MaRisk

Mindestanforderungen an das Risikomanagement praktisch umsetzen.

Strukturierte Umsetzungshilfen fuer MaRisk AT (Allgemeine Anforderungen), BT (Besondere Anforderungen) und Auslagerungsmanagement mit DORA- und ISO-Alignment.

Management-Zusammenfassung

MaRisk (Mindestanforderungen an das Risikomanagement) ist die zentrale aufsichtsrechtliche Grundlage fuer deutsche Finanzinstitute.
Die Anforderungen gliedern sich in AT (Allgemeine Anforderungen) und BT (Besondere Anforderungen) mit IKT-Schwerpunkten.
MaRisk AT 7 und AT 9 behandeln IKT-Risiken und Auslagerungen – hier greift DORA vertiefend ein.
Die Drei-Linien-Modell (AT 4.4) bildet die Governance-Grundlage fuer DORA Art. 4 und Art. 5.
ISO 27001 Kontrollen unterstuetzen die operative Umsetzung von MaRisk-Anforderungen, ersetzen sie aber nicht.
Wertpapierinstitute (WpI) unterliegen modifizierten Anforderungen (WpI MaRisk) mit proportionalen Erleichterungen.

Hinweis: Diese Darstellung stellt keine vollstaendige Wiedergabe der BaFin MaRisk dar. Die Inhalte bieten eigene, praxisnahe Interpretationen der Anforderungen mit Fokus auf Integration mit DORA und ISO 27001. Keine Rechtsberatung — verbindlich sind die aktuellen MaRisk-Fassungen der BaFin.

9. MaRisk-Novelle — Konsultation abgeschlossen, Finalisierung H2 2026

Die BaFin hat die Konsultation zur 9. MaRisk-Novelle am 8. Mai 2026 abgeschlossen. Die Finalisierung ist für die zweite Jahreshälfte 2026 geplant. Die Novelle bringt eine grundlegende Reform mit stärker prinzipienbasiertem Ansatz und reduzierter Komplexität.

Neue Institutsklassifizierung

Drei Größenklassen: sehr klein (≤1 Mrd €), klein (SNCIs, ≤5 Mrd €), übrige (LSIs). SIs aus dem Anwendungsbereich herausgenommen.

DORA-Alignment

AT 7.2 (technisch-organisatorische Ausstattung) wird nahezu vollständig gestrichen — IKT-Risiken primär durch DORA geregelt.

AT 4.3.4 — Modelle & KI

Neues Modul explizit für KI-Systeme, automatisierte Verfahren und Modelle (Kreditrisiko, Stresstests).

ESG-Szenarioanalysen

Umsetzung der EBA-Leitlinien zur Umwelt-Szenarioanalyse (EBA/GL/2025/04) mit 10-Jahres-Horizont.

BaFin Konsultationsmeldung Bundesbank MaRisk-Seite

AT — Allgemeine Anforderungen

AT 4.3.1 MARISK-AT-4.3.1

Basis

Risikomanagementrahmen etablieren

Ein institutioneller Rahmen fuer das IKT-Risikomanagement wird definiert, dokumentiert und mit den Geschaeftsstrategien sowie der Risikotragfaehigkeit abgestimmt. Dies umfasst die Etablierung von Richtlinien, Verfahren und Verantwortlichkeiten gemäß DORA Art. 6 für ein umfassendes IKT-Risikomanagementrahmenwerk, das die Identifikation, Bewertung und Steuerung von IKT-Risiken mit klaren Eskalationspfaden und Zuständigkeiten sicherstellt.

DORA Alignment

Art. 6 (IKT-Risikomanagementrahmen)

Ganzheitlicher Ansatz fuer Risikoidentifikation, -bewertung und -steuerung mit definierten Verantwortlichkeiten und Eskalationspfaden.

ISO 27001 Referenzen

A.5.1, A.5.2, A.5.4

Nachweisfokus

Risikomanagementrichtlinie, Risikostrategie, Genehmigungsnachweise, Eskalationsprotokolle

AT 4.3.2 MARISK-AT-4.3.2

Gefuehrt

Risikoidentifikation und -bewertung

IKT-Risiken werden systematisch ermittelt, quantifiziert oder qualitativ bewertet und ihrer Bedeutung nach priorisiert. Dies erfolgt gemäß DORA Art. 6 mit etablierter Methodik zur Identifikation kritischer IKT-Risiken, einschließlich Szenarioanalyse und Stress-Testing, sowie der Definition von Risikoappetit und -toleranzen für das IKT-Portfolio.

