BaFin-Compliance:
BAIT, MaRisk und DORA

BAIT steht für "Bankaufsichtliche Anforderungen an die IT" und ist das IT-Sicherheitsrundschreiben der BaFin für Kreditinstitute nach KWG. BAIT gilt weiterhin - aber mit erheblich reduziertem Anwendungsbereich seit Inkrafttreten von DORA (Digital Operational Resilience Act, EU 2022/2554) am 17. Januar 2025. DORA hat die VAIT (Versicherungen), KAIT (Kapitalverwaltungsgesellschaften) und ZAIT (Zahlungsdienstleister) vollständig aufgehoben. BAIT gilt noch für Institute, die primär unter KWG fallen und nicht vollständig unter DORA. Unternehmen sollten prüfen, ob sie unter DORA fallen - in diesem Fall ist DORA das maßgebliche Regelwerk, ergänzt durch BAIT soweit noch anwendbar.

MaRisk (Mindestanforderungen an das Risikomanagement) ist das umfassende BaFin-Rundschreiben für das Risikomanagement von Kreditinstituten. Es adressiert alle wesentlichen Risikoarten - darunter auch operationelle Risiken, zu denen IT-Risiken und Cyberrisiken zählen. MaRisk verlangt ein integriertes Risikomanagementsystem, das IT-Risiken als Teil der operationellen Risiken systematisch identifiziert, bewertet, steuert und überwacht. AT 7.2 MaRisk enthält spezifische Anforderungen an die technisch-organisatorische Ausstattung - darunter: angemessene IT-Systeme, Datensicherung, Notfallkonzepte und Berechtigungsmanagement. Mit DORA werden die IT-spezifischen Anforderungen zunehmend dort verankert, während MaRisk als allgemeines Risikomanagement-Rahmenwerk bestehen bleibt.

Die relevanten BaFin-Rundschreiben für IT-Sicherheit sind: BAIT (RS 10/2017): Bankaufsichtliche Anforderungen an die IT - für Kreditinstitute nach KWG; enthält Anforderungen zu IT-Strategie, IT-Governance, Informationsrisikomanagement, Informationssicherheitsmanagement, Betrieb und Notfallmanagement. MaRisk (RS 05/2017): Mindestanforderungen an das Risikomanagement; AT 7.2 adressiert technisch-organisatorische Ausstattung. SREP-Leitlinien der EBA: Europäische Anforderungen, die über MaRisk hinausgehen. DORA (ab 17.01.2025): Für DORA-Scope-Unternehmen ist DORA das vorrangige Regelwerk und hat VAIT, KAIT und ZAIT ersetzt. Die Anforderungen aus BAIT und DORA überschneiden sich erheblich; für DORA-pflichtige Institute ist DORA maßgebend.

Mit Inkrafttreten von DORA (Digital Operational Resilience Act, EU 2022/2554) am 17. Januar 2025 hat die BaFin VAIT (Versicherungsaufsichtliche Anforderungen an die IT), KAIT (Anforderungen für Kapitalverwaltungsgesellschaften) und ZAIT (Zahlungsdiensteaufsichtliche Anforderungen an die IT) vollständig aufgehoben. BAIT bleibt bestehen, verliert aber für viele Institute an Bedeutung, da DORA als EU-Verordnung (direkt anwendbar, ohne nationalen Umsetzungsakt) Vorrang hat. DORA gilt für: Kreditinstitute, Wertpapierfirmen, Zahlungsinstitute, E-Geld-Institute, Versicherungen, Vermögensverwalter, Ratingagenturen, Handelsplätze, Transaktionsregister und IKT-Drittdienstleister. Kernpflichten unter DORA: IKT-Risikomanagement, Meldung schwerwiegender IKT-Vorfälle (innerhalb von 4h/24h/72h), DORA-Penetrationstests (TLPT), Management von IKT-Drittparteienrisiken und Informationsaustausch.

