IKT und Auslagerung: vom MaRisk-AT zu DORA
Kernaussage
Die MaRisk waren für Banken lange der zentrale aufsichtliche Bezugspunkt für zwei Themen, die heute auseinanderlaufen: den Betrieb der IT-Systeme (historisch AT 7.2) und die Auslagerung (historisch AT 9, gestützt auf § 25b KWG). Mit der Geltung der Digital Operational Resilience Act (DORA, Verordnung (EU) 2022/2554) seit dem 17.01.2025 wandern die informations- und kommunikationstechnischen (IKT-)Anteile sowie das IKT-Drittparteienrisiko in ein eigenes, vorrangiges EU-Regime ab.
Für das Management heißt das: DORA ist für IKT-Risikomanagement, IKT-Vorfallmeldung, Resilienz-Tests und IKT-Drittparteienrisiko die speziellere, unmittelbar geltende Norm (lex specialis); die MaRisk bleiben das Dach für Gesamt-Risikomanagement, Governance und Auslagerungen jenseits reiner IKT. Wer beide als Silos behandelt, riskiert Doppelarbeit an der einen und Lücken an der anderen Stelle.
Problem in der Praxis
In vielen Instituten ist das organisatorische Gedächtnis noch auf die alte Welt eingestellt: IT-Sicherheit war "AT 7.2 plus BAIT", Auslagerung war "AT 9 plus Auslagerungsbeauftragter". Mit DORA verschiebt sich diese Logik, ohne dass die MaRisk verschwinden.
Daraus entstehen Reibungspunkte: Welches Register gilt für welchen Dienstleister, wer steuert IKT-Bezüge, und wie passen DORA-Meldewege zur fortbestehenden MaRisk-Risikoberichterstattung? Hinzu kommt die Bewegung bei den sektoralen IT-Rundschreiben: KAIT, VAIT und ZAIT wurden zum 16.01.2025 aufgehoben, und die BAIT entfällt für DORA-pflichtige Institute seit demselben Datum und befindet sich im Übergang zur vollständigen Ablösung. Das führt zur berechtigten Frage, welcher Anker noch gilt.
CISO-Einordnung
Die Trennlinie verläuft entlang des Begriffs IKT: DORA regelt vorrangig die digitale operationale Resilienz, und das IKT-Drittparteienrisiko (Kapitel V) ersetzt für IKT-Bezüge die frühere MaRisk-Logik der Auslagerungssteuerung.
Die MaRisk in der geltenden Fassung (Rundschreiben 06/2024 (BA) vom 29.05.2024, die 8. Novelle) konkretisieren als norminterpretierende Verwaltungsvorschrift weiterhin § 25a KWG. Ihr Kern ist das Gesamt-Risikomanagement: Strategie, Risikotragfähigkeit, internes Kontrollsystem, Risikocontrolling, Compliance, Interne Revision und die Gesamtverantwortung des Leitungsorgans - eine Steuerungslogik, die IKT-unabhängig fortbesteht. Bei der Auslagerung gilt zweigeteilt: IKT-Auslagerungen folgen DORA und seinem Kapitel V, Nicht-IKT-Auslagerungen bleiben MaRisk und § 25b KWG mit den klassischen Instrumenten Wesentlichkeitsanalyse, Auslagerungsbeauftragter, Auslagerungsregister und Ausstiegssteuerung.
Mit der laufenden 9. MaRisk-Novelle werden die von DORA abgedeckten IKT-Teile, insbesondere das frühere AT 7.2 und die IKT-bezogenen Aspekte von AT 9, gestrichen oder angepasst, um Doppelregulierung zu vermeiden. Die Novelle ist nach der Konsultation 02/2026 (01.04.2026, Stellungnahmefrist 08.05.2026) in der Finalisierung; eine finale Fassung wurde für Juni 2026 angekündigt. Endgültige Rundschreiben-Nummer und Inkrafttreten standen zum Redaktionsstand noch nicht belastbar fest, und da die AT-/BT-Ziffern restrukturiert werden, sollten Gliederungsverweise am BaFin-Originaltext belegt werden. Zuständig sind im Finanzsektor die BaFin (federführend) und gemeinsam die Deutsche Bundesbank, weder die BNetzA noch das BSI; NIS2 ist für Banken nicht der Bezugsrahmen, weil DORA als lex specialis die IKT-Pflichten verdrängt.
Umsetzungsperspektive
Der pragmatische Weg ist nicht, zwei getrennte Programme zu führen, sondern Verantwortlichkeiten entlang der IKT-Trennlinie zuzuordnen und an den Schnittstellen zu verzahnen.
- Ein Prozess, zwei Pfade: Jede Drittleistung wird zuerst als IKT- oder Nicht-IKT-Leistung klassifiziert. IKT-Bezüge laufen in den DORA-Pfad (Kapitel V), alle anderen in den MaRisk-Pfad (§ 25b KWG).
- Register entkoppeln, aber abstimmen: gemeinsame Datenbasis mit klaren Sichten, damit Einträge nicht widersprüchlich gepflegt werden.
- Meldewege synchronisieren: DORA-Meldepflicht für schwerwiegende IKT-Vorfälle und MaRisk-Risikoberichterstattung aus einem Ereignis konsistent bedienen.
