Zum Inhalt springen

MaRisk

Mindestanforderungen an das Risikomanagement praktisch umsetzen.

Strukturierte Umsetzungshilfen für MaRisk AT (Allgemeine Anforderungen), BT (Besondere Anforderungen) und Auslagerungsmanagement mit DORA- und ISO-Alignment.

Management-Zusammenfassung

  • MaRisk (Mindestanforderungen an das Risikomanagement) ist die zentrale aufsichtsrechtliche Grundlage für deutsche Finanzinstitute.
  • Die Anforderungen gliedern sich in AT (Allgemeine Anforderungen) und BT (Besondere Anforderungen) mit IKT-Schwerpunkten.
  • MaRisk AT 7 und AT 9 behandeln IKT-Risiken und Auslagerungen – hier greift DORA vertiefend ein.
  • Die Drei-Linien-Modell (AT 4.4) bildet die Governance-Grundlage für DORA Art. 4 und Art. 5.
  • ISO 27001 Kontrollen unterstuetzen die operative Umsetzung von MaRisk-Anforderungen, ersetzen sie aber nicht.
  • Wertpapierinstitute (WpI) unterliegen modifizierten Anforderungen (WpI MaRisk) mit proportionalen Erleichterungen.

Hinweis: Diese Darstellung stellt keine vollständige Wiedergabe der BaFin MaRisk dar. Die Inhalte bieten eigene, praxisnahe Interpretationen der Anforderungen mit Fokus auf Integration mit DORA und ISO 27001. Keine Rechtsberatung — verbindlich sind die aktuellen MaRisk-Fassungen der BaFin.

10. MaRisk — Konsultation abgeschlossen, Finalisierung H2 2026

Die BaFin hat die Konsultation zur 10. MaRisk am 8. Mai 2026 abgeschlossen. Die Finalisierung ist für die zweite Jahreshälfte 2026 geplant. Die Novelle bringt eine grundlegende Reform mit stärker prinzipienbasiertem Ansatz und reduzierter Komplexität.

Neue Institutsklassifizierung

Drei Größenklassen: sehr klein (≤1 Mrd €), klein (SNCIs, ≤5 Mrd €), übrige (LSIs). SIs aus dem Anwendungsbereich herausgenommen.

DORA-Alignment

AT 7.2 (technisch-organisatorische Ausstattung) wird nahezu vollständig gestrichen — IKT-Risiken primär durch DORA geregelt.

AT 4.3.4 — Modelle & KI

Neues Modul explizit für KI-Systeme, automatisierte Verfahren und Modelle (Kreditrisiko, Stresstests).

ESG-Szenarioanalysen

Umsetzung der EBA-Leitlinien zur Umwelt-Szenarioanalyse (EBA/GL/2025/04) mit 10-Jahres-Horizont.

AT — Allgemeine Anforderungen

AT 4.3.1 MARISK-AT-4.3.1
Basis

Risikomanagementrahmen etablieren

Ein institutioneller Rahmen für das IKT-Risikomanagement wird definiert, dokumentiert und mit den Geschäftsstrategien sowie der Risikotragfähigkeit abgestimmt. Dies umfasst die Etablierung von Richtlinien, Verfahren und Verantwortlichkeiten gemäß DORA Art. 6 für ein umfassendes IKT-Risikomanagementrahmenwerk, das die Identifikation, Bewertung und Steuerung von IKT-Risiken mit klaren Eskalationspfaden und Zuständigkeiten sicherstellt.

DORA Alignment

Art. 6 (IKT-Risikomanagementrahmen)

Ganzheitlicher Ansatz für Risikoidentifikation, -bewertung und -steuerung mit definierten Verantwortlichkeiten und Eskalationspfaden.

ISO 27001 Referenzen

A.5.1, A.5.2, A.5.4

Nachweisfokus

Risikomanagementrichtlinie, Risikostrategie, Genehmigungsnachweise, Eskalationsprotokolle

AT 4.3.2 MARISK-AT-4.3.2
Geführt

Risikoidentifikation und -bewertung

IKT-Risiken werden systematisch ermittelt, quantifiziert oder qualitativ bewertet und ihrer Bedeutung nach priorisiert. Dies erfolgt gemäß DORA Art. 6 mit etablierter Methodik zur Identifikation kritischer IKT-Risiken, einschließlich Szenarioanalyse und Stress-Testing, sowie der Definition von Risikoappetit und -toleranzen für das IKT-Portfolio.

