WpI MaRisk

Risikomanagement für Wertpapierinstitute praktisch umsetzen.

Strukturierte Umsetzungshilfen für die WpI MaRisk.

Hinweis: Diese Darstellung stellt keine vollständige Wiedergabe der BaFin WpI MaRisk dar. Die Inhalte basieren auf der Konsultationsfassung vom 6. Mai 2026 (Konsultation 05/2026) und bilden die aufsichtlichen Anforderungen direkt ab — ohne Interpretation. Die Kontrollen und Maßnahmen leiten sich unmittelbar aus dem regulatorischen Soll ab (Soll-Ist-Abgleich). Hinweis: Diese Seite ist eine Umsetzungshilfe und ersetzt keine Rechtsberatung oder verbindliche aufsichtsrechtliche Auslegung.

Konsultation 05/2026 — Stellungnahmefrist

Die BaFin konsultiert die zweite Fassung der WpI MaRisk. Stellungnahmen koennen bis 17. Juni 2026 an WA41@bafin.de mit dem Betreff „Stellungnahme im Rahmen der Konsultation 05/2026 (GZ: WA 4-FR 1903/00056#00002)" eingereicht werden.

AT — Allgemeine Anforderungen

AT 1 WPIMARISK-AT-1

Basis

Ziel und Anwendungsbereich

Die WpI MaRisk konkretisieren die gesetzlichen Mindestvorgaben der §§ 38 ff. WpIG für Wertpapierinstitute. Sie etablieren eigenständige, risikoorientierte und prinzipienbasierte Anforderungen, die auf die spezifischen Beduerfnisse kleiner und mittlerer Wertpapierinstitute zugeschnitten sind. Die Anforderungen sind weniger umfangreich als die klassischen MaRisk und schaffen mehr Spielraeume für proportionale Anwendung.

Geltungsbereich & Anwendungshinweis

Die WpI MaRisk gelten für Kleine und Mittlere Wertpapierinstitute. Grosse Wertpapierinstitute wenden weiterhin die (BA)-MaRisk an. Asset Manager sind typischerweise als kleine oder mittlere Wertpapierinstitute klassifiziert.

Schwerpunkte

Proportionalitaetsprinzip Prinzipienbasierte Regulierung Vereinfachte Anforderungen für KMUs

DORA Alignment

Art. 5-6 (Governance & Risikomanagement)

WpI MaRisk etablieren den IKT-Risikomanagementrahmen für Wertpapierinstitute, der konsistent mit DORA-Anforderungen ist aber spezifisch auf WpIG ausgerichtet.

ISO 27001 Referenzen

A.5.1, A.5.2

Nachweisfokus

Klassifizierungsnachweis als kleines/mittleres WpI, Organisationshandbuch, Governance-Dokumentation

AT 2.1 WPIMARISK-AT-2.1

Basis

Institutsklassifizierung und Proportionalitaet

Die WpI MaRisk unterscheiden zwischen Kleinen und Mittleren Wertpapierinstituten. Die Klassifizierung erfolgt nach dem WpIG und den EU-Regelungen (IFR/IFD). Kleine Institute mit schlanken Strukturen erhalten erhebliche Erleichterungen bei Dokumentations- und Organisationsanforderungen, solange angemessene Risikosteuerung gewaehrleistet ist.

Geltungsbereich & Anwendungshinweis

Kleine WpI: Typischerweise Asset Manager, Private Banks, kleine Broker. Mittlere WpI: Regional verankerte Institute mit begrenztem Geschaeftsumfang.

Schwerpunkte

Kleine Wertpapierinstitute Mittlere Wertpapierinstitute Proportionale Anforderungen IFR/IFD-Klassifizierung

DORA Alignment

Art. 16 (Vereinfachter Rahmen)

Die Proportionalitaet bei WpI entspricht dem DORA-Vereinfachten-Rahmen-Ansatz für kleinere Einrichtungen.

