WpI MaRisk AT 7.3 – Notfallmanagement: kompakt, wirksam, prüfungssicher

• Fortführung kritischer Prozesse trotz Ausfällen (IT, Personal, Lieferant)

• Schutz von Kundengeldern & Vermeidung schwerer Reputationsschäden

• Proportionalität: Aufwand richtet sich nach Größe, Geschäftsmodell, Risikoprofil

Schritt 1 – Kritische Prozesse definieren

• Handelsabwicklung

• Kundenkommunikation

• Liquiditätsmanagement

• IT-Basisdienste

Schritt 2 – Verantwortlichkeiten festlegen

• Notfallmanager (meist Geschäftsleitung oder IT-Leiter)

• Stellvertreter

• Ansprechpartner für externe Partner (z. B. Cloud-Anbieter, Rechenzentrum)

Schritt 3 – Notfallplan erstellen

Minimalinhalte:

1. Kontaktliste (intern + extern)

2. Kritische Prozesse + Wiederanlaufpriorität

3. Maßnahmenplan (z. B. Wechsel auf Backup-IT, manuelle Ordererfassung)

4. Kommunikationsplan (intern + Kunden)

5. Dokumentationspflicht nach dem Ereignis

Schritt 4 – Test & Schulung

• 1× jährlich

• Einfacher Test: „Was machen wir, wenn morgen die IT 24 Stunden ausfällt?“

• Ergebnisse dokumentieren → Verbesserungen ableiten

Schritt 5 – Laufende Pflege

• Aktualisierung bei Änderungen in IT, Personal oder Prozessen

• Protokollierte Anpassung mit Datum

1. BCM-Strategie: Business Continuity Management (BCM) als Teil der Risikostrategie

2. RTO/RPO-Ziele: Festlegung maximaler Ausfallzeiten und Datenverluste pro Prozess

3. Ausweichstandorte: Physische oder virtuelle Alternativarbeitsplätze

4. Krisenstab: Klar definierte Rollen inkl. Krisenkommunikation

5. Regelmäßige Realtests: Simulation kompletter Prozessausfälle

❌ Notfallplan nur für IT-Störungen → Prozess- und Personalausfälle werden vergessen
❌ Keine klare Priorisierung → Alles ist gleich wichtig, nichts läuft reibungslos an
❌ Veraltete Kontaktdaten → Im Ernstfall wertlos
❌ Keine Verknüpfung zu AT 4.3.3 Stresstests → Szenarien bleiben isoliert

• AT 2.2 Wesentlichkeit → priorisiert Prozesse im Notfallplan

• AT 4.3.3 Stresstests → liefert realistische Test-Szenarien

• BTO 2 → Handelsabwicklung als kritischer Prozess

• AT 4.1 Kapitalplanung → Ressourcen für Wiederanlauf & Resilienz

AT 7.3 verlangt keine Hochglanz-Doku, sondern funktionierende, getestete Notfallprozesse. Für kleine Institute reichen schlanke Pläne mit klaren Verantwortlichkeiten – Hauptsache, sie funktionieren im Ernstfall und sind BaFin-sicher dokumentiert.

• WpI MaRisk 2025 – Was sich für kleine und mittlere Institute ändert

• AT 2.2 Wesentlichkeitsprüfung – Dein Praxisleitfaden

• AT 4.3.3 Risikomanagement & Stresstests

• AT 4.3.3 Stresstests für kleine Institute

• BTO 1 – Organisation des Handels

• BTO 1.2.2 Abwicklung – Fehler vermeiden

• BTR – Allgemeine Anforderungen

• BTR 1 – Risiken aus laufender Tätigkeit

• BTR 2 – Sonstige Risiken der laufenden Tätigkeit

• BTR 3 – Liquiditätsrisiken wirksam steuern

• BTR 4 – Risiko einer ungeordneten Abwicklung

• Risikomanagement – Anforderungen in BT 2, BTR 3 & BTR 4

• Risikomanagement nach WpI MaRisk – Umsetzung in der Praxis

• ILAAP 2025 – Anforderungen für kleine und mittlere Institute

• Kapitalplanung nach WpI MaRisk – Dein Leitfaden 2025