfung.
Übrige LSIs: Anwendung des prinzipienbasierten Vollumfangs unter Berücksichtigung der individuellen Risikostruktur. Hinweis: Bedeutende Institute (SIs) unter direkter EZB-Aufsicht wurden offiziell aus dem Anwendungsbereich herausgenommen.

Keine Checkbox-Compliance – Die prüfbare Begründungskette zählt

Das zentrale Leitbild der MaRisk 10.0 lautet: Freiheit durch Begründung. Institute sollen keine formalen Detailanforderungen mehr „abhaken“, sondern die Beweislast für die Angemessenheit ihrer gewählten Lösungen tragen. Dies bedeutet konkret:

Urteilskompetenz als Prüfungsmaßstab: Maßgeblich ist nicht mehr das bloße Vorhandensein eines Dokuments, sondern die Qualität der Herleitung. Die Geschäftsleitung muss erklären können, warum gewählte Methoden (z. B. beim Risikotragfähigkeitskonzept) zum spezifischen Risikoprofil passen.
Wesentlichkeit & 5 %-Schwelle: Die BaFin erkennt nun offiziell eine Wesentlichkeitsschwelle von 5 % des ökonomischen Risikodeckungspotenzials (RDP) als Orientierungsgröße an. Wer Risiken unterhalb dieser Schwelle pauschal behandelt, muss lediglich sicherstellen (und dokumentieren), dass keine gefährlichen Kumulationseffekte entstehen.
Doppelte Proportionalität: Die Erleichterungen für kleinere Häuser sind kein „Freibrief“, sondern an eine erhöhte Begründungspflicht geknüpft. Je stärker von den Standardanforderungen abgewichen wird, desto präziser muss die Risiko-Angemessenheit im Rahmen der Risikoinventur hergeleitet werden.

Konsequenz für die Prüfungspraxis: Die BaFin hat klargestellt, dass Aufsichtsprüfer künftig primär die Plausibilität und Konsistenz der Begründungsketten bewerten. Ein „Mangel“ entsteht künftig weniger durch das Fehlen eines formalen Prozesses, sondern durch die Unfähigkeit des Instituts, die Angemessenheit seiner Steuerung methodisch sauber zu begründen.

Was Sie jetzt tun sollten (Umsetzungsempfehlung):

Überprüfen Sie Ihre bestehenden Organisationsrichtlinien (SfO). Überall dort, wo Sie Öffnungsklauseln nutzen, sollte bereits jetzt eine „Proportionalitäts-Akte“ angelegt werden. Diese dokumentiert pro AT- und BT-Modul die fachliche Herleitung, warum die gewählte Vereinfachung angesichts Ihres Geschäftsmodells risikoadäquat ist.

Strategischer Hinweis: Dieser Paradigmenwechsel bietet die Chance, das Risikomanagement von einem „Cost-Center“ zu einem agilen Steuerungsinstrument umzubauen. Die gewonnene Freiheit in der Methodenwahl reduziert den administrativen Overhead spürbar, sofern die Dokumentationslogik einmalig sauber aufgesetzt wurde.

Die 5-%-Hürde: Schwellenwert mit Warnhinweis

Mächtiges Werkzeug mit Kumulationsvorbehalt

Die 9. MaRisk-Novelle führt mit der quantitativen Orientierungsgröße von 5 % des Risikodeckungspotenzials (RDP) in der ökonomischen Perspektive (AT 2.2) ein klares Instrument zur Wesentlichkeitsbeurteilung ein. Dies ist ein entscheidendes Signal für die Proportionalität, da es Instituten ermöglicht, Ressourcen gezielt auf die „echten“ Risikotreiber zu fokussieren.

Doch Vorsicht: Die BaFin stellt in ihrem Konsultationsentwurf klar, dass dieser Schwellenwert kein automatischer „Freibrief“ für eine Vernachlässigung kleinerer Risiken ist. Die Anwendung ist an zwei strikte Bedingungen geknüpft:

1. Der Kumulationsvorbehalt

Die Aufsicht wird ihr Augenmerk in künftigen Prüfungen verstärkt auf sogenannte Aggregationseffekte richten. Institute müssen proaktiv nachweisen können, dass die Summe zahlreicher als „unwesentlich“ eingestufter Einzelrisiken in der Aggregation:

nicht doch eine Gefährdung für die Risikotragfähigkeit darstellt,
keine systemischen Risiken maskiert und
nicht durch gemeinsame Risikofaktoren (z. B. ESG-Treiber) zeitgleich schlagend werden kann.

2. Die präzise Überwachung von „Summenrisiken“

Die neue Begründungslogik verlangt eine ganzheitliche Sicht. Wer Risiken unterhalb der 5-%-Schwelle vereinfacht behandelt (z. B. durch pauschale Puffer oder Säule-1-Plus-Ansätze), unterliegt einer erhöhten Dokumentationspflicht im Rahmen der Risikoinventur.

Aktion: Es muss dokumentiert werden, wie das Institut sicherstellt, dass diese „unwesentlichen“ Risiken laufend überwacht werden, um einen unbemerkten Anstieg über die Wesentlichkeitsschwelle zu verhindern.

Praxistipp für die Umsetzung:

Führen Sie in Ihrer Risikoinventur eine „Schattenrechnung der Unwesentlichen“ ein. Listen Sie alle Risiken auf, die unter die 5-%-Regel fallen, und bilden Sie deren Summe. Übersteigt diese Gesamtsumme einen institutsindividuellen kritischen Wert (z. B. 15 % oder 20 % des RDP), ist eine detailliertere Analyse zwingend erforderlich, auch wenn jedes Einzelrisiko für sich genommen „klein“ bleibt.

Fazit: Die 5-%-Hürde ist ein mächtiges Instrument zur Prozessverschlankung. Sie funktioniert jedoch nur dann prüfungssicher, wenn die Begründungskette die Nicht-Wesentlichkeit nicht nur behauptet, sondern durch eine saubere Analyse der Interdependenzen und Kumulationen belegt.

Neue Institutsklassifizierung und Proportionalitätslogik

Geschäftsleiter – Verantwortung & Haftung unter MaRisk 10.0

Als Geschäftsleiter tragen Sie die Letztverantwortung für die Risikokultur und Governance. Mit der 9. MaRisk-Novelle (MaRisk 10.0) überführt die BaFin die seit der Aufsichtsmitteilung vom 26.11.2024 gelebten Erleichterungen in verbindliches Recht.

Der Paradigmenwechsel ist nun final: Weg von der Checkbox-Compliance, hin zur geforderten Urteilskompetenz. Sie müssen nicht mehr nur Regelkonformität nachweisen, sondern die Angemessenheit Ihrer Proportionalitätsentscheidungen aktiv und prüfungssicher begründen.

Beweislastumkehr: Eigenverantwortliche Herleitung jeder genutzten Öffnungsklausel (insb. für SNCI).
Methodische Begründungspflicht: Nachweis der Angemessenheit von Wesentlichkeitsschwellen (5-%-RDP-Hürde) und ICAAP-Modellen.
ESG-Resilienz: Verantwortung für die Implementierung der neuen 10-Jahres-Szenarioanalysen (EBA/GL/2025/04).
DORA-Demarkation: Überwachung der strikten Trennung zwischen IKT-Risiken und allgemeiner MaRisk-Governance (AT 7.2/AT 9).
Haftungsschutz: Vermeidung von Organisationsverschulden gemäß § 25a KWG durch eine lückenlose Proportionalitäts-Dokumentation.
Risikokultur: Verankerung der Begründungslogik als zentrales Steuerungselement in allen Fachbereichen.

Strategischer Hinweis: Wer Erleichterungen nutzt, ohne die methodische Herleitung pro Modul (AT/BT) schriftlich zu fixieren, riskiert unter MaRisk 10.0 unmittelbare Prüfungsfeststellungen wegen mangelhafter Governance.