DORA Alignment

Art. 6 (Risikobewertung)

Grundlage für die Identifikation kritischer IKT-Risiken und die Definition von Risikoappetit und -toleranzen.

ISO 27001 Referenzen

A.5.9, A.8.1, A.8.2

Nachweisfokus

Risikoinventar, Bewertungsmethodik, Risikomatrix, Review-Protokolle

AT 4.3.3 MARISK-AT-4.3.3
Geführt

Risikosteuerung und -überwachung

Identifizierte IKT-Risiken werden durch angemessene Steuerungsmaßnahmen gemäß DORA Art. 8 behandelt, darunter Schutz-, Erkennungs-, Reaktions- und Wiederherstellungsmaßnahmen. Die Wirksamkeit dieser Maßnahmen wird regelmäßig überprüft, an Veränderungen im IKT-Risikolandskap angepasst und mittels Kontrollen sowie internen Audits validiert.

DORA Alignment

Art. 8 (IKT-Risikosteuerung)

Implementierung von Schutz-, Erkennungs-, Reaktions- und Wiederherstellungsmaßnahmen mit Wirksamkeitskontrollen.

ISO 27001 Referenzen

A.5.35, A.5.36, A.5.37

Nachweisfokus

Risikosteuerungsplaene, Maßnahmenregister, Wirksamkeitsnachweise, Review-Berichte

AT 4.3.4 (10. MaRisk) MARISK-AT-4.3.4
planned

KI-Systeme und Modelle - Risikomanagement

Der Einsatz von KI-Systemen und Modellen (einschließlich Machine Learning) wird in das ganzheitliche Risikomanagement eingebunden. Anforderungen umfassen: Identifikation und Klassifizierung von KI-Systemen und Modellen, Risikobewertung und -steuerung spezifischer KI-Risiken (z.B. mangelnde Erklärbarkeit, Verzerrung, Datenqualität), Validierung und regelmäßige Überprüfung von Modellen, Dokumentation der Modellnutzung und -grenzen, Eskalationsprozesse bei Modellfehlern oder Fehlverhalten.

DORA Alignment

Art. 6 (IKT-Risikomanagementrahmen) i.V.m. 10. MaRisk AT 4.3.4

KI-Systeme als Teil des IKT-Risikoinventars mit besonderen Anforderungen an Transparenz, Erklärbarkeit und Modellvalidierung.

ISO 27001 Referenzen

A.5.35, A.6.3, A.8.8

Nachweisfokus

KI-System-Inventar, Modellvalidierungsberichte, Risikobewertungen KI-Systeme, Nutzungsdokumentation, Eskalationsprotokolle

AT 4.4.1 MARISK-AT-4.4.1
Basis

Rollen und Verantwortlichkeiten im Risikomanagement

Verantwortlichkeiten für Risikomanagement, Compliance und interne Revision sind klar definiert, dokumentiert und kommuniziert. Unabhängige Kontrollfunktionen sind gewaehrleistet.

DORA Alignment

Art. 5 (Governance)

Three-Lines-Modell mit eindeutigen Zuständigkeiten für Risikosteuerung, -überwachung und -prüfung.

ISO 27001 Referenzen

A.5.2, A.6.1, A.6.2

Nachweisfokus

Organigramm, Rollenbeschreibungen, Unabhängigkeitsnachweise, Schulungsnachweise

AT 4.4.2 MARISK-AT-4.4.2
Geführt

Interne Kontrollen und Selbstüberprüfungen

Interne Kontrollen werden eingerichtet, dokumentiert und regelmäßig auf Wirksamkeit geprüft. Selbstüberprüfungen ergaenzen das interne Kontrollsystem.

DORA Alignment

Art. 6 (Kontrollrahmen)

Dokumentation und regelmäßige Überprüfung von Kontrollen zur Risikominderung im IKT-Bereich.

