Die 9. MaRisk-Novelle und die EBA-Leitlinien
Kernaussage
Die 9. MaRisk-Novelle ordnet die deutsche Bankenaufsicht neu, ohne ein neues Regime zu schaffen. MaRisk bleibt kein Gesetz, sondern ein BaFin-Rundschreiben, das die ordnungsgemäße Geschäftsorganisation nach § 25a KWG konkretisiert. Geltend ist das Rundschreiben 06/2024 (BA) vom 29.05.2024 (8. Novelle); die 9. Novelle ist aus der Konsultation 02/2026 in der Finalisierung.
Zwei Bewegungen prägen sie. Erstens übernimmt DORA als unmittelbar geltendes EU-Recht die IKT-Themen; die entsprechenden MaRisk-Anteile werden gestrichen oder angepasst, um Doppelregulierung zu vermeiden. Zweitens wirken die EBA-Leitlinien zu Governance und Nachhaltigkeit in die nationale Verwaltungspraxis hinein. Für den CISO heißt das: MaRisk wird am IKT-Rand schlanker, bleibt aber das Rückgrat für Gesamt-Risikomanagement, Kontrollsystem und Governance jenseits reiner IT. Zum Stand 30.06.2026 ist die finale Fassung kurz vor oder nach Veröffentlichung; Rundschreiben-Nummer und Inkrafttreten sind zu prüfen.
Problem in der Praxis
Seit dem 17.01.2025 gilt DORA. Damit existieren zwei Bezugssysteme: das EU-Recht für IKT-Resilienz und die Verwaltungspraxis der MaRisk für das übrige Risikomanagement. Daraus entstehen zwei Fehlbilder. Erstens die Doppelregulierung: IKT-Kontrollen werden weiter nach alter MaRisk-Logik und parallel nach DORA gepflegt, Nachweise doppelt geschrieben, Kapazität gebunden, ohne zusätzliche Sicherheit. Zweitens die Lücke: An der Nahtstelle zwischen IKT und Nicht-IKT fällt ein Thema zwischen die Regime, weil niemand zuordnet, ob DORA oder MaRisk führt.
Hinzu kommt eine Verwechslungsgefahr bei den EBA-Leitlinien. Die interne Governance wird weiterhin durch die geltende Leitlinie EBA/GL/2021/05 adressiert; deren Revision (EBA/CP/2025/20) ist noch Entwurf. Die separat geführte EBA/GL/2025/04 betrifft die Umwelt-Szenarioanalyse, nicht die interne Governance. Wer beide vermischt, verankert Anforderungen am falschen Bezugspunkt.
CISO-Einordnung
Der CISO sollte die 9. Novelle nicht als IT-Thema lesen, sondern als Governance-Neuordnung mit IT-Folgen.
Erstens verläuft die Trennlinie entlang IKT versus Nicht-IKT. IKT-Auslagerungen folgen DORA Kapitel V, Nicht-IKT-Auslagerungen bleiben bei MaRisk und § 25b KWG; die früheren technisch-organisatorischen MaRisk-Anteile werden gestrichen, wo DORA abdeckt. Die IT-Rundschreiben KAIT, VAIT und ZAIT sind zum 16.01.2025 aufgehoben, die BAIT läuft aus mit geplanter Vollaufhebung zum 31.12.2026 (Datum zu prüfen). MaRisk selbst wird nicht aufgehoben.
Zweitens verschiebt die Novelle die Logik vom Regelkatalog zu stärker prinzipienbasierter Steuerung. Die Proportionalität wird über ein transparenteres Klassifizierungssystem mit Erleichterungen für kleine und sehr kleine Institute gestärkt. Das ist Spielraum, aber auch Begründungslast: Wer skaliert, muss die Angemessenheit belegen.
Drittens rücken Governance und Nachhaltigkeit nach vorn. Die Konsultationsfassung schärft Unabhängigkeit, Eskalationswege und Expertise der Kontrollfunktionen; ESG-Risiken sind seit der 7. Novelle verankert und werden entlang der KWG-Vorgaben und der EBA-Leitlinien vertieft.
Umsetzungsperspektive
Die Umsetzung gelingt, wenn das Institut die Regime sauber zuschneidet, statt sie zu addieren.
- Kontrollinventar nach IKT und Nicht-IKT sortieren und jede Kontrolle genau einem führenden Regime zuordnen (DORA oder MaRisk/§ 25b KWG), um Doppelpflege und Lücken zu vermeiden.
- Governance und ESG an den geltenden Bezugspunkten verankern: interne Governance an EBA/GL/2021/05 (Revision EBA/CP/2025/20 nur beobachten), ESG an EBA/GL/2025/01 und EBA/GL/2025/04 (ab 01.01.2027).
- Proportionalität als Entscheidung dokumentieren: Klassifizierung, gewählte Erleichterungen und Begründung festhalten.
- Den Übergang als Programm steuern: Endfassung gegen die Konsultationsfassung abgleichen, Inkrafttreten und Übergangsfristen verifizieren (zu prüfen).
Typische Fehler
- IKT-Kontrollen werden parallel nach alter MaRisk und nach DORA gepflegt, statt einem führenden Regime zugeordnet.