DORA Alignment

Art. 6 (Risikobewertung)

Grundlage fuer die Identifikation kritischer IKT-Risiken und die Definition von Risikoappetit und -toleranzen.

ISO 27001 Referenzen

A.5.9, A.8.1, A.8.2

Nachweisfokus

Risikoinventar, Bewertungsmethodik, Risikomatrix, Review-Protokolle

AT 4.3.3 MARISK-AT-4.3.3

Gefuehrt

Risikosteuerung und -ueberwachung

Identifizierte IKT-Risiken werden durch angemessene Steuerungsmassnahmen gemäß DORA Art. 8 behandelt, darunter Schutz-, Erkennungs-, Reaktions- und Wiederherstellungsmassnahmen. Die Wirksamkeit dieser Maßnahmen wird regelmäßig überprüft, an Veränderungen im IKT-Risikolandskap angepasst und mittels Kontrollen sowie internen Audits validiert.

DORA Alignment

Art. 8 (IKT-Risikosteuerung)

Implementierung von Schutz-, Erkennungs-, Reaktions- und Wiederherstellungsmassnahmen mit Wirksamkeitskontrollen.

ISO 27001 Referenzen

A.5.35, A.5.36, A.5.37

Nachweisfokus

Risikosteuerungsplaene, Massnahmenregister, Wirksamkeitsnachweise, Review-Berichte

AT 4.4.1 MARISK-AT-4.4.1

Basis

Rollen und Verantwortlichkeiten im Risikomanagement

Verantwortlichkeiten fuer Risikomanagement, Compliance und interne Revision sind klar definiert, dokumentiert und kommuniziert. Unabhängige Kontrollfunktionen sind gewaehrleistet.

DORA Alignment

Art. 5 (Governance)

Three-Lines-Modell mit eindeutigen Zustaendigkeiten fuer Risikosteuerung, -ueberwachung und -pruefung.

ISO 27001 Referenzen

A.5.2, A.6.1, A.6.2

Nachweisfokus

Organigramm, Rollenbeschreibungen, Unabhaengigkeitsnachweise, Schulungsnachweise

AT 4.4.2 MARISK-AT-4.4.2

Gefuehrt

Interne Kontrollen und Selbstueberpruefungen

Interne Kontrollen werden eingerichtet, dokumentiert und regelmaessig auf Wirksamkeit geprueft. Selbstueberpruefungen ergaenzen das interne Kontrollsystem.

DORA Alignment

Art. 6 (Kontrollrahmen)

Dokumentation und regelmaessige Ueberpruefung von Kontrollen zur Risikominderung im IKT-Bereich.

ISO 27001 Referenzen

A.5.35, A.5.36, A.9.1

Nachweisfokus

Kontrollkatalog, Selbstueberpruefungsberichte, Abweichungsnachweise, Korrekturmassnahmen

AT 4.4.3 MARISK-AT-4.4.3

Gefuehrt

Interne Revision und Pruefung

Die interne Revision fuehrt regelmaessige Pruefungen durch, bewertet die Angemessenheit und Wirksamkeit des Risikomanagements und berichtet an das Management.

DORA Alignment

Art. 5 (Interne Pruefung)

Unabhaengige Pruefung der IKT-Risikomanagement-Prozesse und -Kontrollen.

ISO 27001 Referenzen

A.5.35, A.5.37, A.9.2

Nachweisfokus

Pruefungsplan, Pruefungsberichte, Managementantworten, Umsetzungsnachweise

AT 7.1 MARISK-AT-7.1

Basis

IKT-Risiken und Informationssicherheit

Risiken im Zusammenhang mit Informationstechnologie und Informationssicherheit werden identifiziert, bewertet und durch angemessene Massnahmen gesteuert.

DORA Alignment

Art. 8 (IKT-Risikomanagement)

Spezifische Behandlung von IKT-Risiken als Teil des umfassenden Risikomanagements mit Fokus auf Verfuegbarkeit, Integritaet und Vertraulichkeit.

ISO 27001 Referenzen

A.5.1, A.5.9, A.5.30, A.8.1

Nachweisfokus

IKT-Risikoinventar, Sicherheitsrichtlinien, Zugriffskonzepte, Schutzmassnahmen

AT 7.2 MARISK-AT-7.2

Gefuehrt

Technische Schutzmassnahmen

Technische und organisatorische Schutzmassnahmen zur Gewaehrleistung der Informationssicherheit werden implementiert, dokumentiert und regelmaessig ueberprueft.

