Zum Inhalt springen

MaRisk

10. MaRisk-Novelle — Umsetzungswerkzeug

Konsultationsfassung 2026 — Gap-Analyse, Maßnahmenplanung, Status-Tracking und Export für die praktische Umsetzung.

consultation 10. Novelle (Konsultationsfassung 2026) | Finalisierung erwartet: H2 2026

1. Institutsklasse wählen

10

Key Changes

Completed

In Progress

Progress

MRK-001 Hoch Proportionalität

Neue Institutsklassifizierung

Dreistufige Klassifizierung in kleine, mittlere und große Institute mit abgestuften Anforderungen.

Priorität 9/10

Action Items (lokal gespeichert)

Self-Assessment

Verantwortlich

Geschäftsleitung, Compliance, Risikocontrolling

Deadline

2027-01-15

Erforderliche Nachweise

Klassifizierungsdokument Proportionalitätserklärung Übergangsplan

DORA Mapping

DORA Art. 5-8 (Governance) — Proportionale Anwendung

Betroffene AT/BT-Module

AT 7 AT 9 BT 3

Umsetzungsaufwand

Hoch

MRK-002 Hoch IT-Outsourcing

Verschärfte Auslagerungsanforderungen

Konkretisierung der Anforderungen an IT-Outsourcing und Cloud-Nutzung mit erweiterten Kontrollpflichten.

Priorität 8/10

Action Items (lokal gespeichert)

Self-Assessment

Verantwortlich

Auslagerungsmanagement, IT-Sicherheit, Recht

Deadline

2027-03-31

Erforderliche Nachweise

Auslagerungsregister Exit-Pläne Vertrags-Addenda Sub-Processor-Liste

DORA Mapping

DORA Art. 25-30 (IKT-Drittparteienrisiko)

Betroffene AT/BT-Module

AT 9 BT 4

Umsetzungsaufwand

Mittel

MRK-003 Sehr Hoch Prinzipienorientierung

Paradigmenwechsel zu prinzipienbasierter Steuerung

Weniger Detailregelungen, stärkere Fokussierung auf Risikogehalt und Proportionalität statt detaillierter Vorgaben.

Priorität 10/10

Action Items (lokal gespeichert)

Self-Assessment

Verantwortlich

Geschäftsleitung, Risikocontrolling, Interne Revision

Deadline

2027-06-30

Erforderliche Nachweise

Risikostrategie-Dokument Steuerungsrahmen Schulungsnachweise

DORA Mapping

DORA Art. 5-6 (IKT-Risikomanagementrahmen)

Betroffene AT/BT-Module

AT 1 AT 4 AT 7

Umsetzungsaufwand

Hoch

MRK-004 Hoch IKT-Risiken

Erweiterte IKT-Risikoanforderungen (DORA-Alignment)

Vollständige Integration der DORA-Anforderungen in das MaRisk-Risikomanagement mit erweiterten Nachweispflichten.

Priorität 9/10

Action Items (lokal gespeichert)

Self-Assessment

Verantwortlich

CISO, IKT-Risikomanagement, Compliance

Deadline

2027-06-30

Erforderliche Nachweise

IKT-Risikoinventar Brückennachweis Vorfallklassifikation Testprogramm

DORA Mapping

DORA Art. 5-15 (IKT-Risikomanagement, Vorfälle, Tests)

Betroffene AT/BT-Module

AT 7 BT 3 BT 3.1

Umsetzungsaufwand

Hoch

MRK-005 Mittel Krisenmanagement

Notfall- und Krisenmanagement

Neue Anforderungen an das Krisenmanagement einschließlich Krisenstabsstruktur, Kommunikationspläne und regelmäßige Krisenübungen.

Priorität 7/10

Action Items (lokal gespeichert)

Self-Assessment

Verantwortlich

Krisenmanagement, IT-Sicherheit, Kommunikation

Deadline

2027-03-31

Erforderliche Nachweise

Krisenstab-Orga Kommunikationspläne Übungsnachweise Lessons Learned

DORA Mapping

DORA Art. 11 (Schutz, Erkennung, Reaktion)

Betroffene AT/BT-Module

AT 7.3 BT 3.2

Umsetzungsaufwand

Mittel

MRK-006 Mittel Datenqualität

Verschärfte Datenqualitätsanforderungen

Erweiterte Anforderungen an Datenqualität, Datenintegrität und Data Governance als Teil des Risikomanagements.

