Es gibt Regulierungswellen, die über Unternehmen hinweglaufen, ein paar neue Formulare hinterlassen und dann im Tagesgeschäft versanden. Und es gibt Regulierungen, die die Statik eines Hauses verändern: wie Entscheidungen fallen, wie Risiken gemessen werden, wie Verträge geschrieben sind, wie IT gebaut, betrieben und wiederhergestellt wird. MaRisk war für viele Institute der Start in dieses neue Denken; DORA zwingt es nun zu Ende. Dazwischen liegen Jahre, in denen BAIT/VAIT/KAIT, EBA-Leitlinien, Outsourcing-Regelwerke, Datenschutz und sektorübergreifende Cybersicherheitsvorgaben das Puzzle immer dichter gemacht haben. Das Ergebnis ist mehr als „mehr Pflichten“. Es ist ein neues Governance-Paradigma: weg von Richtlinien als Selbstzweck, hin zu wirksamer Steuerung mit Evidenz – im Normalbetrieb und unter Stress.

Von der Checkliste zur Steuerung: Was MaRisk wirklich ausgelöst hat

MaRisk hat die Grundmechanik moderner Governance im Finanzsektor etabliert: Risikobasierung, Proportionalität, Verantwortlichkeit der Geschäftsleitung. Viele Häuser begannen, Ziele und Risiken systematisch zu kaskadieren, Kontrollfunktionen unabhängiger zu stellen und mit drei Verteidigungslinien zu arbeiten. Doch der vielleicht wichtigste Schritt fand still statt: die Einsicht, dass ein reproduzierbarer Entscheidungspfad wertvoller ist als die perfekte Einzelmaßnahme. Ein Limit nützt nichts ohne Schwellen, Eskalationsrechte, Fristen und Re-Checks. Ein Risiko ist nur dann „behandelt“, wenn die Maßnahme nachweislich wirkt – nicht, wenn sie einmal beschlossen wurde. Diese Logik wirkt heute in allen Vorgaben fort.

Der IT-Grundschutz des BSI ist seit Jahren die wohl deutscheste Antwort auf eine sehr internationale Frage: Wie organisiert man Informationssicherheit so, dass sie im Alltag funktioniert, auditierbar bleibt und trotzdem mit der Technik Schritt hält? Mit „Grundschutz++“ kündigt sich nun die nächste Evolutionsstufe an – eine Fortentwicklung, die den Standard stärker digitalisiert, prozessorientierter macht und für die kommenden Jahre fit. Das BSI hat dazu im Sommer 2025 ausdrücklich den Dialog mit der Fachöffentlichkeit gesucht und den Namen „IT-Grundschutz++“ als Arbeitstitel gesetzt. Ziel: Modernisierung ohne Bruch, also Kontinuität dort, wo sie sinnvoll ist, und spürbare Vereinfachungen dort, wo die Praxis es braucht.

Dieser Beitrag ordnet den Kontext ein, erklärt die Design-Ideen hinter Grundschutz++, zeigt, was sich wahrscheinlich verändert (und was nicht), und gibt konkrete Hinweise, wie sich Organisationen – vom Mittelständler bis zur Behörde – heute so aufstellen, dass der Übergang locker gelingt. Wir stützen uns dabei auf die offiziellen BSI-Informationen zum IT-Grundschutz und auf frühe, öffentliche Berichte aus der Praxiscommunity, die die Digitalisierung und Maschinenlesbarkeit des Standards, eine stärkere Objekt-/Prozessorientierung sowie Übergangsfristen skizzieren.

Third-Party-Risk-Management (TPRM) galt lange als Pflichtfach: Fragebogen verschicken, Zertifikate einsammeln, Auditberichte abheften – fertig. Spätestens mit dem Digital Operational Resilience Act (DORA) ist dieses Verständnis Geschichte. TPRM wird vom statischen Kontrollpunkt zum dynamischen Kern der digitalen Widerstandsfähigkeit. Nicht mehr das „Ob“ einer Maßnahme zählt, sondern das „Hält es im Ernstfall?“. Governance rückt damit näher an den operativen Puls; Lieferantenbeziehungen werden zu gemeinsam verantworteten Resilienz-Systemen – gemessen, getestet, nachweisbar.

Dieser Beitrag zeigt, wie sich TPRM unter DORA grundlegend verschiebt: weg von Dokumentation, hin zu belastbarer Operations-Resilienz. Er ordnet die neuen Erwartungen, skizziert ein modernes Operating Model, gibt konkrete Leitplanken für Verträge, Technik und Monitoring – und benennt Anti-Patterns, die heute noch zu häufig zu sehen sind.

Wer zum ersten Mal mit den MaRisk in Berührung kommt – den Mindestanforderungen an das Risikomanagement der BaFin – hat meist zwei spontane Reaktionen: Respekt vor dem Umfang und den Verweisen, und Skepsis, ob das wirklich mehr ist als eine Dokumentationspflicht für Prüfer. Genau hier lohnt sich der zweite Blick. MaRisk ist kein Selbstzweck und keine reine Compliance-Schablone. Hinter den Passagen verbirgt sich ein Betriebssystem für Banken, das darüber entscheidet, ob ein Institut gesteuert wird oder sich steuern lässt. Es beschreibt die Logik, nach der Entscheidungen nachvollziehbar getroffen, Risiken bewusst eingegangen und Überraschungen reduziert werden.

In diesem Artikel geht es darum, MaRisk wirklich zu verstehen – nicht aus der Perspektive der Paragraphen, sondern aus der Praxis: Wozu gibt es das Rundschreiben, wie ist es aufgebaut, wo liegt der Nutzen, wie lässt es sich wirksam leben? Dabei kommen wir ohne juristischen Zierat aus und übersetzen die Kerngedanken in Alltagssprache – mit Beispielen, knappen Strukturelementen und einem klaren Ziel: MaRisk als Hebel zu begreifen, nicht als Last.

Stell dir vor, dein Auto kennt dich besser als deine Werkstatt. Dein Staubsauger weiß, wie du wohnst. Deine Armbanduhr kennt deine Fitnesskurve, deinen Stresslevel und manchmal sogar deinen Schlafrhythmus präziser als du selbst. All diese Geräte erzeugen Daten – über dich, durch dich, mit dir. Bisher lagen diese Daten oft in den Silos der Hersteller: schwer zugänglich, teils in intransparenten Formaten, vertraglich eingeschlossen. Mit dem EU Data Act will Europa das ändern. Der Slogan klingt verheißungsvoll: „Deine Daten, deine Wahl.“ Aber was bedeutet das konkret für Verbraucherinnen und Verbraucher? Welche Vorteile verspricht das Gesetz – und wo lauern Fallstricke?

Dieser Artikel führt dich durch die Chancen und Risiken des Data Act aus Kundensicht. Ohne Juristendeutsch, aber mit Substanz. Mit vielen Beispielen aus dem Alltag – vom smarten Auto über die vernetzte Küche bis zur Cloud, die plötzlich nicht mehr festgeschraubt ist. Und mit einem Blick darauf, was du schon heute vorbereiten kannst, um die neuen Rechte wirklich zu nutzen.