Quick-Check: MaRisk 10.0 – Begründungs- & Proportionalitätslogik

Check	Zentrale Fragestellung nach MaRisk 10.0
	Prinzipienlogik verstanden? Zählt im Institut prüfbare Angemessenheit statt Checkbox-Compliance?
	Proportionalität dokumentiert? Sind genutzte Erleichterungen je AT-/BT-Modul begründet?
	Wesentlichkeit definiert? Ist klar, welche Risiken wesentlich sind (z. B. 5-%-RDP-Schwelle)?
	ICAAP/RTF begründbar? Ist die Methodik erklärbar und prüfungssicher?
	Stresstests proportional? Passen Anzahl, Tiefe und Szenarien zum Risikoprofil?
	DORA sauber abgegrenzt? Klare Trennung IKT-Drittparteien (DORA) vs. sonstige Auslagerungen (MaRisk)?
	Governance verantwortet? Kann die Geschäftsleitung ihre Entscheidungen vertreten?

🚦 Einordnung aus Sicht der MaRisk 10.0

ROT
Hohe Prüfungs- und Haftungsrisiken

GELB
Teilweise tragfähige Begründungen

GRÜN
Schlüssige Begründungsketten

Von der Aufsichtsmitteilung 2024 zum MaRisk-Standard 2026

Die Verstetigung der Erleichterungen für SNCI

Was die BaFin bereits am 26.11.2024 in ihrer Aufsichtsmitteilung zu „Erleichterungen für kleine und sehr kleine Institute“ als richtungsweisenden Vorgriff skizzierte, findet nun im Konsultationsentwurf der 9. Novelle seine formale gesetzliche Verankerung.

Die BaFin hält Wort: Die damals beschriebenen Vereinfachungen sind nun integraler Bestandteil der MaRisk 10.0. Damit wird die Unsicherheit beendet, ob diese Erleichterungen nur temporärer Natur waren. Folgende Kernpunkte der Mitteilung wurden direkt in den neuen Standard überführt:

Fokussierte Risikoinventur: Konzentration auf wesentliche Risiken unter Nutzung der 5-%-RDP-Schwelle.
Verschlankte Stresstests: Massive Reduktion der Szenarioanzahl und Komplexität für kleinere Häuser.
Funktionenbündelung: Die offizielle Erlaubnis zur Zusammenlegung von Schlüsselfunktionen (z. B. Compliance und Auslagerung) zur Ressourcenschonung.
Verbundvorteile: Anerkennung gruppen- oder verbundinterner Lösungen (z. B. bei der Dienstleisterbewertung), um Doppelarbeiten zu vermeiden.
Reporting-Effizienz: Wegfall redundanter Berichte (z. B. Sanierungsindikatoren für sehr kleine Institute).

Der entscheidende Hinweis für die Praxis: Die BaFin betont im aktuellen Entwurf erneut, dass die Verantwortung für die Nutzung dieser Erleichterungen bei der Geschäftsleitung liegt. Die damals geforderte „plausible Begründung“ ist nun der Kern der neuen Begründungslogik. Institute, die bereits seit Ende 2024 auf Basis der Aufsichtsmitteilung gearbeitet haben, sind somit bestens für die 9. Novelle gerüstet.

MaRisk 10.0 & DORA: Risikomanagement effizient entschlacken

Integration und Abgrenzung europäischer Regelwerke

DORA: Die regulatorische Demarkationslinie

Ein Kernstück der 9. MaRisk-Novelle (MaRisk 10.0) ist die finale Demarkationslinie zwischen den nationalen Anforderungen und dem europäischen DORA (Digital Operational Resilience Act). Ziel der Aufsicht ist die strikte Vermeidung von Doppelregulierung und der Aufbau eines "Single Rulebooks".

DORA-Zuständigkeit (Exklusivität)

Der Konsultationsentwurf 2026 stellt klar: IKT-Risiken unterliegen ab sofort exklusiv der DORA-Logik. Dies umfasst:

IKT-Drittparteienrisikomanagement: Die Überwachung von IT-Dienstleistern folgt rein den DORA-Vorgaben.
Digitale Resilienz-Tests: Inklusive der Durchführung von TLPT für bedeutende Institute.
Meldewesen: Einheitliche Wege für schwerwiegende IKT-Vorfälle.

MaRisk-Zuständigkeit (Governance-Rahmen)

Die MaRisk bleiben der zentrale nationale Anker für Nicht-IKT-Themen und die übergeordnete Steuerung:

Sonstige Auslagerungen: Strategische Steuerung von Dienstleistern in Bereichen wie Kreditbearbeitung, Wertpapierabwicklung oder Facility Management (AT 9).
Allgemeines Notfallmanagement: Übergeordnete Strategien (AT 7.3), die über die reine IT-Wiederherstellung hinausgehen.
Übergreifende Governance: Die Letztverantwortung der Geschäftsleitung für das Gesamtrisikoprofil des Instituts.

Anpassungen in AT 7.2, AT 7.3 und AT 9

Die BaFin hat die Module AT 7.2 (IKT) und AT 9 (Auslagerungen) im Entwurf 2026 radikal entschlackt. Die MaRisk enthalten hier fast nur noch dynamische Verweise auf DORA.

Praktische Konsequenz: Institute müssen ihr Auslagerungsregister in zwei Stränge teilen. Während für IKT-Dienstleister die spezifischen DORA-Mindestklauseln zwingend sind, gilt für sonstige Dienstleister weiterhin die klassische MaRisk-/EBA-Logik.

ESG-Risiken: Von der Integration zur Resilienzanalyse

Während die vorangegangenen Novellen ESG-Risiken primär als "Risikotreiber" einführten, harmonisiert die 9. Novelle die Anforderungen nun mit den neuesten EBA-Leitlinien zur Umwelt-Szenarioanalyse (EBA/GL/2025/04).

Die BaFin präzisiert im Entwurf:

10-Jahres-Horizont: Institute müssen nun zwingend Resilienzanalysen über einen Zeitraum von mindestens 10 Jahren durchführen, um langfristige physikalische und transitorische Klimarisiken abzubilden.
Methoden-Mix: Gefordert wird ein Mix aus portfolio-, sektor- und szenariobezogenen Methoden. Ein reines Abstellen auf historische Daten wird als unzureichend abgelehnt.
Proportionalität für SNCI: Für kleine Institute (SNCI) und sehr kleine Institute stellt die BaFin klar, dass qualitative Ansätze ausreichend sind, sofern keine signifikanten Klumpenrisiken in exponierten Sektoren vorliegen.

Interne Governance: EBA-Leitlinien im Blick

Die 9. MaRisk-Novelle dient auch der Harmonisierung mit den aktualisierten europäischen Vorgaben zur internen Organisation. Hierbei ist jedoch eine wichtige regulatorische Besonderheit zu beachten:

Status der EBA-Leitlinien: Die neuen Leitlinien zur internen Governance (Internal Governance), auf die sich die MaRisk 10.0 bezieht, liegen vonseiten der EBA aktuell noch als Konsultationsfassung vor.
Operative Konsequenz: Da die finale Fassung der EBA-Leitlinien noch aussteht, besteht hier ein gewisses Maß an "regulatorischer Unschärfe". Institute sollten ihre Governance-Anpassungen (AT 4.4.1) daher so flexibel gestalten, dass spätere Feinjustierungen aus dem finalen EU-Papier ohne kompletten Prozessumbau integriert werden können.
Schwerpunkte: Es zeichnet sich ab, dass die EBA den Fokus verstärkt auf die Diversität in Leitungsorganen, die kollektive Eignung des Vorstands und eine noch tiefere Verankerung von Nachhaltigkeitsaspekten in der Aufbauorganisation legt.

IRRBB und CSRBB: Die finale Justierung

Die 9. Novelle nutzt zudem die Gelegenheit zur Feinjustierung von BTR 5 (Kreditspreadrisiken) nach den Erfahrungen der 8. Novelle:

Integration: CSRBB muss nun vollumfänglich und methodisch konsistent in die ökonomische und normative Risikotragfähigkeit integriert sein.
Klarstellung: Die Abgrenzung zwischen marktinduzierten Spreadschwankungen und bonitätsbedingten Änderungen wurde methodisch geschärft, um die Vergleichbarkeit der Stresstestergebnisse zu erhöhen.