ISO 27001 Referenzen

A.5.4

Nachweisfokus

Klassifizierungsbescheinigung, Bilanzsumme, Eigenmittelnachweise, Geschaeftsvolumen-Dokumentation

AT 3.1 WPIMARISK-AT-3.1

Basis

Verantwortung der Geschaeftsleitung

Die Geschaeftsleitung traegt die Gesamtverantwortung für ein angemessenes Risikomanagementsystem. Bei kleineren Wertpapierinstituten koennen Funktionen konsolidiert werden, sofern keine unzulaessigen Interessenkonflikte entstehen. Die organisatorische Einbindung muss dennoch klar definiert und dokumentiert sein.

Geltungsbereich & Anwendungshinweis

Bei kleinen WpI duerfen z.B. Compliance- und Risikocontrolling-Funktionen von derselben Person wahrgenommen werden, sofern angemessen dokumentiert und organisatorisch abgesichert.

Schwerpunkte

Gesamtverantwortung Geschaeftsleitung Funktionskonsolidierung Interessenkonflikte Dokumentation

DORA Alignment

Art. 5 (Governance)

Governance-Anforderungen bei WpI sind konsistent mit DORA, aber mit mehr Flexibilitaet bei der Rollenwahrnehmung.

ISO 27001 Referenzen

A.5.1, A.5.2, A.6.1

Nachweisfokus

Organigramm, Rollenbeschreibungen, Funktionskonsolidierungsnachweise, Interessenkonflikt-Analysen

AT 4.1 WPIMARISK-AT-4.1

Gefuehrt

Risikostrategie und Risikoappetit

Wertpapierinstitute müssen eine Risikostrategie definieren, die zu ihrem Geschaeftsmodell und ihrer Groesse passt. Die Strategie sollte zukunftsgerichtete Risikoeinschaetzungen enthalten und vorausschauende Risikosteuerung ermoeglichen. Dokumentationsanforderungen folgen dem Proportionalitaetsprinzip.

Geltungsbereich & Anwendungshinweis

Kleinere WpI benoetigen weniger formale Strategiedokumente, aber trotzdem eine nachvollziehbare und datenbasierte Risikoberichterstattung.

Schwerpunkte

Risikostrategie Risikoappetit Vorausschauende Steuerung Proportionale Dokumentation

DORA Alignment

Art. 6 (Risikostrategie)

Risikostrategie bei WpI spiegelt DORA-Rahmen wider, mit Fokus auf Vereinfachung für kleinere Institute.

ISO 27001 Referenzen

A.5.4, A.5.7, A.5.8

Nachweisfokus

Risikostrategie-Dokument, Risikoappetit-Definition, Risikoberichte, Eskalationsprotokolle

AT 4.2 WPIMARISK-AT-4.2

Gefuehrt

Internes Kontrollsystem (IKS)

Ein angemessenes internes Kontrollsystem ist einzurichten. Bei kleineren Wertpapierinstituten kann das IKS schlanker ausgestaltet sein, solange wesentliche Risiken erfasst und gesteuert werden. Selbstüberprüfungen ergaenzen das Kontrollsystem und sollten regelmaeßig durchgeführt werden.

Geltungsbereich & Anwendungshinweis

Das IKS bei WpI ist weniger komplex als bei Banken, deckt aber alle wesentlichen Risikobereiche ab (Operationelle Risiken, Compliance, IKT-Risiken).

Schwerpunkte

Internes Kontrollsystem Selbstüberprüfungen Schlanke Strukturen Risikobasierte Kontrollen

DORA Alignment

Art. 6 (Kontrollrahmen)

IKS bei WpI integriert IKT-Kontrollen entsprechend DORA, aber mit reduziertem Formalisierungsgrad.

ISO 27001 Referenzen

A.5.35, A.5.36, A.5.37

Nachweisfokus

IKS-Dokumentation, Kontrollkatalog, Selbstüberprüfungsberichte, Abweichungsmanagement

AT 4.3 WPIMARISK-AT-4.3

Basis

Compliance-Funktion

Eine angemessene Compliance-Funktion ist einzurichten. Bei kleineren WpI kann diese mit anderen Kontrollfunktionen kombiniert werden, sofern Unabhängigkeit und Effektivitaet gewahrt bleiben. Die Compliance-Funktion unterstuetzt die Einhaltung gesetzlicher und regulatorischer Vorgaben.