Priorität 6/10

Action Items (lokal gespeichert)

Self-Assessment

Verantwortlich

Data Governance, Risikocontrolling, IT

Deadline

2027-06-30

Erforderliche Nachweise

Datenqualitätsrahmen Kennzahlenreport Rollenmatrix

DORA Mapping

DORA Art. 5 (IKT-Risikomanagement) — Datenqualität

Betroffene AT/BT-Module

AT 4 BT 2

Umsetzungsaufwand

Mittel

MRK-007 Mittel Compliance

Erweiterte Compliance-Funktion

Stärkung der Compliance-Funktion mit erweiterten Berichts- und Kontrollpflichten inklusive jährlicher Wirksamkeitsprüfung.

Priorität 5/10

Action Items (lokal gespeichert)

Self-Assessment

Verantwortlich

Compliance, Interne Revision

Deadline

2027-01-15

Erforderliche Nachweise

Funktionsbeschreibung Wirksamkeitsbericht Compliance-Report

DORA Mapping

DORA Art. 5(2) — Governance/Compliance

Betroffene AT/BT-Module

AT 4.4 AT 6

Umsetzungsaufwand

Niedrig

MRK-008 Mittel Szenarioanalyse

Umwelt- und Klimaszenarioanalysen

Integration von Umwelt- und Klimarisiken in das Risikomanagement mit regelmäßigen Szenarioanalysen.

Priorität 6/10

Action Items (lokal gespeichert)

Self-Assessment

Verantwortlich

Risikocontrolling, Nachhaltigkeitsmanagement

Deadline

2027-12-31

Erforderliche Nachweise

Klimarisikoinventar Szenarioanalysebericht Risikobericht

DORA Mapping

DORA Art. 5 (IKT-Risikomanagement) — Erweiterte Risikoanalyse

Betroffene AT/BT-Module

AT 4 BT 1 BT 2

Umsetzungsaufwand

Hoch

MRK-009 Niedrig Berichtswesen

Neue Steuerungsrelevante Berichtspflichten

Überarbeitetes Berichtswesen mit Fokus auf steuerungsrelevante Kennzahlen und rollenbasierte Berichtsempfänger.

Priorität 4/10

Action Items (lokal gespeichert)

Self-Assessment

Verantwortlich

Risikocontrolling, Berichtswesen

Deadline

2027-06-30

Erforderliche Nachweise

Berichtsmatrix Kennzahlenkatalog Berichtsvorlagen

DORA Mapping

DORA Art. 5(3) — Management-Reporting

Betroffene AT/BT-Module

AT 4.2 AT 5

Umsetzungsaufwand

Mittel

MRK-010 Niedrig Öffnungsklauseln

Erweiterte Öffnungsklauseln für kleine Institute

Deutlich erweiterte Öffnungsklauseln und Erleichterungen für kleine und sehr kleine Institute mit reduziertem Dokumentationsaufwand.

Priorität 3/10

Action Items (lokal gespeichert)

Self-Assessment

Verantwortlich

Geschäftsleitung, Compliance

Deadline

2027-01-15

Erforderliche Nachweise

Öffnungsklausel-Prüfung Inanspruchnahme-Dokumentation

DORA Mapping

DORA Art. 3 (Begriffsbestimmungen) — Proportionalität

Betroffene AT/BT-Module

AT 1 AT 2 AT 7 AT 9

Umsetzungsaufwand

Niedrig

Implementation Roadmap

1. Gap-Analyse

2-3 Monate

  • IST-Aufnahme aller AT/BT-Module
  • SOLL-Abgleich mit Konsultationstext
  • Lückenpriorisierung nach Risiko
  • Bericht an Geschäftsleitung

2. Umsetzungsplanung

1-2 Monate

  • Maßnahmenplan pro Lücke
  • Ressourcen- und Budgetplan
  • Verantwortlichkeiten zuordnen
  • Zeitplan mit Meilensteinen

3. Umsetzung

6-12 Monate

  • Prozessanpassungen durchführen
  • Dokumentation aktualisieren
  • Schulungen durchführen
  • Kontrollen implementieren

4. Prüfung & Nachweise

2-3 Monate

  • Interne Revision durchführen
  • Wirksamkeitsprüfung der Kontrollen
  • Nachweise für Aufsicht zusammenstellen
  • Abschlussbericht an Geschäftsleitung