ISO 27001 Referenzen

A.5.35, A.5.36, A.9.1

Nachweisfokus

Kontrollkatalog, Selbstüberprüfungsberichte, Abweichungsnachweise, Korrekturmaßnahmen

AT 4.4.3 MARISK-AT-4.4.3
Geführt

Interne Revision und Prüfung

Die interne Revision fuehrt regelmäßige Prüfungen durch, bewertet die Angemessenheit und Wirksamkeit des Risikomanagements und berichtet an das Management.

DORA Alignment

Art. 5 (Interne Prüfung)

Unabhängige Prüfung der IKT-Risikomanagement-Prozesse und -Kontrollen.

ISO 27001 Referenzen

A.5.35, A.5.37, A.9.2

Nachweisfokus

Prüfungsplan, Prüfungsberichte, Managementantworten, Umsetzungsnachweise

AT 7.1 MARISK-AT-7.1
Basis

IKT-Risiken und Informationssicherheit

Risiken im Zusammenhang mit Informationstechnologie und Informationssicherheit werden identifiziert, bewertet und durch angemessene Maßnahmen gesteuert.

DORA Alignment

Art. 8 (IKT-Risikomanagement)

Spezifische Behandlung von IKT-Risiken als Teil des umfassenden Risikomanagements mit Fokus auf Verfügbarkeit, Integrität und Vertraulichkeit.

ISO 27001 Referenzen

A.5.1, A.5.9, A.5.30, A.8.1

Nachweisfokus

IKT-Risikoinventar, Sicherheitsrichtlinien, Zugriffskonzepte, Schutzmaßnahmen

AT 7.2 MARISK-AT-7.2
Geführt

Technische Schutzmaßnahmen

Technische und organisatorische Schutzmaßnahmen zur Gewaehrleistung der Informationssicherheit werden implementiert, dokumentiert und regelmäßig überprüft.

DORA Alignment

Art. 8 (Schutz, Erkennung, Reaktion)

Implementierung von Schutzmechanismen, Erkennungsfähigkeiten und Reaktionsprozessen für IKT-Vorfälle.

ISO 27001 Referenzen

A.8.1, A.8.5, A.8.9, A.8.24

Nachweisfokus

Technische Sicherheitskonzepte, Penetrationstests, Schwachstellenanalysen, Monitoring-Konfigurationen

AT 7.3 MARISK-AT-7.3
Geführt

Geschaeftsprozessbezogene Wiederherstellungsfähigkeit

Für kritische Geschaeftsprozesse werden Wiederherstellungsfähigkeit und Notfallmanagement sichergestellt. Notfallplaene werden regelmäßig getestet und aktualisiert.

DORA Alignment

Art. 11 (Wiederherstellung)

BCDR-Plaene, RTO/RPO-Definitionen, regelmäßige Tests und Aktualisierungen der Wiederherstellungsfähigkeit.

ISO 27001 Referenzen

A.5.29, A.5.30, A.8.13, A.8.14

Nachweisfokus

Notfallmanagementhandbuch, BCDR-Plaene, Testprotokolle, Aktualisierungsnachweise

AT 9 MARISK-AT-9
Geführt

Auslagerungsmanagement

Auslagerungen werden im Rahmen einer Auslagerungsstrategie gesteuert. Vor der Beauftragung erfolgt eine Risikobewertung, vertragliche Absicherung und laufende Überwachung.

DORA Alignment

Art. 28-30 (IKT-Drittparteienrisiko)

Ganzheitliches Management von Auslagerungen mit Due Diligence, Vertragsgestaltung, Monitoring und Exit-Strategien für kritische Dienstleistungen.

ISO 27001 Referenzen

A.5.19, A.5.20, A.5.21, A.5.22

Nachweisfokus

Auslagerungsstrategie, Due-Diligence-Dokumentation, Verträge, Monitoring-Berichte, Exit-Plaene

AT 7.4 MARISK-AT-7.4
defined

IKT-Änderungsmanagement und sichere Betriebsübergaenge

Änderungen an IKT-Systemen werden risikoorientiert gesteuert. Entwicklungs-, Test- und Produktionsübergänge sind nachvollziehbar freigegeben und kontrolliert.

