Finanzaufsichtsrecht

Zum Konsultationsverfahren der 9. MaRisk-Novelle – was sich konkret ändern soll

Die Bundesanstalt für Finanzdienstleistungsaufsicht („BaFin“) hat am 1. April 2026 die 9. Novelle der Mindestanforderungen an das Risikomanagement („MaRisk“) zur Konsultation gestellt. Die MaRisk-Novelle verfolgt das erklärte Ziel, den Aufsichtsrahmen stärker prinzipienbasiert auszugestalten, Proportionalität konsequenter umzusetzen und zugleich aktuelle unionsrechtliche Anforderungen, insbesondere zu Umwelt-, Sozial- und Governance-Risiken („ESG-Risiken“) und des Digital Operational Resiliance Act („DORA“), in die MaRisk zu integrieren.

Der Beitrag bietet einen Überblick über die wesentlichen Änderungen der 9. MaRisk-Novelle (im ersten Abschnitt beschrieben) sowie eine erste Bewertung, ob und inwiefern die MaRisk-Novelle zu einer stärker prinzipienbasierten Regulierungsansatz führen würde (im Fazit aufgeführt).  

Die 9. MaRisk-Novelle – ein Überblick über die Änderungen

Die wesentlichen Änderungen der 9. MaRisk-Novelle umfassen einen angepassten Anwenderkreis (unter ‎I.), die Einführung von Größenklassen für weniger bedeutende Institute und damit verbundene punktuelle regulatorische Erleichterungen (unter ‎II.) sowie die Konkretisierung von gemäß § 26c KWG eingeführten ESG-bezogenen Anforderungen (unter ‎III.). Hinzu kommen Anpassungen im Bereich des Notfallmanagements (unter ‎IV.) und des Auslagerungsmanagements (unter ‎V.).

I. Angepasster Anwenderkreis

Die BaFin beabsichtigt, den Anwenderkreis der MaRisk anzupassen, zum einen aus Proportionalitätserwägungen, zum anderen um gesetzlichen Änderungen zur Regulierung von Capital Requirements Directive („CRD“)-Drittstaatenzweigstellen Rechnung zu tragen.

  • Keine Geltung der MaRisk für bedeutende Kreditinstitute: Die BaFin lässt Proportionalitätserwägungen insbesondere dadurch in die MaRisk-Novelle einfließen, dass sie bedeutende Institute, die unter direkter Aufsicht der Europäischen Zentralbank („EZB“) stehen, nunmehr vom Anwendungsbereich der MaRisk ausnimmt. Dies ist dogmatisch konsequent und nachvollziehbar, da es sich bei den MaRisk um normeninterpretierende Verwaltungsvorschriften handelt, die eine Selbstbindung der BaFin gegenüber den beaufsichtigten Instituten bei der Auslegung des § 25a KWG darstellen. Für die EZB entfalten die MaRisk gerade keine Bindungswirkung. Es bleibt allerdings abzuwarten, ob und inwieweit eine „freiwillige“ Anwendung zumindest einzelner MaRisk-Anforderungen (etwa im Bereich der Anforderungen an Prozesse im Handelsgeschäft (siehe BTO 2.2) durch die Institute (und den Abschlussprüfer) weiterhin erfolgt.
  • Einbeziehung von CRD-Drittstaatenzweigstellen: In Erweiterung des Anwenderkreises soll die MaRisk zukünftig auch für CRD-Drittstaatenzweigstellen im Sinne von § 53c Abs. 1 Kreditwesengesetz („KWG“) gelten, das heißt für Zweitstellen von Unternehmen mit Sitz in einem Drittstaat, die innerhalb Deutschlands Einlagen annehmen, Kredite ausgeben oder das Garantiegeschäft betreiben. Dies ist vor dem Hintergrund der neuen regulatorischen Anforderungen an CRD-Drittstaatenzweigstellen, die durch das Bankenrichtlinienumsetzungs- und Bürokratieentlastungsgesetz („BRUBEG“) in das KWG eingeführt worden sind, konsequent.