Geltungsbereich & Anwendungshinweis

Kombination von Compliance mit Risikocontrolling oder anderen Funktionen moeglich, aber nicht mit der Internen Revision.

Schwerpunkte

Compliance-Funktion Funktionskombination Regulatorische Einhaltung Unabhängigkeit

DORA Alignment

Art. 5 (Compliance)

Compliance bei WpI deckt auch DORA-relevante regulatorische Anforderungen ab.

ISO 27001 Referenzen

A.5.31, A.5.32

Nachweisfokus

Compliance-Handbuch, Regelungsinventar, Compliance-Berichte, Schulungsnachweise

AT 5.1 WPIMARISK-AT-5.1

Basis

IKT-Risiken und Informationssicherheit

Risiken im Zusammenhang mit Informationstechnologie müssen identifiziert, bewertet und gesteuert werden. Wertpapierinstitute mit schlanken IT-Strukturen koennen pragmatische Ansaetze waehlen, solange Verfügbarkeit, Integrität und Vertraulichkeit angemessen geschützt sind. IT-Notfallmanagement ist in angemessenem Umfang einzurichten.

Geltungsbereich & Anwendungshinweis

IKT-Risikomanagement bei WpI ist weniger komplex als bei Banken, deckt aber alle wesentlichen technischen Risiken ab. Cloud-Nutzung ist zulaessig mit angemessenen Sicherheitsmaßnahmen.

Schwerpunkte

IKT-Risiken Informationssicherheit IT-Notfallmanagement Pragmatische Ansaetze

DORA Alignment

Art. 6-11 (IKT-Risikomanagement)

IKT-Risikomanagement bei WpI deckt DORA-Grundanforderungen ab, kann aber vereinfacht umgesetzt werden.

ISO 27001 Referenzen

A.5.1, A.5.9, A.5.30, A.8.1

Nachweisfokus

IKT-Risikoinventar, Sicherheitsrichtlinien, Zugriffskonzepte, Notfallplaene, Backup-Verfahren

AT 5.2 WPIMARISK-AT-5.2

Gefuehrt

Notfallmanagement und Wiederherstellung

Für kritische Geschaeftsprozesse ist ein Notfallmanagement einzurichten. Wiederherstellungszeiten und -verfahren sind angemessen zu dokumentieren. Bei kleineren WpI koennen einfachere Verfahren genuegen, solange die Geschaeftsfortfuehrung bei Stoerungen gewaehrleistet ist. Notfallplaene sollten regelmaeßig getestet werden.

Geltungsbereich & Anwendungshinweis

Kleinere WpI mit wenigen kritischen Prozessen benoetigen weniger komplexe Notfallplaene, aber dennoch regelmaeßige Tests.

Schwerpunkte

Notfallmanagement Wiederherstellungsfähigkeit RTO/RPO Tests

DORA Alignment

Art. 11 (Wiederherstellung)

Wiederherstellungsanforderungen bei WpI spiegeln DORA wider, aber mit pragmatischeren Testanforderungen.

ISO 27001 Referenzen

A.5.29, A.5.30, A.8.13, A.8.14

Nachweisfokus

Notfallmanagementhandbuch, BCDR-Plaene, Testprotokolle, Aktualisierungsnachweise

AT 6.1 WPIMARISK-AT-6.1

Gefuehrt

Auslagerungsmanagement

Auslagerungen von Aktivitaeten und Prozessen sind zu steuern. Die WpI MaRisk verlangen eine Risikobewertung vor der Beauftragung, vertragliche Absicherung und laufende Überwachung. Die Anforderungen sind weniger umfangreich als bei den klassischen MaRisk-AT 9, bilden aber die wesentlichen Grundsaetze ab. Eine Unterscheidung zwischen wesentlichen und unwesentlichen Auslagerungen ist vorzunehmen.