DORA Alignment

Art. 8 (Sichere IKT-Betriebsführung), Art. 9 (Integrität und Verfügbarkeit)

Change- und Release-Prozesse reduzieren Betriebsrisiken und stärken die Nachvollziehbarkeit sicherheitsrelevanter Änderungen.

ISO 27001 Referenzen

A.8.32, A.8.31, A.8.33

Nachweisfokus

Change-Policy, Release-Freigaben, Trennungsnachweise zwischen Umgebungen, Rueckfallplaene

BT — Besondere Anforderungen

BT 1.1 MARISK-BT-1.1
Basis

Allgemeine Anforderungen an die Geschaeftsorganisation

Die Geschaeftsorganisation ist angemessen, angemessene Ruecklagen sind vorzusehen und eine ordnungsmaessige Geschaeftsfuehrung ist sicherzustellen.

DORA Alignment

Art. 5 (Organisation)

Organisatorische Grundanforderungen als Basis für resiliente IKT-Strukturen und -Prozesse.

ISO 27001 Referenzen

A.5.1, A.5.2

Nachweisfokus

Organisationshandbuch, Ruecklagenkonzept, Governance-Dokumentation

BT 2 MARISK-BT-2
Basis

Risikotragfähigkeit

Institute müssen über angemessene Risikotragfähigkeit verfügen. Dies umfasst Eigenmittelausstattung, Liquiditätsrücklagen und Belastbarkeit gegenüber Risiken.

DORA Alignment

Art. 6 (Risikoappetit)

Quantifizierung der Risikotragfähigkeit als Basis für IKT-Risikoakzeptanz und -toleranzen.

ISO 27001 Referenzen

A.5.4, A.5.5

Nachweisfokus

Risikotragfähigkeitskonzept, Eigenmittelnachweise, Stresstest-Ergebnisse

BT 3.1 MARISK-BT-3.1
Geführt

Interne Kontrollsysteme — Grundsaetze

Ein angemessenes internes Kontrollsystem ist einzurichten. Es umfasst organisatorische, personelle und technische Kontrollen entsprechend dem Geschaeftsmodell.

DORA Alignment

Art. 6 (Kontrollrahmen)

Ganzheitliches Kontrollsystem als Fundament für IKT-Risikosteuerung und -überwachung.

ISO 27001 Referenzen

A.5.35, A.5.36

Nachweisfokus

Kontrollsystem-Dokumentation, Kontrollmatrizen, Wirksamkeitsprüfungen

BT 3.2 MARISK-BT-3.2
Geführt

Vorfallmanagement und Meldewesen

Ein angemessenes Vorfallmanagement ist einzurichten. Risiken, Verstoesse und Vorfälle sind intern zu melden und geeignet zu dokumentieren.

DORA Alignment

Art. 10 (IKT-Vorfallmanagement)

Klassifizierung, Meldung und Dokumentation von IKT-Vorfällen mit Eskalations- und Aufsichtsmeldungspflichten.

ISO 27001 Referenzen

A.5.24, A.5.25, A.5.26, A.5.27

Nachweisfokus

Vorfallmanagementrichtlinie, Meldeprozess, Vorfallsprotokolle, Trendanalysen

BT 4.4.1 MARISK-BT-4.4.1
Basis

Compliance-Grundsaetze

Ein angemessenes Compliance-Management ist einzurichten. Gesetze, Aufsichtsvorschriften und interne Regelungen sind einzuhalten und auf Einhaltung zu prüfen.

DORA Alignment

Art. 5 (Compliance)

Regulatorische Einbettung von DORA-Anforderungen in das Compliance-Framework des Instituts.

ISO 27001 Referenzen

A.5.1, A.5.31, A.5.32

Nachweisfokus

Compliance-Handbuch, Regelungsinventar, Compliance-Checks, Abweichungsreporting

BT 4.4.2 MARISK-BT-4.4.2
Geführt

Geldwaescherisiken

Geldwaescherisiken sind zu identifizieren, zu bewerten und durch angemessene Maßnahmen zu steuern. Verdachtsfaelle sind zu melden.

DORA Alignment

Art. 8 (Risikoidentifikation)

Integration von Geldwaescherisiken in das ganzheitliche IKT-Risikoinventar.

