Konsultationsentwurf zur 9. MaRisk-Novelle: Befreiungsschlag oder Begründungsbürokratie?

Im Mittelpunkt der angekündigten Reform standen drei Leitprinzipien:

• Komplexitätsabbau und Lesbarkeit: weniger Verweistechnik, weniger Redundanzen
• Verstärkte doppelte Proportionalität: stärkere Differenzierung nach Größe, Geschäftsmodell und Risikoprofil
• Prinzipienbasierte Steuerung mit Begründungspflicht: weniger Detailvorgaben, mehr Eigenverantwortung

Der Entwurf zeigt: Die Aufsicht meint es ernst und geht in Teilen mutiger vor als erwartet. Dennoch bleibt offen, ob daraus echte Entlastung entsteht. Denn die eigentliche Brisanz liegt nicht im Text selbst, sondern in der praktischen Umsetzung durch Institute und Aufsicht. Die Komplexität verschwindet nicht, sie wandert lediglich vom Regelwerk in die von der MaRisk regulierten Unternehmen.

• Komplexitätsabbau und Lesbarkeit

Das neue Rundschreiben ist spürbar schlanker, klarer und weniger redundant. Verweise wurden reduziert und Dopplungen beseitigt. Das ist ein klarer Fortschritt.

Der Preis dafür ist jedoch hoch: Weniger Text bedeutet mehr Interpretationsspielraum. Die formale Regelungsdichte sinkt, während der Abstimmungs- und Begründungsaufwand in der Praxis steigt. Die Komplexität verlagert sich lediglich.

• Verstärkte doppelte Proportionalität

Hier geht die Reform am weitesten. Significant Institutions unter der Aufsicht der EZB fallen vollständig aus dem Anwendungsbereich der MaRisk heraus. Bei Less Significant Institutions wird künftig in drei Kategorien differenziert: sehr kleine Institute mit einer Bilanzsumme von maximal einer Milliarde Euro, kleine Institute gemäß SNCI nach CRR sowie übrige LSIs. Sehr kleine Institute dürfen zudem bestimmte Erleichterungen für SNCI nutzen, auch wenn sie die formalen Kriterien nicht erfüllen.

Laut BaFin sollen rund 85 Prozent der Institute von erweiterten Öffnungsklauseln profitieren. Entscheidend ist jedoch etwas anderes: Diese Erleichterungen greifen nicht automatisch. Jedes Institut muss aktiv, revisionssicher und institutsspezifisch begründen, warum die reduzierte Umsetzung für sein Risikoprofil angemessen und wirksam ist.

• Prinzipienbasierte Steuerung mit Begründungspflicht

Der größte qualitative Sprung liegt in der konsequenten Abkehr von detaillierten Verfahrensvorgaben hin zu offenen Wertungsbegriffen wie „angemessen“, „risikoadäquat“, „verhältnismäßig“ und „wirksam“.

Die alte Logik lautete: Erfüllen wir die Vorgabe?

Die neue lautet: Warum ist unsere Lösung für unser konkretes Risikoprofil angemessen und nachweislich wirksam?

Damit ergibt sich folgende Begründungskette : Risikoprofil → Maßnahme → Wirksamkeitsnachweis

Konzeptionell ist dieser Ansatz überzeugend. Operativ bedeutet er jedoch einen tiefen Kultur- und Kompetenzbruch. Institute, die jahrelang auf Checklisten und Regelkonformität getrimmt waren, müssen nun belastbare, prüfungsfeste Argumentationsketten aufbauen.

Die Novelle schafft auf dem Papier Freiräume. In der Praxis entstehen jedoch neue Engpässe:

• AT 9 Auslagerungen

Der Bereich wurde deutlich verschlankt und risikobasiert ausgerichtet. Es gibt eine klare Abgrenzung zu DORA, sodass IKT-Drittparteienrisiken nicht mehr unter AT 9 fallen. Viele Detailvorgaben zur Vertragsgestaltung und Due Diligence wurden gestrichen. Zudem gibt es erweiterte Möglichkeiten für sehr kleine Institute. Die Herausforderung liegt in der sauberen Klassifizierung, besonders bei hybriden Cloud-Diensten oder Verbundlösungen. Fehler führen entweder zu Doppelregulierung oder zu Lücken im Risikomanagement.

