2. April 2026
Lesezeit: 5 Minuten

MaRisk-Novelle 2026: Strategischer Vergleich zur Fassung 2024

Zusammenfassung: MaRisk-Novelle 2026 vs. 2024

Die MaRisk bleibt ein flexibler Rahmen, aber der Begründungszwang für die individuelle Ausgestaltung nimmt massiv zu. Die Aufsicht gibt nicht mehr vor, was in einer Checkliste abzuhaken ist, sondern verlangt den Nachweis, dass das Institut seine spezifischen Risiken (insb. ESG und neue Technologien) mit wissenschaftlich fundierten und plausiblen Methoden im Griff hat.

Fazit: Es ist keine „Checklisten-Regulierung“, sondern eine „Nachweis-Regulierung“. Die Freiheit in der Methode erkauft man sich durch eine extrem hohe Anforderung an die Dokumentation und Validierung.

Strategischer Vergleich der MaRisk-Novelle: Konsultationsfassung 02/2026 vs. Fassung vom 29.05.2024

FAQ: MaRisk-Novelle 2026 vs. Fassung 2024

Einleitung und regulatorischer Kontext

Die vorliegende MaRisk-Novelle 2026 markiert eine fundamentale Zäsur in der deutschen Bankenaufsicht. Wir lassen den traditionellen Pfad der rein national geprägten, prinzipienbasierten Aufsicht hinter uns und treten in eine Ära ein, die maßgeblich durch die CRD VI (Richtlinie (EU) 2024/1619) sowie die zunehmend präskriptive Detailtiefe der EBA-Leitlinien definiert wird.

Die strategische Integration dieser europäischen Standards ist keine bloße Formsache, sondern eine Evolution des Aufsichtsregimes. Während die MaRisk bisher als flexibler Rahmen gemäß § 25a KWG diente, führt die Neufassung zu einer stärkeren Vor-Strukturierung durch die EBA (u. a. zu Kreditvergabe, Governance und ESG-Risiken). Für Institute bedeutet dies eine zweischneidige Entwicklung: Einerseits wird die EU-weite Harmonisierung und Vergleichbarkeit gefördert, andererseits steigt die regulatorische Komplexität signifikant. Die „Prinzipienorientierung“ wird zunehmend durch detaillierte Methodenvorgaben ergänzt, was den Spielraum für institutsindividuelle Auslegungen verengt. Dieser Wandel wird besonders deutlich in der Neudefinition des Anwenderkreises und der Operationalisierung der Proportionalität.

Vorstand Quick-Check: MaRisk 2026 & Umsetzungsstatus

Check Fragestellung
ESG-Integration
ESG-Risiken vollständig in die Risikoinventur integriert?
10-Jahres-Perspektive
Langfristige Szenarioanalysen (≥10 Jahre) etabliert?
Proportionalitäts-Check
Dokumentation zur Wesentlichkeit von Risiken vorhanden?
SNCI-Einstufung
Status als kleines Institut korrekt geprüft und dokumentiert?
Validierungs-Check
Modelle vor Einsatz und regelmäßig (3 Jahre) validiert?
Drittanbieter-Modelle
Institutsindividuelle Angemessenheitsprüfung durchgeführt?
Risikokultur
Messsysteme (z. B. Mitarbeiter-Selbstbewertungen) implementiert?
Kreditprozesse
Stundungen (Forbearance) korrekt als Kreditentscheidung integriert?
Krypto-Governance
Funktionstrennung für Kryptowerte sichergestellt?
Governance-Update
MaRisk 2026 bereits in Policies und Richtlinien umgesetzt?

🚦 Live-Auswertung

ROT
Akuter Handlungsbedarf
GELB
Teilweise umgesetzt
GRÜN
MaRisk-ready

Anpassungen im Anwendungsbereich und Proportionalitäts-Prinzip

Das Proportionalitätsprinzip fungiert in der MaRisk 2026 als notwendiges Korrektiv zur steigenden Regelungsdichte. Die Novelle präzisiert die Kategorisierung von Instituten, um gezielte Erleichterungen zu ermöglichen, verknüpft diese jedoch mit strengen Dokumentationspflichten.