ISO 27001 Referenzen

A.5.9, A.5.18

Nachweisfokus

Geldwaesche-Risikobewertung, Verfahrensanweisungen, Schulungsnachweise

BT 2.1 MARISK-BT-2.1
Basis

Risikotragfähigkeit - Prozesse und Verantwortlichkeiten

Institute müssen über angemessene Risikotragfähigkeit verfügen. Die Geschaeftsleitung ist verantwortlich für die Festlegung und Umsetzung der Risikotragfähigkeitsstrategie sowie die Sicherstellung angemessener Ruecklagen und Eigenmittel.

DORA Alignment

Art. 6 (Risikoappetit und -toleranz)

Definition von Risikoappetit und -toleranzen als Basis für die Risikotragfähigkeit des Instituts.

ISO 27001 Referenzen

A.5.4, A.5.5, A.5.7

Nachweisfokus

Risikotragfähigkeitsstrategie, Ruecklagenkonzept, Eigenmittelplanung, Stresstest-Ergebnisse

BT 2.2 MARISK-BT-2.2
Geführt

Risikotragfähigkeit - Methodik und Berechnung

Die angemessene Risikotragfähigkeit ist mit angemessener Methodik zu bestimmen. Dies umfasst die Quantifizierung von Risiken, die Ermittlung von Eigenmittelanforderungen und die Durchführung von Stresstests.

DORA Alignment

Art. 6 (Risikobewertung)

Methodische Bewertung und Quantifizierung von Risiken als Grundlage für Resilienzentscheidungen.

ISO 27001 Referenzen

A.5.7, A.5.8, A.5.12

Nachweisfokus

Methodik-Dokumentation, Risikomodelle, Stresstest-Framework, Kapitalplanung

BT 2.3 MARISK-BT-2.3
Geführt

Risikotragfähigkeit - Berichtswesen und Monitoring

Die Risikotragfähigkeit ist laufend zu überwachen und regelmäßig zu berichten. Bei Verstoss gegen Risikolimits sind Eskalationsprozesse und Korrekturmaßnahmen zu implementieren.

DORA Alignment

Art. 6 (Risikoüberwachung), Art. 11 (Reporting)

Laufende Überwachung der Risikopositionen und regelmäßiges Reporting an die Geschaeftsleitung.

ISO 27001 Referenzen

A.5.36, A.5.37, A.10.1

Nachweisfokus

Risikoberichte, Limitüberschreitungsprotokolle, Eskalationsnachweise, Management-Reporting

BT 4.1 MARISK-BT-4.1
Basis

Geschaeftsleitung und Fuehrung

Die Geschaeftsleitung traegt die Gesamtverantwortung für die Einrichtung und Aufrechterhaltung eines angemessenen Risikomanagements. Sie muss über angemessene Kenntnisse und Erfahrungen verfügen.

DORA Alignment

Art. 4 (Leitungsorganverantwortung), Art. 5 (Governance)

Rollen und Verantwortlichkeiten der Geschaeftsleitung für IKT-Risikomanagement und Resilienz.

ISO 27001 Referenzen

A.5.1, A.5.2, A.6.1

Nachweisfokus

Organigramm, Rollenbeschreibungen, Kompetenznachweise, Befugnisregelungen

BT 4.2 MARISK-BT-4.2
Basis

Organisationsstruktur und vier Augen Prinzip

Die Organisationsstruktur muss eine ordnungsmaessige Geschaeftsfuehrung ermoeglichen. Das Vier-Augen-Prinzip ist einzuhalten, Aufgaben sind klar zu trennen und die Unabhängigkeit der Kontrollfunktionen zu gewaehrleisten.

DORA Alignment

Art. 5 (Interne Organisation), Art. 6 (Kontrollen)

Interne Kontrollstruktur und Aufgabentrennung als Basis für IKT-Risikosteuerung.

ISO 27001 Referenzen

A.5.2, A.5.3, A.6.2

Nachweisfokus

Organisationshandbuch, Trennungsmatrix, Vier-Augen-Nachweise, Kontrollfunktionsunabhängigkeit

BT 3.3 MARISK-BT-3.3
Geführt

Notfallmanagement und Krisenkommunikation

Institute halten ein belastbares Notfallmanagement inklusive Krisenkommunikation vor. Kritische Szenarien werden geplant, geuebt und in den Regelbetrieb rueckgekoppelt.