• AT 4.3.4 Modelle und Künstliche Intelligenz

Erstmals gibt es ein eigenes Modul für Modell- und KI-Governance mit starkem Fokus auf Validierung, Erklärbarkeit und Proportionalität. Für kleinere und mittlere Institute birgt das erhebliche Risiken: fehlende interne Expertise, hoher Aufwand bei zentral bezogenen Verbundmodellen und die anspruchsvolle Erklärbarkeit von KI-Entscheidungen, etwa in der Kreditentscheidung oder bei Fraud-Detection-Systemen.

• ESG-Risiken und langfristige Resilienz

Mit der Umsetzung neuer EBA-Leitlinien werden ESG Risiken endgültig zum festen Bestand der Risikosteuerung. Besonders anspruchsvoll sind die geforderten Resilienzanalysen mit einem Zeithorizont von mindestens zehn Jahren. Viele Institute verfügen weder über belastbare Langfristdaten noch über robuste Szenario-Modelle, vor allem bei mittelständischen Kreditportfolien und langfristigen Immobilienfinanzierungen.

Die 9. MaRisk-Novelle ist kein Deregulierungsprojekt. Sie verlagert Verantwortung systematisch von der Aufsicht auf die Institute. Weniger Detailvorgaben bedeuten nicht weniger Aufwand, sondern höhere Anforderungen an interne Begründungsfähigkeit, Risikokultur und Dokumentation.

Der neue Engpass heißt nicht mehr Kenntnis der Regeln, sondern Fähigkeit, institutsspezifische Lösungen prüfungssicher zu begründen und ihre Wirksamkeit nachzuweisen.

Die größte Unsicherheit bleibt die künftige Prüfungspraxis. Prüfer sind seit Jahrzehnten auf detaillierte Konformitätsprüfungen geeicht. Ob sie den neuen prinzipienbasierten und proportionalen Ansatz konsequent mittragen oder ob sich faktisch eine Re-Standardisierung durch implizite Erwartungen durchsetzt, entscheidet über Erfolg oder Scheitern der Reform.

1. Begründungslogik zum Steuerungsinstrument etablieren

Entwickeln Sie interne Vorlagen und Prozesse, die die Kette: Risikoprofil → Maßnahme → Wirksamkeitsnachweis konsequent abbilden, nicht nur für die Dokumentation, sondern als echtes Management-Tool.

2. Erleichterungen prüfungsfest absichern

Dokumentieren Sie schon jetzt nachvollziehbar, warum eine reduzierte Umsetzung für Ihr Haus angemessen ist. Testen Sie die Argumentation intern und idealerweise extern.

3. Kulturwandel aktiv vorantreiben

Die Geschäftsleitung muss den Wechsel von Regelkonformität zu risikoadäquater Begründung sichtbar tragen. Sonst bleibt die neue Freiheit ungenutzt oder wird aus Vorsicht ignoriert.

4. Prioritäten setzen

Konzentrieren Sie sich frühzeitig auf folgende Bereiche: saubere Abgrenzung zwischen AT 9 und DORA bei Auslagerungen, Aufbau einer belastbaren KI- und Modell-Governance sowie robuste ESG-Resilienzanalysen mit einem Zeithorizont von zehn Jahren.

Der Konsultationsentwurf zur 9. MaRisk-Novelle ist ein ernsthafter und mutiger Versuch, die Aufsichtslogik neu auszurichten. Er macht das Regelwerk schlanker und gibt vielen Instituten mehr Spielraum.

Die eigentliche Herausforderung wird damit nicht kleiner, sondern verlagert sich ins Institut selbst. Die regulatorischen Anforderungen werden nicht geringer. Sie werden nur weniger sichtbar und gleichzeitig anspruchsvoller.

Wer die neuen Freiräume nur als Chance zur Aufwandsreduktion sieht, geht ein erhebliches Risiko ein. Wer sie aktiv, begründet und risikoadäquat nutzt, kann sein Risikomanagement substanziell stärken und strategischen Spielraum gewinnen.

Die Konsultation läuft noch bis zum 8. Mai 2026. 

Jetzt entscheidet sich, wer wirklich mit Prinzipien arbeiten kann und wer die alten Checklisten vermissen wird.

Die frühzeitige Auseinandersetzung mit regulatorischen Entwicklungen wird zunehmend zum strategischen Erfolgsfaktor.

Mit Regupedia.de verfolgen Sie relevante Neuerungen strukturiert und aktuell. Severn Consultancy begleitet Institute bei der fachlichen Einordnung, der operativen Umsetzung regulatorischer Veränderungen sowie bei der Umsetzung der oben genannten Handlungsempfehlungen.