Praxiskommentar BAIT und DORA E-Book

Print:

ISBN 978-3-7910-5468-1

Bestell-Nr. 11348-0001

ePub:

ISBN 978-3-7910-5469-8

Bestell-Nr. 11348-0100

ePDF:

ISBN 978-3-7910-5470-4

Bestell-Nr. 11348-0150

Patrik Buchmüller/Jens Gampe/Sandra Schmolz

Praxiskommentar BAIT und DORA

November 2025

© 2025 Schäffer-Poeschel Verlag für Wirtschaft · Steuern · Recht GmbH

Breitscheidstr. 10, 70174 Stuttgart

www.schaeffer-poeschel.de | [email protected]

Bildnachweis (Cover): © Umschlag: Stoffers Grafik-Design, Leipzig

Produktmanagement: Anna Pietras

Lektorat: Isolde Bacher, text_dienst, Stuttgart

Dieses Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Alle Rechte, insbesondere die der Vervielfältigung, des auszugsweisen Nachdrucks, der Übersetzung und der Einspeicherung und Verarbeitung in elektronischen Systemen, vorbehalten. Der Verlag behält sich auch eine Nutzung des Werks für Text und Data Mining im Sinne von § 44b UrhG vor. Alle Angaben/Daten nach bestem Wissen, jedoch ohne Gewähr für Vollständigkeit und Richtigkeit.

Schäffer-Poeschel Verlag Stuttgart Ein Unternehmen der Haufe Group SE

Sofern diese Publikation ein ergänzendes Online-Angebot beinhaltet, stehen die Inhalte für 12 Monate nach Einstellen bzw. Abverkauf des Buches, mindestens aber für zwei Jahre nach Erscheinen des Buches, online zur Verfügung. Ein Anspruch auf Nutzung darüber hinaus besteht nicht.

Sollte dieses Buch bzw. das Online-Angebot Links auf Webseiten Dritter enthalten, so übernehmen wir für deren Inhalte und die Verfügbarkeit keine Haftung. Wir machen uns diese Inhalte nicht zu eigen und verweisen lediglich auf deren Stand zum Zeitpunkt der Erstveröffentlichung.

Vorwort

Die letzten Jahre haben gezeigt, wie anfällig Privatpersonen und Unternehmen gegenüber externen Ereignissen wie Naturkatastrophen, Pandemien und Hackerangriffen aus dem Cyberraum sind. Darüber hinaus hat der weltweite Zusammenbruch von IT-Infrastrukturen im Zusammenhang mit dem IT-Dienstleister Crowdstrike am 19.07.2024 verdeutlicht, wie stark die Abhängigkeiten von einzelnen IT-Dienstleistungsanbietern ist und dass Fehler solcher Anbieter, wie z. B. bei einem Softwareupdate, schwerwiegende Folgen für eine Vielzahl von Unternehmen und deren Kunden haben kann.

Der Finanzsektor ist diesen Gefährdungen ebenso wie andere Sektoren der deutschen Volkswirtschaft ausgesetzt, potenziell sogar stärker im Hinblick auf kriminelle Handlungen aufgrund seiner besonderen Bedeutung für den Zahlungskreislauf. Die größte Verwundbarkeit im Kontext der sogenannten nichtfinanziellen Risiken besitzt der Finanzsektor wegen seiner Abhängigkeit von komplexer Informationstechnologie. Dies haben die Aufsichtsobjekte der BaFin schon lange vor der COVID-19-Pandemie, neueren Ransomware- und APT-Attacken, insbesondere aber auch schon vor Hochwasserkatastrophen wie dem Hochwasser von Elbe und Oder im Jahr 2002 erkannt. Daher wurden Vorgaben zur Geschäftskontinuitätsplanung bereits in der Erstfassung der Mindestanforderungen an das Risikomanagement (MaRisk) im Jahr 2005 unter Verweis auf einschlägige Industriestandards aufgenommen.

Im Dialog mit Vertretern der Finanzindustrie und ihren Verbänden entwickelte sich die Erkenntnis1 bei BaFin und Bundesbank, dass über die MaRisk hinaus besondere aufsichtliche Vorgaben im Bereich des IKT-Risiko- und Sicherheitsmanagements notwendig sind und die bisherigen Verweise, beispielsweise auf die Standards des Bundesamtes für Sicherheit in der Informationstechnologie, nicht ausreichen. Nach intensiven Diskussionen im Fachgremium IT, einer öffentlichen Konsultation des BAIT-Entwurfs und der nachfolgenden Freigabe durch das Bundesfinanzministerium (BMF) erfolgte im Jahr 2017 die Veröffentlichung der Erstfassung der Bankaufsichtlichen Anforderungen an die IT (BAIT) als »BaFin-Rundschreiben 10/2017 (BA)«. Ebenso wie die MaRisk stellen die BAIT seitdem eine Art »Erfolgsgeschichte« dar: Das Regelwerk wurde in der EU als Vorbild für Regulierungsinitiativen von EBA und EIOPA herangezogen und seitens der BaFin wurden inhaltlich analoge Regelwerke für Versicherungsunternehmen (Rundschreiben 10/2018), Kapitalverwaltungsgesellschaften (Rundschreiben 11/2019) und Zahlungsinstitute (Rundschreiben 11/2021) geschaffen. Zudem wurden die BAIT nach einer Ergänzung im Jahr 2018, die ausschließlich für sogenannte KRITIS-Betreiber gilt, im Jahr 2021 durch eine erste Novelle aktualisiert und erweitert.

Während die BaFin regelmäßig in Fachkonferenzen bzw. Fachpublikationen die Fortentwicklung der Anforderungen und Prüfungspraxis zum Thema IKT-Risiko- und Sicherheitsmanagement erläutert, fehlt bisher in weiten Teilen eine Würdigung dieses Regelwerks in der wissenschaftlichen Fachliteratur durch eine aufsichtsrechtliche Kommentierung. Mit dem vorliegenden Buch wollen wir zum Schließen dieser Lücke beitragen. Dabei setzen wir bewusst noch auf den BAIT auf, auch wenn diese bereits für große Teile der deutschen Kreditwirtschaft seit dem 17.01.2025 nicht mehr relevant sind. Sowohl die Prüfer als auch die IT-Risikomanager und -managerinnen in den Instituten kommen allerdings aus der BAIT-Welt und befinden sich – genauso wie dieses Buch – im Übergang von den BAIT zu DORA (Digital Operational Resilience Act).