DORA Alignment

Art. 11 (Business Continuity und Wiederherstellung), Art. 13 (Kommunikation bei IKT-Vorfällen)

BCM-/DR-Planung, Krisenkommunikation und regelmäßige Notfallübungen für resiliente Betriebsfortfuehrung.

ISO 27001 Referenzen

A.5.29, A.5.30, A.5.24, A.5.25

Nachweisfokus

Notfallhandbuch, Krisenkommunikationsplan, Uebungsprotokolle, Lessons-Learned-Register

WpI MaRisk — Proportionale Anforderungen für Wertpapierinstitute

Für Wertpapierinstitute (WpI) gelten proportionale Anforderungen entsprechend Grösse, Geschäftsmodell und Komplexität. Kleine und nicht komplexe Institute unterliegen erleichterten Anforderungen.

WpI AT 1 MARISK-WPI-AT-1
Basis

Proportionale Anforderungen - Allgemeine Grundsaetze

Für Wertpapierinstitute (WpI) gelten proportionale Anforderungen entsprechend ihrer Groesse, ihres Geschaeftsmodells und ihrer Komplexitaet. Kleine und nicht komplexe Institute unterliegen erleichterten Anforderungen.

DORA Alignment

Art. 4 (Proportionalitaet), Art. 5 (Kleine und nicht komplexe Institute)

Proportionale Anwendung von DORA-Anforderungen für kleine und nicht komplexe Institute.

ISO 27001 Referenzen

A.5.1, A.5.4

Nachweisfokus

Einstufungsnachweis, Groessenklassifikation, Geschaeftsmodellbeschreibung

WpI AT 2 MARISK-WPI-AT-2
Basis

Vereinfachtes Risikomanagement für kleine WpI

Kleine und nicht komplexe WpI duerfen ein vereinfachtes Risikomanagement etablieren. Vereinfachte Anforderungen bei Risikoidentifikation, Bewertung und Steuerung sind zulaessig, wenn angemessen.

DORA Alignment

Art. 6 (Vereinfachte Risikobewertung)

Vereinfachte Risikobewertungsmethoden für kleine Institute.

ISO 27001 Referenzen

A.5.4, A.5.7

Nachweisfokus

Vereinfachte Risikomethodik, Einstufungsbegruendung, Managementbestaetigung

WpI AT 3 MARISK-WPI-AT-3
Basis

WpI - IKT-Risiken und Informationssicherheit

WpI müssen IKT-Risiken angemessen steuern. Die Anforderungen sind proportional an die Groesse und Komplexitaet anzupassen, wobei auch kleine Institute eine angemessene Informationssicherheit gewaehrleisten muessen.

DORA Alignment

Art. 8 (IKT-Risikomanagement)

Proportionale Anforderungen an das IKT-Risikomanagement für WpI.

ISO 27001 Referenzen

A.5.1, A.5.9, A.8.1

Nachweisfokus

Proportionalitaetsnachweis, IKT-Risikoinventar, angepasste Schutzmaßnahmen

WpI AT 4 MARISK-WPI-AT-4
Geführt

WpI - Auslagerungsmanagement und Drittparteien

Bei Auslagerungen sind für WpI proportionale Anforderungen an Due Diligence, Vertragsgestaltung und Monitoring anzuwenden. Kritische Auslagerungen müssen auch bei kleinen Instituten angemessen gesteuert werden.

DORA Alignment

Art. 28 (IKT-Drittparteienrisiko)

Proportionale Anforderungen an das Management von IKT-Drittparteienrisiken.

ISO 27001 Referenzen

A.5.19, A.5.20, A.5.21

Nachweisfokus

Auslagerungsinventar, Risikobewertung, vereinfachte Verträge, Monitoring-Nachweise

Hinweis: Die Inhalte dienen der fachlichen Orientierung und strukturierten Umsetzungsvorbereitung. Maßgeblich sind die Originalquellen der Aufsicht (insb. MaRisk, KWG) sowie die institutsspezifische rechtliche, fachliche und prüferische Bewertung. Keine Rechtsberatung — verbindlich sind die aktuellen Fassungen der BaFin-Verlautbarungen.