- Governance als Klammer: Das Leitungsorgan verantwortet DORA-IKT-Risiko und MaRisk-Gesamtrisiko gemeinsam; Berichts- und Eskalationswege sollten beides zusammenführen.
Typische Fehler
- IKT-Auslagerungen weiterhin nur nach MaRisk-Logik steuern und DORA Kapitel V übersehen.
- MaRisk-Auslagerungsregister und DORA-Informationsregister vollständig getrennt und doppelt pflegen.
- Annehmen, mit dem Wegfall von KAIT/VAIT/ZAIT und der BAIT-Befreiung sei die MaRisk insgesamt für IT obsolet.
- Sich auf historische AT/BT-Ziffern verlassen, obwohl die 9. Novelle die Gliederung restrukturiert.
- Die finale 9. Novelle als gesetzt behandeln oder Nicht-IKT-Auslagerungen vernachlässigen, weil die Aufmerksamkeit ganz auf DORA liegt.
Risiken und Trade-offs
Die Verschiebung zu DORA reduziert Doppelregulierung, erhöht aber kurzfristig die Komplexität, weil zwei Bezugsrahmen koexistieren. Wer die Trennlinie zu scharf zieht, riskiert Bruchstellen bei Dienstleistern mit IKT- und Nicht-IKT-Leistungen; wer sie zu unscharf lässt, führt doch ein Misch-Register und verliert die Vorrangwirkung von DORA aus dem Blick. Ein zweiter Trade-off betrifft das Tempo: Ein zu frühes Festschreiben auf die noch nicht finale Konsultationsfassung erzeugt Nacharbeit - Abwarten ist aber keine Option, weil DORA bereits gilt und die alten IT-Rundschreiben entfallen sind.
Entscheidungspunkte
- Wie wird die IKT-Klassifikation einer Drittleistung verbindlich getroffen, und wer entscheidet bei Mischfällen?
- DORA-Informationsregister und MaRisk-Auslagerungsregister auf gemeinsamer Datenbasis oder getrennt?
- Wie werden DORA-Vorfallmeldung und MaRisk-Risikoberichterstattung aus einem Ereignis bedient?
- Welche internen Regelungen werden erst nach der finalen 9. Novelle festgeschrieben?
- Wer im Leitungsorgan verantwortet die Klammer über DORA-IKT-Resilienz und MaRisk-Gesamtrisiko?
Praktische Empfehlungen
- Eindeutige IKT-/Nicht-IKT-Klassifikation als ersten Schritt jedes Auslagerungsvorgangs etablieren.
- Register technisch verzahnen, die regulatorischen Sichten (DORA Kapitel V vs. § 25b KWG) aber sauber getrennt halten.
- Gliederungsverweise am aktuellen BaFin-Originaltext belegen, nicht an historischen AT/BT-Ziffern.
- Die Konsultationsfassung der 9. Novelle als Planungsgrundlage behandeln, nicht als Endfassung.
- MaRisk-Steuerung für Nicht-IKT-Auslagerungen aktiv halten; sie verschwindet nicht mit DORA.
- Eine gemeinsame Governance- und Berichtsklammer im Leitungsorgan verankern.
Relevante Normreferenzen
- BaFin, MaRisk: Rundschreiben 06/2024 (BA) vom 29.05.2024 (8. Novelle); konkretisiert § 25a KWG. Frei zitierbar mit Namensnennung.
- § 25a und § 25b KWG sowie § 7 KWG (gemeinsame Aufsicht BaFin/Bundesbank): gesetzliche Grundlagen, frei zitierbar.
- DORA, Verordnung (EU) 2022/2554, Geltung seit 17.01.2025: vorrangiges EU-Recht für IKT-Risiko, IKT-Vorfallmeldung, Resilienz-Tests und IKT-Drittparteienrisiko (Kapitel V).
- EBA-Leitlinien (Level 3): Bezug zur Einordnung; frei zitierbar mit Namensnennung.
- ISO/IEC 27001: nur Referenz für das "Wie" der IKT-/Sicherheitsumsetzung; keine Volltexte oder Kontroll-Listen.
Häufige Fragen
Sind die MaRisk für IT jetzt komplett durch DORA ersetzt?+
Nein. Die von DORA abgedeckten IKT-Teile (früher v. a. AT 7.2 und IKT-Aspekte von AT 9) wandern zu DORA; Gesamt-Risikomanagement und Governance der MaRisk bleiben bestehen.
Welche Auslagerung folgt welchem Regime?+
IKT-Auslagerungen folgen DORA und dessen Kapitel V; Nicht-IKT-Auslagerungen bleiben bei MaRisk und § 25b KWG.
Gilt die 9. Novelle schon?+
Sie war nach der Konsultation 02/2026 in der Finalisierung; die finale Fassung wurde für Juni 2026 angekündigt. Nummer und Inkrafttreten sollten am BaFin-Originaltext geprüft werden.
Wer ist aufsichtlich zuständig?+
Im Finanzsektor die BaFin (federführend) und in der laufenden Aufsicht gemeinsam die Deutsche Bundesbank, nicht die BNetzA und nicht das BSI.
Vom Wissen zur Umsetzung
Die Cybervize-Plattform und unsere Beratung setzen MaRisk prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.
Passende Leistung ansehenVerwandte Artikel
Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: mar-002.