Wir haben uns vorgenommen, eine schnell lesbare, praxisnahe Kurzkommentierung zu den BAIT 2.0 mit Hinweisen, wie sich die bisherigen Regelungen in DORA wiederfinden und was mit DORA neu dazu kam, zusammenzustellen. Wir hoffen, dass die Spezialistinnen und Spezialisten in den Banken hier einige Anregungen zur prüfungssicheren Umsetzung der Anforderungen erhalten, dies vor dem Hintergrund der auch noch im Jahr 2025 laufenden Abarbeitung von Monita und der z. T. auch noch bankaufsichtlichen Prüfungen mit BAIT-Bezug. Wir haben uns bemüht, über die aktuellen Regelungen hinaus aufzuzeigen, in welchen Bereichen es im Zuge der DORA-Initiative der EU-Kommission bereits zu weiteren Fortentwicklungen der Regulierung und Prüfungspraxis auf nationaler und internationaler Ebene gekommen ist und noch kommen wird. Nachdem mit dem Finanzmarktdigitalisierungsgesetz vom Dezember 2024 und der BaFin-Kommunikation zum Inkrafttreten von DORA am 17.01.2025 die Abschaffung der BAIT, der VAIT und der übrigen Elemente der »BAIT-Reihe« größtenteils umgesetzt wurde, liefern wir mit diesem Buch einen ersten konkreten Einblick in die besonderen Herausforderungen der DORA-Umsetzung auf der Basis des DORA-Rechtsstands zum 31.08.2025. Ausgehend vom BAIT-­Regelwerk stellen wir die Vorgaben der DORA-Verordnung2 und der nachgelagerten technischen Standards und Leitlinien der Europäischen Aufsichtsbehörden, die nun mit leichter Verspätung endgültig vorliegen, im Überblick dar.

Wir wünschen Ihnen viel Spaß beim Lesen und sind für Anregungen zu weiteren Verbesserungen des Textes für kommende Neuauflagen dankbar. Wir danken Dr. Frank Beekmann von der BaFin, Rainer Englisch von der Deutschen Bundesbank, Prof. Dr. Gerhard Hellstern von der DHBW Stuttgart, Prof. Andreas Igl von der TH Deggendorf, Aljoscha Preiß von IBM sowie Oliver Rambock von MARISK ACADEMY herzlich für den Austausch zu BAIT- und DORA-Fachfragen und einzelnen Textabschnitten. Alle Fehler und Ungenauigkeiten sind allein Versäumnis der Autoren. Claudia Knapp und Anna Pietras vom Verlag Schäffer-Poeschel sowie Isolde Bacher danken wir für Lektorat und fachliche Begleitung dieser Buchveröffentlichung und v. a. sehr herzlich für ihre schier endlose Geduld bei der Erstellung dieses Buches.

01.09.2025

Prof. Dr. Patrik Buchmüller, Dr. Jens Gampe und Sandra Schmolz

Abkürzungsverzeichnis

Abs.

Absatz

AD

Active Directory

AEUV

Vertrag über die Arbeitsweise der Europäischen Union

a. F.

alte Fassung

AFS

Ausschuss für Finanzstabilität

AMA

Advanced Measurement Approach; fortgeschrittener Messansatz

AnzV

Verordnung über die Anzeigen und die Vorlage von Unterlagen nach dem ­Kreditwesengesetz (Anzeigenverordnung)

APT

Advanced Persistent Threat

Art.

Artikel

ASP

Application Service Providing oder Application Service Provision

BAFA

Bundesamt für Wirtschaft und Ausfuhrkontrolle

BaFin

Bundesanstalt für Finanzdienstleistungsaufsicht

BAIT

Bankaufsichtliche Anforderungen an die IT

BAKred

Bundesaufsichtsamt für das Kreditwesen

BBK

Bundesamt für Bevölkerungsschutz und Katastrophenhilfe

BCBS

Basel Committee on Banking Supervision, Baseler Ausschuss für Banken­aufsicht

BCM

Business Continuity Management; Geschäftskontinuitätsplanung, Notfall­management

BIA

Business-Impact-Analyse

BIS

Bank for International Settlements; Bank für Internationalen Zahlungs­ausgleich

Bitkom

Branchenverband der deutschen Informations- und Telekommunikations­branche

BKA

Bundeskriminalamt

BMAS

Bundesministerium für Arbeit und Soziales

BMF

Bundesministerium der Finanzen

BMJV

Bundesminsterium der Justiz und für Verbraucherschutz

BMWE

Bundesministerium für Wirtschaft und Energie

BSI

Bundesamt für Sicherheit in der Informationstechnik

BSIG

BSI-Gesetz

BSI-KritisV

Verordnung zur Bestimmung kritischer Infrastrukturen nach dem BSI-Gesetz

bspw.

beispielsweise

bzgl.

bezüglich

CMDS

Configuration Management Database; Konfigurationsmanagementdatenbank

CRD

Capital Requirements Directive; Eigenkapitalrichtlinie

CRR

Capital Requirements Regulation; Eigenkapitalverordnung

CSP

Cloud Service Provider; Cloud-Dienstleister

CSR

Corporate Social Responsibility; gesellschaftliche Unternehmens­verantwortung

d. h.

das heißt

DelVO

Delegierte Verordnung

DK

Deutsche Kreditwirtschaft

DMA

Digital Markets Act, Gesetz über digitale Märkte (Verordnung (EU) 2022/1925)

DORA

Digital Operational Resilience Act

DORA-VO

DORA-Verordnung (Verordnung (EU) 2022/2554)

DORA-RL

DORA-Richtlinie (Richtlinie (EU) 2022/2556)

DSGVO

Datenschutz-Grundverordnung

DurchfVO

Durchführungsverordnung

EBA

European Banking Authority; Europäische Bankenaufsichtsbehörde

ECB

European Central Bank; Europäische Zentralbank

EG

Europäische Gemeinschaft

EIOPA

European Insurance and Occupational Pensions Authority; ­Europäische ­Aufsichtsbehörde für das Versicherungswesen und die betriebliche ­Altersversorgung

ENISA

European Network and Information Security Agency; Agentur der Europäischen Union für Cybersicherheit

ESA

European Supervisory Authorities; Europäische Aufsichtsbehörden

ESFS

European System of Financial Supervision; Europäisches System der ­Finanzaufsicht

ESG-Risiken

Environmental, Social and Governance Risiken; Umwelt, Soziales und ­Unternehmensführung (Nachhaltigkeitsrisiken)

ESMA

European Securities and Markets Authority; Europäische Wertpapier- und Marktaufsichtsbehörde

ESRB

European Systemic Risk Board; Europäischer Ausschuss für Systemrisiken

EU

Europäische Union

EU-KOM

Europäische Kommission

EWR

Europäischer Wirtschaftsraum

EZB

Europäische Zentralbank

FinmadiG

Finanzmarktdigitalisierungsgesetz

FISG

Finanzmarktintegrationsstärkungsgesetz

G7

Gruppe der Sieben (Gruppe von sieben bedeutenden Industriestaaten)

gem.

gemäß

ggf.

gegebenenfalls

ICAAP

Internal Capital Adequacy Assessment Process; internes Verfahren zur ­Überprüfung der Angemessenheit der Kapitalausstattung

ICT

Information and Communication Technology (s. a. IKT)

i. d. R.

in der Regel

IDV

Individuelle Datenverarbeitung

IKT

Informations- und Kommunikationstechnologie (s. a. ICT)

IDW

Institut der Wirtschaftsprüfer

inkl.

inklusive

ISB

Informationssicherheitsbeauftragte/r

ISMS

Informationssicherheitsmanagementsystem

IT

Informationstechnologie

ITS

Implementing Technical Standards; Technische Durchführungsstandards

i. V. m.

in Verbindung mit

JC

Joint Committee of European Supervisors der drei europäischen Finanzsektoraufsichtsbehörden EBA, EIOPA und ESMA

JET

Joint Examination Team

JST

Joint Supervisory Team

KAIT

Kapitalverwaltungsaufsichtliche Anforderungen an die IT

KAMaRisk

Mindestanforderungen an das Risikomanagement von Kapitalverwaltungs­gesellschaften

Kap.