DORA Alignment

Art. 8 (Schutz, Erkennung, Reaktion)

Implementierung von Schutzmechanismen, Erkennungsfaehigkeiten und Reaktionsprozessen fuer IKT-Vorfaelle.

ISO 27001 Referenzen

A.8.1, A.8.5, A.8.9, A.8.24

Nachweisfokus

Technische Sicherheitskonzepte, Penetrationstests, Schwachstellenanalysen, Monitoring-Konfigurationen

AT 7.3 MARISK-AT-7.3

Gefuehrt

Geschaeftsprozessbezogene Wiederherstellungsfaehigkeit

Fuer kritische Geschaeftsprozesse werden Wiederherstellungsfaehigkeit und Notfallmanagement sichergestellt. Notfallplaene werden regelmaessig getestet und aktualisiert.

DORA Alignment

Art. 11 (Wiederherstellung)

BCDR-Plaene, RTO/RPO-Definitionen, regelmaessige Tests und Aktualisierungen der Wiederherstellungsfaehigkeit.

ISO 27001 Referenzen

A.5.29, A.5.30, A.8.13, A.8.14

Nachweisfokus

Notfallmanagementhandbuch, BCDR-Plaene, Testprotokolle, Aktualisierungsnachweise

AT 9 MARISK-AT-9

Gefuehrt

Auslagerungsmanagement

Auslagerungen werden im Rahmen einer Auslagerungsstrategie gesteuert. Vor der Beauftragung erfolgt eine Risikobewertung, vertragliche Absicherung und laufende Ueberwachung.

DORA Alignment

Art. 28-30 (IKT-Drittparteienrisiko)

Ganzheitliches Management von Auslagerungen mit Due Diligence, Vertragsgestaltung, Monitoring und Exit-Strategien fuer kritische Dienstleistungen.

ISO 27001 Referenzen

A.5.19, A.5.20, A.5.21, A.5.22

Nachweisfokus

Auslagerungsstrategie, Due-Diligence-Dokumentation, Vertraege, Monitoring-Berichte, Exit-Plaene

AT 7.4 MARISK-AT-7.4

defined

IKT-Aenderungsmanagement und sichere Betriebsuebergaenge

Aenderungen an IKT-Systemen werden risikoorientiert gesteuert. Entwicklungs-, Test- und Produktionsuebergaenge sind nachvollziehbar freigegeben und kontrolliert.

DORA Alignment

Art. 8 (Sichere IKT-Betriebsfuehrung), Art. 9 (Integritaet und Verfuegbarkeit)

Change- und Release-Prozesse reduzieren Betriebsrisiken und staerken die Nachvollziehbarkeit sicherheitsrelevanter Aenderungen.

ISO 27001 Referenzen

A.8.32, A.8.31, A.8.33

Nachweisfokus

Change-Policy, Release-Freigaben, Trennungsnachweise zwischen Umgebungen, Rueckfallplaene

BT — Besondere Anforderungen

BT 1.1 MARISK-BT-1.1

Basis

Allgemeine Anforderungen an die Geschaeftsorganisation

Die Geschaeftsorganisation ist angemessen, angemessene Ruecklagen sind vorzusehen und eine ordnungsmaessige Geschaeftsfuehrung ist sicherzustellen.

DORA Alignment

Art. 5 (Organisation)

Organisatorische Grundanforderungen als Basis fuer resiliente IKT-Strukturen und -Prozesse.

ISO 27001 Referenzen

A.5.1, A.5.2

Nachweisfokus

Organisationshandbuch, Ruecklagenkonzept, Governance-Dokumentation

BT 2 MARISK-BT-2

Basis

Risikotragfaehigkeit

Institute muessen ueber angemessene Risikotragfaehigkeit verfuegen. Dies umfasst Eigenmittelausstattung, Liquiditaetsruecklagen und Belastbarkeit gegenueber Risiken.

DORA Alignment

Art. 6 (Risikoappetit)

Quantifizierung der Risikotragfaehigkeit als Basis fuer IKT-Risikoakzeptanz und -toleranzen.

ISO 27001 Referenzen

A.5.4, A.5.5

Nachweisfokus

Risikotragfaehigkeitskonzept, Eigenmittelnachweise, Stresstest-Ergebnisse

BT 3.1 MARISK-BT-3.1

Gefuehrt

Interne Kontrollsysteme — Grundsaetze

Ein angemessenes internes Kontrollsystem ist einzurichten. Es umfasst organisatorische, personelle und technische Kontrollen entsprechend dem Geschaeftsmodell.