Vergleich der Institutskategorien (MaRisk 2026)

Merkmal Kleine Institute (SNCI) Sehr kleine Institute
Primäre Definition Einstufung als „small and non-complex institution“
gemäß Art. 4 Abs. 1 Nr. 145 CRR 		Bilanzsumme im Vierjahresdurchschnitt
≤ 1 Mrd. EUR
Zusatzkriterien & Internationalität Umfasst auch CRD-Drittstaatenzweigstellen
der Risikoklasse 2 		Factoringinstitute:
jährliches Ankaufsvolumen ≤ 5 Mrd. EUR
(Vierjahresdurchschnitt)
Privilegierung Nutzung spezifisch gekennzeichneter
Erleichterungen in den MaRisk-Modulen 		Können SNCI-Erleichterungen
vollumfänglich nutzen
auch ohne formalen SNCI-Status
Validierung Verzicht auf personelle Trennung
zwischen Modellentwicklung und Validierung möglich 		Identische Erleichterung
wie bei SNCI

Praxis-Tipp: Die scheinbaren Erleichterungen für kleine Institute werden durch erhöhte Dokumentationsanforderungen relativiert. Du musst klar nachweisen, warum Risiken als unwesentlich gelten.

Strategische Analyse: Das Proportionalitäts-Paradoxon

Die vermeintlichen Erleichterungen für kleine Häuser – wie der Verzicht auf die personelle Trennung bei der Validierung (AT 4.1 Tz. 9) – werden durch eine „Beweislastumkehr“ konterkariert. Institute müssen nun explizit und nachvollziehbar begründen, warum bestimmte Risiken als unwesentlich eingestuft werden (p. 22). Diese Verschärfung des Dokumentationsaufwands neutralisiert weite Teile des Entlastungseffekts und zwingt die Geschäftsleitung zu einer tieferen Auseinandersetzung mit der Risikoinventur.

Fokus: Institute mit hohem NPL-Bestand

Gemäß der EBA-Leitlinien (EBA/GL/2018/06) unterliegen Institute mit einer NPL-Quote von 5 % oder mehr (brutto, basierend auf der NPE-Definition des Meldewesens) verschärften Anforderungen. Die Aufsicht behält sich zudem vor, diese Anforderungen auch bei Unterschreiten der Schwelle anzuordnen, wenn Konzentrationsrisiken in einzelnen Portfolios dies rechtfertigen.

Aufsichtsrecht Seminare

ESG-Risiken als zentraler Risikotreiber (AT 2.2 & AT 4.1)

ESG-Risiken (Environmental, Social, Governance) werden strategisch nicht als neue Risikoart, sondern als fundamentaler Risikotreiber (§ 26c KWG) verankert. Sie wirken unmittelbar auf Adressenausfall-, Marktpreis-, Liquiditäts- und operationelle Risiken.

Transformation der Risikoinventur (AT 2.2):

  • Methoden-Mix: Ein reiner Rückgriff auf Datenhistorien ist unzulässig. Gefordert ist eine Kombination aus risikopositions-, szenario- und portfoliobezogenen Methoden sowie Portfolioabgleichen.
  • Langfristperspektive: Die Beurteilung muss einen Zeithorizont von mindestens zehn Jahren abdecken.

Expertenschwerpunkt: Die Daten-Lücke Hier klafft eine strategische Lücke: Während bankinterne Planungshorizonte meist 3 bis 5 Jahre umfassen, verlangt die Aufsicht nun eine 10-Jahres-Perspektive. Dies erfordert einen radikalen Umbau der Datenarchitektur. Institute müssen sich von vergangenheitsbasierten Modellen lösen und in vorausschauende, wissenschaftlich fundierte Klimamodelle investieren, um ESG-Szenarien belastbar in die RTF-Steuerung zu integrieren.

Governance: Risikokultur und Verantwortung der Geschäftsleitung (AT 3)

Die Rolle der Geschäftsleitung wird von einer passiven Überwachung hin zu einer aktiven Gestaltungspflicht transformiert.

