18. Februar 2026 | Aktualisiert nach Konsultationsstart vom 1. April 2026
| Die neunte Novelle der Mindestanforderungen an das Risikomanagement (MaRisk) ist gestartet. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat den Konsultationsentwurf am 1. April 2026 veröffentlicht (Konsultation 02/2026). Mit der Überarbeitung verfolgt die Aufsicht zwei zentrale Ziele: Reduzierung der Komplexität und Stärkung der Proportionalität. Für Kreditinstitute bedeutet dies weitreichende Änderungen – und für viele auch spürbare Erleichterungen.
Zeitplan und Konsultation der MaRisk-Novelle
Die Konsultation zur neunten MaRisk-Novelle wurde am 1. April 2026 durch BaFin und Deutsche Bundesbank gestartet. Stellungnahmen sind bis zum 8. Mai 2026 möglich – per E-Mail an konsultation-02-26@bafin.de und marisk@bundesbank.de (Betreff: „Konsultation 02/2026″). Die Finalisierung ist für das dritte oder vierte Quartal 2026 vorgesehen.
Die Novelle umfasst drei wesentliche Komponenten: die Vorschläge aus dem MaRisk-Review, die Umsetzung der Aufsichtsmitteilung vom 26. November 2024 sowie die Umsetzung der CRD VI-Vorgaben und relevanter EBA-Leitlinien (European Banking Authority).
Eine Umsetzung der Vorschläge vor der offiziellen Novelle, etwa durch eine weitere Aufsichtsmitteilung, ist laut BaFin nicht geplant. Die im Herbst 2024 veröffentlichte Aufsichtsmitteilung zu Erleichterungen für kleine Institute gilt bereits seit dem 26. November 2024.
Neue Institutsklassifizierung: Drei Größenklassen
Eine zentrale Neuerung ist die Einführung einer einheitlichen Institutsklassifizierung. Die BaFin unterscheidet künftig zwischen drei Größenklassen:
- Sehr kleine Institute: Bilanzsumme bis 1 Milliarde Euro
- Kleine Institute (SNCIs): Bilanzsumme bis 5 Milliarden Euro, orientiert an Art. 4 Abs. 1 Nr. 145 der Eigenkapitalverordnung (CRR)
- Übrige national beaufsichtigte Institute (LSIs): Alle anderen weniger bedeutenden Institute
Diese Definition stellt einen Paradigmenwechsel dar. Nach Schätzungen der BaFin profitieren damit rund 950 Institute – etwa drei Viertel aller deutschen Kreditinstitute – von den Erleichterungen.
Factoringinstitute gelten zusätzlich nur dann als sehr klein, wenn das jährliche Forderungsankaufsvolumen im Vierjahresdurchschnitt 5 Mrd. Euro nicht überschreitet (AT 1 Tz. 3 des Entwurfs).
Ziel 1: Reduzierung der Komplexität
Die Aufsicht will die MaRisk deutlich verschlanken. Dies soll durch verschiedene Maßnahmen erreicht werden:
Streichung von Doppelungen und Allgemeinplätzen: Redundante Passagen, die durch die Übernahme verschiedener EBA-Leitlinien entstanden sind, werden eliminiert. Auch Anforderungen, die bereits im Kreditwesengesetz (KWG) geregelt sind, sollen nicht mehr in den MaRisk wiederholt werden.
Prinzipienorientierung statt Detailvorgaben: Zahlreiche Anforderungen werden weniger granular und stärker prinzipienorientiert formuliert. Dies vergrößert die Ermessensspielräume der Institute bei der Umsetzung.
Reduzierung von EBA-Verweisen: Künftig gilt: Weniger bedeutende Institute (LSIs) müssen die EBA-Leitlinien nicht zusätzlich beachten, sofern in den MaRisk nicht explizit darauf verwiesen wird. Soweit in den MaRisk auf EBA-Leitlinien verwiesen wird, können die Anforderungen zudem unter Berücksichtigung der dort genannten Verhältnismäßigkeitskriterien umgesetzt werden (AT 1 Tz. 3). Die MaRisk bleiben alleiniger Maßstab für die Prüfungspraxis bei LSIs.
Zusammenfassung von Anforderungen: Derzeit zersplitterte Vorgaben werden zusammengeführt.
Herausnahme bedeutender Institute aus dem Anwendungsbereich
Ein weiterer Vereinfachungsschritt betrifft die bedeutenden Institute (SIs). Die BaFin hat diese aus dem Anwendungsbereich der MaRisk herausgenommen. Hintergrund: Die Europäische Zentralbank (EZB) wendet die EBA-Leitlinien bei SIs direkt an.
Ziel 2: Stärkung der Proportionalität
Das zweite Hauptziel der Novelle ist die Stärkung der Proportionalität. Die bereits mit der Aufsichtsmitteilung vom 26. November 2024 eingeführten Erleichterungen werden in die MaRisk übernommen.
