Jetzt CloudGate testen!
CloudGate
Leistungen
Governance
Agentic AI Governance
Regulatory Advisory
Audit und Assurance Support
Themen
AI Act
Cyber Resilience Act
DORA
NIS-2
Data Act

Themen

Bafin-Mitteilung DORA/KI
Bafin-Mitteilung Cloud
MaRisk
Lösungen
Muster-Verträge
TPRM SaaS: CloudGate
IT-GRC


Leistungen
TPRM-Advisory
Sourcing-Strategie
Cloud-Strategie
Provider Management
Ausschreibung
Transition Support
Verträge, Servicekataloge, SLAs
Themen
TPRM-Automation
Managed Security
Hybrid Infrastructure
Modern Workplace
Cloud Enabling Story
Services
SLA-Rechner
TPRM SaaS: CloudGate
Third Party Management


Leistungen
AI Governance
AI Literacy/KI-Kompetenz
Agentic AI Governance
AI Act Assessment
Themen
AI Act
Bafin Mitteilung DORA/KI
Digital Adoption
Services
AI Compliance SaaS: CloudGate
AI


Leistungen
Sovereignty
Exit Management
Security Implementation
Themen
Marktübersicht EU Public Cloud
Cyber Resilience Act
Post-Quanten-Kryptographie
Services
TPRM SaaS: CloudGate
Resilience





Seminare
Seminar-Übersicht
GRC-Seminare
TPM-Seminare
AI-Seminare
Themen
DORA
NIS-2
AI Act
Wissenswertes
Anfrage
AGB
Glossar
microfin Academy


Karriere

Deine Karriere
Bewerbung und Onboarding
Einstieg und Aufstieg
#lieblingsarbeitgeber
Diversity und Familienfreundlichkeit

Offene Stellen

Consultants Outsourcing & Cloud
Senior IT-Consultants Outsourcing & Cloud
Consultants für IT-GRC
Senior Consultants IT-Architektur

Offene Stellen

Senior Consultants IT-Security
Senior Consultants Provider Mgmt
Senior Consultants Cloud & Digitale Transformation
Karriere bei microfin


Erfahrung

Cloud
Outsourcing
GRC
IT-Kostenoptimierung
Providermanagement

News

Publikationen
Veranstaltungen
Outsourcing Deals

Über uns

Team
Mitgliedschaften
Partnerschaften
Engagement
Über uns


  1. Home
  2. IT-GRC
  3. Themen
  4. MaRisk

MaRisk: Auslagerungsmanagement nach Maß

So setzt ihr die 10. MaRisk prüfungsfest um 

+++ Novelle tritt Ende Juni in Kraft +++

+++ Betonung von Proportionalität als Leitprinzip +++

Mit der aktualisierten Fassung der Mindestanforderungen an das Risikomanagement (MaRisk) wird auch das Auslagerungsmanagement stärker prinzipienorientiert. Statt detaillierter Vorgaben zählt künftig eine nachvollziehbare Begründungslogik, die Klassifizierung, Risikoanalyse, Auslagerungsregister und Dienstleistersteuerung schlüssig verbindet. 

Wir begleiten euch dabei, die novellierten Anforderungen passgenau auf eure bestehende Aufbau- und Ablauforganisation auszurichten. So gewinnt ihr nicht nur regulatorische Sicherheit, sondern seid auch besser auf Prüfungen vorbereitet. Jetzt Klarheit schaffen!

Mehr erfahren   Kostenloses Erstgespräch

Cloud-Strategie

MaRisk-konformes Auslagerungsmanagement – unsere Beratungsleistungen

Die BaFin schafft mit den 10. MaRisk klare Verhältnisse: DORA-pflichtige IKT-Drittdienstleistungen steuert ihr über das DORA-Regime, klassische Non-IKT-Auslagerungen weiterhin über die MaRisk. Entscheidend ist, beide Register konsistent und belastbar miteinander zu verzahnen.

Wir setzen genau dort an, wo Umsetzung in der Praxis zählt: entlang der zentralen Bausteine eures institutseigenen Auslagerungsregimes. So werden eure Entscheidungen nachvollziehbar begründet und regulatorisch anschlussfähig dokumentiert.

Ableitung des konkreten Handlungsbedarfs

Ressourcen einsetzen, wo nötig

Euer Nutzen:

Ihr wisst genau, was die Novelle für euer Institut bedeutet – und investiert eure Ressourcen nur dort, wo wirklich Handlungsbedarf besteht.