Zusammenfassung: Was Sie jetzt tun sollten

Provider-Klassifizierung: Führen Sie ein Audit Ihres Dienstleister-Portfolios durch. Trennen Sie strikt in "IKT-Drittpartei" (DORA) und "sonstige Auslagerung" (MaRisk AT 9).
Szenario-Inventur: Erweitern Sie Ihre Stresstest-Szenarien um die geforderte 10-jährige ESG-Perspektive. Dokumentieren Sie bei SNCI explizit die Angemessenheit Ihres qualitativen Ansatzes.
Governance-Monitoring: Behalten Sie den Status der EBA-Konsultation zur Internen Governance im Blick, um bei der Finalisierung der MaRisk Ende 2026 nicht von Detailänderungen überrascht zu werden.

IRRBB und CSRBB: Klarstellung und operative Verschlankung

Mit der 9. MaRisk-Novelle (MaRisk 10.0) reagiert die Aufsicht auf die hohen Umsetzungsaufwände der Vorgängerversion. Die starre Verweisungslogik auf EBA-Leitlinien wird zugunsten eines prinzipienorientierten, nationalen Standards aufgebrochen.

Die wichtigsten Änderungen im Überblick:

1. Flexibilität in der Ermittlung (BTR 5 Tz. 1)

Kreditspreadrisiken im Anlagebuch (CSRBB) müssen nicht zwingend als isolierte Risikoart geführt werden.

Neu: CSRBB kann gemeinsam mit anderen Risikoarten (z. B. Marktrisiko) ermittelt werden.
Bedingung: Unabhängig von der internen Zusammenfassung muss der Ausweis im Berichtswesen separat erfolgen, um die Transparenz zu wahren.

2. Präzisierung des Perimeters (BTR 5 Tz. 2)

Das Institut bestimmt eigenverantwortlich, welche Positionen einem Kreditspreadrisiko unterliegen. Dabei gelten klare Leitplanken:

Einbeziehungspflicht: Zum beizulegenden Zeitwert bewertete Positionen der Aktivseite sind zwingend zu berücksichtigen.
Ausschlussmöglichkeit: Notleidende Risikopositionen (NPLs) werden explizit nicht berücksichtigt.
Begründungspflicht: Die Nichtberücksichtigung von Positionen ist keine pauschale Entscheidung mehr, sondern muss angemessen begründet und dokumentiert werden.

3. Erleichterungen für bestimmte Produkte

Eine pauschale Ausnahme von Positionen allein aufgrund der Haltedauer ist weiterhin untersagt. Jedoch erlaubt die Aufsicht nun pauschalere Betrachtungen für Nichtberücksichtigungen bei:

Standard-Krediten: Wenn die Kreditkonditionierung keine Kreditspreadsensitivität aufweist und keine Veräußerungsabsicht besteht.
Derivaten: Wenn der Basiswert per Konstruktion keine Kreditrisikosensitivität besitzt.

4. Konservative Vereinfachung (BTR 5 Tz. 3)

Idiosynkratische Komponenten: Diese dürfen nun bei der Bestimmung berücksichtigt werden, sofern dies zu einer konservativeren Risikomessung führt und plausibel begründet ist.

5. Harmonisierung mit DORA und CRR

Kleines Handelsbuch: Institute mit einem kleinen Handelsbuch (gemäß Art. 94 CRR) müssen eine integrierte Behandlung von Handels- und Anlagebuch vornehmen, sofern das Kreditspreadrisiko nicht anderweitig abgedeckt ist.
Interne Risikotransfers: Transfers zwischen Anlage- und Handelsbuch müssen lückenlos dokumentiert sein und im Einklang mit der Risikopolitik stehen.

Was Sie jetzt tun sollten (Handlungsempfehlung):

Inventur der CSRBB-Positionen: Überprüfen Sie Ihr Anlagebuch. Nutzen Sie die neue Möglichkeit, Standard-Kredite ohne Spreadsensitivität begründet aus dem Perimeter zu nehmen, um das zu steuernde Volumen zu fokussieren.
Anpassung der Berichterstattung: Stellen Sie sicher, dass Ihr Reporting einen separaten Ausweis für CSRBB ermöglicht, auch wenn die Messung integriert mit anderen Risiken erfolgt.
Dokumentations-Check: Bereiten Sie die Begründungsketten für die Nichtberücksichtigung bestimmter Portfolien vor. Nach der neuen Philosophie ist die Plausibilität der Herleitung der zentrale Prüfungsanker.

Haben Sie bereits eine erste Indikation, welche Teile Ihres Kreditportfolios Sie unter der neuen Begründungslogik als "nicht spreadsensitiv" klassifizieren möchten?

CRD VI und EBA-Leitlinien: Ende der „Verweis-Odysee“

Bisher glich das Studium der MaRisk oft einer Schnitzeljagd durch europäische Gesetzestexte. Zahlreiche dynamische Verweise auf EBA-Guidelines zwangen Institute dazu, bei jeder Aktualisierung auf EU-Ebene zeitaufwendige Impact-Analysen für ihre nationale Compliance durchzuführen.

Die 9. Novelle (MaRisk 10.0) bricht mit dieser Praxis und setzt auf das Prinzip "Nationale Eigenständigkeit bei europäischer Konformität".

Die wesentlichen Änderungen im Überblick:

1. Reduktion dynamischer Verweise

Die BaFin verzichtet künftig weitgehend darauf, die MaRisk lediglich als „Hülle“ für europäische Leitlinien zu nutzen. Stattdessen werden die für den deutschen Markt relevanten Anforderungen direkt in den Text der MaRisk geschrieben.

Vorteil: Die MaRisk werden wieder zu einem „Single Point of Truth“. Ein Blick in das Rundschreiben genügt in den meisten Fällen, um die Erwartungshaltung der Aufsicht zu verstehen.

2. Integration statt Zitieren

Ausgewählte Inhalte aus der CRD VI (Capital Requirements Directive) und wesentliche Aspekte der EBA-Leitlinien werden stofflich in die MaRisk-Module integriert.

Klare Referenzpunkte: Wo Verweise unvermeidbar sind (z. B. bei hochtechnischen Standards), werden diese so präzise gesetzt, dass Widersprüche zum EU-Recht ausgeschlossen sind, ohne den Lesefluss zu unterbrechen.

3. Proportionalität durch „Filterfunktion“

Nicht jede EBA-Leitlinie ist für jedes kleine Institut (SNCI) in voller Tiefe sinnvoll. Durch die Integration in die MaRisk fungiert die BaFin als regulatorischer Filter:

Die Aufsicht übersetzt die oft sehr komplexen europäischen Vorgaben in eine für den deutschen Markt angemessene Sprache und Detailtiefe.
Europäische Leitlinien bleiben als Auslegungshilfe im Hintergrund relevant, verlieren aber ihren Charakter als „unmittelbare Detailvorschrift“ innerhalb der MaRisk-Struktur.

Strategische Bedeutung für die Praxis:

Diese Entschlackung ist das Fundament für die neue Begründungslogik. Da die Anforderungen nun klarer im nationalen Text stehen, entfällt die Ausrede der „unklaren europäischen Vorgabe“. Institute können – und müssen – ihre Prozesse nun direkt gegen den MaRisk-Text spiegeln.

Checkliste für Ihr Rechtskataster:

Entschlackung: Prüfen Sie Ihr Rechtskataster auf Verweise, die durch die 9. Novelle hinfällig werden, da die Inhalte nun direkt in der MaRisk stehen.
Fokus-Shift: Nutzen Sie die freiwerdenden Kapazitäten in der Rechtsabteilung (weniger Monitoring von EBA-Updates), um die geforderten prüfbaren Begründungsketten für Ihre Proportionalitätsentscheidungen aufzubauen.

