MaRisk-Roadmap für den CISO im Finanzsektor
Kernaussage
Die MaRisk sind kein Gesetz, sondern ein BaFin-Rundschreiben als norminterpretierende Verwaltungsvorschrift, die § 25a KWG konkretisiert; geltend ist Rundschreiben 06/2024 (BA) vom 29.05.2024 (8. Novelle). Sie binden zunächst die Aufsicht und damit faktisch die Institute. Für den CISO lautet die Botschaft: Die MaRisk bleiben das Dach für Governance und Gesamt-Risikomanagement, während die IKT-Resilienz seit 17.01.2025 unmittelbar durch DORA geregelt wird.
Eine belastbare Roadmap trennt beide Welten sauber, doppelt sie nicht und verbindet sie über gemeinsame Nachweise und Auslagerungssteuerung. Wer MaRisk, DORA und ISMS als drei konkurrierende Projekte führt, erzeugt Reibung und Lücken; wer sie als ein Steuerungsmodell mit klarer Arbeitsteilung versteht, gewinnt Prüfbarkeit und Führungsfähigkeit.
Problem in der Praxis
In vielen Instituten ist die Zuständigkeitskarte unscharf geworden, seit die sektoralen IT-Rundschreiben weggefallen sind. KAIT, VAIT und ZAIT wurden zum 16.01.2025 aufgehoben; für DORA-pflichtige Institute entfällt die BAIT-Bindung seit 16.01.2025, eine vollständige Aufhebung der BAIT ist zum 31.12.2026 vorgesehen (Datum und Übergangsfälle am Originaltext zu prüfen). Daraus entsteht der Fehlschluss, die MaRisk seien nur noch zweitrangig. Das Gegenteil stimmt: Sie wurden nicht aufgehoben, sondern werden mit der 9. Novelle lediglich um die von DORA abgedeckten IKT-Teile bereinigt.
Im Alltag zeigt sich das an drei Stellen: Es fehlt eine klare Grenzlinie zwischen DORA- und MaRisk-Anforderungen; Auslagerungen werden einheitlich behandelt, obwohl IKT-Drittparteien und sonstige Auslagerungen heute unterschiedlichen Regimen folgen; und Nachweise entstehen erst kurz vor Prüfungen durch BaFin und Deutsche Bundesbank statt aus dem Regelbetrieb.
CISO-Einordnung
Der CISO sollte die Roadmap entlang einer einfachen Leitfrage ordnen: Wer regelt was, und wo entsteht der gemeinsame Nachweis?
- MaRisk (BaFin-Rundschreiben, § 25a KWG): Geschäfts- und Risikostrategie, Risikotragfähigkeit, internes Kontrollsystem, Funktionstrennung, Steuerungs- und Kontrollfunktionen (Risikocontrolling, Compliance, Interne Revision), Risikokultur und Gesamtverantwortung des Leitungsorgans (§ 25c KWG).
- DORA (Verordnung (EU) 2022/2554, lex specialis, unmittelbar geltend): IKT-Risikomanagement, IKT-Vorfallmeldung, Resilienz-Testing und IKT-Drittparteienrisiko. Diese Themen gehören nicht mehr in die MaRisk-Argumentation.
- ISMS (ISO/IEC 27001 oder IT-Grundschutz, reference-only): liefert das organisatorische Wie für die Sicherheitsanteile, die für Banken primär über DORA adressiert werden; es dient als Betriebsmodell und Nachweisquelle, nicht als Ersatz der aufsichtlichen Pflicht.
Zuständig sind im Finanzsektor BaFin (federführend) und in der laufenden Aufsicht die Deutsche Bundesbank, nicht die BNetzA und nicht das BSI. Das bestimmt Adressaten und Meldewege.
Umsetzungsperspektive
Eine tragfähige Roadmap lässt sich in vier aufeinander aufbauenden Schichten denken.
- Governance-Fundament nach MaRisk: Strategieprozess, Risikoinventur, Aufbau- und Ablauforganisation, Three-Lines-Logik, Unabhängigkeit der Kontrollfunktionen. Dieser Kern bleibt unabhängig von DORA bestehen.
- IKT-Abgrenzung zu DORA: Eine dokumentierte Mapping-Tabelle hält fest, welche früher MaRisk-nahen IKT-Aspekte heute durch DORA gedeckt sind. Ziel ist Eindeutigkeit, keine Doppelregelung.
- Auslagerungssteuerung als Brücke: Nicht-IKT-Auslagerungen folgen weiterhin MaRisk (AT 9) und § 25b KWG mit Wesentlichkeitsanalyse, Auslagerungsbeauftragtem, Register sowie Steuerung und Exit; IKT-Auslagerungen folgen DORA (Kapitel V). Ein gemeinsames, aber regimebewusstes Register verhindert blinde Flecken.
- Nachweisschicht: Entscheidungen, Bewertungen, Eskalationen und Prüfergebnisse entstehen getaktet im Regelbetrieb, sodass interne Revision (BT 2), Risikoberichterstattung (BT 3) und externe Prüfungen aus derselben Spur schöpfen.
Die 9. Novelle ist in Konsultation (02/2026, veröffentlicht 01.04.2026, Frist bis 08.05.2026, finale Fassung für Juni 2026 angekündigt). Sie stärkt die Proportionalität über ein transparentes Klassifizierungssystem mit Erleichterungen für kleine und sehr kleine Institute und schärft die Kontrollfunktionen. Finale Rundschreiben-Nummer, Inkrafttreten und die neue AT/BT-Ziffernstruktur sind erst am Originaltext belastbar und als Platzhalter mit Prüfvorbehalt zu führen.