Kapitel

KI

künstliche Intelligenz

KRITIS

kritische Infrastrukturen

KVG

Kapitalverwaltungsgesellschaft

KWG

Kreditwesengesetz

lit

littera; Buchstabe

LkSG

Lieferkettensorgfaltspflichtengesetz

LSI

Less Significant Institutions

LÜKEX

Länder- und Ressortübergreifende Krisenübung

MaGo

Mindestanforderungen an die Geschäftsorganisation von Versicherungs­unternehmen

MaRisk

Mindestanforderungen an das Risikomanagement

MaSI

Mindestanforderungen an die Sicherheit von Internetzahlungen

ML

Maschinelles Lernen, Maschine Learning

MVP

Meldewesen- und Veröffentlichungsplattform der BaFin

n. F.

neue Fassung

NIS

Network and Information Security; Netzwerk- und Informationssicherheit

NIST

National Institute of Standards and Technology

NPL

Non Performing Loan; notleidender Kredit

o. a.

oben angegeben

OpRisk

Operationelles Risiko

PrüfbV

Prüfungsberichtsverordnung

PSD

Payment Services Directive; Zahlungsdiensterichtlinie

Q&A

Questions & Answers; Fragen & Antworten

P2G

Pillar 2-Guidance; Säule-2-Empfehlung

P2R

Pillar 2-Requirement; Säule-2-Anforderung

RPO

Recovery Point Objective

RTF

Risikotragfähigkeit

RTO

Recovery Time Objective

RTS

Regulatory Technical Standards; Technische Regulierungsstandards

Rz.

Randziffer

s.

siehe

s. a.

siehe auch

SaaS

Software as a Service

SIEM

Security Information and Event Management System

SLA

Service Level Agreement

SOC

Security Operations Center

SREP

Supervisory Review and Evaluation Process

SWIFT

Society for Worldwide Interbank Financial Telecommunication

TLPT

Threat-led Penetration Testing

Tz.

Textziffer

u. a.

unter anderem

UP KRITIS

Unabhängige Partnerschaft KRITIS

v. a.

vor allem

VAIT

Versicherungsaufsichtliche Anforderungen an die IT

vgl.

vergleiche

VO

Verordnung

VÖB

Bundesverband Öffentlicher Banken Deutschlands

WpDL

Wertpapierdienstleistungen

WumS

Wohnungsunternehmen mit Spareinrichtung

xAIT

BAIT, KAIT, VAIT und ZAIT

ZAG

Zahlungsdiensteaufsichtsgesetz

ZAG-MaRisk

Mindestanforderungen an das Risikomanagement von ZAG-Instituten

ZAIT

Zahlungsdiensteaufsichtliche Anforderungen an die IT

z. B.

zum Beispiel

z. T.

zum Teil

Bearbeiterverzeichnis

Kapitel

Inhalt

Autor(in)

1.1

Einführung

Buchmüller

Gampe

Schmolz

1.2

Kurzüberblick zu den Neuerungen der BAIT 2.0

Gampe

1.3

Übergang von BAIT zu DORA

Buchmüller

1.4

Vorgaben in CRR/CRD, Kreditwesengesetz und MaRisk

Buchmüller

1.5

Aktivitäten von EZB und EBA inkl. DORA-Umsetzung

Buchmüller

1.6

Baseler Ausschuss und weitere internationale Gremien

Buchmüller

1.7

BSI, KRITIS-Vorgaben und weitere regulatorische Neuerungen

Buchmüller

2.1

Kommentierung zur BAIT-Vorbemerkung (BAIT Teil I)

Buchmüller

2.2

Kommentierung zum BAIT-Kapitel II.1. IT-Strategie

Buchmüller

2.3

Kommentierung zum BAIT-Kapitel II.2. IT-Governance

Gampe

2.4

Kommentierung zur BAIT-Kapitel II.3. Informationsrisikomanagement

Buchmüller

2.5

Kommentierung zum BAIT-Kapitel II.4. Informationssicherheitsmanagement

Gampe

2.6

Kommentierung zum BAIT-Kapitel II.5. Operative Informationssicherheit

Gampe

2.7

Kommentierung zum BAIT-Kapitel II.6. Identitäts- und Rechtemanagement

Schmolz

2.8

Kommentierung zum BAIT-Kapitel II.7. IT-Projekte und Anwendungsentwicklung

Schmolz

2.9

Kommentierung zum BAIT-Kapitel II.8. IT-Betrieb

Schmolz

2.10

Kommentierung zum BAIT-Kapitel II.9. Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen

Buchmüller

2.11

Kommentierung zum BAIT-Kapitel II.10. Notfallmanagement

Buchmüller

2.12

Kommentierung zum BAIT-Kapitel II.11. Kundenbeziehungen mit Zahlungsdienstnutzern

Buchmüller

2.13

Kommentierung zum BAIT-Kapitel II.12. Kritische Infrastrukturen

Buchmüller

3.1

DORA-Rechtstexte und Auslegungen im Überblick

Buchmüller

Schmolz

3.2

DORA-Kapitel II IKT-Risikomanagement

Buchmüller

Schmolz

3.3

DORA-Kapitel III Incident Management und Incident Reporting

Buchmüller

Gampe

Schmolz

3.4

DORA-Kapitel IV Testen der digitalen operationalen Resilienz

Schmolz

3.5

DORA-Kapitel V.1. Management des IKT-Drittparteienrisikos

Buchmüller

Schmolz

3.6

DORA-Kapitel V.2. Überwachung kritischer IKT-Drittdienstleister

Buchmüller

3.7

Gesamtbewertung des DORA-Regelwerks

Buchmüller

Gampe

Schmolz

4.1

Finanzaufsichtliche Entwicklungen im engeren Sinne

Buchmüller

Gampe

4.2

Weitere wesentliche rechtliche Entwicklungen mit IT-Bezug

Buchmüller

Gampe

5

Schlusswort

Buchmüller

Gampe

Schmolz

1 Einführung und Kurzüberblick

1.1 Einführung

1.1.1 Adressaten des Buchs

BAIT und DORA sind an alle Institute in Deutschland gerichtet. Institute, die bisher die Anforderungen der MaRisk und BAIT umsetzen und einhalten mussten, müssen in sehr vielen Fällen bereits seit dem 17.01.2025 die DORA-Vorgaben einhalten und spätestens ab dem 01.01.2027 gilt das grundsätzlich für alle Institute. Als erste Gruppe unserer Leserschaft sehen wir alle Bankmitarbeiterinnen und -mitarbeiter, die sich mit diesem Regelwerk beschäftigen müssen. Insbesondere sind dies die Geschäftsleitung, die für Strategie und Risikomanagement zuständigen Einheiten, das Informationssicherheitsmanagement mit dem bzw. der Informationssicherheitsbeauftragten (ISB) an der Spitze, die operativen IT-Einheiten, die Bereiche Beschaffung und Organisation sowie Auslagerungs- und Drittparteienmanagement, die Revision und die MaRisk-Compliance-Funktion, aber auch diejenigen Organisationseinheiten, die ­IT-Systeme nutzen und ihre Daten inhaltlich verantworten.