Zusammenfassend: Die MaRisk 10.0 beendet das Zeitalter der regulatorischen Suchspiele. Das Regelwerk wird schlanker, autonomer und für die Institute in der täglichen Anwendung deutlich effizienter.

MaRisk – klassische Regelorientierung vs. MaRisk 10.0

Themenfeld	Bisherige MaRisk-Logik	MaRisk 10.0 – neue Aufsichtslogik
Aufsichtsphilosophie	Detailorientierte Vorgaben, formale Regelbefolgung, Fokus auf Vollständigkeit von Dokumentationen.	Prinzipienorientierte Steuerung mit prüfbarer Begründungskette zur Angemessenheit institutsspezifischer Lösungen.
Rolle der Geschäftsleitung	Verantwortung primär über formale Freigaben und Genehmigung von Regelwerken.	Aktive Führungsverantwortung für Proportionalitätsentscheidungen, Wesentlichkeit und Governance.
Proportionalität	Eingeschränkt nutzbar, häufig unklar abgegrenzt und stark durch Detailvorgaben limitiert.	Deutlich ausgeweitet, insbesondere für sehr kleine Institute und SNCI – aber mit erhöhter Begründungspflicht.
Risikoinventur & Wesentlichkeit	Breite Erfassung auch geringfügiger Risiken, häufig hoher Dokumentationsaufwand.	Fokus auf wesentliche Risiken; Nutzung einer klaren Wesentlichkeitsschwelle (z. B. 5 % des Risikodeckungspotenzials).
Risikotragfähigkeit (ICAAP)	Stark methoden- und detailgetrieben, begrenzte Spielräume bei der Ausgestaltung.	Wahlfreiheit zwischen ökonomischem und normativem Ansatz, sofern schlüssig begründet.
Stresstests	Hohe Anzahl und Granularität, inverse Stresstests meist verpflichtend.	Reduzierte Anzahl (typisch 3–5 p. a.); inverse Stresstests für kleinere Institute qualitativ oder entfallend.
DORA-Abgrenzung	Überschneidungen zwischen MaRisk, EBA-Guidelines und IT-Anforderungen.	Klare Trennung: DORA für IKT-Risiken, MaRisk für Governance und Nicht-IKT-Themen.
Prüfungsschwerpunkt	Kontrolle der formalen Regelkonformität und Vollständigkeit von Unterlagen.	Bewertung der Plausibilität, Konsistenz und Qualität der Begründungen.
Haftungsrisiko für Geschäftsführer	Haftung meist indirekt über formale Pflichtverletzungen.	Erhöhtes Risiko bei fehlender oder inkonsistenter Begründung – Organisationsverschulden nach § 25a KWG.

Zentrale inhaltliche Handlungsfelder

1. Risikoinventur, Wesentlichkeit und Risikotragfähigkeit

Die 9. MaRisk-Novelle schafft durch klare Schwellenwerte die notwendige Entlastung für die Risikoinventur (AT 2.2). Die aufwändige Dokumentation marginaler Risiken entfällt zugunsten einer fokussierten Wesentlichkeitsbetrachtung.

Die 5-Prozent-Regel (RDP): Die BaFin legt 5 % des ökonomischen Risikodeckungspotenzials (RDP) als Orientierungsgröße für die Wesentlichkeit fest.
Vereinfachte Verfahren: Risiken unterhalb dieser Schwelle können über „Säule-1+“-Ansätze oder pauschale Risikopuffer abgedeckt werden.
Kumulations-Check: Institute müssen jedoch proaktiv dokumentieren, dass die Summe aller "unwesentlichen" Einzelrisiken in der Aggregation keine systemische Gefährdung darstellt.
Präzisierung des ICAAP: Für den normativen und ökonomischen Ansatz werden im Entwurf 2026 standardisierte Erwartungen an die Abbildung von Stresstestrahmenwerken definiert, was die Vergleichbarkeit (Peer-Group-Analyse) erhöht.

2. Stresstests: Radikale Reduktion und Fokus

Die Anzahl der verpflichtenden Stresstests wird massiv zusammengestrichen, um die operative Effizienz zu steigern – insbesondere für kleinere Häuser.

Das 3-bis-5-Modell: Vorgesehen sind ein risikoartenübergreifender Gesamtbank-Stresstest sowie je ein Test pro wesentlicher Risikoart. Dies führt in der Praxis zu einer Frequenz von drei bis fünf Tests pro Jahr.
Entfall inverser Stresstests: Für sehr kleine Institute und SNCIs können inverse Stresstests künftig vollständig entfallen oder durch rein qualitative Analysen ersetzt werden, sofern das Standard-Programm die Risikotreiber ausreichend isoliert.
Anerkennung von Verbundszenarien: Die Nutzung von Szenarien der Verbünde oder der Aufsicht wird erleichtert. Bedingung: Das Institut muss in einer kurzen Begründungskette nachweisen, dass die Verbundszenarien für das eigene spezifische Risikoprofil repräsentativ sind.
Sensitivitätsanalysen: Sehr kleine Institute dürfen sich auf einfache Sensitivitätsbetrachtungen beschränken, um die Tragfähigkeit unter Stress zu bewerten.

3. Governance, Compliance und Interne Revision

Hier steht die qualitative Stärkung bei gleichzeitiger Verschlankung der administrativen Prozesse im Vordergrund.

Klare Aufgabenzuordnung: Die MaRisk 10.0 definiert die Rollen der Geschäftsleitung und des Aufsichtsorgans präziser. Der Fokus liegt auf der inhaltlichen Überwachung wesentlicher Rechtsvorschriften statt auf dem reinen "Abhaken" von Compliance-Listen.
Effizienz durch Funktionenbündelung: Für SNCIs und sehr kleine Institute ist die Bündelung von Schlüsselfunktionen (z. B. Compliance- und Auslagerungsbeauftragter in Personalunion) nun offiziell zulässig, sofern die Unabhängigkeit gewahrt bleibt.
Revision als Prüfinstanz der Begründungslogik: Die Anforderungen an die Prozessdokumentation der Internen Revision werden schlanker. Im Gegenzug steigt die Anforderung an die Prüfung der Begründungsketten: Die Revision muss bewerten, ob die vom Institut gewählten Proportionalitätsentscheidungen methodisch schlüssig und angemessen sind.

4. Modelllandschaft und Validierung (AT 4.3.4)

Für Institute ab 5 Mrd. EUR Bilanzsumme (übrige LSIs) steigen die qualitativen Anforderungen an die technische Infrastruktur.

Verpflichtendes Modellinventar: Jedes eingesetzte Modell (Rating, Stresstest, ESG-Szenario, KI) muss zentral dokumentiert sein (Einsatzbereich, Validierungszyklus, Verantwortlichkeit).
Unabhängige Validierung: Für selbst entwickelte Modelle ist eine strikte Trennung zwischen Modellbau und Validierung zwingend. Dies betrifft insbesondere die neuen ESG-Risikomodelle und KI-gestützte Systeme.
Verbundlösungen: Kleinere Häuser können weiterhin auf Branchenpools zurückgreifen. Die Dokumentationslast bleibt hier minimal, solange die Vergleichbarkeit des eigenen Portfolios mit dem Pool-Standard einmal jährlich plausibilisiert wird.

Was Sie jetzt tun sollten:

Prüfen Sie Ihre aktuelle Stresstest-Planung. Durch den Entfall inverser Stresstests und die Anerkennung von Verbundszenarien ergeben sich für 2027 erhebliche Ressourcen-Einsparungen, die Sie bereits heute in den Aufbau der geforderten ESG-Datenstrategie (10-Jahres-Horizont) investieren können.

MaRisk 10.0 & DORA: Jetzt regulatorisch auf dem neuesten Stand bleiben

Neue BaFin-Vorgaben, DORA-Anforderungen und steigende Haftungsrisiken: In unseren Seminaren erhältst du konkrete Umsetzungstipps für dein Unternehmen.

