Die neunte Novelle der Mindestanforderungen an das Risikomanagement (MaRisk) steht in den Startlöchern. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) und die Deutsche Bundesbank haben bereits am 11. September 2025 ihre Vorschläge vorgestellt. Mit der für 2026 geplanten Überarbeitung verfolgt die Aufsicht zwei zentrale Ziele: Reduzierung der Komplexität und Stärkung der Proportionalität. Für Kreditinstitute bedeutet dies weitreichende Änderungen – und für viele auch spürbare Erleichterungen.
Zeitplan und Konsultation der MaRisk-Novelle
Laut den Planungen der BaFin soll die Konsultation zur neunten MaRisk-Novelle im ersten Quartal 2026, voraussichtlich Ende März, starten. Die Finalisierung ist für das dritte oder vierte Quartal 2026 vorgesehen. Die Novelle wird drei wesentliche Komponenten umfassen: die Vorschläge aus dem MaRisk-Review, die Umsetzung der Aufsichtsmitteilung vom 26. November 2024 sowie die Umsetzung der CRD VI-Vorgaben und relevanter EBA-Leitlinien (European Banking Authority).
Eine Umsetzung der Vorschläge vor der offiziellen Novelle, etwa durch eine weitere Aufsichtsmitteilung, ist laut BaFin nicht geplant. Die im Herbst 2024 veröffentlichte Aufsichtsmitteilung zu Erleichterungen für kleine Institute gilt bereits seit dem 26. November 2024.
Neue Institutsklassifizierung: Drei Größenklassen
Eine zentrale Neuerung ist die Einführung einer einheitlichen Institutsklassifizierung. Die BaFin unterscheidet künftig zwischen drei Größenklassen:
- Sehr kleine Institute: Bilanzsumme bis 1 Milliarde Euro
- Kleine Institute (SNCIs): Bilanzsumme bis 5 Milliarden Euro, orientiert an Art. 4 Abs. 1 Nr. 145 der Eigenkapitalverordnung (CRR)
- Übrige national beaufsichtigte Institute (LSIs): Alle anderen weniger bedeutenden Institute
Diese Definition stellt einen Paradigmenwechsel dar. Bisher orientierte sich die Aufsicht bei der Einstufung „kleiner Institute“ an deutlich geringeren Bilanzsummen. Die neue Schwelle von 5 Milliarden Euro für kleine Institute liegt erheblich über der bisherigen inoffiziellen Grenze von 500 Millionen Euro. Nach Schätzungen der BaFin profitieren damit rund 950 Institute – etwa drei Viertel aller deutschen Kreditinstitute – von den Erleichterungen.
Ziel 1: Reduzierung der Komplexität
Die Aufsicht will die MaRisk deutlich verschlanken. Dies soll durch verschiedene Maßnahmen erreicht werden:
Streichung von Doppelungen und Allgemeinplätzen: Redundante Passagen, die durch die Übernahme verschiedener EBA-Leitlinien entstanden sind, werden eliminiert. Auch Anforderungen, die bereits im Kreditwesengesetz (KWG) geregelt sind, sollen nicht mehr in den MaRisk wiederholt werden.
Prinzipienorientierung statt Detailvorgaben: Zahlreiche Anforderungen werden weniger granular und stärker prinzipienorientiert formuliert. Dies vergrößert die Ermessensspielräume der Institute bei der Umsetzung.
Reduzierung von EBA-Verweisen: Die Anzahl der Verweise auf europäische Leitlinien soll deutlich reduziert werden. Künftig gilt: Weniger bedeutende Institute (LSIs) müssen die EBA-Leitlinien nicht zusätzlich beachten, sofern in den MaRisk nicht explizit darauf verwiesen wird. Die MaRisk bleiben alleiniger Maßstab für die Prüfungspraxis bei LSIs.
Zusammenfassung von Anforderungen: Derzeit zersplitterte Vorgaben – etwa zu den besonderen Funktionen, zur Bewertung von Sicherheiten oder zur Information des Aufsichtsorgans – werden zusammengeführt.
Herausnahme bedeutender Institute aus dem Anwendungsbereich
Ein weiterer Vereinfachungsschritt betrifft die bedeutenden Institute (SIs). Die BaFin plant, diese aus dem Anwendungsbereich der MaRisk herauszunehmen. Hintergrund: Die Europäische Zentralbank (EZB) wendet die EBA-Leitlinien bei SIs direkt an und vergleicht diese nur untereinander, nicht mit LSIs. Mit der Herausnahme würden auch spezifische SI-Regelungen entfallen, etwa zur Risikodatenaggregation (AT 4.3.4), zu Liquiditätsanforderungen an kapitalmarktorientierte Institute (BTR 3.2) oder zur Ereignisdatenbank bei operationellen Risiken.