Was wir für euch tun:

  • Bewertung der Neuerungen der 10. MaRisk gezielt für euer Geschäftsmodell und Filtern der tatsächlichen Handlungsrelevanz
  • Ableitung des konkreten Anpassungsbedarfs für das (zentrale) Auslagerungsmanagement
  • Einordnung der Anforderungen in den Gesamtkontext angrenzender Vorgaben – insbesondere zu DORA
  • Priorisierung der Maßnahmen nach Risiko und Aufwand, damit ihr die richtigen Schritte zuerst geht
     

Eure zentralen Teilergebnisse:

  • Institutsindividuelle Gap-Analyse mit klarer Handlungsrelevanz
  • Priorisierte Maßnahmen-Roadmap
  • Belastbare Entscheidungsgrundlage für Management und Gremien

Abgleich der MaRisk- und DORA-Taxonomie

Sortierlogik für all eure Drittbeziehungen

Euer Nutzen:

Ihr habt eine eindeutige Sortierlogik für all eure Drittbeziehungen – und beendet die Unsicherheit an der Schnittstelle zwischen MaRisk (Non-IKT) und DORA (IKT).

Was wir für euch tun:

  • Saubere Strukturierung eueres Drittparteieninventars
  • Trennscharfe Abgrenzung Non-IKT-Auslagerung, IKT-Drittdienstleistung und sonstigem Fremdbezug
  • Verankerung der Abgrenzungslogik so dass sie für künftige Beziehungen wiederverwendbar ist
     

Eure zentralen Teilergebnisse:

  • Konsistente Taxonomie für alle Drittbeziehungen
  • Klare Zuordnung jeder Beziehung zu MaRisk oder DORA
  • Wiederverwendbare Entscheidungslogik für Neueinstufungen

Harmonisierung von Auslagerungs- (MaRisk) und Informationsregister (DORA)

Konsistentes, prüfungsfestes Gesamtbild eurer Auslagerungen und IKT-Drittbeziehungen

Euer Nutzen:

Auslagerungs- und Informationsregister stehen nicht mehr unverbunden nebeneinander – ihr habt ein konsistentes, prüfungsfestes Gesamtbild eurer Auslagerungen und IKT-Drittbeziehungen.


Was wir für euch tun:

  • Verzahnung des Auslagerungsregister nach MaRisk und des Informationsregister nach DORA über eine gemeinsame Registerlogik
  • Definition der Datenfelder, Pflegeprozesse und Verantwortlichkeiten
  • Sicherstellung der Konsistenz zwischen Taxonomie, Risikoanalyse und Registereinträgen
     

Eure zentralen Teilergebnisse:

  • Verzahntes Registermodell für MaRisk und DORA
  • Klare Pflegeprozesse mit definierten Verantwortlichkeiten
  • Auswertbare Register als aktive Steuerungsinstrumente

Optimierung der Risikoanalyse mit tragfähiger Begründungslogik

Risikoanalysen halten dank Begründung der Prüfung stand

Euer Nutzen: 

Eure Risikoanalysen halten der Prüfung stand – weil eure Einstufungen nicht nur dokumentiert, sondern nachvollziehbar begründet sind.

Was wir für euch tun:

  • Entwicklung einer risikoorientierten Methodik, die „alle relevanten Risiken im Zusammenhang mit der Auslagerung" abdeckt.
  • Entwicklung einer tragfähigen, replizier- und nachvollziehbaren Begründungslogik.
  • Konsistente Verknüpfung der Risikoanalyse mit Klassifizierung, Register und Dienstleistersteuerung.
     

Eure zentralen Teilergebnisse:

  • Risikoorientierte Methodik für eure Risikoanalysen
  • Prüfungsfeste, nachvollziehbare Begründungslogik
  • Durchgängige Verknüpfung von Risikoanalyse, Register und Steuerung

Adjustierung der Steuerungs- und Kontrollhandlungen

Auch im Ernstfall handlungsfähig sein

Euer Nutzen: 

Ihr steuert eure Dienstleister aktiv und konsistent – und seid auch im Ernstfall handlungsfähig, unabhängig davon, ob eine Beziehung unter MaRisk oder DORA fällt.

Was wir für euch tun:

  • Ausrichtung der Dienstleister-Steuerung so dass Risikoanalyse, Kontrollhandlungen und Governance konsistent zusammenwirken
  • Belastbare und praxistaugliche Gestaltung von Exit-Strategien und Notfallkonzepte 
  • Regimeübergreifende Absicherung der Prüfungs- und Informationsrechte
  • Definition der Steuerungs- und Eskalationsprozesse für die laufende Überwachung 
     

Eure zentralen Teilergebnisse:

  • Konsistentes Steuerungsmodell über MaRisk und DORA hinweg
  • Belastbare Exit-Strategien und Notfallkonzepte
  • Klare Kontroll-, Eskalations- und Überwachungsprozesse
Icon Checkliste

MaRisk

Non-IKT-Auslagerungen begründen und dokumentieren

Icon Glühbirne/DORA

Lass uns euer Auslagerungsmanagement gemeinsam aufstellen!

