Cybervize - Cybersecurity Beratung

MaRisk und DORA: Überblick und Abgrenzung

MaRiskVorstandCROCISOLeiter RisikocontrollingCompliance-BeauftragterAuslagerungsbeauftragter

Kernaussage

Die MaRisk (Mindestanforderungen an das Risikomanagement, BA) sind kein Gesetz, sondern ein BaFin-Rundschreiben. Als norminterpretierende Verwaltungsvorschrift konkretisieren sie § 25a Abs. 1 KWG zur ordnungsgemäßen Geschäftsorganisation und zu einem angemessenen und wirksamen Risikomanagement. Sie binden die Aufsicht selbst und damit faktisch die Institute. Geltende Fassung ist das Rundschreiben 06/2024 (BA) vom 29.05.2024, die 8. MaRisk-Novelle.

Mit DORA (Verordnung (EU) 2022/2554, Geltung seit 17.01.2025) hat sich die Arbeitsteilung verschoben: DORA ist für Finanzunternehmen lex specialis und unmittelbar geltendes EU-Recht für das IKT-Risikomanagement. Die IKT-Anteile wandern damit in das DORA-Regime, während die MaRisk Rahmen für Gesamt-Risikomanagement und Governance jenseits reiner IKT bleibt. Zuständig sind BaFin (federführend) und Deutsche Bundesbank, nicht BNetzA oder BSI.

Problem in der Praxis

Viele Institute behandeln MaRisk und DORA wie konkurrierende Regelwerke und erfüllen jede Anforderung in beiden Welten parallel. Das führt zu doppelten Richtlinien, Meldewegen und Auslagerungsregistern, besonders bei IT und Auslagerung, wo Strukturen aus den früheren IT-Rundschreiben weiter gepflegt werden, obwohl sie in DORA aufgegangen sind. Hinzu kommt Unsicherheit über den Stand: Die frühere AT 7.2 zu IT-Systemen prägt noch viele Dokumente, obwohl KAIT, VAIT und ZAIT zum 16.01.2025 aufgehoben wurden und die BAIT in eine Übergangsphase mit geplanter vollständiger Aufhebung übergegangen ist. Das Steuerungsproblem ist daher keine Frage einzelner Klauseln, sondern der Architektur: Welches Regelwerk regiert welchen Gegenstand?

CISO-Einordnung

Aus Leitungssicht zählt die Frage nach dem Regelungsgegenstand, nicht nach dem Dokument. Drei Leitfragen helfen:

  • IKT-Risiko, IKT-Vorfallmeldung, Resilienz-Testing oder IKT-Drittparteienrisiko? Dann führt DORA.
  • Geschäfts- und Risikostrategie, Risikotragfähigkeit, internes Kontrollsystem, Funktionstrennung oder Gesamtverantwortung der Geschäftsleitung? Dann führt MaRisk.
  • Auslagerung? Dann trennen: IKT-Auslagerungen folgen DORA, Nicht-IKT-Auslagerungen bleiben bei MaRisk und § 25b KWG.

Die MaRisk ist modular: Der Allgemeine Teil (AT) enthält Grundprinzipien zu Risikomanagement, IKS, Ressourcen und Auslagerung; der Besondere Teil (BT) konkretisiert Aufbau- und Ablauforganisation, Risikosteuerung und -controlling sowie Interne Revision und Risikoberichterstattung. Die 8. Novelle ergänzte Kreditspreadrisiken im Anlagebuch (CSRBB) und setzt damit die EBA-Leitlinien zu IRRBB und CSRBB um. DORA verdrängt die MaRisk nicht als Ganzes, sondern besetzt nur einen klar umrissenen Gegenstand: die digitale operationale Resilienz.

Umsetzungsperspektive

Sinnvoll ist eine bewusste Zwei-Säulen-Architektur mit definierten Schnittstellen.

  • MaRisk-Säule (Governance, Gesamt-Risikomanagement): Geschäfts- und Risikostrategie, Risikoinventur, Risikotragfähigkeit (ICAAP), IKS, die Funktionen Risikocontrolling, Compliance und Interne Revision sowie Adressenausfall-, Marktpreis-, Liquiditäts- und operationelle Risiken sowie das Zinsänderungsrisiko im Anlagebuch (IRRBB) und das Kreditspreadrisiko im Anlagebuch (CSRBB). ESG-Risiken sind seit der 7. Novelle verankert.
  • DORA-Säule (IKT-Resilienz): IKT-Risikomanagement, Vorfallmeldung, Test- und Resilienzprogramme, IKT-Drittparteienrisiko.
  • Schnittstelle Auslagerung: ein einheitliches Management, das jede Auslagerung als IKT-bezogen oder nicht klassifiziert und dem führenden Regime zuordnet.

Die Proportionalität bleibt Kernprinzip: Anforderungen skalieren mit Größe, Geschäftsumfang, Komplexität und Risikogehalt. Die 9. Novelle wurde am 01.04.2026 als Konsultation 02/2026 veröffentlicht (Frist 08.05.2026), die finale Fassung für Juni 2026 angekündigt; sie soll Proportionalität über ein Klassifizierungssystem stärken und IKT-Teile an DORA anpassen. Diese Entwurfspunkte sind noch nicht final; konkrete AT- und BT-Ziffern sind am BaFin-Originaltext zu prüfen.