Bei einer Sonderprüfung nach §44 KWG kann die BaFin alle Aspekte der Geschäftsorganisation und des Risikomanagements eines Kreditinstituts prüfen - einschließlich IT-Sicherheit und Betriebsstabilität. Typische IT-Prüfungsschwerpunkte sind: IT-Governance und Verantwortlichkeiten (Wer ist für IT-Sicherheit zuständig?), Informationsrisikomanagement (BAIT-Kapitel 2: Erfassung und Bewertung von IT-Risiken), Informationssicherheitsmanagement (ISMS, Sicherheitsrichtlinien, Penetrationstests), Auslagerungsmanagement (§25b KWG, BAIT-Kapitel 9: Kontrolle über ausgelagerte IT-Dienstleister), Notfallmanagement (Business Continuity, Wiederherstellungsfähigkeit), Berechtigungsmanagement (Zugriffskontrollen, Privileged Access Management), und Vorfallmanagement (Erkennungs- und Eskalationsprozesse). Häufige BaFin-Findings: unzureichende Dokumentation, fehlende Risikoklassifizierung, mangelhaftes Auslagerungscontrolling, keine regelmäßigen Penetrationstests.

Eine strukturierte Vorbereitung auf BaFin-IT-Prüfungen umfasst mehrere Bereiche: Dokumentationscheck: Alle IT-Sicherheitsrichtlinien, das Informationsrisikoregister, Penetrationstestberichte und Auslagerungsverträge müssen vollständig und aktuell sein. BAIT-Gap-Analyse: Abgleich aller BAIT-Anforderungen mit dem aktuellen Umsetzungsstand - idealerweise durch einen externen Reviewer mit BaFin-Erfahrung. Penetrationstests und Schwachstellenscans: Regelmäßige Tests dokumentieren die "regelmäßige Überprüfung der IT-Systeme" (BAIT AT 7.3). DORA-Readiness: Prüfung, ob das Institut unter DORA fällt und welche DORA-Anforderungen (TLPT, IKT-Drittparteienmanagement, Meldepflichten) umzusetzen sind. Probelauf: Interne Mock-Prüfungen simulieren den Prüfungsprozess und decken verbleibende Lücken auf. AWARE7 unterstützt mit strukturierten BAIT-/DORA-Gap-Analysen und Penetrationstests.

Die Abgrenzung zwischen BAIT und DORA hängt vom regulierten Status des Instituts ab. DORA gilt für ein sehr breites Spektrum an Finanzinstituten - Kreditinstitute, Wertpapierfirmen, Zahlungsinstitute, Versicherungen und viele weitere. Für alle Institute, die unter DORA fallen, hat DORA als EU-Verordnung Vorrang. BAIT bleibt als BaFin-Rundschreiben bestehen, verliert aber für DORA-pflichtige Kreditinstitute an praktischer Bedeutung, da DORA die relevanten IT-Anforderungen direkter und umfassender regelt. Für kleinere Institute, die möglicherweise DORA-Proportionalitätsregelungen nutzen, bleibt BAIT als Orientierungsrahmen relevant. Empfehlung: Lassen Sie von einem Experten prüfen, ob und in welchem Umfang DORA auf Ihr Institut anwendbar ist - und welche BAIT-Anforderungen darüber hinaus bestehen.

AWARE7 unterstützt Finanzinstitute mit spezialisierten Cybersecurity-Leistungen für BaFin-Compliance: BAIT-Gap-Analyse: Strukturierter Abgleich aller BAIT-Anforderungen mit dem aktuellen Umsetzungsstand, inkl. Maßnahmenplan. DORA-Readiness-Assessment: Analyse des DORA-Scopes, Gap-Analyse zu IKT-Risikomanagement, Vorfallmeldung und IKT-Drittparteienmanagement. Penetrationstests (Web, Netzwerk, Cloud) zur Erfüllung der BAIT AT 7.3-Anforderungen und DORA TLPT-Vorbereitung. ISO 27001 ISMS-Aufbau als strukturierte Grundlage, die BAIT- und DORA-Anforderungen systematisch adressiert. Schwachstellenmanagement und kontinuierliche Überwachung. Vorbereitung auf BaFin-Prüfungen durch interne Mock-Audits und Dokumentationsreviews.