Es geht nicht mehr nur darum, dass du Nachhaltigkeit (ESG) oder IT-Resilienz berücksichtigst, sondern wie du diese Faktoren messbar, prüfbar und steuerbar in den Institutsalltag integrierst. Dieser Artikel unterstützt dich dabei, die „Schonfrist“ der Konsultationsphase 2026 zu nutzen und den Fokus auf die operative Umsetzung zu verschieben.^

Warum die MaRisk 10.0 Führungskräfte nachts wachhält: 

Die Umsetzung der 9. MaRisk-Novelle im Jahr 2026 ist weit mehr als ein technisches Update. Sie trifft die Institute an ihren kritischsten operativen Schnittstellen. Hier sind die Schmerzpunkte, die aktuell den größten Handlungsdruck erzeugen:

• Das 10-Jahres-Daten-Vakuum (AT 4.3.3): Die Forderung nach Resilienzanalysen über ein Jahrzehnt hinweg sprengt klassische Risikomodelle. Viele Institute stehen vor dem Nichts, wenn es darum geht, wissenschaftlich fundierte Klimaszenarien mit realen Portfoliodaten zu verheiraten.
• Die 5 % NPL-Falle (BTO 1.2.5): Die neue „harte“ Quote für notleidende Kredite wirkt wie ein Fallbeil. Wer die Schwelle reißt, verliert massiv an operativem Spielraum und muss unter Aufsichtsdruck teure Workout-Units aufbauen – ein personeller Albtraum für kleinere Häuser.
• Administrative Lähmung durch DORA & AT 7.2: Die Pflicht zur halbjährlichen Rezertifizierung von IT-Berechtigungen (insb. Administratoren) droht die Revisions- und IT-Abteilungen in manuellen Excel-Listen zu ersticken. Ohne Automatisierung ist dieser Prozess nicht prüfungssicher zu bewältigen.
• Gutachter-Engpass bei Immobilien (BTO 1.2.2): Die neue Rotationspflicht und die zwingende Neubewertung bei 10 % Marktschwankung treffen auf einen Markt mit begrenzten Gutachterkapazitäten. Hier drohen Prozesse im Kreditgeschäft massiv zu stocken.
• Ressourcen-Burnout (AT 7.1): Die Aufsicht fordert nun explizit den Nachweis einer angemessenen Personalausstattung. Das Problem: Qualifizierte ESG- und Daten-Analysten sind am Markt kaum zu finden, während die bestehenden Teams bereits an der Belastungsgrenze arbeiten.
• Die „Blackbox“-Haftung bei KI: Wer KI für Scoring oder Bewertung nutzt, haftet nun für deren „Erklärbarkeit“. Viele Institute nutzen Tools von Drittanbietern, ohne die zugrunde liegende Logik tief genug für eine BaFin-Prüfung dokumentieren zu können.

Dein Mehrwert durch den S+P Hub:

Wir wandeln diese Pain Points in prüfungssichere Prozesse um. Unser Implementierungs-Fahrplan und die MaRisk 10.0 Tool Box bieten dir die Abkürzung durch das regulatorische Dickicht.

• Jetzt Whitepaper zur 9. MaRisk-Novelle 2026 sichern

^

Die Umsetzung der EBA-Leitlinien in der MaRisk 10.0 (Fassung 2026)

Mit der 10. MaRisk-Novelle (konsultiert im April 2026) festigt die BaFin den Ansatz des „Single Rulebooks“, indem sie zentrale europäische Vorgaben in nationales Recht überführt. Die MaRisk 10.0 fungiert dabei als Integrationsrahmen für eine Vielzahl von EBA-Leitlinien, insbesondere in den Bereichen ESG-Risiken (EBA/GL/2025/01 und 2025/04) sowie der Kreditvergabe und Überwachung (EBA/GL/2020/06).

Ein entscheidendes Merkmal der neuen Fassung ist die Vollumfänglichkeit der Umsetzung: Sofern die MaRisk nicht explizit auf spezifische Randziffern oder Abschnitte der EBA-Leitlinien verweisen, gelten die genannten Leitfäden durch die MaRisk-Anforderungen als vollständig abgedeckt.

Institute müssen somit keine parallele Prüfung der EBA-Texte vornehmen, es sei denn, ein direkter Verweis erzwingt die Beachtung zusätzlicher Details. Diese Struktur dient der Reduktion von Komplexität und stärkt die Prinzipienorientierung, wobei insbesondere für kleinere Institute (SNCI) durch die Integration der Leitlinien zum ESG-Management und zur Umwelt-Szenarioanalyse ein proportionaler, risikoorientierter Handlungsspielraum geschaffen wird.