Ziel 2: Stärkung der Proportionalität
Das zweite Hauptziel der Novelle ist die Stärkung der Proportionalität. Die bereits mit der Aufsichtsmitteilung vom 26. November 2024 eingeführten Erleichterungen sollen in die MaRisk übernommen werden.
Konkrete Erleichterungen für kleine Institute
Stresstests: Kleine Institute können auf inverse Stresstests verzichten und müssen nur einen statt drei Liquiditätsstresstests pro Jahr durchführen. Zudem ist eine quartalsweise rollierende Aktualisierung einzelner Stresstests möglich. Sehr kleine Institute müssen nur einen risikoartenübergreifenden Stresstest und je einen Stresstest pro wesentliche Risikoart rechnen. Auf Stresstests für operationelle Risiken kann verzichtet werden, wenn adverse Szenarien bereits im Notfallmanagement berücksichtigt sind.
Validierung: Für kleine Institute soll der Turnus für die institutsindividuelle Validierung auf zwei oder drei Jahre verlängert werden. Institute können zudem auf Validierungsberichte ihrer zentralen Dienstleister zurückgreifen, sofern sie eigenständig prüfen, dass der verwendete Datenpool mit ihren Portfolien vergleichbar ist.
Berichtswesen: Der Gesamtrisikobericht muss nicht mehr vierteljährlich aktualisiert werden, wenn sich keine relevanten Änderungen ergeben haben. Bei stabilen Risikoarten genügt unterjährig ein Hinweis auf die strategische Festlegung eines niedrigen Risikoappetits.
Besondere Funktionen: Die Vereinbarkeiten im Beauftragtenwesen werden klarer geregelt. Compliance-Beauftragte können andere compliance-nahe Aufgaben übernehmen, solange die Trennung von operativen Tätigkeiten gewahrt bleibt. Die Aufgaben des Auslagerungsbeauftragten dürfen auch in Fachbereichen wahrgenommen werden.
Kreditgeschäft: Im nicht-risikorelevanten Kreditgeschäft sind Erleichterungen möglich, sofern eine angemessene Risikobeurteilung erfolgt. Die Verfahren zur Wertermittlung von Sicherheiten müssen für SNCIs nur noch alle zwei Jahre (statt jährlich) überprüft werden.
Risikoinventur und Wesentlichkeitsschwelle
Institute können sich in ihrer Risikotragfähigkeitsbetrachtung auf wesentliche Risiken konzentrieren. Als Schwellenwert für die Wesentlichkeit von Risiken gilt 5 Prozent des ökonomischen Risikodeckungspotenzials. Dieser Wert kann auch für die Würdigung der aufsummierten unwesentlichen Risiken genutzt werden.
Ausgewählte inhaltliche Änderungen
IKT-Risiken und DORA
Informations- und Kommunikationstechnologierisiken (IKT-Risiken) werden künftig explizit in die Risikoinventur einbezogen. Zudem soll eine IKT-Strategie als Bindeglied zwischen Geschäftsstrategie und der digitalen operationalen Resilienz-Strategie (DOR-Strategie) gemäß der Verordnung (EU) 2022/2554 (DORA) festgelegt werden. Überschneidungen zwischen MaRisk und DORA werden bereinigt – etwa im Modul AT 7.2 zur technisch-organisatorischen Ausstattung, das nahezu vollständig gestrichen werden soll.
ESG-Risiken
Die Berücksichtigung von Umwelt-, Sozial- und Unternehmensführungsrisiken (ESG-Risiken) wird auch in den MaRisk verankert. Im Rahmen des Bankenrichtlinienumsetzungs- und Bürokratieentlastungsgesetzes (BRUBEG) werden die §§ 26c und 26d KWG eingeführt, die detaillierte Vorgaben zum ESG-Risikomanagement und zu ESG-Risikoplänen enthalten. Für kleine und nicht komplexe Institute gelten Erleichterungen: Sie müssen bis zum 31. Dezember 2029 nur Umweltrisiken, insbesondere Klimarisiken, berücksichtigen und dürfen sich unter bestimmten Bedingungen auf qualitative Ziele beschränken.