II. Einführung von Größenklassen und Erleichterungen für kleine und sehr kleine Institute

Die BaFin lässt Proportionalitätserwägungen zudem durch eine Einteilung kleiner Institute in zwei Größenklassen in die MaRisk-Novelle einfließen. Für betroffene Institute soll dies mit einer Absenkung der regulatorischen Anforderungen in spezifischen Bereichen einhergehen.

  • Klassen: Die MaRisk-Novelle unterteilt Institute, die keine bedeutenden Kreditinstitute sind, in zwei Klassen: (i) sehr kleine Institute  sowie CRD-Drittstaatenzweigstellen, die im Vierjahresdurchschnitt eine Bilanzsumme von EUR 1 Mrd. nicht überschreiten, und (ii) kleine Institute (small and non-complex institutions, „SNCIs“) gemäß Art. 4 Abs. 1 Nr. 145 der Verordnung (EU) Nr. 575/2013 (Capital Requirements Regulation, „CRR“) sowie CRD-Drittstaatenzweigstellen der Risikoklasse 2, das heißt Institute oder CRD-Drittstaatenzweigstellen insbesondere mit Vermögenswerten von gleich oder weniger als EUR 5 Mrd. während des vergangenen Vierjahreszeitraums bzw. für den unmittelbar vorangegangenen jährlichen Berichtszeitraum) (vgl. AT 1, Tz. 3).
  • Regulatorische Erleichterungen: Die Unterteilung in die dargelegten Klassen führt zu konkreten Erleichterungen, die in den betreffenden Abschnitten der MaRisk ausdrücklich geregelt werden, das heißt insbesondere:
    • Stresstests: Bei Stresstests können sehr kleine Institute auf risikoartenspezifische Stresstests verzichten, sofern im Stresstest für das Gesamtrisikoprofil alle wesentlichen Risiken negativ beeinflusst werden (vgl. AT 4.3.3, Tz. 2). Zudem können kleine Institute auf die Durchführung inverser Stresstests verzichten (vgl. AT 4.3.3, Tz. 4). Bei den für Liquiditätsrisiken regelmäßig durchzuführenden Stresstests müssen kleine Institute nur jenes Szenario analysieren, das regelmäßig die größten Auswirkungen hat (vgl. BTR 3, Tz. 6).
    • Risikocontrolling-Funktion: In kleinen Instituten mit höchstens drei Geschäftsleitern genügt es in der Regel, wenn der Bereich Markt für „nicht-risikorelevantes“ Kreditgeschäft und die Risikocontrolling-Funktion bis unmittelbar unterhalb der Geschäftsleiterebene getrennt sind, sofern keine wesentlichen Interessenkonflikte bestehen und Verantwortlichkeiten beim betreffenden Geschäftsleiter nicht gebündelt sind (vgl. AT 4.4.1, Tz. 1). Zudem dürfen kleine Institute in Abweichung vom Grundsatz der Trennung von Risikocontrolling-Funktion und Marktfolge (bis unmittelbar unterhalb der Geschäftsleiterebene) beide Funktionen unter gemeinsame Leitung stellen, sofern keine wesentlichen Interessenkonflikte bestehen (vgl. AT 4.4.1, Tz. 4).
    • Compliance-Funktion: Bei sehr kleinen Instituten kann die Funktion des Compliance-Beauftragten auch auf einen Geschäftsleiter übertragen werden, sofern Maßnahmen zur Vermeidung von Interessenkonflikten implementiert sind. (vgl. AT 4.4.2, Tz. 4).
    • Interne Revision: Bei sehr kleinen Instituten können die Aufgaben der Internen Revision von einem Geschäftsleiter übernommen werden, wenn eine eigene Revisionseinheit unverhältnismäßig ist und Maßnahmen zur Vermeidung von Interessenkonflikten implementiert sind (vgl. AT 4.4.3, Tz. 1).
    • Risikoberichterstattung: Bei der Risikoberichterstattung (BT 2.2, Tz. 1) dürfen kleine Institute bei stabilen Risiken auf unterjährige Berichte verzichten und bei unveränderter Lage auf vorherige Berichte verweisen, wobei der Turnus in Stressphasen anzupassen ist.
    • Kreditgeschäft: Bei sehr kleinen Instituten kann im Kreditgeschäft vom Grundsatz der klaren aufbauorganisatorischen Trennung von Markt und Marktfolge (bis einschließlich der Ebene der Geschäftsleitung) insofern abgewichen werden, als dass auf die Votierung der beiden Bereiche verzichtet wird, wenn die Geschäftsleitung in die Vergabe der risikorelevanten Kredite unmittelbar eingebunden wird und hierdurch eine ordnungsgemäße, den bestehenden Risiken angemessene Handhabung des Kreditgeschäfts sichergestellt bleibt; dabei müssen die Bearbeitung und die Beschlussfassung zu risikorelevanten Krediten von der Geschäftsleitung selbst durchgeführt werden (vgl. BTO 1.1, Tz. 1).