Konkrete Erleichterungen für kleine Institute
Stresstests: Kleine Institute können auf inverse Stresstests verzichten. Für Liquiditätsstresstests gilt: Kleine Institute müssen nach BTR 3 Tz. 6 des Entwurfs nur dasjenige Szenario analysieren, das regelmäßig die größten Auswirkungen hat – in der Regel die Kombination aus institutseigenen und marktweiten Ursachen.. Zudem ist eine quartalsweise rollierende Aktualisierung einzelner Stresstests möglich. Sehr kleine Institute müssen nur einen risikoartenübergreifenden Stresstest und je einen Stresstest pro wesentliche Risikoart rechnen.
Validierung: Für kleine Institute verlängert sich der Turnus für die institutsindividuelle Validierung auf mindestens drei Jahre (AT 4.1 Tz. 9 des Entwurfs). Institute können auf Validierungsberichte ihrer zentralen Dienstleister zurückgreifen, sofern sie eigenständig prüfen, dass der verwendete Datenpool mit ihren Portfolien vergleichbar ist.
Berichtswesen: Der Gesamtrisikobericht muss nicht mehr vierteljährlich aktualisiert werden, wenn sich keine relevanten Änderungen ergeben haben. Bei stabilen Risikoarten genügt unterjährig ein Hinweis auf die strategische Festlegung eines niedrigen Risikoappetits.
Besondere Funktionen: Die Vereinbarkeiten im Beauftragtenwesen werden klarer geregelt. Compliance-Beauftragte können andere compliance-nahe Aufgaben übernehmen, solange die Trennung von operativen Tätigkeiten gewahrt bleibt.
Kreditgeschäft: Im nicht-risikorelevanten Kreditgeschäft sind Erleichterungen möglich, sofern eine angemessene Risikobeurteilung erfolgt. Die Verfahren zur Wertermittlung von Sicherheiten müssen für kleine Institute (SNCIs) nur noch alle zwei Jahre überprüft werden (BTO 1.2 Tz. 2 des Entwurfs).
Risikoinventur und Wesentlichkeitsschwelle
Institute können sich in ihrer Risikotragfähigkeitsbetrachtung auf wesentliche Risiken konzentrieren. Als Schwellenwert für die Wesentlichkeit von Risiken gilt 5 Prozent des ökonomischen Risikodeckungspotenzials. Dieser Wert kann auch für die Würdigung der aufsummierten unwesentlichen Risiken genutzt werden.
Ausgewählte inhaltliche Änderungen
IKT-Risiken und DORA
Informations- und Kommunikationstechnologierisiken (IKT-Risiken) werden künftig explizit in die Risikoinventur einbezogen. Zudem soll eine IKT-Strategie als Bindeglied zwischen Geschäftsstrategie und der digitalen operationalen Resilienz-Strategie (DOR-Strategie) gemäß DORA festgelegt werden. Überschneidungen zwischen MaRisk und DORA werden bereinigt.
ESG-Risiken
Die Berücksichtigung von Umwelt-, Sozial- und Unternehmensführungsrisiken (ESG-Risiken) wird auch in den MaRisk verankert. Im Konsultationsentwurf sind die methodischen Anforderungen konkret gefasst: Institute müssen eine Kombination unterschiedlicher Methoden verwenden (risikopositionsbezogen, sektorbezogen, portfoliobezogen, szenariobasiert sowie Portfolioabgleich) und dabei verschiedene plausible, wissenschaftlich fundierte Szenarien zugrunde legen. Ein Abstellen allein auf Datenhistorien ist nicht ausreichend. Die Beurteilung muss sowohl kurz- und mittelfristig als auch über einen langen Zeithorizont von mindestens zehn Jahren erfolgen (AT 2.2 Tz. 3). Für kleine und nicht komplexe Institute gelten Erleichterungen: Sie müssen bis zum 31. Dezember 2029 nur Umweltrisiken, insbesondere Klimarisiken, berücksichtigen und dürfen sich unter bestimmten Bedingungen auf qualitative Ziele beschränken.
Neues Modul: Verwendung von Modellen und Künstlicher Intelligenz (AT 4.3.4)
Der Konsultationsentwurf enthält ein vollständig neues Modul AT 4.3.4 „Verwendung von Modellen“, das explizit auch für automatisierte Modelle, technologiegestützte Innovation und Künstliche Intelligenz gilt. Kernanforderungen sind:
- Angemessenheitsprüfung vor Einsatz eines Modells und regelmäßige Folgeprüfungen
- Datensicherung und Qualitätssicherung: geeignete Verfahren zur Sicherstellung der Datenqualität
- Regelungen zu Überschreibungen (Overrides): Abweichungen von Modellergebnissen müssen geregelt sein
- Regelmäßige Validierung und kritische Auseinandersetzung mit Modellgrenzen
- Erklärbarkeit: Modelle müssen erklärbar sein, d. h. Wirkungszusammenhänge zwischen Ein- und Ausgangsgrößen müssen aufgezeigt werden können – besonders relevant für KI-Modelle (AT 4.3.4 Tz. 6)
Dieses Modul betrifft alle Institute, die Scoring-Modelle, automatisierte Kreditentscheidungen oder KI-gestützte Risikomodelle einsetzen, und begründet unmittelbaren Handlungsbedarf.