Wichtige Neuerungen im Überblick

In der Version 10.0 (2026) sind folgende Punkte besonders hervorzuheben:

• ESG-Integration: Die Leitlinien zum Management von ESG-Risiken (EBA/GL/2025/01) und zur Umwelt-Szenarioanalyse (EBA/GL/2025/04) sind nun fester Bestandteil der Risikoinventur und Strategieformulierung.
• Demarkation zu DORA: Während die EBA-Leitlinien zu Auslagerungen (EBA/GL/2019/02) weiterhin relevant bleiben, werden IKT-spezifische Aspekte zunehmend durch die DORA-Verordnung exkludiert, um Doppelregulierung zu vermeiden.
• Stresstesting: Die Anforderungen aus EBA/GL/2018/04 wurden dahingehend gestrafft, dass Institute ihre Stresstest-Szenarien nun noch stärker auf die Wesentlichkeit (5%-Schwelle) fokussieren können.

Referenzliste der EBA-Leitlinien

• Stresstests EBA/GL/2018/04 – Leitlinien zu den Stresstests der Institute
• Notleidende Risikopositionen (NPL) EBA/GL/2018/06 – Leitlinien über das Management notleidender und gestundeter Risikopositionen
• Auslagerungen (Outsourcing) EBA/GL/2019/02 – Leitlinien zu Auslagerungen
• Kreditvergabe & Überwachung (LOM) EBA/GL/2020/06 – Leitlinien für die Kreditvergabe und Überwachung
• Interne Governance EBA/GL/2021/05 – Leitlinien zur internen Governance
• Zins- und Spreadrisiken (IRRBB/CSRBB) EBA/GL/2022/14 – Leitlinien zu Zinsrisiken und Kreditspreadrisiken im Anlagebuch (Hinweis: Oft als Englisch/Deutsch-Kombination verfügbar)
• ESG-Risikomanagement EBA/GL/2025/01 – Leitlinien zum Management von ESG-Risiken
• Umwelt-Szenarioanalyse EBA/GL/2025/04 – Leitlinien zur Umwelt-Szenarioanalyse

Beachten Sie, dass die MaRisk 10.0 explizit klarstellt:

„Soweit die MaRisk auf diese Leitlinien verweisen, sind die entsprechenden Abschnitte als integraler Bestandteil der Aufsichtspraxis zu verstehen.“

Das bedeutet für die Praxis, dass die Institute die Detailvorgaben (z.B. die Anhänge zur Szenarioanalyse) direkt aus den EBA-Texten entnehmen müssen, wenn das MaRisk-Modul (z.B. AT 4.3.3 für ESG) darauf referenziert.

Das Fundament: Strategie und Risikokultur (AT 3 & AT 4.2)

Die Geschäftsleitung steht mehr denn je in der Pflicht. Die neue MaRisk stellt klar: Risikomanagement ist keine rein delegierbare Kontrollaufgabe, sondern ein integraler Bestandteil der Geschäftsstrategie.

Operative Umsetzung der Risikokultur

Du musst die Risikokultur (AT 3.1) nun messbar machen. Es reicht nicht, ein Leitbild an die Wand zu hängen. Die Aufsicht erwartet Verfahren, mit denen du überwachst, ob die

Mitarbeiter den definierten Risikoappetit auch leben.

• Praxis-Tipp: Implementiere regelmäßige „Risk-Culture-Surveys“ oder binde Risiko-KPIs in die Zielvereinbarungsgespräche ein.
• ESG-Integration: Deine Geschäftsstrategie muss nun explizit darlegen, wie die Transition zu einer nachhaltigen Wirtschaft dein Geschäftsmodell beeinflusst. Das ist kein Marketing-Text, sondern die Basis für deine Kapitalplanung.

Das ESG-Daten-Dilemma: Von der Schätzung zur Messung (AT 4.3.4 & BTO 1.2)

Das größte operative Nadelöhr der Novelle ist die Verfügbarkeit und Qualität von ESG-Daten. Die MaRisk fordern, dass du ESG-Risiken als Risikotreiber für alle wesentlichen Risikoarten berücksichtigst.

Die Datenstrategie

Du stehst vor der Herausforderung, für die 10-jährigen Resilienzanalysen (AT 4.3.3) Datenhaushalte aufzubauen, die es in dieser Form oft noch nicht gibt.