MaRisk 10.0 & DORA Update MaRisk für Wertpapierinstitute

Handlungsfelder nach Institutsgrößen

Die konkreten Auswirkungen der 9. MaRisk-Novelle unterscheiden sich erheblich nach Institutsgröße. Tabelle 2 gibt einen Überblick über die zentralen Handlungsfelder je Größenklasse.

Handlungsfelder – Proportionalität nach Institutsklassen

Handlungsfeld	Sehr kleine Institute (bis 1 Mrd. EUR)	Kleine Institute / SNCI (1–5 Mrd. EUR)	Mittelgroße / große Institute (ab 5 Mrd. EUR)
Risikoinventur & RTF	Fokus auf wesentliche Risiken; 5-%-Schwelle; vereinfachte Verfahren (Säule-1-plus, barwertnah).	Wesentliche Risiken im Fokus; unwesentliche Risiken pauschal erfassbar, sofern kumuliert nicht wesentlich.	Vollumfängliche ökonomische oder normative RTF; hohe Modellierungs- und Granularitätstiefe.
Stresstests	1 risikoartenübergreifender Stresstest + 1 je wesentliche Risikoart; inverse Stresstests qualitativ oder entfallend; Sensitivitätsanalysen ausreichend.	3–5 Stresstests p. a.; inverse Stresstests qualitativ oder entfallend; Nutzung von Verbundszenarien möglich.	Vollständiges Stresstestprogramm; verpflichtende inverse Stresstests; institutsspezifische Szenarien; unabhängige Validierung.
Governance & Compliance	Funktionenbündelung möglich; schlankes Berichtswesen; Fokus auf wesentliche Rechtsvorschriften.	Gestrafftes Reporting; systematische ESG-Integration; belastbare Proportionalitätsargumentation.	Konzeptioneller Umbau auf Prinzipienlogik; eigenverantwortliche Steuerung; stringente Begründungsketten.
DORA-Umsetzung	Nutzung gruppen-/verbundinterner Lösungen; Trennung IKT-Drittparteien vs. sonstige Dienstleister.	IKT-Risikomanagement und Incident-Management gemäß DORA; Anpassung von Auslagerungsverträgen.	Umfassende DORA-Compliance; IT-Systemanpassungen; komplexes Vertragsmanagement.
ESG-Risiken	Systematische, aber formalisierungsarme Integration in Risikoinventur und Risikostrategie.	Risikoorientierte Integration; moderate Dokumentationstiefe.	Vollumfängliche ESG-Integration; zusätzliche Datenfelder in IT-Systemen; qualifiziertes Fachpersonal erforderlich.
Modelle & Validierung	Nutzung von Verbundlösungen; Prüfung der Vergleichbarkeit; schlanke Dokumentation.	Verbundlösungen oder Branchenpools; Plausibilisierung und Dokumentation der Vergleichbarkeit.	Umfassendes Modellinventar; unabhängige Validierung; teilweise eigene Modellentwicklung.
Dokumentation	Schlanke Prozessdokumentation; keine separaten Sanierungs- oder Notfallberichte.	Anpassung des MaRisk-Handbuchs, Richtlinien und Prozessbeschreibungen je AT-/BT-Modul.	Überarbeitung sämtlicher Richtlinien, Handbücher und Arbeitsanweisungen (SfO); detaillierte Angemessenheitsbegründungen.
Aufwand	Gering bis moderat	Moderat	Erheblich

Risikoinventur & RTF

Sehr klein: Fokus auf wesentliche Risiken; 5-%-Schwelle; vereinfachte Verfahren.

SNCI: Wesentliche Risiken im Fokus; unwesentliche Risiken pauschal erfassbar.

Groß: Vollumfängliche ökonomische oder normative RTF mit hoher Granularität.

Stresstests

Sehr klein: 1 Gesamt- + 1 Risikoart-Stresstest; Sensitivitäten ausreichend.

SNCI: 3–5 Stresstests p. a.; Verbundszenarien möglich.

Groß: Vollständiges Programm inkl. inverser Stresstests und Validierung.

Governance & Compliance

Sehr klein: Funktionenbündelung; schlankes Berichtswesen.

SNCI: Gestrafftes Reporting; ESG systematisch integriert.

Groß: Prinzipienlogik; stringente Begründungsketten.

DORA-Umsetzung

Sehr klein: Verbundlösungen; einfache Dienstleistertrennung.

SNCI: IKT-Risikomanagement & Incident-Handling gemäß DORA.

Groß: Vollständige DORA-Compliance; komplexes Vertragsmanagement.

ESG-Risiken

Sehr klein: Systematisch, aber formalisierungsarm.

SNCI: Risikoorientiert mit moderater Dokumentation.

Groß: Vollintegration inkl. IT-Systemanpassungen.

Modelle & Validierung

Sehr klein: Verbundlösungen; schlanke Dokumentation.

SNCI: Branchenpools; Plausibilisierung erforderlich.

Groß: Eigenmodelle; unabhängige Validierung.

Dokumentation & Aufwand

Sehr klein: Schlank; geringer bis moderater Aufwand.

SNCI: Anpassung von Handbüchern; moderater Aufwand.

Groß: Vollständige Überarbeitung; erheblicher Aufwand.

Sehr kleine Institute (bis 1 Mrd. EUR Bilanzsumme)

Sehr kleine Institute profitieren besonders stark von der Proportionalität der 9. MaRisk-Novelle. Die bereits im November 2024 von der BaFin angekündigten Erleichterungen sollen in die Verordnung einfließen.

Umsetzungsaufwand: Gering bis moderat. Der Aufwand entsteht vor allem dabei, nachvollziehbar zu begründen, weshalb die gewählten Vereinfachungen für das eigene Risikoprofil angemessen sind und ob die regulatorischen Mindestnormen für das eigene Ambitionsniveau ausreichen.

Zentrale Handlungsfelder:

Risikoinventur und Risikotragfähigkeit: Konzentration auf wesentliche Risiken mit einem Schwellenwert von 5 Prozent des ökonomischen Risikodeckungspotenzials; Nutzung vereinfachter Verfahren wie „Säule 1+"-Ansätze oder barwertnahe Verfahren.
Stresstests: Reduktion auf einen risikoartenübergreifenden Stresstest und je einen Test pro wesentlicher Risikoart; einfache Sensitivitätsanalysen können ausreichend sein; inverse Stresstests können qualitativ erfolgen oder gänzlich entfallen.
Funktionenbündelung: Compliance- und Auslagerungsbeauftragte dürfen als gemeinsame Funktion kombiniert werden, sofern deren operative Tätigkeiten weiter unabhängig voneinander stattfinden können.
Auslagerungsmanagement: Nutzung gruppen- oder verbundinterner Lösungen zur Bewertung von Dienstleistern; Trennung zwischen IKT-Drittparteien (DORA-Logik) und sonstigen Dienstleistern (MaRisk-Logik).
Dokumentation: Schlankere Berichterstattung und Prozessdokumentation; keine separaten Berichte für Sanierungsindikatoren erforderlich.

Kleine Institute / SNCI (1-5 Mrd. EUR Bilanzsumme)

Kleine Institute erhalten ebenfalls deutliche Erleichterungen, gegenüber sehr kleinen Instituten steigt der Aufwand jedoch bei differenzierteren Nachweisen[7].

Umsetzungsaufwand: Moderat. Der Aufwand fällt vor allem für eine Gap-Analyse an, die die heutige MaRisk-Implementation an die Proportionalitätslogik anpasst, idealerweise pro AT/BT-Modul. Dazu kommen anzupassende Dokumente wie MaRisk-Handbücher, Prozessbeschreibungen und Richtlinien, um die Proportionalitätsargumentation zu verankern. Risikoberichte dürfen gestrafft werden, müssen aber ihre Aussagekraft behalten. Schulungen sind nötig, damit die Prinzipienlogik institutsintern gelebt wird.