III. ESG-Integration: Szenario- und Resilienzanalysen sowie Stresstests

Die MaRisk-Novelle konkretisiert die am 1. April 2026 in Kraft getretene Vorschrift des § 26c KWG betreffend das ESG-Risikomanagement und setzt die Leitlinien der EBA zum Management von ESG-Risiken (EBA/GL/2025/01) sowie zur Umwelt-Szenarioanalyse (EBA/GL/2025/04) neu in den MaRisk um. Insofern enthält die MaRisk-Novelle erstmals eine eigene Definition für ESG-Risiken (vgl. AT 2.2, Tz. 3). Diese sind als Ereignisse oder Bedingungen aus den Bereichen Umwelt, Soziales oder Unternehmensführung zu verstehen, die als Risikotreiber bzw. Risikofaktor wirken und auf die wesentlichen Risikoarten, das heißt Adressenausfallrisiken, Marktpreisrisiken, Liquiditätsrisiken und operationelle Risiken, sowie weitere wesentliche Risikoarten ausstrahlen können. Dies entspricht im Wesentlichen der Definition gemäß Art. 4 Abs. 1 Nr. 52d CRR.

Bei der Integration von ESG-Risiken haben Institute insbesondere die folgenden Anforderungen zu beachten:

  • Risikoinventur: Um den Begriff der Wesentlichkeit, der für die Risikoinventur maßgeblich ist, genauer zu definieren, führt die MaRisk-Novelle eine Wesentlichkeitsschwelle von 5 % des Risikodeckungspotenzials ein; Informations- und Kommunikationstechnik („IKT“)-Risiken werden den operationellen Risiken zugeordnet (vgl. AT 2.2, Tz. 1).
  • Beurteilung der Auswirkungen von ESG-Risiken: Bei der Beurteilung der Auswirkungen von ESG-Risiken müssen Institute eine Kombination unterschiedlicher Methoden (insbesondere risikopositions-, sektor-, portfolio-, szenariobezogene Methoden) verwenden. Dabei sind verschiedene plausible Szenarien zugrunde zu legen, die im Einklang mit wissenschaftlichen Erkenntnissen stehen; ein Abstellen allein auf Datenhistorien ist nicht ausreichend (vgl. AT 2.2, Tz. 3).
  • Stresstests mit ESG-Bezug: Die MaRisk betonen, dass bei der Ausgestaltung von Stresstests wesentliche Umweltrisiken angemessen zu berücksichtigen sind. Zusätzlich sind über einen Zeithorizont von mindestens zehn Jahren Resilienzanalysen durchzuführen. Optional können Institute für die Berücksichtigung von Umweltrisiken in ihrem Stresstestprogramm Sensitivitätsanalysen verwenden, wobei kleine Institute insofern qualitative Ansätze nutzen können (vgl. AT 4.3.3, Tz. 7).
  • Resilienzanalysen: Bei Resilienzanalysen sollen verschiedene Szenarien gegenübergestellt werden. Dabei soll dasjenige Szenario, das nach Auffassung des Instituts den wahrscheinlichsten Verlauf der Umweltbedingungen widerspiegelt (das heißt das Referenzszenario) mindestens einem adversen Alternativszenario aus dem Spektrum plausibler Zukunftsszenarien gegenübergestellt werden. Für die Analyse der langfristigen Resilienz können sich Institute auf qualitative Ansätze stützen (vgl. AT 4.3.3, Tz. 7).

