Weniger Text ist mehr Eigenverantwortung. Die BaFin hat am 1. April 2026 die Konsultation der 9. MaRisk-Novelle (02/2026) gestartet und verschiebt das regulatorische Gefüge in drei Kernbereichen.
Während Anforderungen an interne Governance und Eskalationswege deutlich formaler ausgestaltet werden, erfährt das ESG-Risikomanagement eine methodische Vertiefung und folgt in der Umsetzung dem in Kraft getretenen BRUBEG in erwartbarer Weise. Zudem schärft die Aufsicht das Profil der Kontrollfunktionen durch die nun explizit ausformulierten Anforderungen an deren Unabhängigkeit und Expertise.
Über diese Kernbereiche hinaus integriert die Novelle aktuelle EBA-Leitlinien zum Zinsrisiko und grenzt die MaRisk konsequent vom Digital Operational Resilience Act (DORA) ab.
Institute können nun im Rahmen der Konsultationsphase die Gelegenheit, bis zum 8. Mai 2026 Stellung zu den Entwürfen beziehen und die Praxistauglichkeit der neuen Regeln zu hinterfragen. Die angestrebten Änderungen im Überblick:
Interne Governance: Berichte!
Die Interne Governance wird künftig im Allgemeinen statt im Besonderen Teil der MaRisk verankert. Die Geschäftsleitung soll verpflichtet sein, das Aufsichtsorgan (den Verwaltungsrat) mindestens vierteljährlich schriftlich über die Geschäfts- und Risikolage zu informieren. Die Berichte müssen weiterhin ausdrücklich eine Beurteilung enthalten sowie auf besondere Risiken und geplante Maßnahmen eingehen. Diese Information darf sich nicht in einer bloßen Darstellung erschöpfen. Sie muss ausdrücklich eine Beurteilung enthalten und zudem auf besondere Risiken sowie geplante Maßnahmen eingehen. Hinzu kommt die Pflicht, wichtige Risikoinformationen unverzüglich weiterzuleiten; hierfür ist ein Verfahren mit dem Aufsichtsorgan festzulegen (AT 3.2.). Hier wird deutlich, dass die Aufsicht auch an die Mitglieder der Verwaltungsräte das deutliche Zeichen senden möchte, dass künftig neben der formellen Eignung (Sachkunde) auch eine deutlich „aktivere“ Kontrolle der Geschäftsleitung gewünscht ist.
Die Novelle stärkt zudem die Unabhängigkeit und die Rechte der Internen Revision. Diese systematische Aufwertung verpflichtet die Geschäftsleitung dazu, die Revisionsleitung aktiv über alle wesentlichen Entscheidungen zu informieren, während zugleich deren uneingeschränktes Informationsrecht betont wird (AT 4.4.3.). Zugleich wird die Eskalationsfunktion der Internen Revision gestärkt. Kommt die Geschäftsleitung ihrer Berichtspflicht nicht nach oder beschließt sie keine sachgerechten Maßnahmen, muss die Interne Revision den Vorsitzenden des Aufsichtsorgans unterrichten.
Obwohl viele Institute die Berichterstattung bereits als Best Practice praktizieren, rückt nun eine prozess- und risikoorientierte Berichtskultur sowie deren lückenlose Dokumentation in den Fokus.
ESG nach BRUBEG: Analysiere!
Die 9. Novelle setzt die ESG-Vorgaben des BRUBEG (§§ 26c und 26d KWG) konsequent um und verschärft die Anforderungen an das Risikomanagement. Bereits AT 1 macht deutlich, dass die MaRisk nunmehr ausdrücklich auch die Anforderungen des § 26c KWG präzisieren sollen. Inhaltlich zeigt sich das vor allem in AT 2.2 und AT 4.3.3.
Anstelle einer allgemeinen Berücksichtigung schreibt der Entwurf nun spezifische Verfahren zur Beurteilung der ESG-Risikoauswirkungen vor. Institute müssen künftig diverse Ansätze für Risikopositionen, Sektoren und Portfolios sowie Szenarien für den Portfolioabgleich anwenden (AT 2.2.). Da historische Daten allein ausdrücklich nicht mehr genügen, sind stattdessen wissenschaftlich fundierte, vorausschauende Szenarien einzusetzen.
Die Beurteilung der Auswirkungen von ESG-Faktoren muss nun über einen Zeithorizont von mindestens zehn Jahren erfolgen.
Zusätzlich führt die BaFin das Instrument der „Resilienzanalysen“ ein (AT 4.3.3. Tz. 7). Dabei müssen Institute über zehn Jahre hinweg ein wahrscheinliches Referenzszenario mindestens einem ungünstigen Alternativszenario gegenüberstellen. Komplexität und Frequenz dieser Analysen richten sich nach der Wesentlichkeit der ESG-Risiken sowie den hausinternen Kapazitäten, was kleinere Institute entlastet.