Aufgrund der Omnipräsenz der IT in den Banken ist das Thema BAIT und DORA letztlich für alle Bankmitarbeiterinnen und -mitarbeiter relevant, unabhängig vom konkreten Tätigkeitsbereich. Darüber hinaus entfaltet DORA als Europäische Verordnung ‒ noch stärker als bisher die BAIT ‒ auch auf Nichtbanken eine »Außenwirkung«. Über Auslagerungen und den sonstigen Fremdbezug von IT-Dienstleistungen, aber auch durch die Beschaffung von Hard- und Software sowie Infrastrukturdienstleistungen fallen Zulieferer und (IT-)Dienstleister der Banken mittelbar unter die BAIT-Vorgaben. DORA hingegen regelt die Interaktion der Finanzunternehmen mit IKT-DrittdienstleisterIKT-Drittdienstleistern völlig neu. Aufgrund einer sehr weiten Definition des Begriffes »IKT-Dienstleistung« fallen nun zahlreiche weitere Unternehmen unter die regulatorischen Vorgaben an Banken und andere Finanzunternehmen zur Steuerung ihres IKT-Drittparteienrisikos. Zudem wird mit DORA eine einheitliche Überwachung »kritischer IKT-Drittdienstleister« durch die Finanzaufsichtsbehörden der EU eingeführt. Insofern sollte auch für diese Unternehmen als zweite Zielgruppe das Buch von Interesse sein.

Eine dritte Zielgruppe dieses Buches sind Beschäftigte in regulierten Unternehmen des Finanzsektors, die bisher unter die »BAIT-Derivate« fielen, d. h. v. a. VersicherungsunternehmenVersicherungsunternehmen, ­KapitalverwaltungsgesellschaftenKapitalverwaltungsgesellschaft sowie Zahlungs- und E-Geld-InstituteZahlungs- und E-Geld-Institut. Nach der Aufhebung der VAIT, KAIT und ZAIT gelten für diese Finanzunternehmen vollumfänglich die neuen DORA-­Vorgaben seit 17.01.2025. Da die xAIT inhaltlich grundsätzlich identisch waren, sollte dieser kombinierte BAIT/DORA-Kommentar auch für Beschäftigte dieser Unternehmen hilfreich sein.

Eine vierte Adressatengruppe sind PrüferPrüferund BeraterBerater. Die wirksame Umsetzung und Einhaltung der BAIT-Vorgaben unterlagen bisher einer regelmäßigen Überprüfung, insbesondere durch die Interne Revision der Institute und durch Sonderprüfungen der Bankenaufsicht, aber auch im Rahmen der Jahresabschlussprüfung. Hierzu müssen Prüfungsfeststellungen aus der Vergangenheit bis hin zu den Monita aus der Jahresabschlussprüfung für das Geschäftsjahr 2024 noch abgearbeitet werden. Zudem müssen die Wirtschaftsprüferinnen und -prüfer in der Lage sein, die BAIT-Anforderungen für einige Institute letztmals auch für die Jahresabschlussprüfung im Geschäftsjahr 2025 in ihren Jahresabschlussberichten zu bewerten. Weitaus wichtiger ist allerdings die Überprüfung der Einhaltung der DORA-Anforderungen seit dem Geschäftsjahr 2025 durch Revision, Wirtschaftsprüfer sowie aufsichtliche Prüfungen von BaFin, Bundesbank und EZB-BankenaufsichtEZB-Bankenaufsicht. Hierzu und zur Unterstützung der bankinternen Umsetzung durch Unternehmensberaterinnen und -berater kann der vorliegende Kommentar als Nachschlagewerk dienen.

Schließlich ist als fünfte Adressatengruppe die Wissenschaft in Lehre und Forschung nennen. Dieses Buch kann in Teilen auch für Spezialveranstaltungen in der Lehre an Hochschulen in den Bereichen Wirtschaftswissenschaft und Wirtschaftsinformatik dienen. Darüber hinaus könnte das Buch die Einarbeitung in einzelne Praxisfragen des Finanzsektors erleichtern und somit eine praxisnahe Forschung in den Bereichen IKT-Risikomanagement, Informationssicherheit und Finanzmarktregulierung unterstützen.

Wir gehen davon aus, dass dieser kombinierte BAIT/DORA-Praxiskommentar sowohl als Einstieg für Studierende und Neueinsteiger im Bankensektor als auch für erfahrene Mitarbeiterinnen und Mitarbeiter im Finanzsektor sowie in mit diesem Sektor in Bezug stehenden Unternehmen zumindest einige lesenswerte Abschnitte enthält. Der Praxiskommentar enthält sowohl Hintergrundinformationen zum Umgang mit der IT in den Instituten und deren IT-Dienstleistern als auch zur IT-Regulierung im Allgemeinen sowie eine detaillierte Kommentierung der aktuellen BAIT. Eine Kommentierung der DORA-Verordnung und der zum Rechtsstand 31.08.2025 vorliegenden delegierten Rechtsakte zu DORA erfolgt gebündelt nach den Hauptregelungsbereichen der DORA-Verordnung. Damit ergänzt dieses Buch das bestehende Publikationsangebot zur IT-Aufsicht3 um ein hoffentlich attraktives Angebot.

1.1.2 Gliederung des Textes

Im Gegensatz zu den üblichen juristischen Kommentaren soll dieses Buch bewusst für Nichtjuristen und Praktiker in den Banken bzw. Bankprüfer geschrieben sein. Somit wollen wir mit unserem Praxiskommentar bewusst keine umfassende rechtliche Einstufung der Vorgaben liefern. Stattdessen wollen wir ein Verständnis für den Hintergrund der Vorgaben sowie ­praktische Umsetzungsmöglichkeiten zur Erfüllung der BAIT-Anforderungen und zum Umstieg auf DORA schaffen. Wir bemühen uns um knappe Aussagen, um die Lesbarkeit dieses Buches zu erhöhen, auch wenn damit mitunter nicht alle IT-technischen Hintergründe und bankpraktischen Implikationen der jeweiligen Vorgaben vollständig beschrieben werden können.

Als Hintergrundinformationen zum besseren Verständnis der BAIT- und DORA-Texte erläutern wir mit Kapitel 1 auch die Rechtsgrundlage der BAIT, den Übergang zu DORA sowie die ­nationalen und internationalen Entwicklungen zum IKT-Risiko- und Sicherheitsmanagement und zur Bankenaufsicht, welche die BAIT maßgeblich beeinflussen. Hinzu kommt ein knapper Überblick über die Entstehungsgeschichte der BAIT sowie über die Anpassungen im Zuge der BAIT-Novelle vom August 2021.

Kapitel 2 enthält die BAIT-Kommentierung. Sie erfolgt jeweils getrennt für die BAIT-Vorbemerkung (BAIT-Teil I in Kap. 2.1) und die einzelnen Kapitel aus Teil II der BAIT (beispielsweise BAIT-Kapitel II.2. IT-Strategie in Kap. 2.2 und BAIT-Kapitel II.12. Kritische Infrastrukturen in Kap. 2.13).

