Die Bankaufsichtlichen Anforderungen an die IT, abgekürzt BAIT, sind Verwaltungsanweisungen, die mit einem Rundschreiben der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) für die sichere Ausgestaltung der IT-Systeme sowie der zugehörigen Prozesse und diesbezüglicher Anforderungen an die IT-Governance in deutschen Kreditinstituten veröffentlicht wurden. Sie wurden von der BaFin mit dem Rundschreiben 10/2017 (BA) vom 3. November 2017 erstmals veröffentlicht.

Im Januar 2025 wurden die aufsichtlichen Anforderungen an die IT durch die BaFin größtenteils zugunsten von Verordnung (EU) 2022/2554, besser bekannt als DORA, aufgehoben. Die BAIT bleiben nur noch für die Institute anwendbar, die durch das am 27. Dezember 2024 beschlossene Finanzmarktdigitalisierungsgesetz (FinmadiG) neu unter DORA reguliert werden. § 65a Abs. 3 KWG sieht dafür eine Übergangsfrist bis zum 1. Januar 2027 vor.

Inhalte

Die BAIT konkretisieren – wie die Mindestanforderungen an das Risikomanagement – die gesetzlichen Anforderungen des § 25a Absatz 1 Satz 3 Nr. 4 und 5 des Kreditwesengesetzes (KWG). Es handelt sich bei ihnen um normeninterpretierende Verwaltungsvorschriften, die eine Selbstbindung der deutschen Aufsicht gegenüber den Kreditinstituten dargestellt haben.

In den BAIT formuliert die Aufsicht einen Rahmen für die technisch-organisatorische Ausstattung der Institute – insbesondere für das Management der IT-Ressourcen und für das IT-Risikomanagement. Da die Institute zunehmend IT-Dienstleistungen von Dritten beziehen, auch im Rahmen von Auslagerungen, wird auch der § 25b KWG in diese Interpretation einbezogen.

Versionsgeschichte

Am 14. September 2018 hat die BaFin eine aktualisierte Fassung der BAIT veröffentlicht. Die neuen BAIT enthalten einen zusätzlichen Abschnitt zum Thema Kritische Infrastrukturen. Die am 16. August 2021 veröffentlichte Fassung enthält drei zusätzliche Abschnitte zu den Themen operative Informationssicherheit, IT-Notfallmanagement und Management der Beziehungen mit Zahlungsdienstnutzern.

Siehe auch

  • Versicherungsaufsichtliche Anforderungen an die IT (VAIT)
  • Kapitalverwaltungsaufsichtliche Anforderungen an die IT (KAIT)
  • Zahlungsdiensteaufsichtliche Anforderungen an die IT von Zahlungs- und E-Geld-Instituten (ZAIT)

Weblinks

  • Rundschreiben 10/2017 (BA) in der Fassung vom 16. August 2021

Einzelnachweise


Maik Rust Abteilungsleiter Berechtigungs und ITSicherheitsreporting

Kunden

BAIT Bankaufsichtliche Anforderungen an die IT Herausforderung und

Banken brauchen neue Fähigkeiten, um die ITKomplexität zu zähmen IFZ

Die 25 besten PowerPointVorlagen für Finanzen und Bankwesen, um Ihre