Für die Praxis bedeutet dies, dass das ESG-Risikomanagement endgültig die Ebene der bloßen Strategieerklärungen verlässt und zu einem harten, datengetriebenen Bestandteil der Risikobewertung wird. Institute müssen belastbare Datenmodelle entwickeln, um die Auswirkungen von Nachhaltigkeitsrisiken auf ihr Portfolio über eine Dekade hinweg zu simulieren.
Der Maschinenraum: Schlüsselfunktionen
Während durch BRUBEG die gesetzliche Basis für die Eignungsprüfung von Schlüsselfunktionsträgern geschaffen wurde, präzisiert die Novelle nun die Dokumentationspflichten.
Institute müssen künftig personenspezifische Übersichten führen, welche die konkreten Aufgaben und individuellen Verantwortlichkeiten der Funktionsträger klar ausweisen (Mapping of Duties).
Institute müssen ihre Organisationsrichtlinien nun an die Anforderungen zur individuellen Zurechenbarkeit anpassen (AT 5). Für Institute dürfte es daher nicht genügen, bestehende Organigramme sprachlich zu aktualisieren. Erforderlich ist vielmehr ein konsistenter Abgleich zwischen Geschäftsverteilungsplänen, Funktionsbeschreibungen, Schlüsselfunktionszuordnungen, Ausschussstrukturen und tatsächlichen Berichtslinien.
Die Konsultationsphase bietet dabei den passenden Zeitrahmen, um interne Prozesse auf die neue Prüfungslogik der BaFin vorzubereiten.
MaRisk nach DORA
Durch die Harmonisierung mit der unmittelbar geltenden DORA Verordnung werden zahlreiche Anforderungen an die technisch-organisatorische Ausstattung der MaRisk gestrichen oder modifiziert, sofern diese bereits durch das IKT-Risikomanagement nach der DORA abgedeckt sind.
Diese Abgrenzung setzt sich im Auslagerungsmanagement fort. Während für IKT-Dienstleistungen künftig exklusiv die DORA-Vorgaben zum Drittparteienrisikomanagement maßgeblich sind (Art. 28-30 DORA), bleibt die MaRisk für alle Nicht-IKT-Bereiche entscheidend. Das entlastet Institute zwar von widersprüchlichen Dokumentationspflichten, erfordert jedoch eine exakte Klassifizierung aller Drittbezüge unter DORA oder MaRisk.
Änderungen im Zins- und Spreadrisikomanagement
Für Zinsänderungsrisiken im Anlagebuch (BTR 2.3.) hält die BaFin an der Betrachtung beider Perspektiven fest, also der Auswirkungen auf das handelsrechtliche Ergebnis einerseits und auf Markt- bzw. Barwerte andererseits. Neu ist vor allem, dass die Konsultationsfassung die separate Bewertung nun verbindlicher fasst und die Modellierungsanforderungen für Positionen mit unbestimmter Kapital- oder Zinsbindung deutlich stärker ausdifferenziert.
Besonders praxisrelevant ist die Vorgabe, dass bei Einlagen von Nicht-Finanzkunden sowie bei operationellen Einlagen von Finanzkunden die angenommene gewichtete durchschnittliche Zinsbindung fünf Jahre nicht überschreiten darf. Hinzu kommen weitere Konkretisierungen, etwa zur Unterscheidung zwischen Kern- und sonstigen Einlagen sowie zur Begrenzung von Stützstellen im Modell der gleitenden Durchschnitte auf zehn Jahre.
Dass die BaFin das Kreditspreadrisiko im Anlagebuch (CSRBB) ein eigenes Modul (BTR 5) ausgegliedert hat und hierfür ebenfalls eine separate Bewertung aus periodischer und barwertiger Sicht vorschreibt, unterstreicht die gewachsene Bedeutung der Zinsänderungs- und Kreditspreadrisiken für die Aufsicht.
Bedeutende Institute außerhalb des Anwendungsbereichs
Nicht übersehen werden sollte schließlich AT 2.1. Dort stellt die Konsultationsfassung nun ausdrücklich klar, dass sich die MaRisk an Institute gemäß § 1 Abs. 1b KWG bzw. § 53 Abs. 1 KWG richten, soweit diese nicht als bedeutende Institute im Sinne der SSM-Verordnung eingestuft sind und damit der direkten Aufsicht der EZB unterliegen.
Das bedeutet nicht, dass die im Entwurf behandelten Themen für bedeutende Institute aufsichtlich irrelevant wären. Für die Frage des unmittelbaren Anwendungsbereichs ist die Klarstellung aber gleichwohl von Gewicht.
Fazit
Die Aufwertung der internen Governance und die klare Zurechenbarkeit von Verantwortlichkeiten nehmen Geschäftsleitung und Aufsichtsorgan deutlich stärker in die Pflicht.
Durch die Integration des BRUBEG und strengere Anforderungen an die Unabhängigkeit der Kontrollfunktionen wird das Risikomanagement insgesamt resilienter, aber auch wesentlich aufwendiger aufgestellt.
Institute sind jetzt gefordert, ihre Verantwortungs- und Berichtsstrukturen zeitnah zu validieren. Die kommenden Wochen der Konsultation bieten die Chance, den Rahmen für die praktische Anwendung aktiv mitzugestalten.