Generell haben sich die Komplexität und die Häufigkeit der Szenarioanalysen an der Wesentlichkeit von ESG-Risiken, dem aktuellen Entwicklungsstand und der Ausgereiftheit der verfügbaren Methoden und Verfahren, sowie den internen Kapazitäten des Instituts zu orientieren (vgl. AT 4.3.3, Tz. 7).

IV. Verschärfungen beim Notfallmanagement

Die BaFin verschärft mit der BaFin-Novelle zudem die Anforderungen an das Notfallmanagement:

  • Erweitertes Notfallkonzept: Für Aktivitäten und Prozesse, die kritische oder wichtige Funktionen unterstützen, ist, wie in der bisherigen MaRisk-Fassung, Vorsorge durch ein Notfallkonzept zu treffen. Dieses muss Geschäftsfortführungs- und Wiederherstellungspläne umfassen und zusätzlich auf plausiblen Szenarien und vernünftigen Annahmen beruhen (vgl. AT 7.3, Tz. 2). Neu ist nunmehr die ausdrückliche Anforderung, dass im Notfallkonzept Verantwortlichkeiten, Ziele und Maßnahmen zur Fortführung bzw. Wiederherstellung bestimmt sowie Kriterien für die Einstufung und das Auslösen der Pläne definiert werden müssen (vgl. AT 7.3, Tz. 1).
  • Einführung von Business-Impact-Analysen: Ebenfalls neu ist die ausdrückliche Pflicht zur Durchführung von Auswirkungsanalysen (Business Impact Analysen), in denen über abgestufte Zeiträume betrachtet wird, welche Folgen eine Beeinträchtigung von Aktivitäten und Prozessen für den Geschäftsbetrieb haben kann. Dabei sind Art und Umfang des materiellen oder immateriellen Schadens sowie der Zeitpunkt des Ausfalls zu berücksichtigen (vgl. AT 7.3, Tz. 1).

V. Auslagerung – Neue Organisationsstruktur und Anpassungen an DORA

Darüber hinaus bringt die Konsultationsfassung der MaRisk-Novelle in AT 9 mehrere Änderungen in Bezug auf Auslagerungsanforderungen mit sich.1.    Abgrenzung zum DORA-Anwendungsbereich

1. Abgrenzung zum DORA-Anwendungsbereich

Eine zentrale Neuerung ist die explizite Abgrenzung zum  IKT-Drittparteienrisikomanagement gemäß DORA. Ausgelagerte oder fremdbezogene IKT-Dienstleistungen im Sinne von Art. 3 Nr. 21 DORA, die dem IKT-Drittparteienrisikomanagement gemäß Art. 28 bis 30 DORA unterliegen, fallen künftig nicht mehr in den Anwendungsbereich des AT 9 (vgl. AT 9, Tz. 1). Damit wird eine klare regulatorische Trennung zwischen den allgemeinen Auslagerungsanforderungen der MaRisk und den spezifischen DORA-Vorgaben für das IKT-Drittparteienrisikomanagement geschaffen. 