Nutze ein unverbindliches Erstgespräch, um deine Ausgangssituation im Auslagerungsmanagement mit uns zu analysieren und konkrete Handlungsbedarfe im Kontext der 10. MaRisk sichtbar zu machen. 

Im Gespräch klären wir:

  • Status-Check: Welche Anforderungen nach MaRisk und DORA fordern und treiben euch aktuell?
  • Maßnahmen: Welche Schritte sind jetzt wirklich notwendig – um die neuen Anforderungen aus den 10. MaRisk im Zusammenspiel mit DORA effizient, nachweisfähig und ressourcenschonend umzusetzen?
  • Proportionalität: Welche Gestaltungsmöglichkeiten sind bei der Anwendung der Anforderungen nach Proportionalitätsprinzip praktikabel?
     

Mehr erfahren    Kostenloses Erstgespräch vereinbaren

Auslagerungsmanagement nach Maß statt Standard von der Stange

Besonders sensibel ist die Schnittstelle zu DORA: fremdbezogene IKT-Dienstleistungen im Sinne von Art. 3 Nr. 21 DORA, die dem IKT-Drittparteienrisikomanagement nach Art. 28 - 30 DORA unterliegen, fallen nicht mehr in den Anwendungsbereich der MaRisk AT 9 Tz. 3. Das ist keine Deregulierung, sondern eine Regimeabgrenzung – mit der Folge, dass das Auslagerungsregister nach MaRisk und das Informationsregister nach DORA nicht unverbunden nebeneinanderstehen dürfen.

Statt einer Standardlösung von der Stange richten wir die novellierten Anforderungen passgenau auf eure bestehende Aufbau- und Ablauforganisation aus. 
Daraus zieht ihr konkreten Nutzen:

  • Konsistente Taxonomie mit sauberen Definitionen für Non-IKT-Auslagerungen, IKT-Drittdienstleistungen und sonstigem Fremdbezug, konsistenter Registerlogik und klaren Kontrollfunktionen über MaRisk und DORA hinweg
  • Prüfungsfeste Entscheidungen, weil eure Einstufungen nachvollziehbar begründet und regulatorisch anschlussfähig dokumentiert sind
  • Passgenaue Proportionalität, indem ihr die neuen Spielräume risikoadäquat, ohne eure Begründungspflichten zu vernachlässigen


Gerade für das zentrale Auslagerungsmanagement ist das entscheidend: Künftig reicht es noch weniger aus, nur mit Checklisten zu arbeiten. Gefragt ist eine konsistente Begründungslogik, die Klassifizierung, Risikoanalyse und Kontrollansatz nachvollziehbar verbindet.
 

Icon Glühbirne/DORA

Stellt euer Auslagerungsmanagement MaRisk-konform auf

Jetzt Kontakt aufnehmen!
 

Mehr erfahren    Kostenloses Erstgespräch vereinbaren

Betonung von Proportionalität als Leitprinzip - neue Spielräume nutzen

Mit den 10. MaRisk erhalten die Institute nach Maßgabe von Größe, Komplexität und Geschäftsart mehr Spielraum bei der Anwendung der Anforderungen – und genau diesen Proportionalitätsspielraum machen wir für euch nutzbar. 

Gemeinsam mit euch klären wir die Abgrenzungsfragen, die für euer Auslagerungsmanagement neu entstehen und deren Antworten plausibel und widerspruchsfrei aufeinander aufbauen müssen:

  • Welche Anpassungen sind für euer Institut tatsächlich relevant?
  • Wie wirken Risikoanalyse, Dienstleistersteuerung und Kontrollhandlungen zusammen?
  • Und was folgt daraus konkret für euer Auslagerungsregister?

Auch interessant für dich

CloudGate

DORA-Tool: CloudGate

Kennst du CloudGate, unser RegTech-Tool für Governance, Risk & Compliance? Hier erfährst du mehr und kannst es kostenlos testen.

Whitepaper DORA-Informationsregister

Whitepaper: DORA-Informationsregister

Lest im kostenlosen Whitepaper, wie Finanzunternehmen ihre IKT-Drittdienstleister dokumentieren und überwachen sollten - inklusive Update 2025. Jetzt downloaden!

GRC-Seminare

GRC-Seminare

Du willst mit deinem Team Innovationen vorantreiben, wenn es um GRC geht? Dann buche für euch eines unserer Seminare!

Stefan Wendt
Dein Experte für
MaRisk
mf Icon male

Stefan Wendt
Enabler und Partner

Du hast Fragen zur MaRisk-Novelle? Stefan Wendt hat die Antworten und freut sich über deine Kontaktaufnahme.
Tel +49 6172 177 630

Kontakt    Profil ansehen

×

Risikoadäquate Umsetzung

Die Novelle folgt einem klaren Leitgedanken: weg von starren Detailvorgaben, hin zu stärkerer Prinzipienorientierung und risikoadäquater Umsetzung. Das schafft Spielräume, erhöht aber zugleich die Anforderungen an Governance, Dokumentation und belastbare Entscheidungen.