In Kapitel 3 folgen ein Überblick zu den Rechtstexten und eine erste, noch etwas gröbere Kommentierung zum Digital Operational Resilience Act (DORA), d. h. zur DORA-Verordnung und zu den dazugehörigen delegierten Rechtsakten.

Kapitel 4gibt einen Kurzüberblick über weitere Entwicklungen im Bereich IT-Sicherheit. ­Kapitel 5 beendet das Buch mit einem kurzen Schlusswort und einem Ausblick.

1.1.3 Die Erfolgsgeschichte der BAIT

Die Bankaufsichtlichen Anforderungen an die IT erhielten seit ihrer Erstfassung vom 03.11.2017 viel Aufmerksamkeit und wurden durchweg als gelungen bewertet. Praktiker, betroffene Institute sowie andere Aufsichtsinstitutionen sahen Form und Inhalt der Regulierung generell als angemessen und verständlich an. Auch der Verzicht auf Übergangsphasen zur Umsetzung hat in der Praxis nicht zu besonderen Problemen geführt, da sowohl Vertreter der Institute und der beiden Verbands-IT-Dienstleister als auch Vertreter aller Bankenverbände im Rahmen der einschlägigen Diskussionen im Fachgremium ITFachgremium IT an der Ausarbeitung des Regelungstextentwurfs beteiligt waren. Im Gegenteil: Während die IT-Prüfungen der EZB bei den betroffenen Instituten z. T. zu Überraschungen hinsichtlich des Umfangs und der Detailtiefe der Prüfungen und der damit verbundenen Erwartungen führten, haben die BAIT die Transparenz der BaFin-Anforderungen an die IT in der Bankenbranche maßgeblich gestärkt.

Erweiterungen der BAIT wurden seitdem behutsam vorgenommen. Änderungen im BAIT-Text gab es erstmals mit der BAIT-Version vom 14.09.2018. Hierbei wurde allerdings lediglich das sogenannte KRITIS-Modul ergänzt. Dieses richtet sich nur an eine Minderheit der Institute, nämlich an jene, die als Betreiber kritischer Infrastrukturen den Anforderungen des BSI-­Gesetzes unterliegen. Da mit der BAIT-Fassung vom 14.09.2018 ansonsten keine Änderungen verbunden waren, bezeichnete die BaFin diese BAIT-Anpassung nicht als Novelle. Diese von uns so genannten BAIT 1.1 sind bis auf das neue BAIT-Kapitel »Kritische Infrastrukturen«, das gemeinsam mit den im BSI für die KRITIS-Aufsicht im Finanzsektor zuständigen Bediensteten erarbeitet wurde, im Vergleich zu den BAIT 1.0 vom 03.11.2017 unverändert geblieben.

Als erste substanzielle BAIT-Novelle betrachten wir die 2019 angekündigten und 2020 mit Konsultationen gestarteten Änderungsvorschläge, die zu den BAIT 2.0 geführt haben. BAIT 2.0 wurde am 16.08.2021 von BaFin und Bundesbank auf ihren jeweiligen Webseiten veröffentlicht. Mit Bekanntgabe am 10.01.2025 wurde im Zuge des Umstiegs auf DORA die von uns als BAIT 3.0 bezeichnete letzte BAIT-Version veröffentlicht. Sie gilt übergangsweise für einen kleinen Teil der bisherigen BAIT-Adressaten noch bis zum 31.12.2026.

Tabelle 1 fasst die bisherige VersionsgeschichteBankaufsichtliche Anforderungen an die IT, Versionsgeschichte der BAIT zusammen. Sie enthält die auf der Internetseite der BaFin zur Konsultation gestellten BAIT-Entwürfe sowie die finalen, per Rundschreiben in Kraft getretenen BAIT-Versionen. Entwurfsfassungen, die nicht öffentlich im Fachgremium IT oder über eine Verbandskonsultation von der BaFin mit ausgewählten Experten im Bankensektor ausgetauscht wurden, sind nicht enthalten.

Datum

Veröffentlichte Konsultationsfassungen und finale BAIT-Versionen

22.03.2017

Veröffentlichung der Konsultationsfassung der BAIT 1.0 (BaFin-Konsultation 02/2017)

03.11.2017

Veröffentlichung der BAIT 1.0 (Rundschreiben 10/2017 (BA) vom 03.11.2017)

14.09.2018

Veröffentlichung der BAIT 1.1 (Rundschreiben 10/2017 (BA) in der Fassung vom 14.09.2018

26.10.2020

Veröffentlichung der Konsultationsfassung der BAIT 2.0 (BaFin Konsultation 13/2020)

16.08.2021

Veröffentlichung der BAIT 2.0 (Rundschreiben 10/2017 (BA) in der Fassung vom 16.08.2021)

10.01.2025

Veröffentlichung der BAIT 3.0 (Rundschreiben 10/2017 (BA) in der Fassung vom 16.12.2024)

Abbildung 1 zur strukturellen Entwicklung der BAIT stellt überblicksmäßig die Anpassungen der BAIT-Struktur von der BAIT 1.0 über die BAIT 1.1 und die BAIT 2.0 bis zur der finalen BAIT dar. Wesentliche Neuerungen gegenüber der ursprünglichen BAIT-Version wurden mit der BAIT 2.0 aufgenommen. Mit der BAIT-Fassung 3.0 wurden lediglich die BAIT-Anforderungen zu Kundenbeziehungen mit Zahlungsdienstnutzern gestrichen, aber keine neuen Anforderungen aufgenommen.

Abb. 1:

Die strukturelle Entwicklung der BAIT (eigene Darstellung)

Der BAIT-Version 1.0 und der BAIT-Version 2.0 gingen über die Diskussionen im Fachgremium IT hinaus jeweils öffentliche KonsultationsphasenÖffentliche Konsultationsphase voraus. Zu den BAIT 3.0 wurde keine Konsultationsfassung veröffentlicht, da keine neuen Anforderungen aufgenommen wurden. Zur Erweiterung der BAIT um das Kapitel »Kritische Infrastrukturen« wurde anstelle einer offiziellen Konsultation die Öffentlichkeit mit einem Schreiben vom August 2018 informiert, dem die generelle Richtung der Neuerungen, allerdings nicht der konkrete Wortlaut zu entnehmen war.4 Zudem wurden die Bankenverbände im Rahmen eines Workshops über Hintergrund und Inhalte des KRITIS-Moduls aufgeklärt.5

Das »Fachgremium Informationstechnologie« (kurz: Fachgremium IT) wurde von der deutschen Aufsicht ins Leben gerufen, um mit Expertinnen und Experten der Institute, Verbände und Prüferseite Fachfragen zur IT-Aufsicht zu diskutieren. Dem Fachgremium IT gehören auch Vertreter von IT-Dienstleistern, des Bundesamtes für Sicherheit in der Informationstechnologie (BSI)Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Wissenschaft an. Grundsätzlich sind die Sitzungen der Fachgremien nicht öffentlich und die Diskussionsinhalte vertraulich. Auf den Internetseiten von BaFin und Bundesbank sind allerdings ausgewählte Sitzungsprotokolle des Fachgremiums veröffentlicht. Tabelle 2 gibt einen Überblick über die Inhalte der veröffentlichten BAIT-Protokolle (bis zum Stand 31.08.2025).6

