MaRisk, CRD VI und EBA Guidelines: Was der MaRisk-Entwurf für das Risikomanagement konkret bedeutet

MaRisk steht 2026 (Konsultationsfassung 02/2026) vor einer spürbaren Neujustierung – in Tiefe, Struktur und hinsichtlich der Erwartungen der BaFin an Governance und Nachweisführung.

Der MaRisk-Entwurf wurde zeitgleich mit der deutschen Umsetzung der CRD VI (BRUBEG) vorgelegt, wobei die CRD VI durch Änderungen im KWG umgesetzt wird. Der MaRisk-Entwurf soll einen qualitativen Rahmen für die Auslegung in diesem Zusammenhang neuer Artikel aus dem KWG geben.

Weiterhin werden verschiedene Guidelines der European Banking Authority genannt, die im Entwurf umgesetzt sind, u. a. zu ESG und Umwelt-Szenarioanalysen.

Gerade für Vorstände, Risikocontrolling, Compliance, Interne Revision und Auslagerungsmanagement lautet die praktische Frage: Welche Anforderungen werden künftig prüf- und berichtsrelevant, und wie vermeide ich, dass ich erst bei der nächsten Prüfung „nachrüste“?

Was man in 2 Minuten verstanden haben sollte

Kleinerer Anwendungsbereich, mehr Proportionalität, aber auch mehr Granularität, mehr Nachweise: Der MaRisk-Entwurf ist deutlich umfangreicher als die bisherige Fassung und an verschiedenen Stellen konkreter formuliert. Das erhöht den Dokumentations- und Abstimmungsbedarf zwischen 1st Line, 2nd Line und 3rd Line.

• Explizite Nennung von CRD VI und neuen EBA Guidelines erhöhen die Erwartung, dass deutsche Institute EU-Regulatorik übersetzen.
• ESG: Der neue §26c KWG wird genannt; neue Anforderungen sind die 10‑Jahres‑Perspektive und Resilienzanalysen.
• Mehr Governance: Nicht nur Geschäftsleitung, sondern auch Aufsichtsorgan werden im Kernabschnitt zu Governance betrachtet.
• IT und Aspekte der operationalen Resilienz werden nicht nur operativ gesehen, sondern als Bestandteil der Gesamtsteuerung.
• Revisionsanforderungen werden sichtbarer gemacht und in den allgemeinen Teil (AT) verschoben; Governance und Modellrisikomanagement für automatisierte Kreditentscheidungen expliziter gefordert.

Inwiefern Neuerungen im MaRisk‑Entwurf wesentlich sind

Der große Unterschied ist nicht eine einzelne neue Pflicht, sondern die Summe aus Detailtiefe, Strukturumbau und die Beachtung von EU-Vorgaben im MaRisk-Entwurf. Der Entwurf hat deutlich mehr Seiten als die bisherige Fassung (82 statt 56) und arbeitet stärker mit Begriffsklärungen und Erläuterungen. Das hat eine unmittelbare Konsequenz: Interpretationsspielräume werden kleiner, während gleichzeitig die Anzahl der „Stellen, an denen man etwas belegen muss“, steigt.

Für die Praxis heißt das: Viele Institute werden nicht nur Policies aktualisieren, sondern ihr internes Kontrollsystem (IKS) und die Nachweisführung neu austarieren müssen. Sobald Anforderungen granularer beschrieben sind, steigt der Prüfmaßstab: Eine Prüfung fragt dann seltener „Gibt es etwas?“, sondern häufiger „Entspricht das Artefakt dem beschriebenen Mindestinhalt – und wird es im Alltag gelebt?“.

Zweitens sind die Nennung der CRD VI und mehrerer EBA-Leitlinien ein Signal, dass die Aufsicht eine konsistente Übersetzung von EU-Regulatorik in die Praxis deutscher Institute sehen will – inklusive Begriffswelt, Szenario-Logik und Governance-Rollen. Die folgenden EBA-Leitlinien würden als mit der MaRisk-Novelle umgesetzt gelten [9. MaRisk-Novelle, AT 1]:

• EBA-Leitlinien zu den Stresstests der Institute (EBA/GL/2018/04)
• EBA-Leitlinien Notleidende und gestundete Risikopositionen (EBA/GL/2018/06)
• EBA-Leitlinien zu Auslagerungen (EBA/GL/2019/02)
• EBA-Leitlinien für die Kreditvergabe und Überwachung (EBA/GL/2020/06)
• EBA-Leitlinien zur internen Governance (EBA/GL/2021/05)
• EBA-Leitlinien Zinsänderungsrisiken und Kreditspreadrisiko (EBA/GL/2022/14)
• EBA-Leitlinien zum Management der ESG-Risiken (EBA/GL/2025/01)
• EBA-Leitlinien zur Umwelt-Szenarioanalyse (EBA/GL/2025/04)

Adressatenkreis und Proportionalität

Im Entwurf wird der Adressatenkreis anders gefasst als bisher: Er richtet sich an KWG‑Institute, sofern sie nicht als bedeutend (Significant) im Sinne des SSM gelten und damit nicht direkt unter EZB‑Aufsicht stehen. Das heißt, die Adressaten der MaRisk sind nunmehr nur noch die national beaufsichtigten Institute.

Gleichzeitig wird Proportionalität in mehr Stufen konkretisiert: „kleine“ und „sehr kleine“ Institute werden ausdrücklich unterschieden [AT 1]:

• sehr kleine Institute mit einer Bilanzsumme von bis zu 1 Milliarde Euro im Vierjahresdurchschnitt (einschließlich bestimmter Drittstaatenzweigstellen),
• kleine Institute („Small and Non Complex Institutions“ – SNCI nach Art. 4 Abs. 1 Nr. 145 CRR), die typischerweise Bilanzsummen bis 5 Milliarden Euro aufweisen,
• die übrigen weniger bedeutenden Institute („Less Significant Institutions“ – LSI), die weder sehr klein noch klein im Sinne der SNCI-Definition sind.

Das ist für das Management hilfreich, weil Proportionalität dadurch stärker anhand definierter Kriterien begründet werden kann, und die vorgesehenen Erleichterungen werden in den betroffenen Abschnitten der MaRisk ausdrücklich geregelt. Aber genau darin steckt auch ein Problem: Wer die Erleichterungen nutzt, muss dies begründen. In der Praxis scheitert Proportionalität selten am Konzept, sondern eher an der Dokumentation („Warum genau fällt diese Aktivität unter ‚nicht wesentlich‘?“) oder an der Konsistenz („Warum gilt das hier als proportional, aber dort nicht?“).

ESG: von „mitdenken“ zu „steuern“

Der Entwurf enthält einen Bezug auf den neuen §26c KWG. Inhaltlich wird ESG von der BaFin als Risikotreiber verstanden, der auf klassische Risikoarten ausstrahlt (Kredit-, Markt-, Liquiditäts-, operationelle Risiken). [AT 2.2] Wer ESG weiterhin nur als separates „ESG‑Kapitel“ behandelt, wird es schwer haben, die Aufsicht von einer integrierten Steuerung zu überzeugen.

Institute müssen eine Kombination aus risikopositions-, sektor-, portfolio- und szenariobezogenen Methoden im Zusammenhang mit ESG verwenden – allein auf historische Daten zu setzen, reicht nicht. [AT 2.2]

Besonders anspruchsvoll ist der nunmehr konkret geforderte Zeithorizont von mindestens 10 Jahren. [AT 2.2 Tz. 3] Der Hintergrund ist transparent: Viele ESG‑Risiken materialisieren sich nicht innerhalb eines 12‑Monats‑Planungshorizonts, sondern als Übergangsrisiken (im Zusammenhang mit Regulierung, Technologie oder Nachfrageverschiebungen) und als physische Risiken (Wetterextreme, Standortverlagerungen, Lieferketten). Ein 10‑Jahres‑Blick zwingt Institute, weitergehende Annahmen zu treffen: Welche Szenarien nutzen wir? Welche Treiber (CO₂‑Preis, Energiepreise, Immobilienstandorte) sind maßgeblich? Und wie übersetzen wir das in Auswirkungen für die Portfolios?

Zusätzlich werden im Stresstestkontext Resilienzanalysen über ≥10 Jahre gefordert. [AT 4.3.3] Praktisch ist das eine Einladung, Stresstests nicht nur als „Schock‑Simulation“ zu verstehen, sondern als strukturellen Test für die Geschäfts- und Risikostrategie.

