Bafin veröffentlicht 9. Novelle der MaRisk

1. Juli 2026

Am 30.06.2026 erreichte alle Kredit- und Finanzdienstleistungsinstitute in Deutschland ein wichtiges Rundschreiben: Die Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) veröffentlichte nach der Konsultationsphase nun die 9. Novelle ihrer Mindestanforderungen an das Risikomanagement der Banken (MaRisk). Damit setzt sie ein deutliches Signal: Die Anforderungen an Institute sollen stärker am individuellen Risikoprofil ausgerichtet werden. Gleichzeitig verschärft die Bafin ihre Erwartungen an Steuerung, Transparenz und Verantwortung.

Dies klingt auf regulatorischer Ebene nach einem Ausgleich zwischen Entlastung und Verschärfung. Allerdings führt dies in der Praxis zu einer zentralen Herausforderung: Institute müssen ihre bestehenden Strukturen nicht nur anpassen, sondern in sich konsistent weiterentwickeln. Die Karenzzeit bis zur Umsetzung läuft bis zum 01.01.2027. Wir haben die wichtigsten Änderungen für Sie herausgearbeitet:

Proportionalität wird zum leitenden Prinzip

Die Bafin verankert das Proportionalitätsprinzip deutlich stärker in der 9. Novelle der MaRisk. Sie unterscheidet konsequent zwischen sehr kleinen Instituten (bis 1 Mrd. Euro Bilanzsumme), kleinen Instituten (SNCIs) und weniger bedeutenden Instituten (LSIs). Bedeutende Institute fallen nun nicht mehr in den Anwendungsbereich der MaRisk.

Diese Differenzierung wirkt sich unmittelbar auf die Ausgestaltung regulatorischer Anforderungen aus. In vielen Bereichen werden Pflichten reduziert oder können – abhängig von Größe und Risikoprofil – vollständig entfallen. Das betrifft unter anderem die Ausgestaltung von Stresstests oder organisatorische Anforderungen im Risikomanagement.

Gleichzeitig wird deutlich, dass es sich nicht um punktuelle Erleichterungen handelt. Vielmehr zieht sich die Logik der Proportionalität durch weite Teile der novellierten MaRisk. Institute sind damit stärker gefordert, ihre eigene Einordnung vorzunehmen und regulatorische Anforderungen entsprechend anzuwenden und zu begründen. Aufsichtliche Prüfungen werden dadurch voraussichtlich weniger vergleichbar, richten sich jedoch spezifischer auf die einzelnen Institute aus.

Klare Annäherung an DORA

Parallel dazu wird die MaRisk strukturell näher an die Anforderungen des Digital Operational Resilience Act (DORA) herangeführt. Begriffe und Systematik werden harmonisiert, wodurch bestehende Doppelstrukturen perspektivisch reduziert werden.

Ein sichtbares Ergebnis dieser Annäherung ist die Möglichkeit, strategische Dokumente stärker zu bündeln. So können beispielsweise Geschäfts-, Risiko- sowie IKT- und DOR-Strategie künftig in einem integrierten Dokument zusammengeführt werden. Für Institute eröffnet das Gestaltungsspielräume, setzt jedoch voraus, dass Abhängigkeiten zwischen den Bereichen sauber gesteuert werden.

Auch inhaltlich verschiebt sich die Abgrenzung. Bestimmte Auslagerungssachverhalte, die unter DORA fallen, sind künftig nicht mehr Teil des Anwendungsbereichs der MaRisk-Regelungen zu Auslagerungen. Damit entsteht weniger regulatorische Doppelarbeit. Gleichzeitig steigt der Bedarf, beide Regelwerke sauber aufeinander abzustimmen.

Veränderungen bei Auslagerungen

Die Bafin öffnet den Rahmen für Auslagerungen vorsichtig, ohne die Verantwortung der Institute zu relativieren. Insbesondere die Rolle der Internen Revision wird flexibler ausgestaltet. Institute erhalten die Möglichkeit, Prüfungen ausgelagerter Funktionen unter bestimmten Voraussetzungen auch durch Dritte durchführen zu lassen. Zugleich werden einzelne Anforderungen im Kontext von Weiterverlagerungen weniger strikt formuliert als bisher.

Dennoch bleibt der Rahmen anspruchsvoll. Die Verantwortung für die ordnungsgemäße Steuerung ausgelagerter Aktivitäten verbleibt klar beim Institut.

Governance und Berichtswesen rücken in den Fokus

Während in anderen Bereichen Erleichterungen geschaffen werden, verschärft die Bafin mit der 9. Novelle der MaRisk ihre Erwartungen an Governance-Strukturen deutlich. Insbesondere die Rolle der Geschäftsleitung und des Aufsichtsorgans wird stärker konkretisiert. Künftig sind regelmäßige, mindestens vierteljährliche Berichte an das Aufsichtsorgan vorgesehen. Diese sollen sich klar auf die aktuelle Risikosituation sowie auf geplante und laufende Maßnahmen konzentrieren. Gleichzeitig werden Eskalationswege präziser definiert, wodurch Entscheidungs- und Verantwortungsstrukturen transparenter werden.

Auch die Anforderungen an Kontrollfunktionen verändern sich. So reduziert sich der inhaltliche Umfang der Berichterstattung der Compliance-Funktion künftig auf identifizierte Defizite und entsprechende Gegenmaßnahmen. Parallel dazu wird die Interne Revision gestärkt, etwa durch klarere Vorgaben zur Prüfungsplanung, zur Vollständigkeit der Prüfungen innerhalb eines definierten Zeitraums sowie zur regelmäßigen Berichterstattung an die Geschäftsleitung.

Insgesamt entsteht ein stärker strukturiertes und überprüfbares Governance-Modell, das weniger auf formale Vollständigkeit und stärker auf Steuerungswirkung ausgerichtet ist.

Erweiterter Blick auf Risiken und Resilienz

Neben organisatorischen und strukturellen Anpassungen schärft die Bafin auch die inhaltliche Perspektive auf Risiken und nähert sich damit den EBA-Leitlinien an. Hervorzuheben ist die explizite Verankerung von ESG-Risiken als Treiber klassischer Risikoarten innerhalb der Risikoinventur. Damit werden diese Aspekte systematisch in bestehende Risikobetrachtungen integriert, anstatt isoliert behandelt zu werden. Der Fokus bleibt pragmatisch bedingt vorerst auf Umweltrisiken.

Darüber hinaus entwickelt die Bafin bestehende Instrumente im Risikomanagement weiter. Insbesondere die Anforderungen an Stresstests werden präzisiert. Inverse Stresstests werden klarer definiert und stärker auf existenzbedrohende Szenarien ausgerichtet.

Neu hinzu kommt eine langfristige Perspektive auf Resilienz. Institute sollen künftig analysieren, wie sich unterschiedliche plausible Zukunftsszenarien über einen langen Zeithorizont auf ihre Stabilität auswirken können. Damit rückt die Fähigkeit in den Fokus, nicht nur kurzfristige Risiken zu steuern, sondern auch langfristige Entwicklungen frühzeitig zu berücksichtigen.

Das aktuelle Rundschreiben der MaRisk finden Sie hier:
Startseite - Rundschreiben 06/2026 (BA) - Bafin


Sie benötigen Unterstützung bei einem Harmonisierungsprojekt oder bei der Implementierung einzelner Anforderungen der MaRisk? Kontaktieren Sie uns, wir helfen Ihnen gerne.

Auch interessant:

Kategorien

Kategorien