2. Einführung eines Auslagerungsmanagements

Die bisherige MaRisk-Fassung verlangt die Einrichtung eines zentralen Auslagerungsbeauftragten im Institut selbst. Die MaRisk-Novelle verzichtet dagegen auf die ausdrückliche Benennung eines Auslagerungsbeauftragten und verlangt stattdessen die Einrichtung eines zentralen Auslagerungsmanagements, dessen Dimension von Art, Umfang und Komplexität der Auslagerungsaktivitäten abhängt (vgl. AT 9, Tz. 12). Zu den Aufgaben des Auslagerungsmanagements zählen gemäß AT 9, Tz. 12 insbesondere:

  • die Implementierung und Weiterentwicklung eines angemessenen Auslagerungsmanagements und entsprechender Kontroll- und Überwachungsprozesse,
  • die Erstellung und Pflege einer vollständigen Dokumentation der Auslagerungen (einschließlich Weiterverlagerungen),
  • die Unterstützung bezüglich der institutsinternen und gesetzlichen Anforderungen bei Auslagerungen und
  • die Koordination und Überprüfung der durch die zuständigen Bereiche durchgeführten Risikoanalyse.

Ebenso entfällt nach der Konsultationsfassung die bisherige Anforderung zur Führung eines Auslagerungsregisters mit den inhaltlichen Mindestanforderungen nach den EBA-Leitlinien EBA/GL/2019/02. Ein Auslagerungsregister ist jedoch weiterhin nach § 25b Abs. 1 S. 4 KWG erforderlich. Außerdem hält das Konsultationspapier zu den EBA-Leitlinien zum Third-Party Risk Management (EBA Draft Guidelines on the sound management of third-party risk) an der Pflicht zur Führung eines Auslagerungsregisters fest. Zwar wird eine mögliche Zusammenlegung mit dem IKT-Drittdienstleistungsregister nach DORA in Betracht gezogen, konkrete Hinweise zur technischen Umsetzung einer solchen enthält die 9. MaRisk-Novelle jedoch nicht. Vor diesem Hintergrund bleibt abzuwarten, ob ein eigenständiges Auslagerungsregister im Sinne der EBA-Leitlinien auch künftig erforderlich bleiben wird.

Fazit und Ausblick

Die BaFin kündigte bei ihrem Digitalen Aufsichtsbriefing am 5. Februar 2026 einen Paradigmenwechsel für die 9. MaRisk-Novelle an. Die novellierte MaRisk soll deutlich schlanker ausfallen und mit dem Ziel der Prinzipienorientierung weniger Detaildichte aufweisen. In der 9. MaRisk-Novelle wird eine gesteigerte Prinzipienorientierung vor allem am Aspekt der Proportionalität sichtbar, insbesondere durch die Einteilung von Größenklassen mit damit einhergehenden spezifischen regulatorischen Erleichterungen. Zudem sollen viele Anforderungen gekürzt, zusammengefasst und auch materiell vereinfacht werden, vor allem für sehr kleine Institute. Allerdings soll durch die Umsetzung neuer EBA-Leitlinien und Konkretisierung von neuer KWG-Anforderungen die Detailtiefe stellenweise erhöht werden.

Das Konsultationsverfahren der BaFin zur 9. MaRisk-Novelle läuft bis zum 8. Mai 2026. Unklar ist, bis wann mit einer aktualisierten Fassung der MaRisk zu rechnen ist. Da die BaFin auch die EBA-Leitlinien zur internen Governance umsetzt, die derzeit nur als Entwurf vorliegen, dürfte davon auszugehen sein, dass die MaRisk erst nach Veröffentlichung der endgültigen EBA-Leitlinien finalisiert wird.

Weiterleiten
Kompetenz
Finanzaufsichtsrecht Financial Institutions
Experten
Dr. Christian Hissnauer Aike I. Würdemann Tobias Kempf Daniel W. Adolph
Keep in Touch

Keep in Touch
Gleiss Lutz informiert

Gerne nehmen wir Sie auf unseren Verteiler auf und informieren Sie über aktuelle Rechtsentwicklungen und Veranstaltungen.

Jetzt anmelden