DORA Alignment

Art. 6 (Kontrollrahmen)

Ganzheitliches Kontrollsystem als Fundament fuer IKT-Risikosteuerung und -ueberwachung.

ISO 27001 Referenzen

A.5.35, A.5.36

Nachweisfokus

Kontrollsystem-Dokumentation, Kontrollmatrizen, Wirksamkeitspruefungen

BT 3.2 MARISK-BT-3.2

Gefuehrt

Vorfallmanagement und Meldewesen

Ein angemessenes Vorfallmanagement ist einzurichten. Risiken, Verstoesse und Vorfaelle sind intern zu melden und geeignet zu dokumentieren.

DORA Alignment

Art. 10 (IKT-Vorfallmanagement)

Klassifizierung, Meldung und Dokumentation von IKT-Vorfaellen mit Eskalations- und Aufsichtsmeldungspflichten.

ISO 27001 Referenzen

A.5.24, A.5.25, A.5.26, A.5.27

Nachweisfokus

Vorfallmanagementrichtlinie, Meldeprozess, Vorfallsprotokolle, Trendanalysen

BT 4.4.1 MARISK-BT-4.4.1

Basis

Compliance-Grundsaetze

Ein angemessenes Compliance-Management ist einzurichten. Gesetze, Aufsichtsvorschriften und interne Regelungen sind einzuhalten und auf Einhaltung zu pruefen.

DORA Alignment

Art. 5 (Compliance)

Regulatorische Einbettung von DORA-Anforderungen in das Compliance-Framework des Instituts.

ISO 27001 Referenzen

A.5.1, A.5.31, A.5.32

Nachweisfokus

Compliance-Handbuch, Regelungsinventar, Compliance-Checks, Abweichungsreporting

BT 4.4.2 MARISK-BT-4.4.2

Gefuehrt

Geldwaescherisiken

Geldwaescherisiken sind zu identifizieren, zu bewerten und durch angemessene Massnahmen zu steuern. Verdachtsfaelle sind zu melden.

DORA Alignment

Art. 8 (Risikoidentifikation)

Integration von Geldwaescherisiken in das ganzheitliche IKT-Risikoinventar.

ISO 27001 Referenzen

A.5.9, A.5.18

Nachweisfokus

Geldwaesche-Risikobewertung, Verfahrensanweisungen, Schulungsnachweise

BT 2.1 MARISK-BT-2.1

Basis

Risikotragfaehigkeit - Prozesse und Verantwortlichkeiten

Institute muessen ueber angemessene Risikotragfaehigkeit verfuegen. Die Geschaeftsleitung ist verantwortlich fuer die Festlegung und Umsetzung der Risikotragfaehigkeitsstrategie sowie die Sicherstellung angemessener Ruecklagen und Eigenmittel.

DORA Alignment

Art. 6 (Risikoappetit und -toleranz)

Definition von Risikoappetit und -toleranzen als Basis fuer die Risikotragfaehigkeit des Instituts.

ISO 27001 Referenzen

A.5.4, A.5.5, A.5.7

Nachweisfokus

Risikotragfaehigkeitsstrategie, Ruecklagenkonzept, Eigenmittelplanung, Stresstest-Ergebnisse

BT 2.2 MARISK-BT-2.2

Gefuehrt

Risikotragfaehigkeit - Methodik und Berechnung

Die angemessene Risikotragfaehigkeit ist mit angemessener Methodik zu bestimmen. Dies umfasst die Quantifizierung von Risiken, die Ermittlung von Eigenmittelanforderungen und die Durchfuehrung von Stresstests.

DORA Alignment

Art. 6 (Risikobewertung)

Methodische Bewertung und Quantifizierung von Risiken als Grundlage fuer Resilienzentscheidungen.

ISO 27001 Referenzen

A.5.7, A.5.8, A.5.12

Nachweisfokus

Methodik-Dokumentation, Risikomodelle, Stresstest-Framework, Kapitalplanung

BT 2.3 MARISK-BT-2.3

Gefuehrt

Risikotragfaehigkeit - Berichtswesen und Monitoring

Die Risikotragfaehigkeit ist laufend zu ueberwachen und regelmaessig zu berichten. Bei Verstoss gegen Risikolimits sind Eskalationsprozesse und Korrekturmassnahmen zu implementieren.

DORA Alignment

Art. 6 (Risikoueberwachung), Art. 11 (Reporting)

Laufende Ueberwachung der Risikopositionen und regelmaessiges Reporting an die Geschaeftsleitung.