Typische Fehler
- IKT-Resilienz wird weiterhin als MaRisk-Thema beschrieben und damit gegenüber DORA gedoppelt.
- Ein einziges Auslagerungsverfahren wird auf IKT- und Nicht-IKT-Auslagerungen angewandt, ohne das jeweilige Regime zu kennzeichnen.
- Die weggefallenen IT-Rundschreiben werden als Wegfall der MaRisk missverstanden.
- Konsultationsinhalte der 9. Novelle werden als geltendes Recht zitiert, obwohl die Endfassung abweichen kann.
- Meldungen und Eskalationen werden an falsche Behörden adressiert (BNetzA oder BSI statt BaFin und Bundesbank).
Risiken und Trade-offs
Eine zu strikte Trennung von MaRisk und DORA kann Schnittstellen reißen lassen, etwa wenn eine IKT-Auslagerung zugleich governance-relevant ist; eine zu starke Verschmelzung erzeugt Doppelregelung und Streit darüber, welche Norm greift. Der CISO muss diese Grenze bewusst und dokumentiert ziehen.
Ein zweiter Trade-off liegt in der Proportionalität: Erleichterungen für kleine Institute senken Aufwand, können aber Nachweislücken erzeugen, wenn sie als Verzicht auf Steuerung missverstanden werden. Hinzu kommt ein Zeitrisiko: Wer die Roadmap zu eng an die noch nicht finalisierte 9. Novelle bindet, riskiert Nacharbeit; wer sie ignoriert, verpasst Strukturentscheidungen.
Entscheidungspunkte
- Wie wird die Grenzlinie zwischen MaRisk-Governance und DORA-IKT verbindlich dokumentiert und gepflegt?
- Wird das Auslagerungsregister regimebewusst geführt, sodass IKT- und Nicht-IKT-Auslagerungen getrennt steuerbar sind?
- Welche Nachweise entstehen automatisch im Prozess, und welche müssen bewusst erzeugt werden?
- Wie weit richtet sich die Roadmap auf die Konsultationsfassung der 9. Novelle aus, ohne sich an unbestätigte Details zu binden?
- Welche Rolle übernimmt ein bestehendes ISMS als Nachweisquelle, ohne die aufsichtliche Pflicht zu ersetzen?
Praktische Empfehlungen
- Erstellen Sie eine MaRisk-DORA-Abgrenzungsmatrix als zentrales Steuerungsdokument und halten Sie sie aktuell.
- Führen Sie das Auslagerungsregister mit einem Regime-Kennzeichen (DORA Kapitel V versus MaRisk AT 9 / § 25b KWG).
- Verankern Sie Nachweise im Regelbetrieb, sodass interne Revision und Risikoberichterstattung daraus schöpfen; ein vorhandenes ISMS dient als Betriebsmodell für Sicherheitsnachweise, ohne die MaRisk-Pflicht zu ersetzen.
- Behandeln Sie die 9. Novelle als Planungsannahme mit Prüfvorbehalt; markieren Sie Nummer, Datum und Ziffernstruktur als noch zu bestätigen.
- Adressieren Sie aufsichtliche Kommunikation an BaFin und Deutsche Bundesbank und schulen Sie die Meldewege entsprechend.
Relevante Normreferenzen
- BaFin, MaRisk, Rundschreiben 06/2024 (BA) vom 29.05.2024 (8. Novelle), Rechtsgrundlage § 25a KWG; Auslagerung § 25b KWG; Geschäftsleiterpflichten § 25c KWG.
- BaFin, Konsultation 02/2026 zur 9. MaRisk-Novelle (veröffentlicht 01.04.2026, Frist 08.05.2026; finale Fassung für Juni 2026 angekündigt), Entwurfsstand.
- DORA, Verordnung (EU) 2022/2554, Geltung seit 17.01.2025 (IKT-Risiko, Vorfallmeldung, Testing, IKT-Drittparteien).
- EBA/GL/2021/05 (Interne Governance, geltend); Revision in Konsultation EBA/CP/2025/20.
- EBA/GL/2025/04 (Umwelt-Szenarioanalyse, Anwendung ab 01.01.2027); EBA/GL/2025/01 (Management von ESG-Risiken).
- ISO/IEC 27001 und BSI IT-Grundschutz: reference-only als Betriebsmodell für das Wie der Sicherheitsanteile.
Häufige Fragen
Sind die MaRisk durch DORA überholt?+
Nein. DORA übernimmt die IKT-Resilienz, die MaRisk bleiben für Governance und Gesamt-Risikomanagement maßgeblich und wurden nicht aufgehoben.
Wer ist im Finanzsektor zuständig?+
BaFin federführend, in der laufenden Aufsicht gemeinsam mit der Deutschen Bundesbank. Nicht BNetzA, nicht BSI.
Wie werden Auslagerungen behandelt?+
IKT-Auslagerungen folgen DORA (Kapitel V), Nicht-IKT-Auslagerungen weiterhin MaRisk (AT 9) und § 25b KWG. Das Register sollte beide Regime kennzeichnen.
Kann ich mich auf die 9. Novelle stützen?+
Nur mit Vorbehalt. Sie ist in Konsultation; finale Nummer, Inkrafttreten und Ziffernstruktur sind erst am Originaltext belastbar.
Vom Wissen zur Umsetzung
Die Cybervize-Plattform und unsere Beratung setzen MaRisk prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.
Passende Leistung ansehenVerwandte Artikel
Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: mar-005.