  • Integrationspflicht: Die Geschäftsleitung muss die Risikokultur nicht nur genehmigen, sondern aktiv „entwickeln, fördern und integrieren“. Dies umfasst auch die Einbeziehung der Unternehmenszentralen bei Drittstaatenzweigstellen (§ 53 KWG), sofern kein lokales Aufsichtsorgan existiert.
  • Verhaltensüberwachung: Neu ist die Forderung nach konkreten Verfahren zur Überwachung der Kultureinhaltung, wobei explizit „Selbstbewertungen der Mitarbeiter“ als Instrument genannt werden.
  • So What? Die Aufsicht nimmt hier das „Conduct Risk“ ins Visier. Eine schwache Risikokultur wird künftig als organisatorischer Mangel gewertet, der unmittelbare aufsichtliche Maßnahmen nach sich zieht.

Methodische Anforderungen an die Risiko-Tragfähigkeit und Validierung (AT 4.1)

Die Sicherstellung der Risikotragfähigkeit (RTF) in der normativen und ökonomischen Perspektive wird durch striktere Validierungsvorgaben operationalisiert.

Validierungszyklen und operative Hürden:

  • Initialvalidierung: Zwingend vor Ersteinsatz jeder Methode.
  • Folgevalidierung: Turnusmäßig alle drei Jahre sowie anlassbezogen.
  • Der HR-Bottleneck: Da die Ausnahme von der personellen Trennung zwischen Modellentwicklung und Validierung ausschließlich für kleine Institute gilt, entsteht für alle anderen Häuser ein massiver Kapazitätsbedarf an qualifizierten, unabhängigen Validatoren.

Expertenschwerpunkt: Externe Modelle und Puffer Ein kritischer Punkt für die Revision: Bei Nutzung externer Dienstleister-Modelle entbindet ein zentraler Validierungsbericht das Institut nicht von der Pflicht. Es muss zwingend eine „institutsindividuelle Angemessenheitsprüfung“ durchgeführt werden. Blindes Vertrauen in Drittanbieter ist ein direkter Compliance-Verstoß. Zudem müssen schwer quantifizierbare Risiken künftig entweder durch pauschale Risikobeträge oder durch dokumentierte Puffer im Risikodeckungspotenzial abgedeckt werden, wobei deren Zweckbestimmung präzise festzuhalten ist.

Operative Präzisierungen: Kredit-, Handels- und Immobilien-Geschäft (AT 2.3)

In den operativen Modulen werden Begrifflichkeiten an moderne Marktrealitäten angepasst und funktionale Trennungen verschärft.

  • Kreditentscheidung vs. Monitoring: Die MaRisk klärt auf: Interne Überwachungsvorlagen sind keine Kreditentscheidungen. Aber: Stundungen (Forbearance) werden explizit als Kreditentscheidung definiert. Dies erfordert eine Anpassung der Prozessabläufe, da Stundungen nun denselben Votierungsvorgaben unterliegen wie Neukredite.
  • Kryptowerte im Handelsgeschäft: Die Integration von Kryptowerten in das Handelsmodul (BTO 2) ist ein Gamechanger. Damit greifen die strikten Anforderungen an die Funktionstrennung zwischen Front- und Back-Office sowie die Marktgerechtigkeitskontrolle auch für Krypto-Assets. Pilotprojekte in kleineren Häusern, die oft ohne diese Trennung laufen, müssen dringend formalisiert werden.
  • Immobiliengeschäft & Konsolidierung: Gemäß § 290 HGB werden Tochterunternehmen, deren Vermögen überwiegend aus Immobiliengeschäften stammt, voll in die MaRisk-Anforderungen des Instituts einbezogen. Dies gilt auch für gemeinschaftlich beherrschte Unternehmen.

MaRisk 2026: Deine strategische Umsetzungs-Roadmap

Paradigmenwechsel: Die MaRisk 2026 verlangt von dir einen klaren Strategiewechsel. Die bisherige Freiheit in der Methodenwahl wird ersetzt durch eine lückenlose, wissenschaftlich fundierte Dokumentationskette.

1. ESG-Datenstrategie & Zeithorizonte

AT 2.2 & AT 4.1

Die geforderte 10-Jahres-Perspektive lässt sich nicht mehr mit klassischen, vergangenheitsbasierten Modellen abbilden.

Aktion:
Nutze einen Methoden-Mix aus Szenarioanalysen und wissenschaftlichen Klimamodellen.
Fokus:
Schließe die Lücke zwischen 3-Jahres-Planung und 10-Jahres-Risikohorizont.

2. Validierungs-Governance

AT 4.1

Verschärfte Validierungszyklen führen zu massivem Kapazitätsbedarf.