ISO 27001 Referenzen

A.5.36, A.5.37, A.10.1

Nachweisfokus

Risikoberichte, Limitueberschreitungsprotokolle, Eskalationsnachweise, Management-Reporting

BT 4.1 MARISK-BT-4.1

Basis

Geschaeftsleitung und Fuehrung

Die Geschaeftsleitung traegt die Gesamtverantwortung fuer die Einrichtung und Aufrechterhaltung eines angemessenen Risikomanagements. Sie muss ueber angemessene Kenntnisse und Erfahrungen verfuegen.

DORA Alignment

Art. 4 (Leitungsorganverantwortung), Art. 5 (Governance)

Rollen und Verantwortlichkeiten der Geschaeftsleitung fuer IKT-Risikomanagement und Resilienz.

ISO 27001 Referenzen

A.5.1, A.5.2, A.6.1

Nachweisfokus

Organigramm, Rollenbeschreibungen, Kompetenznachweise, Befugnisregelungen

BT 4.2 MARISK-BT-4.2

Basis

Organisationsstruktur und vier Augen Prinzip

Die Organisationsstruktur muss eine ordnungsmaessige Geschaeftsfuehrung ermoeglichen. Das Vier-Augen-Prinzip ist einzuhalten, Aufgaben sind klar zu trennen und die Unabhaengigkeit der Kontrollfunktionen zu gewaehrleisten.

DORA Alignment

Art. 5 (Interne Organisation), Art. 6 (Kontrollen)

Interne Kontrollstruktur und Aufgabentrennung als Basis fuer IKT-Risikosteuerung.

ISO 27001 Referenzen

A.5.2, A.5.3, A.6.2

Nachweisfokus

Organisationshandbuch, Trennungsmatrix, Vier-Augen-Nachweise, Kontrollfunktionsunabhaengigkeit

BT 3.3 MARISK-BT-3.3

Gefuehrt

Notfallmanagement und Krisenkommunikation

Institute halten ein belastbares Notfallmanagement inklusive Krisenkommunikation vor. Kritische Szenarien werden geplant, geuebt und in den Regelbetrieb rueckgekoppelt.

DORA Alignment

Art. 11 (Business Continuity und Wiederherstellung), Art. 13 (Kommunikation bei IKT-Vorfaellen)

BCM-/DR-Planung, Krisenkommunikation und regelmaessige Notfalluebungen fuer resiliente Betriebsfortfuehrung.

ISO 27001 Referenzen

A.5.29, A.5.30, A.5.24, A.5.25

Nachweisfokus

Notfallhandbuch, Krisenkommunikationsplan, Uebungsprotokolle, Lessons-Learned-Register

WpI MaRisk — Proportionale Anforderungen für Wertpapierinstitute

Für Wertpapierinstitute (WpI) gelten proportionale Anforderungen entsprechend Grösse, Geschäftsmodell und Komplexität. Kleine und nicht komplexe Institute unterliegen erleichterten Anforderungen.

WpI AT 1 MARISK-WPI-AT-1

Basis

Proportionale Anforderungen - Allgemeine Grundsaetze

Fuer Wertpapierinstitute (WpI) gelten proportionale Anforderungen entsprechend ihrer Groesse, ihres Geschaeftsmodells und ihrer Komplexitaet. Kleine und nicht komplexe Institute unterliegen erleichterten Anforderungen.

DORA Alignment

Art. 4 (Proportionalitaet), Art. 5 (Kleine und nicht komplexe Institute)

Proportionale Anwendung von DORA-Anforderungen fuer kleine und nicht komplexe Institute.

ISO 27001 Referenzen

A.5.1, A.5.4

Nachweisfokus

Einstufungsnachweis, Groessenklassifikation, Geschaeftsmodellbeschreibung

WpI AT 2 MARISK-WPI-AT-2

Basis

Vereinfachtes Risikomanagement fuer kleine WpI

Kleine und nicht komplexe WpI duerfen ein vereinfachtes Risikomanagement etablieren. Vereinfachte Anforderungen bei Risikoidentifikation, Bewertung und Steuerung sind zulaessig, wenn angemessen.

DORA Alignment

Art. 6 (Vereinfachte Risikobewertung)

Vereinfachte Risikobewertungsmethoden fuer kleine Institute.