Für Entscheider ist sofort anwendbar:

• Wenn das Institut in Branchen mit Transformationsdruck finanziert (z. B. energieintensive Industrie, Gewerbeimmobilien), muss erklärt werden können, welche Portfolio‑Segmente über den Zeithorizont kippen könnten – und welche Gegenmaßnahmen es gibt.
• Ohne belastbare Daten- und Methodenkombination gerät man schnell in einen Blindflug. Der Entwurf macht deutlich, dass „eine Methode“ nicht ausreicht.

IT, Digitale Operationale Resilienz und DORA

IT‑Risiken werden im Entwurf ausdrücklich als Teil der operationellen Risiken hervorgehoben und sollen explizit in die Risikoinventur eingehen [AT 2.2]. Der entscheidende Punkt ist dabei nicht nur „mehr IT‑Risiken zu dokumentieren“, sondern der Perspektivwechsel: IT wird stärker als Steuerungs- und Governance‑Thema verstanden, nicht nur als Ressourcen- oder Infrastrukturfrage.

Eine IT‑Strategie wird gefordert; zusätzlich wird die DOR‑Strategie (Digitale Operationale Resilienz) angesprochen [AT 4.2]. Für die Praxis ist die Erwartungshaltung klar: Strategie heißt, dass das Management nachvollziehbar entscheidet, welche Resilienzfähigkeiten (z. B. Redundanz, Wiederanlauf, Monitoring, Testing) auf welchem Niveau angestrebt werden und wie das zur Risikobereitschaft des Instituts passt.

Aufsichtsorgan und Interne Revision: mehr Taktung, klarere Eskalation

Governance wird im Entwurf spürbar aufgewertet, insbesondere dadurch, dass nicht nur Geschäftsleitung, sondern auch Aufsichtsorgan im Kernabschnitt zu Governance betrachtet werden [AT 3.2]. Beispielsweise werden Berichtspflichten an das Aufsichtsorgan konkreter: mindestens quartalsweise schriftlich; „unverzüglich“ bei wesentlichen Informationen. Für Vorstände heißt das: Reporting‑Disziplin wird noch wichtiger. Wenn Ad‑hoc‑Kriterien, Wesentlichkeitsschwellen und „Wer informiert wen wann?“ nicht klar sind, ist das kein Kommunikationsproblem, sondern eine Governance‑Lücke.

Parallel wird die Interne Revision im Entwurf nicht mehr primär als eigenes Modul im besonderen Teil geführt [8. MaRisk-Novelle, BT 2], sondern nunmehr vor allem im allgemeinen Teil deutlich umfangreicher geregelt [9. MaRisk-Novelle, AT 4.4.3]. Dies stellt eine „Aufwertung“ dar: Die Anforderungen an die Interne Revision werden damit noch stärker als Teil von Governance-Strukturen, Three Lines of Defence und Gesamtbanksteuerung positioniert.

Der Druck steigt, Maßnahmen nicht nur zu definieren, sondern auch:

• Verantwortlichkeiten eindeutig zuzuordnen,
• Termine realistisch zu planen,
• Nachweise belastbar zu führen,
• und das Ganze konsistent an Aufsichtsorgan und Management zu berichten.

In vielen Häusern ist das keine „neue Disziplin“, aber erfahrungsgemäß finden Anforderungen des allgemeinen Teils noch größere Aufmerksamkeit in Prüfungen.

Modelle und automatisierte Kreditentscheidungen

Es werden automatisierte Modelle, die im Zusammenhang mit Kreditentscheidung oder Kreditwürdigkeitsprüfung angewendet werden, nunmehr explizit im Haupttext angesprochen. [BTO 1.2] Anforderungen an die Angemessenheit vonGovernanceund Modellrisikomanagement für solche Modelle werden damit verbindlich.