Compliance-Funktion
Die BaFin stellt klar, dass für die Compliance-Funktion ein risikobasiertes Vorgehen zulässig ist. Institute können sich bei der Bestimmung der Risikoorientierung weiterhin an AT 4.4.2 Tz. 2 MaRisk orientieren.
Kreditgeschäft und Sicherheiten
Die sehr detaillierten Vorgaben zu Kreditentscheidungen und Kreditgenehmigungsprozessen sollen auf wesentliche Prozessschritte beschränkt werden. Neu im Entwurf: Institute müssen explizit Governance-Regelungen für den Einsatz automatisierter Modelle in der Kreditvergabe treffen und Prozesse zur Minimierung von Betrugsrisiken im Kreditvergabeprozess implementieren (BTO 1.2 Tz. 1). Zudem müssen Kriterien für den Einsatz fortgeschrittener statistischer Bewertungsmodelle für Sicherheiten festgelegt werden.
Zins- und Kreditspreadrisiken
Die bereits mit der achten MaRisk-Novelle vom 29. Mai 2024 eingeführten Anforderungen zu Zinsänderungsrisiken (IRRBB) und Kreditspreadrisiken im Anlagebuch (CSRBB) bleiben bestehen. Kleinere technische Anpassungen bleiben bestehen. Kleinere technische Anpassungen sind vorgesehen.
Governance und interne Kontrolle
Mit der Umsetzung der CRD VI ergeben sich auch Neuerungen im Bereich Governance. Die Leiter der internen Kontrollfunktionen erhalten gestärkte Rechte: Sie müssen mit ausreichender Autorität ausgestattet sein, dürfen direkt an das Verwaltungs- oder Aufsichtsorgan berichten und können nur mit dessen Zustimmung von ihrer Funktion entbunden werden.
Was bedeutet die Novelle für Ihr Institut?
Die MaRisk-Novelle 2026 bringt sowohl Erleichterungen als auch neue Anforderungen mit sich. Während kleine und sehr kleine Institute von deutlich reduzierten Dokumentations- und Berichtspflichten profitieren, müssen alle Institute die neuen Vorgaben zu ESG-Risiken, IKT-Strategien, Governance und – neu – zur Verwendung von Modellen und KI umsetzen.
Für eine erfolgreiche Umsetzung empfiehlt sich eine frühzeitige Gap-Analyse: Welche bestehenden Erleichterungen werden bereits genutzt? Welche neuen Spielräume können in Anspruch genommen werden? Und welche zusätzlichen Anforderungen – insbesondere das neue Modul AT 4.3.4 sowie die ESG-Resilienzanforderungen – müssen erfüllt werden?
Die Konsultationsphase läuft bis zum 8. Mai 2026. Bis zur Finalisierung im dritten oder vierten Quartal 2026 sollten Institute ihre Prozesse, Strategien und Berichtssysteme entsprechend vorbereiten.
Beratung und Unterstützung
Als Wirtschaftsprüfungsgesellschaft halten wir uns kontinuierlich über die aktuellen Entwicklungen im Aufsichtsrecht auf dem Laufenden. Wir unterstützen Sie bei der Analyse der Auswirkungen der MaRisk-Novelle 2026 auf Ihr Institut, bei der Identifikation von Erleichterungspotenzialen und bei der Umsetzung neuer Anforderungen. Sprechen Sie uns gerne an.
Quellen:
- BaFin, Konsultation 02/2026, Konsultationsfassung MaRisk-Novelle vom 1. April 2026
- BaFin, Vergleichsversion: geltende MaRisk vs. Konsultationsfassung, 1. April 2026
- BaFin, Aufsichtsmitteilung vom 26. November 2024: Kleine und sehr kleine Kreditinstitute
- VÖB-internes Protokoll, Sitzung des Fachgremiums MaRisk vom 11. September 2025
- Bundesverband Öffentlicher Banken Deutschlands, Mitteilung vom 12. September 2025
- BaFin, Rundschreiben 06/2024 (BA) – MaRisk vom 29. Mai 2024
- Entwurf des Bankenrichtlinienumsetzungs- und Bürokratieentlastungsgesetzes (BRUBEG)