Definition des Begriffs
BAIT steht für Bankaufsichtliche Anforderungen an die IT. Der Begriff bezeichnet ein aufsichtliches Verfahren und ein BaFin-Rundschreiben zur Konkretisierung der Anforderungen an Informationstechnik, Informationssicherheit und IT-Governance bei Kreditinstituten. Die BAIT wurden 2017 als Rundschreiben 10/2017 veröffentlicht und mehrfach angepasst. Sie konkretisieren insbesondere die allgemeinen organisatorischen Pflichten aus dem Kreditwesengesetz, vor allem § 25a und § 25b KWG, sowie die Mindestanforderungen an das Risikomanagement. Inhaltlich beschreiben sie, wie Institute IT-Risiken steuern, dokumentieren, überwachen und in die Gesamtbanksteuerung einbinden sollen. Seit Anwendung von DORA ab dem 17. Januar 2025 gelten BAIT für DORA-pflichtige Institute nicht mehr unmittelbar, sondern nur noch übergangsweise für verbleibende Anwendungsfälle.
Vorkommen und Verwendung
BAIT werden im IT-Risikomanagement, im Informationssicherheitsmanagement, in der Auslagerungssteuerung, in der internen Revision und bei bankaufsichtlichen Prüfungen verwendet. Betroffen sind vor allem Institute, die nicht bereits vollständig dem IKT-Risikomanagement nach DORA unterliegen, sowie historische Prüfungs- und Dokumentationsbestände.
Kernbereiche sind:
Relevanz
BAIT waren für Banken relevant, weil sie Erwartungen der Aufsicht an eine sichere und ordnungsgemäße IT konkretisierten. Sie machten deutlich, dass IT-Risiken Teil der allgemeinen Risikosteuerung sind und nicht nur technische Betriebsfragen betreffen. Für Institute wirkten BAIT auf Aufbauorganisation, Kontrollen, Dokumentation, Dienstleistersteuerung, Prüfungshandlungen und Revisionsplanung. Mit DORA verschiebt sich die zentrale Rechtsgrundlage auf einen unmittelbar geltenden europäischen Rahmen für digitale operationelle Resilienz. Die BAIT bleiben dennoch als Orientierung für frühere Prüfungszeiträume und für das Verständnis deutscher Aufsichtspraxis bedeutsam.
Beispiel / Synonyme oder verwandte Begriffe
Weitere Informationen
Wichtige Rechtsbezüge sind § 25a KWG zur ordnungsgemäßen Geschäftsorganisation, § 25b KWG zu Auslagerungen, die MaRisk und seit 2025 DORA, insbesondere Artikel 5 bis 16 zum IKT-Risikomanagement. Die BaFin hob mehrere IT-Rundschreiben im Zuge von DORA auf oder reduzierte ihren Anwendungsbereich. Die vollständige Ablösung der BAIT erfolgt schrittweise, damit verbleibende Institute und Übergangssachverhalte geordnet in den europäischen Rahmen überführt werden.
Weiterführende Details, regulatorische Vorgaben und Methodikbeschreibungen finden Sie auf Regupedia: www.regupedia.de
Bitte geben Sie Ihre E-Mail-Adresse an. Wir senden Ihnen eine E-Mail zum Zurücksetzen Ihres Passwortes.