Aktion:
Erstelle ein vollständiges Modell-Inventar und plane Ressourcen frühzeitig.
Fokus:
Vermeide den HR-Bottleneck durch gezielte Staffing-Strategie.

3. Auslagerungs-Management

AT 9

Standardberichte von Drittanbietern reichen nicht mehr aus.

Aktion:
Führe institutsindividuelle Angemessenheitsprüfungen durch.
Fokus:
Mache Auslagerung zur aktiven Risikoüberwachung.

4. Risikokultur operationalisieren

AT 3

Risikokultur wird prüfungsrelevant und messbar.

Aktion:
Implementiere Selbstbewertungen und Kultur-Audits.
Fokus:
Risikokultur ist jetzt klare Vorstandspflicht.

5. Kreditprozesse anpassen

BTO 1

Stundungen gelten künftig als Kreditentscheidung.

Aktion:
Passe Richtlinien und Workflows an die neuen Anforderungen an.
Fokus:
Klare Trennung zwischen Monitoring und Kreditentscheidung sicherstellen.
MaRisk 10.0 & DORA
MaRisk 2026 Hub: DORA, ESG & Risk Management für C-Level

MaRisk 2026 Hub: DORA, ESG & Risk Management für C-Level

Setze die MaRisk-Novelle 2026 effizient um. Dieser Hub zeigt dir, wie du DORA, ESG-Risiken und Governance-Anforderungen strukturiert in dein Risikomanagement integrierst.

Programme & Lehrgänge

MaRisk 2026 – Überblick & Umsetzung ➜

Alle Änderungen der MaRisk-Novelle 2026 im Überblick: Proportionalität, ESG, Validierung und Governance.

Zum MaRisk Hub

AI Compliance Officer ➜

Setze den EU AI Act praxisnah um – mit klaren Policies, Governance-Strukturen und Tools.

Zum Seminar

DORA Compliance Expert ➜

Baue IKT-Resilienz auf und erfülle die Anforderungen des DORA Acts mit praxiserprobten Tools.

Zum Lehrgang

MaRisk für Wertpapierinstitute ➜

Setze die MaRisk-Anforderungen gezielt um und optimiere Governance, Risikosteuerung und interne Kontrollen.

Zum Seminar

MaRisk 10.0 & DORA Update ➜

Aktuelle BaFin-Anforderungen verstehen und DORA wirksam in deine Organisation integrieren.

Zum Update

ESG-Compliance Manager ➜

Integriere ESG- und CSRD-Anforderungen wirksam in deine Governance-Struktur.

Zum Lehrgang

Risikomanager (S+P Certified) ➜

Baue ein effektives Risikomanagement-System auf und steuere Risiken datenbasiert und regulatorisch sicher.

Zum Lehrgang

Compliance Excellence (C-Level) ➜

Strategische Compliance-Kompetenz für Geschäftsführung und Aufsichtsorgane.

Zu den Seminaren

Resilience Officer ➜

Stärkung der organisatorischen Widerstandskraft durch BCM, Cyber-Resilience und Krisenmanagement.

Zum Lehrgang

Quellen & regulatorische Grundlagen

  • Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin): Konsultation 02/2026 – MaRisk-Novelle (01.04.2026)
    Zur Veröffentlichung
  • Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin): Konsultation zur Überarbeitung der MaRisk (01.08.2025)
    Zur Veröffentlichung
  • BaFin Rundschreiben 06/2024 (BA): Mindestanforderungen an das Risikomanagement (MaRisk)
    PDF-Version
  • Überblick zur MaRisk-Novelle 2026: Fokus auf Proportionalität, Vereinfachung und Integration von DORA-Anforderungen
    (Analyse basierend auf aktuellen Veröffentlichungen und Marktkommentaren)

Praxis-Hinweis: Die geplante MaRisk-Novelle 2026 verfolgt insbesondere das Ziel, die Anforderungen stärker prinzipienorientiert auszugestalten, Komplexität zu reduzieren und regulatorische Überschneidungen mit DORA klarer abzugrenzen.

Lehrgänge & Seminare

Dein Karriere-Booster

S+P Erfahrung

ISO9001
ecovadis

Newsletter

S&P Unternehmerforum GmbH 802 Bewertungen auf ProvenExpert.com