Typische Fehler

  1. MaRisk und DORA werden als konkurrierende statt arbeitsteilige Regelwerke behandelt, was Doppelregulierung erzeugt.
  2. IKT-Pflichten werden weiter über MaRisk-Logik gesteuert, obwohl sie inhaltlich in DORA gehören.
  3. Strukturen aus den aufgehobenen IT-Rundschreiben (KAIT, VAIT, ZAIT) oder der auslaufenden BAIT werden ungeprüft fortgeschrieben.
  4. Auslagerungen werden nicht als IKT-bezogen oder nicht klassifiziert, sodass die Zuordnung zu DORA oder § 25b KWG unklar bleibt.
  5. Inhalte der Konsultationsfassung der 9. Novelle werden als geltendes Recht behandelt; die Behördenzuordnung (BaFin, Bundesbank) wird verwechselt.

Risiken und Trade-offs

Eine zu strikte Trennung der Säulen lässt Schnittstellen unterbelichtet, etwa beim operationellen Risiko mit MaRisk- und IKT-Dimension; eine zu starke Integration verwischt Verantwortlichkeiten und erschwert den Nachweis, welches Regime führt. Ein zeitlicher Trade-off besteht bei der 9. Novelle: zu frühe Umstellung auf Entwurfsstände erzeugt Nacharbeit, zu späte verzögert die DORA-Anpassung. Drittens drohen kleine Institute ein zu schweres Doppelregime aufzubauen, obwohl die Proportionalität Erleichterungen vorsieht.

Entscheidungspunkte

  • Wie wird verbindlich festgelegt, welcher Gegenstand unter MaRisk und welcher unter DORA fällt?
  • Wie werden IKT- und Nicht-IKT-Auslagerungen getrennt und dem richtigen Regime zugeordnet?
  • Welche internen Dokumente verweisen noch auf aufgehobene oder auslaufende IT-Rundschreiben?
  • Ab wann werden Entwurfsinhalte der 9. Novelle verbindlich umgesetzt?
  • Wer im Leitungsorgan trägt die Gesamtverantwortung für beide Säulen und ihre Schnittstelle?

Praktische Empfehlungen

  1. Etablieren Sie eine dokumentierte Zwei-Säulen-Logik: MaRisk für Governance und Gesamt-Risikomanagement, DORA für IKT-Resilienz.
  2. Führen Sie ein einheitliches Auslagerungsmanagement mit klarer Klassifizierung IKT versus Nicht-IKT und ordnen Sie jede Auslagerung DORA oder § 25b KWG zu.
  3. Inventarisieren Sie Altbestände aus KAIT, VAIT, ZAIT und BAIT und überführen Sie IKT-Inhalte in das DORA-Regime.
  4. Behandeln Sie die 9. Novelle als Planungsgegenstand, nicht als geltendes Recht, und planen Sie einen Abgleich gegen die Endfassung ein.
  5. Verankern Sie die Gesamtverantwortung der Geschäftsleitung (§ 25c KWG) auch für die Schnittstelle zwischen MaRisk und DORA.

Relevante Normreferenzen

  • MaRisk, Rundschreiben 06/2024 (BA) vom 29.05.2024 (8. Novelle): zentrale Bezugsquelle für das Risikomanagement von Banken; konkretisiert § 25a KWG.
  • § 25a, § 25b und § 25c KWG: Grundlage für Geschäftsorganisation, Auslagerung und Geschäftsleiterpflichten.
  • DORA, Verordnung (EU) 2022/2554: lex specialis für das IKT-Risikomanagement von Finanzunternehmen (im Korpus eigenständig behandelt).
  • EBA-Leitlinien als Level-2/3-Bezug, etwa zu IRRBB/CSRBB und zur internen Governance (EBA/GL/2021/05, in Revision).
  • ISO/IEC 27001: nur als Referenz für ein ISMS, nicht als aufsichtliche Anforderung; reference-only.

Häufige Fragen

Ist die MaRisk ein Gesetz?+

Nein. Sie ist ein BaFin-Rundschreiben, eine norminterpretierende Verwaltungsvorschrift, die § 25a KWG konkretisiert und die Aufsicht sowie faktisch die Institute bindet.

Wird die MaRisk durch DORA abgelöst?+

Nein. DORA übernimmt das IKT-Risikomanagement und verdrängt insoweit die IKT-Teile; die MaRisk bleibt für Governance und Gesamt-Risikomanagement jenseits reiner IKT maßgeblich.

Welches Regime gilt für Auslagerungen, und wer ist zuständig?+

IKT-Auslagerungen folgen DORA, Nicht-IKT-Auslagerungen bleiben bei § 25b KWG. KAIT, VAIT und ZAIT wurden zum 16.01.2025 aufgehoben, die BAIT läuft aus. Zuständig sind BaFin und Bundesbank, nicht BNetzA oder BSI.

Vom Wissen zur Umsetzung

Die Cybervize-Plattform und unsere Beratung setzen MaRisk prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.

Passende Leistung ansehen

Verwandte Artikel

Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: mar-001.