• Bestandskunden: Integriere ESG-Fragebögen direkt in die Neu-Produkt-Prozesse und die jährlichen Kreditfolgebearbeitungen. Nutze standardisierte Branchen-Scores nur als Übergangslösung.
• Immobilienportfolio: Für die Wertermittlung (BTO 1.2.2) musst du nun die Energieeffizienz (EPC-Labels) und physische Klimarisiken (z. B. Hochwasserzonen) systematisch erfassen.
• IT-Anforderung: Vermeide Insellösungen. Die ESG-Daten müssen im zentralen Datenmanagementsystem (AT 4.3.4) so abgelegt werden, dass sie sowohl für die Risikoinventur als auch für die Kreditwürdigkeitsprüfung und das Reporting (BT 3) nutzbar sind.

• Aufsichtsrecht Seminare

NPL-Management: Die „5 %-Hürde“ als Prozess-Auslöser (BTO 1.2.5)

Die Einführung einer harten Schwelle von 5 % für die NPL-Quote (notleidende Kredite) ist eine der schärfsten Verschärfungen. Wenn dein Institut diese Grenze überschreitet, greifen automatisch massive organisatorische Anforderungen.

Proaktive Steuerung statt Zwangsverwaltung

Warte nicht, bis du die 5 % erreichst. Du solltest ein internes Frühwarnsystem etablieren, das bereits bei 3,5 % oder 4 % Alarm schlägt.

• Die NPL-Strategie: Wenn du über der Schwelle liegst, musst du einen mehrjährigen Abbauplan vorlegen. Das erfordert eine detaillierte Analyse der Ursachen für die Notleidendheit.
• Die Workout-Unit: Die geforderte Trennung der Abwicklungseinheit vom Marktbereich ist für kleinere Institute personell oft schwierig. Prüfe frühzeitig, ob du durch Pool-Lösungen oder klare Stellvertreterregelungen die geforderte Unabhängigkeit gewährleisten kannst, ohne den Betrieb zu lähmen.

Immobilien-Bewertung: Prozess-Optimierung unter Druck (BTO 1.2.2)

Die MaRisk 2026 fordern eine deutlich engere Überwachung von Immobiliensicherheiten. Marktschwankungskonzepte werden kritischer beäugt; bei Wertminderungen von mehr als 10 % ist eine Neubewertung zwingend.

Operative Lösungsansätze

• Gutachter-Rotation: Du musst nun sicherstellen, dass nicht jahrelang derselbe Gutachter dasselbe Objekt bewertet. Das erfordert ein softwaregestütztes Rotationsmanagement im Bereich Marktfolge.
• KI-Einsatz: Nutze automatisierte Bewertungsmodelle (AVMs) zur kontinuierlichen Marktbeobachtung. So identifizierst du frühzeitig jene Objekte, die die 10 %-Schwelle reißen könnten, und kannst Gutachterkapazitäten zielgerichtet steuern.

Ressourcen-Management: Das Ende der Überlastung (AT 7.1)

Ein oft unterschätzter Punkt ist die explizite Forderung nach angemessener Personalausstattung. Die Aufsicht hat erkannt, dass viele neue Anforderungen (ESG, DORA, NPL) zusätzliche Kapazitäten binden.

Personalstrategie

Du kannst nicht einfach mehr Aufgaben auf dieselben Köpfe verteilen.

• Qualifikationsmatrix: Erstelle eine Matrix, welche neuen Kompetenzen (z. B. ESG-Experten, Daten-Analysten für Resilienzanalysen) im Haus fehlen.
• Outsourcing-Check: Wenn interne Ressourcen fehlen, rückt AT 9 (Auslagerung) in den Fokus. Aber Vorsicht: Auch die Überwachung der Dienstleister wird durch die neue MaRisk komplexer (Stichwort: Sub-Outsourcing).

Dein Implementierungs-Fahrplan: Die Gap-Analyse

Der Weg zur MaRisk-Compliance 2026 führt über eine strukturierte Bestandsaufnahme. Eine oberflächliche Betrachtung reicht nicht mehr aus; die Aufsicht fordert eine nachvollziehbare Herleitung, wie neue Anforderungen in bestehende Prozesse eingeflossen sind.

Nutze diesen 4-Phasen-Plan, um die Umsetzungsphase effizient zu steuern:

Phase 1: Die Delta-Analyse (Sofort-Check)

Im ersten Schritt erfolgt der Abgleich des neuen Rundschreibens mit deinem aktuellen Status quo.