Sitzungsdatum

Wesentliche Sitzungsinhalte

27.11.2023

Cloud/Ausstieg und Cloud/IT-Notfallmanagement

31.05.2023

Cloud/IT-Betrieb/Kapitel 8 der BAIT/VAIT

20.04.2023

Digital Operational Resilience Act (DORA)

13.12.2022

ICT SREP/DORA/Orientierungshilfe Auslagerungen an Cloud-Anbieter

20.09.2022

Sondersitzungen des Fachgremiums zum Thema Cloud/Weiterverlagerung ­(Gesamtprotokoll zu den Sitzungsterminen 20.09.22, 18.08.22 und 03.05.22)

09.06.2022

DORA/Log4J/Einsatz künstlicher Intelligenz

01.03.2022

Sonderfachgremium Cloud zum Thema Configuration Management Database (CMDB)

02.12.2021

Orientierungshilfe Cloud-Auslagerungen; DORA

07.10.2021

Sonderfachgremium Cloud zum Thema Zertifikate

14.10.2016

BAIT-Module Informationssicherheitsmanagement und Benutzerberechtigungsmanagement

20.05.2016

BAIT-Module IT-Strategie und Informationsrisikomanagement

Für Praktikerinnen und Praktiker, die operativ mit der BAIT-Umsetzung beschäftigt sind, empfiehlt sich das Verfolgen der BaFin-Publikationen im Bereich Informationstechnologie. Die BaFin veröffentlicht auf ihrer Internetseite regelmäßig Reden und Interviews der Exekutivdirektoren und des Präsidenten sowie kurze Textbeiträge im BaFin-Journal, die häufig aktuelle Entwicklungen im Bereich IT(-Sicherheit) und aufsichtliche Anforderungen an die IT kommentieren. Längere Fachbeiträge zum Thema IT wurden in der Vergangenheit in der Publikation BaFin-Perspektiven veröffentlicht, zuletzt in der 88-seitigen Ausgabe 1/2020 zum Thema Cybersicherheit.7 Besonders wichtig für Praktiker in den von der BaFin beaufsichtigten Unternehmen sind die regelmäßigen BaFin-Konferenzen zur IT-Aufsicht. Als neues Veranstaltungsformat hat die BaFin, ebenfalls in Kooperation mit der Deutschen Bundesbank, die Konferenz BaFinTech ins Leben gerufen, die vorwiegend die Digitalisierung der Finanzindustrie und finanztechnologische Innovationen zum Thema hat.

Wesentliche Zusammenfassungen der Tätigkeit von BaFin und Bundesbank im Bereich IT-Aufsicht und IT-Sicherheit finden sich im Jahresbericht der BaFin und dem Geschäftsbericht der Deutschen Bundesbank. Darüber hinaus enthält der ebenfalls jährliche erscheinende Finanzstabilitätsbericht der Deutschen BundesbankFinanzstabilitätsbericht der Deutschen Bundesbank wertvolle Einschätzungen zur IT-Risikolage. In der Berichterstattung durch den Ausschuss für Finanzstabilität (AFS)Ausschuss für Finanzstabilität (AFS) sind ebenfalls Bewertungen der IT-Sicherheit und bei Bedarf auch öffentliche Empfehlungen enthalten. So ist beispielsweise der AFS-Bericht zur FinanzstabilitätAFS-Bericht zur Finanzstabilität an den Bundestag vom Juni 2022 insbesondere wegen der Einschätzung von Cyberrisiken für die Finanzstabilität nach dem Angriff Russlands auf die Ukraine im Februar 2022 durchaus lesenswert, ebenso die Berichte des AFS für die Folgejahre sowie der jährliche Lagebericht des Bundesamtes für Sicherheit in der Informationstechnik (BSI)Bundesamt für Sicherheit in der Informationstechnik (BSI).

1.1.4 Aufbau der BAIT

Die BAITBankaufsichtliche Anforderungen an die IT, Aufbau sind – ebenso wie die MaRisk – eine sogenannte normeninterpretierende Verwaltungsvorschrift, veröffentlicht als aufsichtliches Rundschreiben, d. h., die BaFin bindet sich im Rahmen ihrer Interpretation der einschlägigen KWG-Paragrafen selbst gegenüber den Instituten. Eine vollständige Umsetzung impliziert die Einhaltung der gesetzlichen Anforderungen.8 Abbildung 2 zu den GrundprinzipienBankaufsichtliche Anforderungen an die IT, Grundprinzipien der BAIT fasst den rechtlichen Charakter der BAIT und ihr Zusammenspiel mit den Mindestanforderungen an das Risikomanagement (MaRisk)Mindestanforderungen an das Risikomanagement (MaRisk) zusammen.

Ebenso wie die MaRisk sind die BAIT in einen Hauptteil und Erläuterungen aufgeteilt. Während die MaRisk jedoch in einzelne Module untergliedert sind, bestehen die BAIT aus zwei Teilen und einzelnen Kapiteln. Die kleinste Gliederungsebene sind die Absätze des Hauptteils, die mit einzelnen Textziffern (Tz.) nummeriert sind.

»Teil I. Vorbemerkung« der BAIT besteht in der aktuellen Fassung lediglich aus vier Textziffern, die auf eine Textseite passen, und enthält keine Untergliederung in einzelne Kapitel. Teil II der BAIT mit den eigentlichen Anforderungen ist hingegen viel umfangreicher mit (in der BAIT-­Version 2.0 vom 16.08.2021) insgesamt zwölf einzelnen Kapiteln und mehr als 30 Seiten Länge.

Abb. 2:

Die Grundprinzipien der BAIT (eigene Darstellung in Anlehnung an Gampe (2017))

Abb. 3:

Die »Hierarchie« der BAIT-Kapitel auf der Basis der BAIT-Fassung vom 16.12.2024 (eigene Darstellung in ­Anlehnung an Essler/Gampe 2018)

Während bei der Erstfassung der BAIT und der Ergänzung um das »KRITIS-ModulKRITIS-Modul« noch der Begriff »Modul« für die einzelnen Untergliederungen im BAIT-Teil II gebräuchlich war, wird seit der Neufassung des BAIT-Rundschreibens vom 16.08.2021 nun einheitlich der Begriff »Kapitel« verwendet. Die einzelnen BAIT-Kapitel stehen in einer gewissen Rangordnung zueinander, die sich auch in ihrer Reihenfolge widerspiegelt. Abbildung 3 verdeutlicht diese »Hierarchie« in Form einer Pyramide.

Im Folgenden werden die Neuerungen mit der BAIT-Fassung vom 16.08.2021 gegenüber der Vorversion von 14.09.2018 etwas ausführlicher dargestellt, da sie in den vergangenen Jahren in den Mittelpunkt der Prüfungshandlungen von Aufsicht und Wirtschaftsprüfern rückten und auch im Fokus der letztmaligen Bewertung der BAIT-Konformität für die meisten Institute im Rahmen der Jahresabschlussprüfung für das Jahr 2024 standen.

1.2 Kurzüberblick zu den Neuerungen der BAIT 2.0

1.2.1 BaFin-Veröffentlichungen vom 16.08.2021

Die BaFin hat am 16.08.2021 ein Anschreiben an die Verbände sowie eine Änderungsversion der BAIT veröffentlicht, in der die Änderungen gegenüber der BAIT-Fassung vom 14.09.2018 im Änderungsmodus dargestellt sind.9 Anhand dieser Änderungsversion können die BAIT-Neuerungen schneller nachvollzogen werden.

