9. MaRisk-Novelle: Überblick und Hintergrund
Mit der Aufsichtsmitteilung vom 26.11.2024 hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) die Auslegung des Proportionalitätsgedankens konkretisiert und den Weg geebnet für eine Risiko-orientiertere aufsichtliche Prüfungspraxis. Das Aufsichtshandeln soll stärker am Prinzip der Verhältnismäßigkeit ausgerichtet werden, indem Öffnungsklauseln für kleine Institute explizit benannt werden.
Im Digitalen Aufsichtsbriefing vom 05.02.2026 wurde die geplante Entlastung kleinerer Institute (LSI) durch die Ausweitung der Proportionalität und die Straffung aufsichtlicher Prozesse avisiert. Darüber hinaus strebt die BaFin ein stärkeres Prinzipien- und Risikoorientiertes Vorgehen an, das sich weniger als bisher an starren Checklisten orientiert.
Infoveranstaltung "9. MaRisk-Novelle - Konsultation"
Mit der 9. Novelle werden nun die Neuerungen der Aufsichtsmitteilung vom 26.11.2024 in die MaRisk integriert und der Anwendungsbereich nachgeschärft. Zukünftig sollen kleine und weniger komplexe Institute von administrativen Anforderungen entlastet werden, um den bürokratischen Aufwand zu verringern. Gleichzeitig soll die Neuregelung sicherstellen, dass die Intensität der aufsichtlichen Prüfung flexibel an das jeweilige Risikoprofil und die Größe des Instituts angepasst werden kann.
Darüber hinaus erfolgt mit der Neufassung eine Komplexitätsreduktion durch deutliche Verschlankung des Aufsichtstextes, einerseits durch Herausnahme von Redundanzen, andererseits auch durch eine weniger granulare und stärker prinzipienorientierte Formulierung. Dies soll kleinen und mittelgroßen Instituten zusätzliche Freiräume eröffnen, erfordert aber auch mehr Eigenverantwortung in der Auslegung der Vorschriften.
Verbunden mit dem neuen Ansatz, zusätzliche Erleichterungsregelungen aufzunehmen, werden bedeutende Institute (significant Institutions, SI) aus dem Anwendungsbereich der MaRisk herausgenommen. Für SIs gelten ohnehin die strengen Leitlinien der EBA, die von der EZB übernommen werden.
Neuerung im Entwurf der 9. MaRisk-Novelle (MaRisk 2026)
Institutsklassifizierung und Öffnungsklauseln
Bezogen auf die im Anwendungsbereich verbleibenden Less Significant Institutions (LSI) differenziert die BaFin nun folgende Gruppen:
- Sehr kleine Institute: Bilanzsumme ≤ 1 Mrd. € (reines Größenkriterium; alle MaRisk-Öffnungsklauseln erlaubt)
- Kleine Institute bzw. sonstige SNCIs: Bilanzsumme ≤ 5 Mrd. € (genauer: SNCI-Kriterien gemäß Art. 4 Absatz 1 Nr. 145 CRR)
- Sonstige LSIs / Nicht SNCIs: Für diese Gruppe bleibt die Anwendung derjenigen Öffnungsklauseln möglich, die nicht ausdrücklich auf sehr kleine oder kleine Institute beschränkt sind (Verantwortung bei Geschäftsleitung).
Insgesamt wird der Anwendungsbereich für Öffnungsklauseln erheblich erweitert, was mit einem Paradigmenwechsel der BaFin einhergeht: gerade kleine und sehr kleine Institute erhalten weniger strikte und detaillierte Vorgaben, so dass sich mehr Ermessensspielraum bei der Auslegung der Regeln ergibt. Gleichwohl besteht durch die neue Institutsklassifizierung mehr Transparenz, wo sich die Institute einordnen und welche Vereinfachungen nutzbar sind.
Risikoinventur und Risikotragfähigkeit (AT 2.2, AT 4.1, AT 4.2, BT)
Die Risikoinventur wird stärker vereinheitlicht. Insbesondere gilt für alle Institute in der ökonomischen Perspektive die 5%-Schwelle als Obergrenze für die Summe der unwesentlichen Risiken. Zudem gelten IKT-Risiken als fester Bestandteil der operationellen Risiken und sind strategisch relevant; eine zur Geschäftsstrategie konsistente IKT-Strategie ist erforderlich.
Bezüglich Validierung der Risikotragfähigkeit ist für kleine und sehr kleine Institute zukünftig ein längerer Turnus erlaubt (zwei bis drei Jahre).
Zudem können diese Institute weitestgehend auf Validierungen durch zentrale Dienstleister zurückgreifen. Allerdings ist weiterhin eine Repräsentativitätsanalyse des Datenpools für das eigene Portfolio nötig. Für kleinere Institute werden Erleichterungen bei Methodik und Validierung eröffnet.
Stresstests (AT 4.3.3)
Bereits für kleine Institute ist eine deutliche Reduzierung des Umfangs und der Komplexität der Stresstests möglich, insbesondere der Verzicht auf inverse Stresstests, die quartalsweise Aktualisierung einzelner Stresstests und die Verwendung von Standardszenarien von Dienstleistern.
Resilienzanalysen für Umweltrisiken
Für Resilienzanalysen ist das vom Institut als wahrscheinlichster Verlauf angenommene Referenzszenario mindestens einem plausiblen adversen Alternativszenario gegenüberzustellen. Für die Analyse der langfristigen Resilienz können dabei auch qualitative Ansätze herangezogen werden.