Zentrale Handlungsfelder:

Risikomanagement: Wesentliche Risiken stehen im Fokus; unwesentliche dürfen pauschal behandelt werden, sofern sie kumuliert kein wesentliches Risiko ergeben.
Stresstests: Drei bis fünf Stresstests pro Jahr; inverse Stresstests dürfen auf qualitative Analysen beschränkt werden oder entfallen, sofern das Stresstestprogramm eine angemessene Steuerung erlaubt; Nutzung standardisierter Verbundszenarien möglich.
Modellvalidierung: Bei Verbundlösungen oder Branchenpools muss geprüft werden, ob und inwieweit sie sich mit dem eigenen Portfolio vergleichen lassen; die Dokumentation fällt deutlich schlanker aus als bei selbst entwickelten Modellen.
ESG-Integration: ESG-Risiken müssen systematisch und risikoorientiert in die Risikoinventur und Risikostrategie aufgenommen werden, jedoch ohne übermäßigen Formalisierungsgrad.
•CRD VI/DORA-Umsetzung: MaRisk-Strukturen geben den Referenzrahmen vor, während IT-Governance und Auslagerungsdokumentation an DORA-Anforderungen anzupassen sind.

Mittelgroße und große Institute (ab 5 Mrd. EUR Bilanzsumme)

Mittelgroße und große Institute müssen sich auf größeren Aufwand einstellen. Der Schwerpunkt liegt darauf, von der detail- auf die prinzipienorientierte Steuerung umzustellen und neue Regelwerke zu integrieren.

Umsetzungsaufwand: Erheblich. Es steht ein umfassender konzeptioneller und operativer Umbau bevor. Dies zieht eine strategisch neu ausgerichtete Risikosteuerung nach sich sowie eine Governance und Risikokultur, die die Gesamtverantwortung der Geschäftsleitung stärker in den Vordergrund rückt.

Zentrale Handlungsfelder:

Konzeptioneller Umbau: Change Management wird erheblichen Aufwand nach sich ziehen, um die Steuerungslogiken innerhalb des Instituts von detaillierten Vorgaben auf eigenverantwortliche Prinzipienorientierung umzustellen.
Systemanpassungen: Bestehende IT-Systeme müssen um Datenfelder für ESG-Risiken ergänzt sowie um DORA-Compliance und Auslagerungsmanagement erweitert werden.
Ressourcenaufbau: Fachkräfte und Schulungen sind nötig, um die eingesetzten Modelle zu validieren, ESG-Risikomanagement zu betreiben und DORA-Compliance zu gewährleisten.
Dokumentation: Richtlinien, Handbücher und Arbeitsanweisungen (SfO) müssen in allen betroffenen Bereichen überarbeitet werden, insbesondere mit Blick auf Angemessenheit und Begründungsfähigkeit der gewählten Ansätze.
Vertragsmanagement: Je nach Größe und Komplexität des Instituts müssen bis zu mehrere hundert Auslagerungsverträge angepasst werden, um DORA-Anforderungen für IKT-Drittparteien zu erfüllen und MaRisk-Anforderungen für sonstige Auslagerungen zu gewährleisten.
Prüfungsvorbereitung: Externe Wirtschaftsprüfer kontrollieren, ob die Vorgaben eingehalten werden; nachweisbare Compliance und schlüssige Begründungsketten sind unverzichtbar.
Internationale und komplexe Geschäftsaktivitäten: Zusätzlicher Aufwand entsteht bei internationaler Ausrichtung; einige Geschäftsaktivitäten erfordern Beobachtung von Veröffentlichungen des Baseler Ausschusses und des Financial Stability Boards.

Besonderheit: Verbundinstitute

Zentrale fachliche und technische Verbundanbieter müssen sich weiterhin dem vollen MaRisk-Umfang unterwerfen, weil viele ihrer Mitgliedsinstitute die SNCI-Kriterien nicht erfüllen. Einzelne Verbundinstitute profitieren deshalb womöglich nur begrenzt von den Erleichterungen, falls sie auf standardisierte Verbundlösungen zurückgreifen wollen.

Konkreter Vorbereitungs- und Anpassungsbedarf

Unabhängig von der Größe sollten sich alle Institute bereits frühzeitig auf die 9. MaRisk-Novelle vorbereiten. Tabelle 3 fasst die zentralen Vorbereitungsschritte mit Zeitplan zusammen.

Umsetzungsfahrplan zur MaRisk-Novelle

Phase	Maßnahme	Zeitrahmen
Akutmaßnahmen Q1 2026	Gap-Analyse erstellen und systematisch mit dem Konsultationsentwurf abgleichen, sobald dieser vorliegt.	Januar – März 2026
Konsultation Q1/Q2 2026	Aktiv an der Konsultation teilnehmen und praktische Erfahrungen aus den jüngsten MaRisk-Novellen einbringen.	Februar – April 2026
Vorbereitung Q2/Q3 2026	Dokumentation erstellen, die im Rahmen der Proportionalität sämtliche genutzten Erleichterungen nachvollziehbar und prüfungssicher aufführt.	April – September 2026
Rechtskataster Q2/Q3 2026	Systematische Erfassung sämtlicher neuer und geänderter Anforderungen im institutseigenen Rechtskataster.	April – September 2026
DORA-Readiness (laufend)	IKT-Themen entlang DORA organisieren (Risikomanagement, Incident-Management, IKT-Drittparteien); qualitative und quantitative Risikobewertungen nachvollziehbar dokumentieren.	Laufend bis Q4 2026
Fachbereichseinbindung Q3 2026	Neben der Geschäftsführung alle betroffenen Fachbereiche einbinden, um die Umsetzung der MaRisk mit Blick auf stärkere Eigenverantwortung vorzubereiten.	Juli – September 2026
Prüfungsvorbereitung Q4 2026	Prüfungen vorbereiten, insbesondere zu den Methoden, nach denen Risikobewertungen in Risikotragfähigkeitskonzepte (ICAAP) einfließen.	Oktober – Dezember 2026
Implementierung ab Q4 2026	Umsetzung der finalisierten MaRisk-Novelle; Schulungen, Systemanpassungen, Vertragsmanagement und Change-Management.	Ab Ende 2026 / Anfang 2027

Akutmaßnahmen Q1 2026

Maßnahme: Gap-Analyse und Abgleich mit Konsultationsentwurf.

Zeitrahmen: Januar – März 2026

Konsultation Q1/Q2 2026

Maßnahme: Aktive Teilnahme an der Konsultation mit Praxiserfahrungen.

Zeitrahmen: Februar – April 2026

Vorbereitung Q2/Q3 2026

Maßnahme: Prüfungssichere Dokumentation der Proportionalität.

Zeitrahmen: April – September 2026

Rechtskataster Q2/Q3 2026

Maßnahme: Vollständige Aktualisierung des Rechtskatasters.

Zeitrahmen: April – September 2026

DORA-Readiness

Maßnahme: Organisation aller IKT-Themen inkl. Dokumentation.

Zeitrahmen: Laufend bis Q4 2026

Fachbereichseinbindung Q3 2026

Maßnahme: Einbindung aller relevanten Fachbereiche.

Zeitrahmen: Juli – September 2026

Prüfungsvorbereitung Q4 2026

Maßnahme: Vorbereitung auf Prüfungen mit Fokus ICAAP.

Zeitrahmen: Oktober – Dezember 2026

Implementierung

Maßnahme: Umsetzung der finalen MaRisk-Novelle.

Zeitrahmen: Ab Ende 2026 / Anfang 2027

Gap-Analyse und Rechtskataster

Die Gap-Analyse ist der zentrale Startpunkt für die Vorbereitung. Institute sollten systematisch abgleichen, welche Anforderungen der neuen MaRisk bereits erfüllt sind, wo Anpassungsbedarf besteht und welche Erleichterungen genutzt werden können. Die Analyse sollte idealerweise pro AT- und BT-Modul erfolgen und folgende Fragen beantworten:

Welche bestehenden Prozesse und Dokumentationen entsprechen bereits der Prinzipienlogik?
Wo bestehen unnötige Detailvorgaben, die verschlankt werden können?
Welche Proportionalitätserleichterungen kommen für unser Institut in Frage?
Wie müssen Begründungsketten dokumentiert werden, um prüfungssicher zu sein?
Welche Schnittstellen zu DORA, ESG-Regelwerk und CRD VI sind zu berücksichtigen?

