Bankaufsichtliche Anforderungen an die IT

Basisdaten
Titel	Rundschreiben 10/2017 (BA) Bankaufsichtliche Anforderungen an die IT
Kurztitel	Bankaufsichtliche Anforderungen an die IT
Abkürzung	BAIT
Geltungsbereich	Bundesrepublik Deutschland
Ursprüngliche Fassung vom	3. November 2017
Letzte Neufassung vom	16. August 2021
Ende der Gültigkeit	16. Januar 2025 (in Ausnahmen: 31. Dezember 2026)

Die Bankaufsichtlichen Anforderungen an die IT, abgekürzt BAIT, sind Verwaltungsanweisungen, die mit einem Rundschreiben der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) für die sichere Ausgestaltung der IT-Systeme sowie der zugehörigen Prozesse und diesbezüglicher Anforderungen an die IT-Governance in deutschen Kreditinstituten veröffentlicht wurden. Sie wurden von der BaFin mit dem Rundschreiben 10/2017 (BA) vom 3. November 2017 erstmals veröffentlicht.

Im Januar 2025 wurden die aufsichtlichen Anforderungen an die IT durch die BaFin größtenteils zugunsten von Verordnung (EU) 2022/2554, besser bekannt als DORA, aufgehoben. Die BAIT bleiben nur noch für die Institute anwendbar, die durch das am 27. Dezember 2024 beschlossene Finanzmarktdigitalisierungsgesetz (FinmadiG)^[1] neu unter DORA reguliert werden. § 65a Abs. 3 KWG sieht dafür eine Übergangsfrist bis zum 1. Januar 2027 vor.^[2]

Inhalte

Die BAIT konkretisieren – wie die Mindestanforderungen an das Risikomanagement – die gesetzlichen Anforderungen des § 25a Absatz 1 Satz 3 Nr. 4 und 5 des Kreditwesengesetzes (KWG). Es handelt sich bei ihnen um normeninterpretierende Verwaltungsvorschriften, die eine Selbstbindung der deutschen Aufsicht gegenüber den Kreditinstituten dargestellt haben.

In den BAIT formuliert die Aufsicht einen Rahmen für die technisch-organisatorische Ausstattung der Institute – insbesondere für das Management der IT-Ressourcen und für das IT-Risikomanagement. Da die Institute zunehmend IT-Dienstleistungen von Dritten beziehen, auch im Rahmen von Auslagerungen, wird auch der § 25b KWG in diese Interpretation einbezogen.

Versionsgeschichte

Am 14. September 2018 hat die BaFin eine aktualisierte Fassung der BAIT veröffentlicht. Die neuen BAIT enthalten einen zusätzlichen Abschnitt zum Thema Kritische Infrastrukturen. Die am 16. August 2021 veröffentlichte Fassung enthält drei zusätzliche Abschnitte zu den Themen operative Informationssicherheit, IT-Notfallmanagement und Management der Beziehungen mit Zahlungsdienstnutzern.

Siehe auch

Weblinks

Rundschreiben 10/2017 (BA) in der Fassung vom 16. August 2021

Einzelnachweise

↑ Bundesgesetzblatt, 27. Dezember 2024 Gesetz über die Digitalisierung des Finanzmarktes (Finanzmarktdigitalisierungsgesetz – FinmadiG)*, abgerufen am 26. Januar 2024
↑ DORA kommt: Änderungen bei den aufsichtlichen Anforderungen an die IT. In: bafin.de. Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), 10. Januar 2025, abgerufen am 20. Januar 2025.

[1] Bundesgesetzblatt, 27. Dezember 2024 Gesetz über die Digitalisierung des Finanzmarktes (Finanzmarktdigitalisierungsgesetz – FinmadiG)*, abgerufen am 26. Januar 2024

[:2-2] DORA kommt: Änderungen bei den aufsichtlichen Anforderungen an die IT. In: bafin.de. Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), 10. Januar 2025, abgerufen am 20. Januar 2025.

[1]

[2]