Der offizielle Titel der bis zum Inkrafttreten von DORA noch gültigen BAIT-FassungBAIT 2.0 ist »Rundschreiben 10/2017 (BA) in der Fassung vom 16.08.2021«, d. h., die Rundschreiben-Nummerierung (Rundschreiben Nr. 10 der BaFin aus dem Jahr 2017) der Erstfassung der BAIT vom 03.11.2017 ist weiterhin gültig, lediglich die bisher gültige Fassung des Rundschreibens vom 14.09.2018 wurde ab dem 16.08.2021 durch die aktuelle Fassung ersetzt.10 Das Anschreiben an die Verbände vom 16.08.2021 verweist für die Hintergründe der BAIT-Novelle zudem auf das Anschreiben zur BAIT-Konsultation vom 26.10.2020 und nennt dabei nochmals die EBA-Leitlinien für das Management von IKT- und Sicherheitsrisiken vom 28.11.2019 sowie die ­Erfahrungen aus der Aufsichtspraxis, die in die BAIT-Überarbeitung eingeflossen sind. Darüber hinaus geht das Anschreiben kurz auf die beiden neuen BAIT-Kapitel »Operative InformationssicherheitOperative Informationssicherheit« (s. Kap. 1.2.5 und Kap. 2.6) sowie »IT-Notfallmanagement« ein (s. Kap. 1.2.7 sowie Kap. 2.11).

Kern des lediglich zwei Seiten umfassenden Anschreibens zur BAIT-Novelle vom 16.08.2021 ist der Hinweis, dass die neuen BAIT ab dem Datum ihrer Veröffentlichung in Kraft treten.11 Wie bereits in den vorherigen BAIT-Novellen waren nach Aussage der Aufsicht Übergangsfristen für die BAIT-Neuerungen nicht notwendig, da es sich lediglich um Konkretisierungen bereits bestehender Anforderungen und nicht um grundlegend neue Anforderungen handelt.12

Im Folgenden erläutern wir kurz die wichtigsten Änderungen im Zuge der BAIT-Novelle vom 16.08.2021 in den jeweiligen BAIT-Kapiteln. Kleinere, z. T. eher redaktionelle Änderungen, wie z. B. in BAIT-Kapitel 1 IT-Strategie, behandeln wir lediglich im Kommentarteil zum jeweiligen BAIT-Kapitel (d. h. in diesem Fall in Kap. 2.2).

1.2.2 Inhaltlicher Geltungskreis im Teil I BAIT

Eine erste kleine Änderung ergibt sich faktisch zum Anwendungskreis der Bankaufsichtlichen Anforderungen an die IT. Inhaltlich sind die entsprechenden Hinweise in der Vorbemerkung in Teil I der BAIT unverändert, durch den Brexit dürfte sich der Anwendungskreis der BAIT faktisch allerdings dennoch nicht unwesentlich erweitert haben. Der Geltungsbereich der BAIT ist in Tz. 1 der BAIT-Vorbemerkungen durch Verweis auf AT 2.1 MaRisk geregelt. Dieser Verweis ist nicht neu, sondern lediglich von Tz. 4 der bisherigen Fassung der BAIT-Vorbemerkung nach vorne gezogen worden. Nach Maßgabe von Tz. 1 der BAIT-Vorbemerkungen waren die BAIT in der Fassung vom 16.08.2021 bis zum Inkrafttreten von DORA entsprechend für diejenigen Institute relevant, die auch die MaRisk erfüllen müssen. Dies betrifft die Institute gemäß Definition in § 1 Abs. 1b KWG sowie § 53b KWG, aber auch die in AT 2.1 Tz. 2 MaRisk genannten Finanzdienstleistungsinstitute und Wertpapierhandelsbanken.13

Dabei wird für FinanzdienstleistungsinstitutFinanzdienstleistungsinstitute und WertpapierhandelsbankWertpapierhandelsbanken in AT 2.1 Tz. 2 MaRisk explizit auf die Proportionalität abgestellt: Demnach sind insbesondere die MaRisk-Module AT 3, AT 5 und AT 9 »insoweit zu beachten, wie dies vor dem Hintergrund der Institutsgröße sowie von Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten zur Einhaltung der gesetzlichen Pflichten aus §§ 25a und 25b KWGKreditwesengesetz (KWG),, §§ 25a und 25b geboten erscheint«. Damit gelten die besonderen Hinweise zur »proportionalen Umsetzung« v. a. für diejenigen MaRisk-Vorgaben (AT 7.2 Technisch-organisatorische Ausstattung, AT 7.3 Notfallmanagement, AT 9 Auslagerung), die die BAIT weiter präzisieren.14

Für weitere regulierte Unternehmen, die nicht bzw. nicht vollständig unter den MaRisk-Anwendungsbereich fallen, hatte die BaFin mit den VAITVersicherungsaufsichtliche Anforderungen an die IT (VAIT), KAITKapitalverwaltungsaufsichtliche Anforderungen an die IT (KAIT) und ZAITZahlungsdiensteaufsichtliche Anforderungen an die IT (ZAIT) analoge Vorgaben entwickelt (s. Kap. 1.1.1). Die mit den VAIT regulierten Versicherungsunternehmen sowie Pensionsfonds und die mit den KAIT regulierten KapitalverwaltungsgesellschaftKapitalverwaltungsgesellschaften fallen nicht unter die MaRisk, müssen jedoch mit den MaGoMindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen (MaGo) (soweit einschlägig) und den KAMaRisk ähnliche Anforderungen in Bezug auf das allgemeine Risikomanagement erfüllen.15 Unter anderem ZahlungsinstitutZahlungsinstitute und E-Geld-InstitutE-Geld-Institute sind nach dem ZahlungsdiensteaufsichtsgesetzZahlungsdiensteaufsichtsgesetz (ZAG) (ZAG) reguliert. Für diese Institutsgruppe gab es bisher keine den MaRisk ähnlichen eigenständigen Vorgaben, sodass hier in der Vergangenheit mit Analogien gearbeitet werden musste. Einen Entwurf von Mindestanforderungen an das Risikomanagement von ZAGMindestanforderungen an das Risikomanagement von ZAG-Instituten-Instituten (ZAG-MaRisk) hatte die BaFin dann allerdings am 27.09.2023 zur Konsultation gestellt.16 Die finale Fassung der ZAG-MaRisk wurde seitens der BaFin am 27.05.2024 als Rundschreiben 07/2024 (BA) veröffentlicht.17 Die Mindestanforderungen traten gemäß BaFin-Anschreiben zur Veröffentlichung mit dem Tag der Veröffentlichung in Kraft; im gleichen Anschreiben informiert die BaFin allerdings darüber, dass sie aufgrund der im Konsultationsverfahren geäußerten Bitten um Übergangsregelungen eine Umsetzung erst zum 01.01.2025 erwartete.18

Mit den ZAIT wurden hingegen analog zu den BAIT bereits vor den ZAG-MaRisk spezifische Vorgaben zur Steuerung und Überwachung des IKT-Risiko- und Sicherheitsmanagements für diese neu von der BaFin regulierte Unternehmensgruppe geschaffen. Grundsätzlich können einzelne Aufsichtsobjekte dabei sowohl unter den Institutsbegriff des KWG als auch unter den Anwendungskreis des ZAG fallen (CRR-Institute). Diese Institute mussten dann sowohl die BAIT als auch die ZAIT einhalten und auch spezifische Anforderungen des ZAG zur Meldung schwerwiegender Betriebs- und SicherheitsvorfälleBetriebs- und Sicherheitsvorfälle, schwerwiegende an die BaFin erfüllen (vgl. Kap. 1.2.3 zu den neuen Vorgaben an die IT-Governance sowie Kap. 2.9 zu den Vorgaben an den IT-Betrieb, wozu auch der Prozess zur Information der Beteiligten über Störungen gehört).

