9. MaRisk-Novelle: BaFin konsultiert grundlegende Überarbeitung des Risikomanagement-Regelwerks

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat am 1. April 2026 den Entwurf zur 9. Novelle der Mindestanforderungen an das Risikomanagement (MaRisk) zur Konsultation gestellt (Konsultation 02/2026). Es handelt sich um die umfassendste Überarbeitung seit Jahren, die einen klaren Kurswechsel in der deutschen Bankenaufsicht markiert: weg von starrer Detailregulierung, hin zu einem prinzipienbasierten, proportionalitätsorientierten Ansatz.

Paradigmenwechsel: Von der Checkbox-Compliance zur Begründungslogik

BaFin-Exekutivdirektor Nikolas Speer bringt den Kerngedanken der Novelle auf den Punkt: "Wir haben die MaRisk grundlegend überarbeitet. Das Rundschreiben ist jetzt noch stärker prinzipienbasiert gestaltet, und wir haben die Komplexität deutlich reduziert." Die MaRisk sollen damit wieder als eigenständiges Rahmenwerk für national beaufsichtigte Institute (Less Significant Institutions, LSIs) funktionieren, ohne sich in einem Geflecht dynamischer Verweise auf EBA-Leitlinien zu verlieren.

Die 9. MaRisk-Novelle steht für eine spürbare Neugewichtung des Aufsichtsansatzes: weg von Detailtiefe und formaler Pflichterfüllung, hin zu mehr Proportionalität, stärkerer Risikoorientierung und größerem Gestaltungsspielraum für Institute. Redundante Inhalte, die bereits durch gesetzliche Regelungen abgedeckt sind, entfallen; allgemeine Detailvorgaben treten zugunsten zielorientierter Grundsätze zurück. Die Kehrseite dieser Freiheit liegt in der gestärkten Eigenverantwortung: Institute müssen ihre Entscheidungen, insbesondere die Inanspruchnahme von Erleichterungen, künftig plausibel und prüfbar dokumentieren.

Neue Institutsklassifizierung: Transparente Abstufung nach Größe

Eine zentrale Neuerung ist die Einführung einer einheitlichen Institutsklassifizierung. Die BaFin unterscheidet künftig zwischen drei Größenklassen: sehr kleinen Instituten mit einer Bilanzsumme bis zu 1 Milliarde Euro, kleinen Instituten (SNCIs) mit einer Bilanzsumme bis zu 5 Milliarden Euro im Sinne von Art. 4 Abs. 1 Nr. 145 CRR sowie übrigen national beaufsichtigten Instituten (LSIs).

BaFin und Deutsche Bundesbank haben bisherige Öffnungsklauseln klargestellt und erweitert, vor allem für kleine und sehr kleine Institute. Weitere Voraussetzungen für die Nutzung der Öffnungsklauseln entfallen weitgehend. Damit werden die bereits mit der Aufsichtsmitteilung vom 26. November 2024 eingeführten Erleichterungen dauerhaft in das Regelwerk überführt. Schätzungen zufolge profitieren rund drei Viertel aller deutschen Kreditinstitute von diesen Vereinfachungen - überwiegend kleinere und weniger komplexe Häuser.

Gleichzeitig werden bedeutende Institute (Significant Institutions, SIs), die unter direkter Aufsicht der EZB stehen, aus dem Anwendungsbereich der MaRisk herausgenommen, da für sie ohnehin die EBA-Leitlinien unmittelbar gelten.

Konkrete Erleichterungen für kleine und nicht komplexe Institute

Für sehr kleine und kleine Institute (SNCIs) bringt die Novelle eine Reihe spürbarer Entlastungen:

• Stresstests: Kleine Institute können auf inverse Stresstests verzichten und müssen nur das Szenario analysieren, das regelmäßig die größten Auswirkungen hat.

• Möglichkeit zur Funktionenbündelung, etwa von Compliance- und Auslagerungsbeauftragten, sowie Nutzung von gruppen- oder verbundinterner Lösungen zur Bewertung von Dienstleistern

• Schlankere Berichterstattung und Prozessdokumentation sowie Verzicht auf separate Berichte für Sanierungsindikatoren bei sehr kleinen Instituten

• Die BaFin erkennt eine Wesentlichkeitsschwelle von 5% des ökonomischen Risikodeckungspotenzials (RDP) als angemessen an. Risiken unterhalb dieser Schwelle können pauschaliert behandelt werden.