Parallel dazu sollten alle neuen und geänderten Anforderungen systematisch im institutseigenen Rechtskataster erfasst werden, um Compliance-Lücken zu vermeiden und Umsetzungsverantwortlichkeiten klar zuzuordnen.

DORA-Readiness und IKT-Risikomanagement

Institute sollten ihre IKT-Themen bereits jetzt entlang der DORA-Struktur organisieren, auch wenn die 9. MaRisk-Novelle noch nicht final vorliegt:

IKT-Risikomanagement: Identifikation, Bewertung, Steuerung und Überwachung von IKT-Risiken gemäß DORA-Vorgaben

Incident-Management: Meldeprozesse für IKT-Vorfälle einrichten, die den DORA-Meldefristen entsprechen

IKT-Drittparteien: Separate Governance für IKT-Drittparteien etablieren und von sonstigen Dienstleistern trennen

Resilienztests: DORA-konforme Resilienztests vorbereiten (TLPT für kritische Institute)

Dokumentation: Qualitative und quantitative Risikobewertungen nachvollziehbar dokumentieren, um Compliance nachzuweisen

Die MaRisk werden künftig stärker auf die Notwendigkeit verweisen, DORA-konforme Abläufe einzuführen, bleiben dabei aber auf Prinzipien- und Governance-Ebene

Die „Schnittstellenfalle“: DORA vs. MaRisk

Vorsicht vor der Schnittstellenfalle: Obwohl die theoretische Abgrenzung zwischen IKT-Risiken (DORA) und sonstigen Auslagerungsrisiken (MaRisk AT 9) logisch erscheint, drohen in der Praxis ineffiziente Doppelstrukturen.

Ein klassisches Beispiel sind hybride Dienstleister, die sowohl IKT-Infrastruktur als auch fachliche Back-Office-Prozesse bereitstellen. Hier besteht die Gefahr, dass Institute zwei isolierte Risiko-Assessments für denselben Anbieter durchführen. Um diesen „regulatorischen Overhead“ zu vermeiden, ist eine stringente Schnittstellen-Governance unerlässlich. Nur durch ein integriertes Provider-Management, das die Anforderungen beider Welten harmonisiert, lässt sich die angestrebte Entschlackung der MaRisk tatsächlich in operative Effizienz übersetzen.

Proportionalitätsdokumentation

Ein zentraler Erfolgsfaktor für die Nutzung von Erleichterungen ist die prüfungssichere Dokumentation der Proportionalitätsentscheidungen. Institute müssen schlüssig begründen können, warum die gewählten Vereinfachungen für ihr spezifisches Risikoprofil angemessen sind.

Die Dokumentation sollte enthalten:

Beschreibung des Instituts (Größe, Komplexität, Geschäftsmodell, Risikostruktur)
Auflistung der in Anspruch genommenen Erleichterungen pro AT/BT-Modul
Begründung, warum jede Erleichterung für das Institut angemessen ist
Nachweis, dass trotz Vereinfachung die Steuerungsfähigkeit und Risikotragfähigkeit gewahrt bleiben
Eskalationsmechanismen, falls sich das Risikoprofil ändert und Erleichterungen nicht mehr angemessen sind

Die BaFin hat ausdrücklich vorbehalten, gewährte Erleichterungen für kleinere Institute auf den Prüfstand zu stellen, sollte sich deren Risikolage im Durchschnitt erheblich verschlechtern. Proportionalität ist kein Freifahrtschein, sondern erfordert begründete Eigenverantwortung.

Fachbereichseinbindung und Change Management

Die Umstellung auf Prinzipienorientierung kann nicht allein von Risikomanagement oder Compliance getragen werden. Erforderlich ist ein umfassendes Change Management, das alle betroffenen Fachbereiche einbindet:

Geschäftsleitung: Muss die Gesamtverantwortung für Proportionalitätsentscheidungen übernehmen und diese gegenüber Aufsicht und Prüfern vertreten können
Risikomanagement: Muss die methodischen Grundlagen für Wesentlichkeitsschwellen, Risikotragfähigkeit und Stresstests schaffen
Compliance: Muss die regulatorischen Anforderungen in operative Umsetzungsmaßnahmen übersetzen
IT: Muss Systeme für ESG-Daten, DORA-Compliance und Auslagerungsmanagement anpassen
Operative Bereiche: Müssen verstehen, wie sich Prinzipienorientierung auf ihre tägliche Arbeit auswirkt

Schulungen sind nötig, damit die von der Aufsicht gewünschte Prinzipienlogik auch innerhalb der Häuser gelebt wird und nicht nur formal dokumentiert ist.

Kritische Erfolgsfaktoren

Aus den Analysen lassen sich folgende kritische Erfolgsfaktoren für die Umsetzung der 9. MaRisk-Novelle ableiten:

Frühzeitige und systematische Vorbereitung: Gap-Analyse, Rechtskataster, DORA-Readiness sollten nicht auf den finalen Entwurf warten
Prüfungssichere Begründungsketten: Dokumentation der Proportionalitätsentscheidungen mit klarer Argumentation, warum gewählte Ansätze angemessen sind
Fachbereichsübergreifendes Change Management: Prinzipienorientierung muss institutsweit verstanden und gelebt werden
Klare DORA-MaRisk-Trennung: Saubere Abgrenzung zwischen IKT-Drittparteien (DORA) und sonstigen Auslagerungen (MaRisk)
Kontinuierliches Monitoring: Proportionalitätsentscheidungen müssen regelmäßig überprüft werden, ob sie noch zum aktuellen Risikoprofil passen
Aktive Konsultationsbeteiligung: Institute sollten ihre praktischen Erfahrungen in die Konsultation einbringen, um praxisgerechte Regelungen zu fördern

Ausblick: Die MaRisk der Zukunft – Risikomanagement als Wettbewerbsfaktor

Die 9. MaRisk-Novelle ist weit mehr als ein bloßes Update; sie markiert den Beginn einer neuen Ära in der Bankenaufsicht. Mit der Rückbesinnung auf die ursprüngliche Prinzipienorientierung sendet die BaFin ein klares Signal an den Markt: Vertrauen in die Urteilskompetenz der Institute, sofern diese durch fundierte und prüfbare Begründungen untermauert wird.

Die Weichenstellung für 2027

Während sehr kleine und kleine Institute (SNCI) von massiven operativen Erleichterungen profitieren, stehen mittelgroße und große Häuser vor einem tiefgreifenden konzeptionellen Umbau. Doch für alle gilt: Die angekündigte Vereinfachung ist keine Deregulierung. Sie ist die Rückkehr zu einer qualitativ hochwertigen, risikoadäquaten Steuerung auf Basis echter Eigenverantwortung. Wer das Risikomanagement bisher als rein reaktive „Checkbox-Aufgabe“ verstanden hat, wird unter der neuen Begründungslogik scheitern.

Resilienz durch Eigenverantwortung

Institute, die diesen Wandel als strategische Chance begreifen, werden langfristig profitieren:

Effizienz: Verschlankte Prozesse durch die konsequente Nutzung der 5 %-Wesentlichkeitsschwelle.
Fokus: Konzentration der Ressourcen auf echte Risikotreiber wie ESG-Langzeitszenarien und digitale Resilienz (DORA).
Flexibilität: Schnellere Anpassung an Marktveränderungen durch methodische Gestaltungsspielräume.

