MaRisk
10. MaRisk-Novelle — Umsetzungswerkzeug
Konsultationsfassung 2026 — Gap-Analyse, Maßnahmenplanung, Status-Tracking und Export für die praktische Umsetzung.
1. Institutsklasse wählen
10
Key Changes
Completed
In Progress
Progress
Neue Institutsklassifizierung
Dreistufige Klassifizierung in kleine, mittlere und große Institute mit abgestuften Anforderungen.
Action Items (lokal gespeichert)
Self-Assessment
Verantwortlich
Geschäftsleitung, Compliance, Risikocontrolling
Deadline
2027-01-15
Erforderliche Nachweise
DORA Mapping
DORA Art. 5-8 (Governance) — Proportionale Anwendung
Betroffene AT/BT-Module
Umsetzungsaufwand
Hoch
Verschärfte Auslagerungsanforderungen
Konkretisierung der Anforderungen an IT-Outsourcing und Cloud-Nutzung mit erweiterten Kontrollpflichten.
Action Items (lokal gespeichert)
Self-Assessment
Verantwortlich
Auslagerungsmanagement, IT-Sicherheit, Recht
Deadline
2027-03-31
Erforderliche Nachweise
DORA Mapping
DORA Art. 25-30 (IKT-Drittparteienrisiko)
Betroffene AT/BT-Module
Umsetzungsaufwand
Mittel
Paradigmenwechsel zu prinzipienbasierter Steuerung
Weniger Detailregelungen, stärkere Fokussierung auf Risikogehalt und Proportionalität statt detaillierter Vorgaben.
Action Items (lokal gespeichert)
Self-Assessment
Verantwortlich
Geschäftsleitung, Risikocontrolling, Interne Revision
Deadline
2027-06-30
Erforderliche Nachweise
DORA Mapping
DORA Art. 5-6 (IKT-Risikomanagementrahmen)
Betroffene AT/BT-Module
Umsetzungsaufwand
Hoch
Erweiterte IKT-Risikoanforderungen (DORA-Alignment)
Vollständige Integration der DORA-Anforderungen in das MaRisk-Risikomanagement mit erweiterten Nachweispflichten.
Action Items (lokal gespeichert)
Self-Assessment
Verantwortlich
CISO, IKT-Risikomanagement, Compliance
Deadline
2027-06-30
Erforderliche Nachweise
DORA Mapping
DORA Art. 5-15 (IKT-Risikomanagement, Vorfälle, Tests)
Betroffene AT/BT-Module
Umsetzungsaufwand
Hoch
Notfall- und Krisenmanagement
Neue Anforderungen an das Krisenmanagement einschließlich Krisenstabsstruktur, Kommunikationspläne und regelmäßige Krisenübungen.
Action Items (lokal gespeichert)
Self-Assessment
Verantwortlich
Krisenmanagement, IT-Sicherheit, Kommunikation
Deadline
2027-03-31
Erforderliche Nachweise
DORA Mapping
DORA Art. 11 (Schutz, Erkennung, Reaktion)
Betroffene AT/BT-Module
Umsetzungsaufwand
Mittel
Verschärfte Datenqualitätsanforderungen
Erweiterte Anforderungen an Datenqualität, Datenintegrität und Data Governance als Teil des Risikomanagements.
Action Items (lokal gespeichert)
Self-Assessment
Verantwortlich
Data Governance, Risikocontrolling, IT
Deadline
2027-06-30
Erforderliche Nachweise
DORA Mapping
DORA Art. 5 (IKT-Risikomanagement) — Datenqualität
Betroffene AT/BT-Module
Umsetzungsaufwand
Mittel
Erweiterte Compliance-Funktion
Stärkung der Compliance-Funktion mit erweiterten Berichts- und Kontrollpflichten inklusive jährlicher Wirksamkeitsprüfung.
Action Items (lokal gespeichert)
Self-Assessment
Verantwortlich
Compliance, Interne Revision
Deadline
2027-01-15
Erforderliche Nachweise
DORA Mapping
DORA Art. 5(2) — Governance/Compliance
Betroffene AT/BT-Module
Umsetzungsaufwand
Niedrig
Umwelt- und Klimaszenarioanalysen
Integration von Umwelt- und Klimarisiken in das Risikomanagement mit regelmäßigen Szenarioanalysen.
Action Items (lokal gespeichert)
Self-Assessment
Verantwortlich
Risikocontrolling, Nachhaltigkeitsmanagement
Deadline
2027-12-31
Erforderliche Nachweise
DORA Mapping
DORA Art. 5 (IKT-Risikomanagement) — Erweiterte Risikoanalyse
Betroffene AT/BT-Module
Umsetzungsaufwand
Hoch
Neue Steuerungsrelevante Berichtspflichten
Überarbeitetes Berichtswesen mit Fokus auf steuerungsrelevante Kennzahlen und rollenbasierte Berichtsempfänger.
Action Items (lokal gespeichert)
Self-Assessment
Verantwortlich
Risikocontrolling, Berichtswesen
Deadline
2027-06-30
Erforderliche Nachweise
DORA Mapping
DORA Art. 5(3) — Management-Reporting
Betroffene AT/BT-Module
Umsetzungsaufwand
Mittel
Erweiterte Öffnungsklauseln für kleine Institute
Deutlich erweiterte Öffnungsklauseln und Erleichterungen für kleine und sehr kleine Institute mit reduziertem Dokumentationsaufwand.
Action Items (lokal gespeichert)
Self-Assessment
Verantwortlich
Geschäftsleitung, Compliance
Deadline
2027-01-15
Erforderliche Nachweise
DORA Mapping
DORA Art. 3 (Begriffsbestimmungen) — Proportionalität
Betroffene AT/BT-Module
Umsetzungsaufwand
Niedrig
Implementation Roadmap
1. Gap-Analyse
2-3 Monate
- IST-Aufnahme aller AT/BT-Module
- SOLL-Abgleich mit Konsultationstext
- Lückenpriorisierung nach Risiko
- Bericht an Geschäftsleitung
2. Umsetzungsplanung
1-2 Monate
- Maßnahmenplan pro Lücke
- Ressourcen- und Budgetplan
- Verantwortlichkeiten zuordnen
- Zeitplan mit Meilensteinen
3. Umsetzung
6-12 Monate
- Prozessanpassungen durchführen
- Dokumentation aktualisieren
- Schulungen durchführen
- Kontrollen implementieren
4. Prüfung & Nachweise
2-3 Monate
- Interne Revision durchführen
- Wirksamkeitsprüfung der Kontrollen
- Nachweise für Aufsicht zusammenstellen
- Abschlussbericht an Geschäftsleitung