Compliance-Funktion
Die BaFin stellt klar, dass für die Compliance-Funktion ein risikobasiertes Vorgehen zulässig ist. Institute können sich bei der Bestimmung der Risikoorientierung weiterhin an AT 4.4.2 Tz. 2 MaRisk orientieren – also auf Regelungen und Vorgaben abstellen, die zu Vermögensschäden führen. Hierzu zählen auch materielle operationelle Risiken.
Kreditgeschäft und Sicherheiten
Die sehr detaillierten Vorgaben zu Kreditentscheidungen und Kreditgenehmigungsprozessen sollen auf wesentliche Prozessschritte beschränkt werden. Redundante Passagen, etwa zur Dokumentation oder zur Governance von Verfahren, werden gestrichen, da übergeordnete Anforderungen im Allgemeinen Teil bereits existieren. Die Anforderungen an die Bewertung und Überprüfung von Sicherheiten werden allgemeiner formuliert und möglicherweise in einem eigenen Modul zusammengefasst.
Zins- und Kreditspreadrisiken
Die bereits mit der achten MaRisk-Novelle vom 29. Mai 2024 eingeführten Anforderungen zu Zinsänderungsrisiken (IRRBB) und Kreditspreadrisiken im Anlagebuch (CSRBB) bleiben bestehen. Kleinere technische Anpassungen sind geplant, etwa bei den Annahmen für die Bestimmung von Positionen mit Kreditspreadrisiken (BTR 5 Tz. 2).
Governance und interne Kontrolle
Mit der Umsetzung der CRD VI ergeben sich auch Neuerungen im Bereich Governance. Die §§ 25c und 25d KWG werden um Anforderungen an Inhaber von Schlüsselfunktionen und besondere Schlüsselfunktionen erweitert. Große Unternehmen müssen die Absicht der Bestellung von Geschäftsleitern oder Vorsitzenden des Aufsichtsorgans künftig spätestens 30 Arbeitstage vor Übernahme der Tätigkeit anzeigen. Die Leiter der internen Kontrollfunktionen erhalten gestärkte Rechte: Sie müssen mit ausreichender Autorität ausgestattet sein, dürfen direkt an das Verwaltungs- oder Aufsichtsorgan berichten und können nur mit dessen Zustimmung von ihrer Funktion entbunden werden.
Was bedeutet die Novelle für Ihr Institut?
Die MaRisk-Novelle 2026 bringt sowohl Erleichterungen als auch neue Anforderungen mit sich. Während kleine und sehr kleine Institute von deutlich reduzierten Dokumentations- und Berichtspflichten profitieren, müssen alle Institute die neuen Vorgaben zu ESG-Risiken, IKT-Strategien und Governance umsetzen.
Für eine erfolgreiche Umsetzung empfiehlt sich eine frühzeitige Gap-Analyse: Welche bestehenden Erleichterungen werden bereits genutzt? Welche neuen Spielräume können in Anspruch genommen werden? Und welche zusätzlichen Anforderungen müssen erfüllt werden?
Die Konsultationsphase im ersten Quartal 2026 bietet Instituten die Möglichkeit, noch Einfluss auf die finale Fassung zu nehmen. Bis zur Finalisierung im dritten oder vierten Quartal 2026 sollten Institute ihre Prozesse, Strategien und Berichtssysteme entsprechend vorbereiten.
Beratung und Unterstützung
Als Wirtschaftsprüfungsgesellschaft halten wir uns kontinuierlich über die aktuellen Entwicklungen im Aufsichtsrecht auf dem Laufenden. Wir unterstützen Sie bei der Analyse der Auswirkungen der MaRisk-Novelle 2026 auf Ihr Institut, bei der Identifikation von Erleichterungspotenzialen und bei der Umsetzung neuer Anforderungen. Sprechen Sie uns gerne an.
Quellen:
- BaFin, Aufsichtsmitteilung vom 26. November 2024: Kleine und sehr kleine Kreditinstitute
- VÖB-internes Protokoll, Sitzung des Fachgremiums MaRisk vom 11. September 2025
- Bundesverband Öffentlicher Banken Deutschlands, Mitteilung vom 12. September 2025
- BaFin, Rundschreiben 06/2024 (BA) – MaRisk vom 29. Mai 2024
- Entwurf des Bankenrichtlinienumsetzungs- und Bürokratieentlastungsgesetzes (BRUBEG)