Geltungsbereich & Anwendungshinweis

Die Auslagerungsanforderungen bei WpI sind reduziert gegenüber Banken, decken aber Due Diligence, Vertragsgestaltung und Monitoring ab. DORA-IKT-Drittdienstleistungen sind separat zu betrachten.

Schwerpunkte

Auslagerungsstrategie Due Diligence Vertragsmanagement Monitoring Exit-Strategien

DORA Alignment

Art. 28-30 (IKT-Drittparteien)

Non-IKT-Auslagerungen bei WpI unterliegen WpI MaRisk; IKT-Drittdienstleistungen unterliegen DORA.

ISO 27001 Referenzen

A.5.19, A.5.20, A.5.21, A.5.22

Nachweisfokus

Auslagerungsstrategie, Due-Diligence-Dokumentation, Verträge, Monitoring-Berichte, Exit-Plaene

AT 6.2 WPIMARISK-AT-6.2

Gefuehrt

Unterauftragnehmer und Drittparteien

Bei Auslagerungen an Unterauftragnehmer sind angemessene Sicherheitsmaßnahmen zu verlangen. Die Verantwortung bleibt beim Wertpapierinstitut. Bei wesentlichen Auslagerungen sollte die Sichtbarkeit in die Lieferkette gewaehrleistet sein. Die Konzentration von Drittparteien ist zu überwachen.

Geltungsbereich & Anwendungshinweis

Subcontracting-Gefahren bei wesentlichen Auslagerungen müssen adressiert werden, auch wenn die WpI MaRisk weniger detailliert als DORA sind.

Schwerpunkte

Subcontracting Lieferkettenrisiken Konzentration Verantwortlichkeit

DORA Alignment

Art. 28 (Subcontracting)

Subcontracting bei WpI erfordert Sichtbarkeit, aber weniger formale Anforderungen als DORA-CTPP-Regime.

ISO 27001 Referenzen

A.5.19, A.5.20

Nachweisfokus

Subcontractor-Listen, Vertragsklauseln zu Subcontracting, Konzentrationsanalysen

BT — Besondere Anforderungen

BT 1.1 WPIMARISK-BT-1.1

Basis

Geschaeftsorganisation und Ruecklagen

Die Geschaeftsorganisation muss angemessen und ordnungsgemaess sein. Angemessene Ruecklagen sind vorzusehen. Die Organisationsstruktur sollte zur Groesse und Komplexitaet des Wertpapierinstituts passen. Bei kleineren Instituten sind schlankere Strukturen zulaessig.

Geltungsbereich & Anwendungshinweis

Kleinere WpI koennen mit flacheren Hierarchien und weniger Spezialisierung auskommen, solange ordnungsgemaesse Geschaeftsfuehrung gewaehrleistet ist.

Schwerpunkte

Geschaeftsorganisation Ruecklagen Ordentliche Geschaeftsfuehrung Organisationsstruktur

DORA Alignment

Art. 5 (Organisation)

Organisationsanforderungen bei WpI sind konsistent mit DORA Governance, aber flexibler gestaltbar.

ISO 27001 Referenzen

A.5.1, A.5.2

Nachweisfokus

Organisationshandbuch, Ruecklagenkonzept, Governance-Dokumentation, Organigramm

BT 2.1 WPIMARISK-BT-2.1

Basis

Risikotragfähigkeit und Eigenmittel

Wertpapierinstitute müssen über angemessene Risikotragfähigkeit verfügen. Dies umfasst Eigenmittelausstattung und Liquiditätsrücklagen entsprechend dem WpIG. Die Risikotragfähigkeit ist regelmaeßig zu überprüfen und bei Bedarf anzupassen.

Geltungsbereich & Anwendungshinweis

Eigenmittelanforderungen für WpI sind im WpIG und IFR geregelt. Die Risikotragfähigkeit ist Bestandteil der regulatorischen Kapitalanforderungen.

Schwerpunkte

Risikotragfähigkeit Eigenmittel Liquiditaet Überprüfung

DORA Alignment

Art. 6 (Risikoappetit)

Risikotragfähigkeit bei WpI bildet Basis für IKT-Risikoakzeptanz und -toleranzen.

