Inhaltsverzeichnis

1. BAIT für Banken einfach erklärt – plus Auswirkungen von DORA
2. Was ist BAIT? Bedeutung, Grundlagen und Einordnung
3. Aktuelle BAIT-Fassung und DORA: Zwei Säulen der Informationssicherheit für Banken
4. Warum DORA die BAIT nicht ablöst, sondern weiterentwickelt
5. Die 7 zentralen Themenbereiche der BAIT – mit Blick auf DORA
6. Was bedeuten diese Anforderungen an die IT für Verantwortliche?
7. Unterstützung bei der Einhaltung von BAIT und DORA
8. Fazit: BAIT und DORA sind keine Hürden, sondern Chancen

BAIT für die IT von Banken einfach erklärt – plus Auswirkungen von DORA

Die IT-Infrastruktur moderner Banken trägt maßgeblich zur digitalen Transformation im Finanz- und Rechnungswesen bei. Gleichzeitig steht sie unter strenger Aufsicht: Denn die bankaufsichtlichen Anforderungen an die IT (BAIT) geben klare Vorgaben in puncto IT-Sicherheit, Transparenz und Nachvollziehbarkeit.

Und mit dem Digital Operational Resilience Act (DORA) rückt ein weiterer regulatorischer Rahmen in den Fokus. Die EU-Verordnung soll die digitale Widerstandsfähigkeit von Finanzunternehmen stärken – mit Auswirkungen für bestehende IT- und Compliance-Strukturen.

Doch was genau fordern BAIT und DORA und wie greifen beide ineinander? Dieser Beitrag gibt Ihnen einen fundierten Überblick zu den BAIT-Anforderungen, zeigt die Verbindung zu DORA auf und erklärt, warum Informationsrisikomanagement und digitale Betriebsresilienz heute zu den wichtigsten Compliance-Zielen gehören.

Was ist BAIT? Bedeutung, Grundlagen und Einordnung

Die BAIT wurden 2017 von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) veröffentlicht. Sie ergänzen die Mindestanforderungen an das Risikomanagement (MaRisk) und wurden bereits mehrfach angepasst.

Im Kern geht es darum: Die BAIT definieren, welche Erwartungen die Aufsicht an die IT-Governance, das Informationssicherheitsmanagement und das Auslagerungsmanagement bei Banken und Finanzdienstleistern stellt. Damit schaffen sie einen verbindlichen Rahmen für ein sicheres, kontrolliertes und nachvollziehbares IT-Management.

Die BAIT gelten verbindlich für alle Institute – unabhängig von Größe oder Geschäftsmodell. Damit stellen sie ein zentrales Regelwerk der deutschen Bankenaufsicht dar. Die BAIT dienen als verbindliche Richtschnur bei Prüfungen durch die BaFin. Damit sind sie ein essenzielles Element für Compliance, Informationsrisikomanagement und sichere IT-Governance.

Aktuelle BAIT-Fassung und DORA: Zwei Säulen der Informationssicherheit für Banken

Mit der Einführung von DORA am 17. Januar 2025 gelten in der EU erstmals einheitliche Regeln für die digitale Resilienz von Finanzunternehmen. Die Verordnung soll Institute wirksam vor Cyberangriffen, IT-Störungen und anderen digitalen Risiken schützen – und so die Stabilität des europäischen Finanzsystems stärken.

DORA und BAIT greifen inhaltlich an vielen Stellen ineinander. Überschneidungen gibt es vor allem bei Themen wie IT-Sicherheit, Governance-Strukturen und dem Management von Drittanbietern. Daher wurden die BAIT am 16. Dezember 2024 in einer neuen Version veröffentlicht. Diese aktuelle BAIT-Fassung nimmt in ihren Änderungen explizit Bezug auf DORA. Institute, die bereits unter die DORA-Vorgaben fallen (gemäß Artikel 5 bis 15 bzw. 16), sind seither vom Geltungsbereich der BAIT ausgenommen.

Spätestens ab dem 1. Januar 2027 wird DORA für alle betroffenen Institute in Deutschland verpflichtend. Bis dahin gelten übergangsweise die Vorhaben der aktuellen BAIT-Fassung. Das erhöht ihre Bedeutung zusätzlich. Für IT- und Compliance-Teams bedeutet das: Bestehende Maßnahmen nach BAIT müssen überprüft und gegebenenfalls an die neuen, teils weiter gefassten Vorgaben aus DORA angepasst werden.

Warum DORA die BAIT nicht nur ablöst, sondern auch weiterentwickelt

Obwohl DORA langfristig viele BAIT-Aspekte übernimmt, bedeutet das nicht das Ende der BAIT. Vielmehr sind sie ein wichtiges Übergangs- und Ergänzungsinstrument auf dem Weg zu vollständiger DORA-Compliance. Sie bieten weiterhin konkrete Anforderungen für Institute, die noch nicht unter die EU-Verordnung fallen, und helfen bei der operativen Umsetzung regulatorischer Vorgaben.