Für die Institute sind im Kontext des Auslagerungsmanagements vor allem zwei Punkte entscheidend:

  • DORA wird stärker in die MaRisk-Systematik eingebettet, ohne ein paralleles deutsches Ersatzregime zu schaffen.
  • Auslagerungen müssen klarer abgegrenzt werden, insbesondere zwischen DORA-pflichtigen IKT-Drittdienstleistungen und klassischen (Non-IKT-) Auslagerungen nach MaRisk AT 9.
     

Für viele Institute entsteht daraus akuter Handlungsbedarf. Denn die Aufsicht wird insbesondere prüfen, wie sauber Institute DORA-Anforderungen, MaRisk-Vorgaben und interne Zuständigkeiten voneinander trennen und zugleich sinnvoll verzahnen.

×

Handlungsbedarf

Die Novelle stärkt den prinzipienorientierten Ansatz auch im Third Party Risk Management (TPRM). Detaillierte Mindestfaktoren treten zurück. Dafür steigt die Erwartung, dass Institute Risiken eigenständig, nachvollziehbar und konsistent bewerten.

Für das (zentrale) Auslagerungsmanagement bedeutet das:

  • Klassifizierungen müssen fachlich belastbar sein
  • Risikoanalysen müssen die tatsächliche Leistung abbilden
  • Mischformen zwischen IKT, Fremdbezug und Auslagerung dürfen nicht schematisch behandelt werden
  • Exit-Strategien, Notfallkonzepte sowie Prüfungs- und Informationsrechte müssen zur Einordnung passen
×

Sortierlogik für Drittbeziehungen

Die saubere Einordnung von IKT-Drittdienstleistungen, Non-IKT-Auslagerungen und sonstigem Fremdbezug ist mit den 10. MaRisk anspruchsvoller geworden. Gerade bei Mischleistungen und technologiegetriebenen Services ist oft nicht sofort klar, welches regulatorische Regime gilt und welche Anforderungen sich daraus konkret ergeben.

Wir unterstützen euch dabei, Leistungen regulatorisch belastbar einzuordnen, Abgrenzungen nachvollziehbar herzuleiten und die Folgen für Register, Risikoanalysen, Vertragsgestaltung, Kontrollen und Governance konkret abzuleiten. Dabei zeigen wir auch Spielräume in der Auslegung auf und überführen abstrakte Anforderungen in Klassifizierungslogiken, Entscheidungswege und Dokumentationsstandards.

×

Verzahnung von Auslagerungsregister nach MaRisk und Informationsregister nach DORA

Wir stimmen mit euch Registerlogiken, Datenfelder, Klassifizierungen und Prozesse so aufeinander ab, dass regulatorische Anforderungen konsistent erfüllt werden und gleichzeitig unnötige Doppelpflege vermieden wird.

Dabei überführen wir die vorgegebenen Templates in praxistaugliche Strukturen und berücksichtigen auch Anforderungen an Konzentrationsrisiken, Governance und Nachweisfähigkeit.

×

Proportionalitätsprinzip

Im Zuge der aktuellen Novelle hebt die Bafin hervor, dass die MaRisk schon immer auf Proportionalität ausgelegt waren:

  • Bisher gab es allgemeine Öffnungsklauseln, nach denen Anforderungen je nach Größe, Komplexität und Geschäftsmodell eines Instituts unterschiedlich streng angewendet werden konnten. In der Praxis wurden diese Spielräume jedoch zunehmend durch detaillierte Einzelvorgaben überlagert, so dass Institute ihren Verweis auf solche Klauseln oft aufwändig begründen mussten.
  • Künftig legt die Bafin drei klar definierte Größenklassen für Banken fest, wobei für die meisten Institute vor allem die Bilanzsumme entscheidend ist. Unterschieden wird zwischen sehr kleinen Instituten mit bis zu einer Milliarde Euro Bilanzsumme, kleinen Instituten im Sinne der SNCIs sowie den übrigen weniger bedeutenden Instituten, den LSIs.
  • Große Institute unter direkter Aufsicht der Europäischen Zentralbank fallen künftig vollständig aus dem deutschen MaRisk-Regime heraus. Nach Einschätzung der Bafin schaffe die neue Kategorisierung mehr Klarheit, weil Institute damit im Voraus erkennen können, welche Erleichterungen für sie gelten, ohne dies eigens begründen zu müssen

Quelle: Veröffentlichung der Bafin vom 25.06.2026