- Die interne Governance wird an EBA/GL/2025/04 aufgehängt, obwohl diese die Umwelt-Szenarioanalyse betrifft.
- Inhalte der Konsultationsfassung werden als final behandelt, bevor Rundschreiben und Inkrafttreten geklärt sind.
- AT/BT-Ziffern der alten Fassung werden weiterzitiert, obwohl die Nummerierung mit der 9. Novelle restrukturiert wird.
- MaRisk und die Schwester-Rundschreiben MaGo (Versicherer) und MaComp (Wertpapierdienstleister) werden vermengt, obwohl sie eigene Rechtsgrundlagen haben.
Risiken und Trade-offs
Der Wechsel zu prinzipienbasierter Steuerung erhöht die Flexibilität, verlagert aber Verantwortung in die Institute: Mehr Spielraum bedeutet mehr Begründungslast und mehr Prüfungsrisiko, wenn die Angemessenheit nicht belastbar dokumentiert ist.
Die Abgrenzung zu DORA ist ein Trade-off zwischen Klarheit und Aufwand: Eine saubere Zuordnung kostet einmalig Analyse, verhindert aber dauerhafte Doppelpflege und Lücken. Auch der Zeitpunkt ist ein Risiko. Wer auf Basis der Konsultationsfassung implementiert, gewinnt Vorlauf, riskiert aber Nacharbeit bei Änderungen der Endfassung. Die Balance liegt in einer Delta-fähigen Umsetzung: Strukturen vorbereiten, finale Details erst nach Veröffentlichung fixieren.
Entscheidungspunkte
- Welches Regime führt für welche Kontrolle: DORA oder MaRisk/§ 25b KWG?
- Welche Proportionalitäts-Klasse beansprucht das Institut, und wie wird die Wahl begründet?
- Wann wird auf Basis der Konsultationsfassung vorgearbeitet, und welche Punkte bleiben bis zur Endfassung offen?
- Wer verantwortet im Haus den Abgleich von Endfassung, Rundschreiben-Nummer und Inkrafttreten (zu prüfen)?
Praktische Empfehlungen
- Erstellen Sie eine IKT/Nicht-IKT-Zuordnungsmatrix und ordnen Sie jede Kontrolle genau einem führenden Regime zu.
- Verankern Sie Governance und ESG an den korrekten EBA-Bezugspunkten und halten Sie fest, welche Leitlinie geltend und welche Entwurf ist.
- Behandeln Sie die Konsultationsfassung als Planungsgrundlage, nicht als Pflicht; pflegen Sie eine Delta-Liste zur Endfassung und aktualisieren Sie Ziffernverweise erst gegen den Originaltext.
- Verifizieren Sie verbindliche Daten (Inkrafttreten der 9. Novelle, BAIT-Vollaufhebung) ausschließlich am BaFin-Originaltext.
Relevante Normreferenzen
- BaFin, MaRisk (BA), Rundschreiben 06/2024 (BA) vom 29.05.2024 (8. Novelle): geltende Fassung; konkretisiert § 25a KWG.
- BaFin, Konsultation 02/2026 zur 9. Novelle: veröffentlicht 01.04.2026, Frist 08.05.2026; finale Fassung für Juni 2026 angekündigt (Nummer/Inkrafttreten zu prüfen).
- DORA, Verordnung (EU) 2022/2554: geltend seit 17.01.2025; lex specialis für IKT-Risikomanagement und IKT-Drittparteienrisiko.
- EBA/GL/2021/05 (interne Governance): geltend; Revision EBA/CP/2025/20 noch Entwurf. EBA/GL/2025/01 (ESG-Risiken) und EBA/GL/2025/04 (Umwelt-Szenarioanalyse, ab 01.01.2027).
- ISO/IEC 27001: allgemeiner Bezugsrahmen für das Wie der IT-Sicherheit, reference-only; für Banken werden IKT-Anteile primär über DORA adressiert.
Häufige Fragen
Ist die 9. MaRisk-Novelle bereits in Kraft?+
Zum Stand 30.06.2026 liegt die Fassung aus der Konsultation 02/2026 vor; die finale Veröffentlichung war für Juni 2026 angekündigt. Rundschreiben-Nummer und genaues Inkrafttreten sind zu prüfen.
Löst DORA die MaRisk ab?+
Nein. DORA verdrängt als lex specialis nur die IKT-Anteile. MaRisk bleibt für Gesamt-Risikomanagement und Governance jenseits reiner IKT maßgeblich und wird nicht aufgehoben.
Welche EBA-Leitlinie regelt die interne Governance?+
Geltend ist EBA/GL/2021/05; die Revision (EBA/CP/2025/20) ist noch Entwurf. EBA/GL/2025/04 betrifft die Umwelt-Szenarioanalyse, nicht die interne Governance.
Wer beaufsichtigt die Einhaltung der MaRisk?+
Die BaFin, in der laufenden Aufsicht gemeinsam mit der Deutschen Bundesbank. BNetzA und BSI sind hier nicht zuständig.
Vom Wissen zur Umsetzung
Die Cybervize-Plattform und unsere Beratung setzen MaRisk prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.
Passende Leistung ansehenVerwandte Artikel
Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: mar-004.