Zusätzlich fungieren BAIT-Anforderungen wie ein Compliance-Baukasten: Sie unterstützen Institute dabei, IT-Governance, Informationssicherheit und Auslagerungsmanagement systematisch umzusetzen. Gleichzeitig bereiten sie optimal auf DORA vor. Für viele Banken ist das eine perfekte Chance, um bestehende Strukturen zu verbessern und sich rechtzeitig auf die neuen Anforderungen vorzubereiten.

Die 7 zentralen Themenbereiche der BAIT – mit Blick auf DORA

Die BAIT gliedern sich in sieben essenzielle Themenbereiche. Darin wird definiert, wie Banken und Finanzdienstleister ihre IT-Prozesse sicher, kontrollierbar und regelkonform gestalten müssen. Mit Inkrafttreten von DORA steigt die Komplexität: Nationale Vorgaben wie die BAIT müssen künftig mit den europäischen Anforderungen harmonisieren. Das kann Institute vor zusätzliche Herausforderungen stellen – insbesondere in der Übergangsphase bis 2027. IT- und Compliance-Verantwortliche müssen sich mit beiden Regelwerken vertraut machen.

IT-Strategie & IT-Governance

BAIT-Anforderungen:

• Zentrales Element: Ausgestaltung einer dokumentierten IT-Strategie
• IT-Strategie muss eng mit der Geschäftsstrategie verzahnt sein
• Unterstützung durch eine solide IT-Governance-Struktur. Diese umfasst:
  • Definierte Rollen
  • Klare Verantwortlichkeiten
  • Transparente Entscheidungswege

Erweiterung durch DORA:

• Erhöhte Anforderungen an die strategische Steuerung der IT
• Besondere Schwerpunkte:
  • Digitale Resilienz
  • KT-Risikomanagement
  • Bereichsübergreifende Koordination

Informationssicherheitsmanagement (ISMS)

BAIT-Anforderungen:

• Regelmäßige Risikoanalysen
• Verbindliche Sicherheitsrichtlinien
• Gezielte Schulungen
• Schlüsselrolle für Informationssicherheitsbeauftragten (ISB)

Erweiterung durch DORA:

• Ausweitung des Fokus:
  • Neben klassischer Sicherheit rückt Betriebs-Resilienz in den Mittelpunkt

• Integration von:
  • Informationsrisikomanagement
  • Cybersicherheit
  • Wiederherstellungsfähigkeit

Diese Aspekte müssen integrativ gedacht und umgesetzt werden.

IT-Risikomanagement und Informationsrisikomanagement

BAIT-Anforderungen:

• IT-Risikomanagement als tragende Säule
• Gefahren wie Systemausfälle, Datenschutzverletzungen und Risiken durch Drittparteien müssen kontinuierlich erkannt, bewertet und gesteuert werden

Erweiterung durch DORA:

• Fokus auf Informationsrisikomanagement
• Banken müssen die Widerstandsfähigkeit gegenüber digitalen Risiken nachweisen können
• Nachweis der Widerstandsfähigkeit unter allen Betriebsbedingungen

Ergebnisse für BAIT-Compliance:

• Hohe Anforderungen an BAIT-Compliance durch DORA
• Proaktive Maßnahmen sind erforderlich (statt reaktiver Prozesse)

IT-Projekte und Anwendungsentwicklung

BAIT-Anforderungen:

• Hohes Maß an Struktur, Qualitätssicherung und Dokumentation bei IT-Projekten
• Jede Software-Einführung/-Anpassung muss geplant, getestet und dokumentiert erfolgen

Erweiterung durch DORA:

• Berücksichtigung von Projekt-Resilienz und Eskalationsmanagement
• Projektstrukturen müssen handlungsfähig bleiben, auch bei IKT-Störungen
• Erfüllung regulatorischer Anforderungen notwendig

IT-Betrieb und Infrastruktur

BAIT-Anforderungen:

• Monitoring
• Patch-Management
• Notfallplanung
• Business Continuity Management (BCM)

Erweiterung durch DORA:

• Fokussierung auf kontinuierliche operative Resilienz
• Umgang mit Cyberangriffen
• Recovery-Management
• Nachweis der Wiederanlauf-Fähigkeit (Operational Continuity)
• Diese Aspekte sind nun explizit Teil regulatorischer Audits – auch über die BAIT-Vorgaben hinaus

Auslagerungen und Drittanbieter-Steuerung

BAIT-Anforderungen:

• Verpflichtendes Drittanbieter-Management für Banken
• Umfasst Auswahl, Vertragsgestaltung, Überwachung und Risikoanalyse

Erweiterung durch DORA:

• Identifikation von „Critical ICT Third-Party Providers“ (z. B. Cloud-Dienstleister)
• Enge Überwachung dieser Drittanbieter

Kombination von BAIT und DORA:

• Etablierung der BAIT-DORA-Konformität als übergeordnetes Ziel

Kritische Infrastrukturen (KRITIS)

BAIT-Anforderungen:

• Besondere Anforderungen für Institute, die zu den kritischen Infrastrukturen (KRITIS) zählen
• Fokus auf Verfügbarkeit, Datenschutz und Ausfallsicherheit als Kernziele

Erweiterung durch DORA:

• Übertragung dieser Anforderungen auf europäische Ebene
• Entstehung einer übergreifenden Schutzarchitektur

Übergreifende Schutzarchitektur umfasst:

• IT-Governance
• Cyberresilienz
• Meldepflichten

Was bedeuten diese Anforderungen an die IT für Verantwortliche?

Viele BAIT-Vorgaben sind nicht neu, erhöhen jedoch den Druck auf IT-Verantwortliche, eine saubere und revisionssichere Umsetzung sicherzustellen.

Drei zentrale Aufgaben stehen im Fokus:

1. Dokumentation aller IT-Prozesse: von der Risikoanalyse bis zur Dienstleistersteuerung, um Transparenz für Prüfungen und Audits zu gewährleisten.
   
2. Zuweisung von Verantwortlichkeiten: Wichtige Rollen wie der Informationssicherheitsbeauftragte und Auslagerungskoordinator müssen benannt und mit entsprechenden Befugnissen ausgestattet werden.
   
3. Nachweisbarkeit: Um Audits zu bestehen, müssen alle Maßnahmen jederzeit überprüfbar und nachvollziehbar dokumentiert werden.

Zusätzlich wird mit dem Inkrafttreten von DORA die Situation komplexer, da nun auch europäische Vorgaben für die digitale Betriebsstabilität in der Finanzbranche berücksichtigt werden müssen.

Unterstützung bei der Einhaltung von BAIT und DORA

Mit i-doit verfügen Sie über eine leistungsstarke Softwarelösung zur IT-Dokumentation, die beispielsweise Unternehmen im Bereich der Kritischen Infrastrukturen (KRITIS) optimal unterstützt. Oder anders formuliert: Mit i-doit behalten Sie Ihre gesamte IT-Infrastruktur im Blick. Die zentrale Erfassung und Verwaltung aller IT-Assets sorgt für eine transparente Dokumentation – die Grundlage für wirkungsvolles Risikomanagement und die Einhaltung von Vorgaben wie BAIT und DORA.

i-doit unterstützt Sie unter anderem bei:

• der Identifizierung und Bewertung von Risiken
• der Umsetzung von Maßnahmen zur digitalen Resilienz
• der Erfassung sicherheitsrelevanter Informationen
• der Erfüllung der regulatorischen Anforderungen

Kurzum: Sie fördern die IT-Sicherheit und Governance in Ihrem Unternehmen und schaffen zugleich mehr Transparenz und Nachvollziehbarkeit.

Fazit: BAIT und DORA sind keine Hürden, sondern Chancen

Bei richtiger Umsetzung helfen die BAIT dabei, die IT-Organisation in Banken nicht nur regelkonform, sondern auch zukunftssicher aufzustellen. Wer frühzeitig für klare Strukturen sorgt, profitiert doppelt: Externe Prüfungen werden einfacher und auch intern entstehen Vorteile – beispielsweise effizientere Prozesse, bessere Abstimmung zwischen Teams und mehr Transparenz über die eigene IT-Landschaft.

Mit DORA wird dieser Anspruch noch weiter gefasst: Die Verordnung bringt einen europaweit einheitlichen Rahmen, der regulatorische Anforderungen ganzheitlich denkt – mit einem starken Fokus auf die operative Widerstandsfähigkeit gegenüber IT-Risiken.

Institutionen, die bereits BAIT-konforme Strukturen aufgebaut haben, verfügen damit über eine ideale Ausgangsbasis, um auch DORA-Anforderungen effizient zu integrieren. Das Spektrum reicht von der automatisierten Vorfallmeldung bis hin zur strategischen Steuerung von Drittanbietern.

Sie möchten erfahren, wie Sie Ihre IT konkret BAIT- und DORA-konform gestalten? Gerne beraten wir Sie zu geeigneten Lösungen und zeigen Ihnen, wie i-doit ein nachhaltiger Baustein in Ihrer IT-Sicherheitsstrategie sein kann.