Für sehr kleine Institute ist ein einziger risikoartenübergreifender Stresstest bzw. ein Stresstest pro wesentlicher Risikoart ausreichend. Zudem kann auf Stressbetrachtungen im OpRisk verzichtet werden, wenn diese bereits im Notfallmanagement nach AT 7.3 abgedeckt sind.
IRRBB (BTR 2.3)
Der Spielraum bei der IRRBB-Ausgestaltung wird erhöht.
CSRBB (BTR 5)
Die Auslegungen zu Kreditspreadrisiken im Anlagebuch werden angepasst und der Anwendungsbereich nachjustiert.
Risikoberichterstattung (BT 3.1, BT 3.2)
Der Berichtsturnus wird gemäß Aufsichtsmitteilung vom 26.11.2024 flexibilisiert mit stärkerem Fokus auf risikoorientiertes Reporting.
Für kleine Institute / SNCI sind bei stabilen Reporting-Teilen längere Berichtsintervalle möglich. Bei Risikokategorien, für die ein niedriger Risikoappetit strategisch verankert ist, genügt ein unterjähriger Hinweis darauf. Gleichwohl ist die Sicherstellung der jederzeitigen ad-hoc-Berichtsfähigkeit wichtig, insbesondere für den Fall einer krisenhaften Entwicklung.
Technisch-organisatorische Ausstattung: IT / IKT (AT 7.2, AT 4.3.1 Tz. 2)
Die Regelungen zu IT-Berechtigungen, IT-Systemen, IT-Risiken (inkl. Fremdbezug von Software) und IKT werden in der MaRisk gestrichen, da DORA diesbezüglich detaillierte Vorgaben macht.
Notfallmanagement (AT 7.3)
Das auf IKT-bezogene Notfallmanagement wird durch DORA abgedeckt. Es wird daher zwischen dem IKT-Notfallmanagement und dem weiterhin gültigen, allgemeinen Notfallkonzept differenziert.
Auslagerung (AT 9, BTO 2.1)
Aufgaben des Auslagerungsbeauftragten können in anderen Bereichen verbleiben, solange Kontrolltätigkeiten und operative Tätigkeiten getrennt sind.
Kleinere Institute haben die Möglichkeit ihr Auslagerungsmanagement vollständig an eine zentrale Gruppenstelle zu übertragen. Im Institut sollte jedoch ein zentrales Register für Drittparteienvereinbarungen (IKT / non-IKT) geführt werden.
Kreditgeschäft (BTO 1)
Der Regelungstext zum Kreditgeschäft wird deutlich gestrafft und detaillierte Regelungen zurückgebaut. Beispielsweise entfallen die meisten Verweise auf Anforderungen der EBA-Leitlinien im Kreditgeschäft (u.a. ESG). Zudem werden die Anforderungen an Kreditentscheidungen und Kreditgenehmigungsprozesse auf die wesentliche Prozessschritte beschränkt.
Die Regelungen zu Engagements mit erhöhten Risiken – Intensivbetreuung, Problemkreditbearbeitung und Forbearance (BTO 1.2.4, 1.2.5 und 1.3.2) – werden deutlich gestrafft und prinzipienorientiert gestaltet.
Compliance und Interne Revision (AT 4.4.2, AT 4.4.3, BT 2)
Die Compliance-Funktion soll die Geschäftsleitung hinsichtlich der Einhaltung wesentlicher rechtlicher Vorschriften beraten und ist insofern risikoorientiert auszugestalten.
Die Anforderungen an die Interne Revision werden zusammengeführt und verkürzt. Inhaltlich erfolgt jedoch keine Reduzierung der Anforderungen.
Fazit und Handlungsbedarf
Die BaFin vollzieht mit der neuen MaRisk-Novelle einen Paradigmenwechsel: den Instituten werden weniger detaillierte Vorgaben gemacht, so dass sich mehr Ermessensspielraum für die Auslegung des Regelwerks eröffnet. Die schlankere und prinzipienorientierte Formulierung der Regelungen geht mit einer Komplexitätsreduktion einher. Zudem ermöglicht die neue Institutsklassifizierung die Nutzung zahlreicher Öffnungsklauseln – spezielle für kleine und sehr kleine Institute – d.h. das Proportionalitätsprinzip wird gestärkt.
Gleichwohl bringt die MaRisk-Novelle auch Herausforderungen mit sich, da sowohl Entscheidungsträger in den Instituten als auch Prüfer tendenziell mehr Ermessensentscheidungen abverlangt wird.
Da es sich überwiegend um Erleichterungen handelt, wird erwartet, dass die MaRisk-Novelle mit Inkrafttreten unmittelbar und ohne Übergangsfristen wirksam wird.
Wir empfehlen allen BaFin-beaufsichtigten Instituten, sich mit den Neuregelungen zeitnah zu beschäftigen, da sich Anpassungsbedarfe und Potenziale zur Vereinfachung ergeben. Durch adäquate Nutzung der neuen Regelungen können Gestaltungsfreiräume geschaffen und Kosten gesenkt werden. Darüber hinaus ergeben sich punktuell auch Anpassungsbedarfe mit signifikantem Aufwand, beispielsweise bei der konsistenten Berücksichtigung von IKT-Risiken im OpRisk und der Erstellung eines Auslagerungsregisters.
Sehr gerne unterstützen wir Sie bei Ihrem Vorhaben.