Fazit

• ESG: Die ESG-Methodik ist zu erweitern, und ein 10-Jahres-Horizonts ist dabei notwendig umzusetzen. Dann werden Risiken früher sichtbar: mehr Transparenz und höhere Verlustschätzungen heute und potenziell weniger überraschende Verluste später.
• Operative Effizienz: Der Bedarf für Dokumentation und Abstimmung zwischen 1st, 2nd und 3rd Line steigt. In schlecht organisierten Häusern steigen die Kosten dauerhaft, in gut organisierten Häusern sind Skaleneffekte im Risikomanagement möglich.
• Wettbewerbsvorteile: Die ESG-Integration ist zunächst mit Aufwand verbunden. Aber Institute mit schwachem ESG-Risikomanagement haben schlechtere Daten und reagieren später auf Risiken, während Institute mit starker ESG-Integration eine bessere Datenlage haben, Risiken besser in die Preisgestaltung einbeziehen können, Chancen früher erkennen und damit attraktiver für Investoren werden.
• Governance: Insbesondere sind Definitionen von Rollen und Eskalationskriterien vor dem Hintergrund der überarbeiteten Anforderungen zu überprüfen.
• Modelle und Kreditprozesse: Auf Grund der expliziten Nennung automatisierter Kreditentscheidungen ist die Erfüllung der Anforderungen an Governance und Modellrisikomanagment sicherzustellen.

Umsetzungsagenda: So wird aus dem Entwurf ein prüfungstauglicher Plan

Ein Entwurf ist als Roadmap der Aufsicht zu lesen. Eine zugehörige praxistaugliche Agenda hat aus unserer Sicht vier Bausteine:

1️⃣ Lücken entlang der Neuerungen analysieren

Nicht nur Textvergleich, sondern Artefaktvergleich: Welche Policies, Reports, Gremienkalender, Eskalationsprozesse und Kontrollen decken die neuen Erwartungen ab, und wo fehlt der Mindestinhalt?

2️⃣ Governance zuerst, weil dies alles andere beschleunigt

Wenn Rollen, Informationswege und Eskalationskriterien klar sind, werden ESG‑Analysen, IT‑Strategie oder Modellkontrollen schneller „abnahmefähig“.

3️⃣ ESG‑Langfristlogik soll in die bestehende Steuerung integriert werden

10‑Jahres‑Resilienzanalysen wirken nur, wenn diese an Portfolio‑Steuerung, Limite, Pricing, Produktstrategie und Risikotragfähigkeit anschließen.

4️⃣ Revisions- und Modellthemen sollen „prüfbar“ sein

Mängelklassifikation, Turnus, Berichtsfrequenzen, Modellinventar, Erklärbarkeit: Hier zählt die Umsetzung in Prozesse und Nachweise.

Wenn Sie diese Punkte in ein Programm gießen, entsteht ein belastbarer Pfad: ohne hektische Einzelmaßnahmen kurz vor der Prüfung.

Häufige Fragen aus der Praxis (FAQ)

♦️ Was bedeutet der MaRisk-Entwurf für das Risikomanagement von Banken?

Der Entwurf der MaRisk-Novelle 2026 bringt vor allem mehr Detailtiefe, überarbeitete Governance-Anforderungen und möglicherweise mehr Nachweispflichten. Gegebenenfalls haben aber neue Regelungen zur Proportionalität auch entlastende Wirkung.

♦️ Welche Rolle spielt CRD VI im MaRisk-Entwurf?

CRD VI bildet die regulatorische Grundlage, die in Deutschland über das KWG umgesetzt wird. Die MaRisk konkretisieren dabei die praktische Auslegung.

♦️ Welche neuen Anforderungen gelten für ESG-Risiken?

Neu sind im MaRisk-Entwurf insbesondere ein Mindest-Zeithorizont von 10 Jahren sowie Anforderungen hinsichtlich Resilienztests.

♦️ Was ändert sich für das Aufsichtsorgan praktisch?

Die Anforderungen an die Governance steigen im MaRisk-Entwurf deutlich: Das Aufsichtsorgan soll stärker eingebunden werden, insbesondere werden Berichtspflichten und Eskalationsprozesse konkreter geregelt.

♦️ Wie verändern sich die Anforderungen an die Interne Revision?

Die Interne Revision wird im MaRisk-Entwurf stärker als Teil der Gesamt-Governance positioniert.

♦️ Welche Bedeutung hat IT im MaRisk-Entwurf?

IT-Risiken werden im MaRisk-Entwurf als Bestandteil der operationellen Risiken betrachtet. Institute müssen eine IT-Strategie entwickeln.

♦️ Was bedeutet Proportionalität im MaRisk-Entwurf für das Risikomanagement?

Der MaRisk-Entwurf berücksichtigt die Größe und Komplexität von Instituten nunmehr stärker im Risikomanagement. Kleine und sehr kleine Institute profitieren von Erleichterungen, müssen aber klar dokumentieren, warum bestimmte Anforderungen proportional umgesetzt werden dürfen.