• Dokumenten-Audit: Vergleiche deine Organisationsrichtlinien (Handbücher, Arbeitsanweisungen) Zeile für Zeile mit der MaRisk 2026.
• Identifikation von Leerstellen: Wo fehlen Prozesse komplett (z. B. 10-Jahres-Resilienzszenarien)? Wo weichen Definitionen ab (z. B. NPL-Begriff)?
• Ergebnis: Ein detailliertes „Delta-Protokoll“ als Basis für die Ressourcenplanung.

Phase 2: Impact-Analyse & Wesentlichkeit (Q2 – Q3)

Hier bewertest du die Tragweite der gefundenen Lücken für dein spezifisches Geschäftsmodell.

• Portfolio-Check: Welche Kreditbereiche sind von den neuen ESG-Szenarien am stärksten betroffen? Wie hoch ist der Anteil sanierungsbedürftiger Immobilien?
• Schwellenwert-Analyse: Wie knapp liegt deine aktuelle NPL-Quote an der 5 %-Hürde?
• Kapazitäts-Check: Wie viele Gutachten müssen aufgrund der neuen Rotationspflichten (BTO 1.2.2) kurzfristig neu vergeben werden?

Phase 3: Prozessdesign & IT-Integration (Q3 – Q4)

Nun geht es an die operative "Schraubarbeit". Compliance wird hier zum IT-Projekt.

• Workflow-Update: Integration der ESG-Datenfelder direkt in die Kreditmasken, damit der Marktbereich die Daten ohne Medienbruch erfassen kann.
• Automatisierung: Implementierung eines automatisierten Berechtigungsmanagements (Identity & Access Management), um die Rezertifizierungszyklen gemäß AT 7.2 einzuhalten.
• Validierung: Aufbau einer Validierungs-Governance für KI-Modelle und Scoring-Verfahren.

Phase 4: Training & Kultur-Audit (Laufend)

Die beste Richtlinie scheitert, wenn sie nicht gelebt wird.

• Befähigung: Schulung der Kreditanalysten in der Interpretation von ESG-Scores.
• Kultur-Check: Durchführung von Risk-Culture-Surveys, um gegenüber der Aufsicht nachzuweisen, dass das Risikobewusstsein bis in die untersten Ebenen verankert ist.

Experten-Tipp: Nutze für die Gap-Analyse ein standardisiertes Tooling. Die S+P Tool Box unterstützt dich bei der Umsetzung.

Das Target Operating Model (TOM) beschreibt die mit den MaRisk 2026 angestrebte Zielstruktur zur Umsetzung regulatorischer Anforderungen. Es umfasst die optimale Ausgestaltung von Prozessen, Governance, IT-Systemen und Ressourcen, um ein wirksames Risikomanagement sicherzustellen.

Im Kontext der MaRisk 2026 unterstützt ein TOM insbesondere:

• Aufbau- und Ablauforganisation: Klare Rollen, Verantwortlichkeiten und Prozesse gemäß AT 4.3.1

• Risikosteuerung und -controlling: Systematische Identifikation, Bewertung und Überwachung von Risiken (AT 4.3.2)

• Strategie und Risikokultur: Verankerung von ESG, Nachhaltigkeit und Risikoappetit in der Geschäftsstrategie (AT 4.2, AT 3.1)

• IT- und Datenarchitektur: Sicherstellung von Datenqualität, Verfügbarkeit und Informationssicherheit (AT 7.2)

• Compliance und Revision: Überwachung regulatorischer Anforderungen und unabhängige Kontrollfunktionen (AT 4.4.2, AT 4.4.3)

Ein strukturiertes Target Operating Model hilft dir, die MaRisk 2026 effizient, prüfungssicher und strategisch in deinem Institut umzusetzen.

• MaRisk 10.0 & DORA

Resilienz als Wettbewerbs-Vorteil

Die MaRisk-Novelle 2026 ist zweifellos eine große Belastung für die Administration. Doch wenn du den Blickwinkel änderst, bietet sie eine Chance:

1. ESG-Daten helfen dir, Risiken in deinem Portfolio besser zu verstehen und zu bepreisen.
2. Digitale Resilienz schützt dich vor den massiv steigenden Kosten von Cyber-Angriffen.
3. Saubere NPL-Prozesse sichern deine Liquidität in wirtschaftlich volatilen Zeiten.

Banken und Finanzinstitute, die diese Anforderungen nicht als lästige Checkliste, sondern als Werkzeuge für ein moderneres Risikomanagement begreifen, werden langfristig stabiler und attraktiver für Investoren und Kunden sein.