Gelebte Risikokultur statt bloßer Dokumentation

Der Erfolg der MaRisk 10.0 wird sich daran messen lassen, ob es gelingt, die neue Aufsichtsphilosophie in eine gelebte Risikokultur zu übersetzen. Eigenverantwortung, Wesentlichkeit und Begründungsfähigkeit müssen in Fleisch und Blut der Organisation übergehen.

Die Vorbereitungszeit bis zum finalen Inkrafttreten Ende 2026 ist das Fenster für diesen kulturellen Wandel. Banken, die heute in ihre Begründungskompetenz investieren, sichern sich nicht nur die Compliance, sondern einen echten Wettbewerbsvorteil in einer immer komplexer werdenden Finanzwelt.

Whitepaper: MaRisk 10.0 – Der neue Standard der BaFin

Die 9. MaRisk-Novelle bringt weitreichende Änderungen für Governance, Risikomanagement und IT-Compliance. Sichere dir jetzt das kompakte Whitepaper mit allen relevanten Neuerungen und konkreten To-dos.

Whitepaper jetzt kostenlos anfordern

Quellen

🇩🇪 Nationale Entwicklungen (BaFin, VÖB, News)

BaFin (2026, 1. April):
Konsultation 02/2026 – MaRisk-Novelle
https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Meldung/2026/meldung_2026_04_01_konsultation_02_2026_marisk-novelle.html
BaFin (2026):
MaRisk-Novelle – Konsultationsfassung (Rundschreiben)
https://www.bafin.de/SharedDocs/Downloads/DE/Konsultation/2026/dl_kon_02_2026_rs_marisk-novelle_konsultationsfassung.pdf [PDF]

🇪🇺 Europäische Bankenaufsichtsbehörde (EBA)

EBA (2026):
Guidelines on environmental scenario analysis (final / DE-Version)
https://www.eba.europa.eu/sites/default/files/2026-01/170da4c8-9b56-4fb0-ad60-94d433b7e866/Guidelines%20on%20environmental%20scenario%20analysis_DE_COR.pdf [PDF]
EBA (2026):
Press Release – Consultation on revised Guidelines on internal governance
https://www.eba.europa.eu/publications-and-media/press-releases/eba-consults-revised-guidelines-internal-governance
EBA (2025):
Consultation Paper – Draft amended Guidelines on internal governance
https://www.eba.europa.eu/sites/default/files/2025-08/654f1ca6-0cad-4a2a-b85c-dd2abfae5fe6/Consultation%20Paper%20on%20draft%20amended%20Guidelines%20on%20internal%20governance.pdf [PDF]

🇪🇺 Weitere europäische Institutionen

EZB Agenda "Streamlining supervision, safeguarding resilience"

Europäische Zentralbank (EZB) / Europäische Bankenaufsicht (SSM):
- European Central Bank, ECB Banking Supervision: „Streamlining supervision, safeguarding resilience“ (Bericht, 10.12.2025), HTML- und PDF‑Fassung.bankingsupervision.europa+1 [PDF]
- ECB Banking Supervision: Themenseite „Streamlining supervision, safeguarding resilience“ mit Überblick über Reformagenda und Ansatz zur Vereinfachung.bankingsupervision.europa+1
- ECB: „Simplification of the European prudential regulatory, supervisory and reporting framework“ – Bericht der High‑Level Task Force on Simplification (HLTF), 11.12.2025.ecb.europa+1
- ECB: „What was the ECB High‑Level Task Force on Simplification?“ – Erläuternder Artikel zum Mandat und zu den Empfehlungen der HLTF.[ecb.europa]
Deutsche Bundesbank:
- Deutsche Bundesbank: „Simplifying banking regulation: task force presents its proposals“ – Kurzbeitrag zur Vorstellung der HLTF‑Vorschläge und ihrer Einbettung in den europäischen Rahmen.[bundesbank]
Europäisches Parlament:
- European Parliament Research Service (EPRS): „ECB task force on banking simplification – reviewing the recommendations“ – Analysepapier zu den Vereinfachungsvorschlägen (inkl. Rolle der HLTF und Implikationen für den EU‑Rechtsrahmen).[europarl.europa [PDF]]

Weitere Informationen

Verband Öffentlicher Banken Deutschlands. (2025, Oktober 28). MaRisk-Novelle in den Startlöchern. https://www.voeb.de/fachthemen/detail/marisk-novelle-in-den-startloechern

Ad-hoc News. (2026, Februar 4). BaFin setzt 2026 auf IT-Sicherheit und Bürokratieabbau. https://www.ad-hoc-news.de/boerse/news/ueberblick/bafin-setzt-2026-auf-it-sicherheit-und-buerokratieabbau/68552591

MaRisk 2026 Hub: DORA, ESG & Risk Management für C-Level

Setze die MaRisk-Novelle 2026 effizient um. Dieser Hub zeigt dir, wie du DORA, ESG-Risiken und Governance-Anforderungen strukturiert in dein Risikomanagement integrierst.

Programme & Lehrgänge

MaRisk 2026 – Überblick & Umsetzung ➜

Alle Änderungen der MaRisk-Novelle 2026 im Überblick: Proportionalität, ESG, Validierung und Governance.

Zum MaRisk Hub

AI Compliance Officer ➜

Setze den EU AI Act praxisnah um – mit klaren Policies, Governance-Strukturen und Tools.

Zum Seminar

DORA Compliance Expert ➜

Baue IKT-Resilienz auf und erfülle die Anforderungen des DORA Acts mit praxiserprobten Tools.

Zum Lehrgang

MaRisk für Wertpapierinstitute ➜

Setze die MaRisk-Anforderungen gezielt um und optimiere Governance, Risikosteuerung und interne Kontrollen.

Zum Seminar

MaRisk 10.0 & DORA Update ➜

Aktuelle BaFin-Anforderungen verstehen und DORA wirksam in deine Organisation integrieren.

Zum Update

ESG-Compliance Manager ➜

Integriere ESG- und CSRD-Anforderungen wirksam in deine Governance-Struktur.

Zum Lehrgang

Risikomanager (S+P Certified) ➜

Baue ein effektives Risikomanagement-System auf und steuere Risiken datenbasiert und regulatorisch sicher.

Zum Lehrgang

Compliance Excellence (C-Level) ➜

Strategische Compliance-Kompetenz für Geschäftsführung und Aufsichtsorgane.

Zu den Seminaren

Resilience Officer ➜

Stärkung der organisatorischen Widerstandskraft durch BCM, Cyber-Resilience und Krisenmanagement.

Zum Lehrgang

S+P C.O.R.E.

Strategische Exzellenz auf C-Level erfordert kontinuierliche Orientierung. Damit du nach deinem Lehrgang nicht allein gelassen wirst, haben wir S+P C.O.R.E. entwickelt.

S+P Mehrwert-Garantie: Dein Wissens-Vorsprung für 2026

Jede Buchung eines S+P Seminars beinhaltet automatisch den kostenfreien Zugang zum quartalsweisen S+P C.O.R.E. Executive Update. Warum? Weil wir wissen, dass die regulatorische Welt nicht stillsteht. Wir halten dein Wissen aktuell – garantiert.

Dein Mehrwert mit S+P C.O.R.E.

Fokusbereich	Dein konkreter Mehrwert
Compliance	Sicherheit im Handeln: Einordnung aktueller Anforderungen (z. B. DORA / NIS 2, EU AI Act, ESG, Compliance), damit du genau weißt, was für Haftung und Praxis tatsächlich relevant ist.
Optimization	Effizienz statt Bürokratie: Umsetzung regulatorischer Vorgaben mit smarten Prozessen, geeigneten Tools und effizienten Outsourcing-Strukturen.
Regulatory	Frühwarnsystem nutzen: Strukturierte Bewertung neuer Aufsichtsschwerpunkte und regulatorischer Trends, bevor sie zum akuten Handlungsdruck werden.
Exchange	Vorsprung durch Dialog: Austausch im geschützten Raum mit Fach- und Führungskräften auf Augenhöhe – mit praxiserprobten Lösungsansätzen aus dem Kreis deiner Peers.