ESG-Risiken: Integration in die Risikoinventur

Die Berücksichtigung von Umwelt-, Sozial- und Unternehmensführungsrisiken (ESG-Risiken) wird in den MaRisk verankert. Institute müssen eine Kombination unterschiedlicher Methoden verwenden - risikopositionsbezogen, sektorbezogen, portfoliobezogen, szenariobasiert sowie Portfolioabgleich - und dabei verschiedene plausible, wissenschaftlich fundierte Szenarien zugrunde legen.

Mit der 9. MaRisk-Novelle setzt die Aufsicht auch neue EBA-Leitlinien um, insbesondere die Leitlinien zur Umwelt-Szenarioanalyse (EBA/GL/2025/04). ESG-Risiken müssen über einen Zeithorizont von mindestens 10 Jahren in Stresstests und Resilienzanalysen einfließen. Für kleine und nicht komplexe Institute gilt dabei ausdrücklich das Verhältnismäßigkeitsprinzip.

Neue Anforderungen: Modelle und KI (AT 4.3.4)

Die inhaltlich bedeutendste Neuerung ist das neue MaRisk-Modul AT 4.3.4 zur Verwendung von Modellen. Erstmals erfasst die MaRisk explizit auch KI-Systeme und automatisierte Verfahren - von Kreditrisikomodellen über Risikoklassifizierungsverfahren bis hin zu Stresstestmodellen und Bewertungsmodellen. Bei Verbund- und Konzernmodellen, die zentral entwickelt und validiert werden, fordert der Entwurf eine institutsindividuelle Angemessenheitsprüfung.

Klare Trennlinie zu DORA

IKT-Risiken werden künftig explizit in die Risikoinventur einbezogen. Zudem soll eine IKT-Strategie als Bindeglied zwischen der Geschäftsstrategie und der digitalen operationalen Resilience-Strategie gemäß DORA festgelegt werden. Überschneidungen zwischen MaRisk und DORA werden dabei bereinigt. Das bisherige Modul AT 7.2 zur technisch-organisatorischen Ausstattung wird nahezu vollständig gestrichen, da IKT-Risiken und das IKT-Drittparteienmanagement nunmehr primär dem DORA-Regime unterliegen.

Nächste Schritte: Konsultation läuft bis 8. Mai 2026

Stellungnahmen zum Entwurf nehmen BaFin und Deutsche Bundesbank bis zum 8. Mai 2026 entgegen. Die Finalisierung der Novelle ist für die zweite Jahreshälfte 2026 geplant. Da es sich überwiegend um Erleichterungen handelt, wird erwartet, dass die MaRisk-Novelle mit Inkrafttreten unmittelbar und ohne Übergangsfrist wirksam wird.

💡 Hinweis für keine und nicht komplexe Institute:

Die 9. MaRisk-Novelle ist in erster Linie eine Entlastungsnovelle - gerade für kleine Banken. Die neue dreistufige Institutsklassifizierung schafft erstmals klare, transparente Kriterien dafür, welche Öffnungsklauseln ein Institut nutzen darf. Sehr kleine Institute (Bilanzsumme ≤ 1 Mrd. Euro) erhalten Zugang zu allen Erleichterungen. Kleine Institute (SNCIs, ≤ 5 Mrd. Euro) profitieren ebenfalls weitgehend. Wichtig: Die Entscheidung, Erleichterungen in Anspruch zu nehmen, liegt bei der Geschäftsleitung und muss dokumentiert und begründet werden. Empfehlenswert ist daher eine strukturierte Gap-Analyse noch während der Konsultationsphase, um zu ermitteln, welche bestehenden Prozesse angepasst oder vereinfacht werden können. Auch das neue Modul AT 4.3.4 zu Modellen und KI-Systeme sowie die ESG-Anforderungen (10-Jahres-Horizont bei Szenarioanalysen) sollten frühzeitig auf Handlungsbedarf geprüft werden - auch wenn dort proportionale Abstufungen vorgesehen sind.

Quelle / Eckdaten