ISO 27001 Referenzen

A.5.4, A.5.5

Nachweisfokus

Risikotragfähigkeitskonzept, Eigenmittelnachweise, Stresstest-Ergebnisse, Anpassungsprotokolle

BT 3.1 WPIMARISK-BT-3.1

Gefuehrt

Vorfallmanagement und Meldewesen

Ein angemessenes Vorfallmanagement ist einzurichten. Risiken, Verstoesse und Vorfälle sind intern zu melden und angemessen zu dokumentieren. Die Meldewege sollten klar definiert sein. Bei kleineren WpI koennen einfachere Verfahren ausreichend sein.

Geltungsbereich & Anwendungshinweis

IKT-bezogene Vorfälle mit Relevanz für DORA unterliegen den DORA-Meldepflichten und sind über das DORA-Vorfallmanagement zu steuern.

Schwerpunkte

Vorfallmanagement Interne Meldungen Dokumentation Meldewege

DORA Alignment

Art. 10 (Vorfallmanagement)

Vorfallmanagement bei WpI deckt interne Meldungen ab; DORA-relevante IKT-Vorfälle unterliegen zusaetzlichen DORA-Meldepflichten.

ISO 27001 Referenzen

A.5.24, A.5.25, A.5.26, A.5.27

Nachweisfokus

Vorfallmanagementrichtlinie, Meldeprozess, Vorfallsprotokolle, Trendanalysen

Quellen, Stand und Review

Review-Status: reviewed
Letzte Prüfung: 2026-05-13

BaFin: WpI MaRisk Konsultation 05/2026 Stand: Veroeffentlicht 2026-05-06
BaFin: MaRisk für Banken und Finanzdienstleister Stand: Abruf 2026-05-10
WpIG - Wertpapierinstitutsgesetz Stand: Abruf 2026-05-10
EU: Digital Operational Resilience Act (DORA) Stand: Abruf 2026-05-10
ISO/IEC 27001:2022 Informationssicherheit Stand: Abruf 2026-05-10

Diese Seite ist eine eigene Umsetzungshilfe auf Basis öffentlicher Quellen. Sie ersetzt keine Rechtsberatung und keine verbindliche Auslegung durch Aufsicht oder Rechtsberatung.

WpI MaRisk — Kernpunkte

Zielgruppe: Kleine und Mittlere Wertpapierinstitute (z.B. Asset Manager, Private Banks, kleine Broker)
Abgrenzung: Grosse Wertpapierinstitute wenden weiterhin die klassischen (BA)-MaRisk an
Proportionalitaet: Erhebliche Erleichterungen für kleine Institute bei Dokumentation und Organisation
Funktionskombination: Compliance und Risikocontrolling koennen bei kleinen WpI kombiniert werden

Unterschiede zu (BA)-MaRisk

Weniger umfangreich und komplex
Staerker prinzipienorientiert
Mehr Flexibilitaet bei Funktionskombination
Reduzierte Dokumentationsanforderungen
Spezifisch auf WpIG ausgerichtet

Integration DORA

WpI MaRisk und DORA sind konsistent. IKT-Drittdienstleistungen unterliegen DORA, non-IKT-Auslagerungen den WpI MaRisk. Bei Überschneidungen gelten die stringenteren Anforderungen.

Wichtig für Asset Manager

Asset Manager sind typischerweise als kleine oder mittlere Wertpapierinstitute klassifiziert und profitieren von den WpI MaRisk-Erleichterungen.

Weiterfuehrende Links

Rechtlicher Hinweis

Die hier dargestellten Inhalte dienen ausschliesslich der allgemeinen Information und stellen keine rechtsverbindliche Auslegung oder Rechtsberatung dar. Für verbindliche Auslegungen sind die BaFin und qualifizierte Rechtsberater zuständig. Die Anwendung der WpI MaRisk erfolgt auf eigenes Risiko und unter Beruecksichtigung der individuellen Institutsstruktur.