ISO 27001 Referenzen

A.5.4, A.5.7

Nachweisfokus

Vereinfachte Risikomethodik, Einstufungsbegruendung, Managementbestaetigung

WpI AT 3 MARISK-WPI-AT-3

Basis

WpI - IKT-Risiken und Informationssicherheit

WpI muessen IKT-Risiken angemessen steuern. Die Anforderungen sind proportional an die Groesse und Komplexitaet anzupassen, wobei auch kleine Institute eine angemessene Informationssicherheit gewaehrleisten muessen.

DORA Alignment

Art. 8 (IKT-Risikomanagement)

Proportionale Anforderungen an das IKT-Risikomanagement fuer WpI.

ISO 27001 Referenzen

A.5.1, A.5.9, A.8.1

Nachweisfokus

Proportionalitaetsnachweis, IKT-Risikoinventar, angepasste Schutzmassnahmen

WpI AT 4 MARISK-WPI-AT-4

Gefuehrt

WpI - Auslagerungsmanagement und Drittparteien

Bei Auslagerungen sind fuer WpI proportionale Anforderungen an Due Diligence, Vertragsgestaltung und Monitoring anzuwenden. Kritische Auslagerungen muessen auch bei kleinen Instituten angemessen gesteuert werden.

DORA Alignment

Art. 28 (IKT-Drittparteienrisiko)

Proportionale Anforderungen an das Management von IKT-Drittparteienrisiken.

ISO 27001 Referenzen

A.5.19, A.5.20, A.5.21

Nachweisfokus

Auslagerungsinventar, Risikobewertung, vereinfachte Vertraege, Monitoring-Nachweise

MaRisk ↔ DORA Integration

MaRisk und DORA sind komplementär: MaRisk bildet den deutschen Rahmen, DORA ergänzt EU-weite IKT-Anforderungen.

AT 7 (IKT-Risiken)

DORA Art. 6–9 vertiefen IKT-Risikomanagement mit detaillierten Anforderungen.

AT 9 (Auslagerungen)

DORA Art. 28–30 spezifizieren IKT-Drittparteienrisiko-Management.

BT 3.2 (Vorfallmanagement)

DORA Art. 10–12 ergänzen Meldungspflichten und Klassifizierung.

DORA Übersicht → IKT-Risikomanagement →

Quellen, Stand und Review

Review-Status: reviewed
Letzte Prüfung: 2026-05-15

BaFin: Mindestanforderungen an das Risikomanagement (MaRisk) Stand: Abruf 2026-05-10
Deutsche Bundesbank: Bankenaufsicht und MaRisk Stand: Abruf 2026-05-10
EU: Digital Operational Resilience Act (DORA) Stand: Abruf 2026-05-10
ISO/IEC 27001:2022 Informationssicherheit Stand: Abruf 2026-05-10

Diese Seite ist eine eigene Umsetzungshilfe auf Basis öffentlicher Quellen. Sie ersetzt keine Rechtsberatung und keine verbindliche Auslegung durch Aufsicht oder Rechtsberatung.

MaRisk Abschnitte

AT — Allgemeine Anforderungen: Risikomanagementrahmen, interne Kontrollen, IKT-Risiken, Auslagerungen
BT — Besondere Anforderungen: Geschaeftsorganisation, Risikotragfaehigkeit, Compliance, Vorfallmanagement

Schwerpunkte AT

AT 4.3 — Risikomanagementrahmen
AT 4.4 — Interne Kontrollen & Pruefung
AT 7 — IKT-Risiken & Informationssicherheit
AT 9 — Auslagerungsmanagement

Integration DORA

MaRisk bildet den deutschen regulatorischen Rahmen, der durch DORA ergaenzt wird. Die Anforderungen sind konsistent — DORA spezifiziert IKT-Risiken vertieft, insbesondere bei Auslagerungen und Resilienztests.

WpI MaRisk

Wertpapierinstitute (Kleine und Mittlere) unterliegen eigenstaendigen Anforderungen. Die WpI MaRisk bieten proportionale Anforderungen und Erleichterungen.

Zu den WpI MaRisk

Quellen und Stand

Review-Status: reviewed
Letzte Prüfung: 2026-05-15

BaFin: MaRisk (Mindestanforderungen an das Risikomanagement) Stand: Abruf 2026-05-11
BaFin: DORA Informationen Stand: Abruf 2026-05-11
DORA (EU) 2022/2554 Stand: Verordnung (EU) 2022/2554

Diese Seite ist eine eigene Umsetzungshilfe auf Basis öffentlicher Quellen. Sie ersetzt keine Rechtsberatung und keine verbindliche Auslegung durch Aufsicht oder Rechtsberatung.