Feedback

Bankaufsichtliche Anforderungen an die IT (BAIT)

zur Glossar-Übersicht

 

Definition des Begriffs

BAIT steht für Bankaufsichtliche Anforderungen an die IT. Der Begriff bezeichnet ein aufsichtliches Verfahren und ein BaFin-Rundschreiben zur Konkretisierung der Anforderungen an Informationstechnik, Informationssicherheit und IT-Governance bei Kreditinstituten. Die BAIT wurden 2017 als Rundschreiben 10/2017 veröffentlicht und mehrfach angepasst. Sie konkretisieren insbesondere die allgemeinen organisatorischen Pflichten aus dem Kreditwesengesetz, vor allem § 25a und § 25b KWG, sowie die Mindestanforderungen an das Risikomanagement. Inhaltlich beschreiben sie, wie Institute IT-Risiken steuern, dokumentieren, überwachen und in die Gesamtbanksteuerung einbinden sollen. Seit Anwendung von DORA ab dem 17. Januar 2025 gelten BAIT für DORA-pflichtige Institute nicht mehr unmittelbar, sondern nur noch übergangsweise für verbleibende Anwendungsfälle.

 

Vorkommen und Verwendung

BAIT werden im IT-Risikomanagement, im Informationssicherheitsmanagement, in der Auslagerungssteuerung, in der internen Revision und bei bankaufsichtlichen Prüfungen verwendet. Betroffen sind vor allem Institute, die nicht bereits vollständig dem IKT-Risikomanagement nach DORA unterliegen, sowie historische Prüfungs- und Dokumentationsbestände.

Kernbereiche sind:

  • IT-Strategie und Einbindung in die Geschäftsstrategie
  • IT-Governance mit Rollen, Verantwortlichkeiten und Kontrollprozessen
  • Informationsrisikomanagement und Schutzbedarfsklassifizierung
  • Informationssicherheitsmanagement mit Leitlinien, Kontrollen und Überwachung
  • Berechtigungsmanagement, IT-Betrieb, Notfallmanagement und Auslagerungen

 

Relevanz

BAIT waren für Banken relevant, weil sie Erwartungen der Aufsicht an eine sichere und ordnungsgemäße IT konkretisierten. Sie machten deutlich, dass IT-Risiken Teil der allgemeinen Risikosteuerung sind und nicht nur technische Betriebsfragen betreffen. Für Institute wirkten BAIT auf Aufbauorganisation, Kontrollen, Dokumentation, Dienstleistersteuerung, Prüfungshandlungen und Revisionsplanung. Mit DORA verschiebt sich die zentrale Rechtsgrundlage auf einen unmittelbar geltenden europäischen Rahmen für digitale operationelle Resilienz. Die BAIT bleiben dennoch als Orientierung für frühere Prüfungszeiträume und für das Verständnis deutscher Aufsichtspraxis bedeutsam.

 

Beispiel / Synonyme oder verwandte Begriffe

  • Bankaufsichtliche Anforderungen an die IT: Langform von BAIT
  • MaRisk: Mindestanforderungen an das Risikomanagement als übergeordneter Rahmen
  • DORA: europäischer Rechtsakt zur digitalen operationellen Resilienz
  • IKT-Risiko: Risiko aus Informations- und Kommunikationstechnologie
  • IT-Governance: Steuerung und Kontrolle der IT-Organisation

 

Weitere Informationen

Wichtige Rechtsbezüge sind § 25a KWG zur ordnungsgemäßen Geschäftsorganisation, § 25b KWG zu Auslagerungen, die MaRisk und seit 2025 DORA, insbesondere Artikel 5 bis 16 zum IKT-Risikomanagement. Die BaFin hob mehrere IT-Rundschreiben im Zuge von DORA auf oder reduzierte ihren Anwendungsbereich. Die vollständige Ablösung der BAIT erfolgt schrittweise, damit verbleibende Institute und Übergangssachverhalte geordnet in den europäischen Rahmen überführt werden.

 

 

Weiterführende Details, regulatorische Vorgaben und Methodikbeschreibungen finden Sie auf Regupedia: www.regupedia.de

Passwort zurücksetzen

Bitte geben Sie Ihre E-Mail-Adresse an. Wir senden Ihnen eine E-Mail zum Zurücksetzen Ihres Passwortes.


Abbrechen