1.2.3 Stärkung der Anforderungen an den Informationsverbund (BAIT-Kapitel II.3.)

Mit den BAIT 2.0 hat der sogenannte InformationsverbundInformationsverbund weiter an Bedeutung gewonnen. Einerseits wurden die Anforderungen an die Festlegung der Bestandteile des Informationsverbundes im BAIT-Kapitel II.3. »Informationsrisikomanagement« erweitert, andererseits knüpfen die neuen Anforderungen im neuen BAIT-Kapitel II.5. »Operative InformationssicherheiInformationssicherheitt« an den festgelegten Informationsverbund an.

Tz. II.3.3. im BAIT-Kapitel II.3. zum Informationsrisikomanagement gibt vor, dass das Institut über einen »aktuellen Überblick über die Bestandteile des festgelegten Informationsverbundes sowie deren Abhängigkeiten und Schnittstellen« verfügen muss. Mit der BAIT-Novelle wurde in den Erläuterungen zu Tz. II.3.3. BAIT klargestellt, dass unter den Informationsverbund nicht nur Informationen, IT-Systeme sowie Netz- und Gebäudeinfrastrukturen, sondern auch Geschäfts- und Unterstützungsprozesse zu fassen sind. Damit wird die Interaktion zwischen dem Informationsverbund und der gemeinhin als Umsetzung der MaRisk- und KWG-Vorgaben zumindest indirekt geforderten ProzesslandkarteProzesslandkarte19 besser als bisher verdeutlicht. Die Prozesslandkarte wird in den MaRisk 7.0 beispielhaft als Möglichkeit zur Erstellung jener Übersicht über alle Aktivitäten und Prozesse genannt, die im Rahmen des NotfallmanagementsNotfallmanagement, aber auch aufgrund anderer Anforderungen benötigt wird.20

Des Weiteren wird in den Erläuterungen zu Tz. II.3.3. BAIT mit den BAIT 2.0 klargestellt, dass die Abhängigkeiten und Schnittstellen auch die »Vernetzung des Informationsverbundes mit Dritten« berücksichtigen müssen. Somit müssen die Institute verstärkt v. a. AuslagerungenAuslagerung, ggf. aber auch den Fremdbezug von IT-Dienstleistungen und sonstigen Fremdbezug bei der Festlegung der Bestandteile des Informationsverbundes berücksichtigen.

Die Neuerungen in Tz. II.3.4. BAIT-Fassung vom 16.08.2021 betreffen die SchutzbedarfsanalyseSchutzbedarfsanalyse. Die Änderungen stellen einerseits klarer als bisher, dass der Ansatzpunkt der Schutzbedarfsanalyse die im Informationsverbund verarbeiteten Informationen sein müssen. Andererseits wird den Eigentümern der Information die Verantwortung für die Schutzbedarfsermittlung zugewiesen. Somit müssen die Institute die Schutzbedarfsanalyse zukünftig potenziell granularer als bisher (auf der Ebene einzelner Informationen und nicht auf der Ebene von Hardware-/Softwareelementen) gestalten. Auf jeden Fall müssen die Verantwortlichkeiten nicht nur für die Prozesse, sondern explizit auch für die vom Institut genutzten und erhobenen Informationen festgelegt werden. Hierbei bestehen klare Schnittstellen zur Umsetzung der DatenschutzgrundverordnungDatenschutzgrundverordnung (z. B. zu den dort geforderten Bearbeiterverzeichnissen).

Die in die BAIT-Fassung vom 16.08.2021 neu eingefügte Tz. II.3.5. ist im Zusammenhang mit Tz. II.3.4. zu lesen. Mit den BAIT 2.0 wird in Tz. II.3.5. BAIT festlegt, dass das InformationsrisikomanagementInformationsrisikomanagement die Schutzbedarfsklassifizierungen sowie die dazugehörigen Dokumentationen überprüfen muss. Somit muss dokumentiert werden, dass die 2nd line of defence die Schutzbedarfseinwertungen der gemäß Tz. II.3.4. BAIT zuständigen 1st line of defence überprüft. Bei Kundendaten sind somit ganz klar die Markteinheiten primär verantwortlich für die Informationen und die Schutzbedarfseinwertung. Gegebenenfalls kann auch der (zentrale) IT-Betrieb als verantwortlicher Fachbereich für die Informationsverarbeitung fungieren und die »Eigentümer der Information« bei der Schutzbedarfseinwertung unterstützen. Bei Risikodaten kann allerdings der Fall auftreten, dass eine 2nd line of defence »Eigentümer der Information« gemäß Tz. II.3.4. BAIT ist. In diesem Fall sollte die Schutzbedarfseinwertung innerhalb der 2nd line of control unabhängig überprüft werden, um Tz. II.3.5. BAIT Genüge zu tun. Dieser Fall könnte z. B. auftreten, wenn der Bericht des Informationssicherheitsbeauftragten (ISB) und die darin enthaltenen Informationen sowie die IT-SystemIT-Systeme im IT-Risikomanagement der SchutzbedarfsanalyseSchutzbedarfsanalyse unterzogen werden.

Ebenfalls neu eingeführt wurde mit den BAIT 2.0 die Anforderung in Tz. II.3.10. BAIT, dass das Institut sich laufend über die Bedrohungen seines InformationsverbundesInformationsverbund informieren muss, ihre Relevanz prüfen und deren Auswirkungen bewerten muss und schlussendlich im Bedarfsfall angemessene technische und organisatorische Maßnahmen ergreifen muss. Die Anforderungen sind im BAIT-Kapitel zum Informationsrisikomanagement angesiedelt. Daraus lässt sich grundsätzlich folgern, dass die Verantwortung für diese Risikosteuerungsprozesse inkl. des Anstoßens konkreter Risikosteuerungsmaßnahmen in den Aufgabenbereich der 2nd line of defence fällt. Allerdings ist hierbei auch die Arbeit der 1st line of defence insbesondere bei der Umsetzung konkreter Risikosteuerungsmaßnahmen unabdingbar. Generell ist eine enge Zusammenarbeit zwischen 1st und 2nd line of defence in allen Teilanforderungen der neuen Tz. II.3.10. BAIT sinnvoll. Dies gilt auch aufgrund dessen, dass im BAIT-Kapitel II.5. zur operativen Informationssicherheit in Tz. II.5.3. ganz ähnliche Anforderungen eingeführt wurden. In der Governance sollte zudem klar festgelegt sein, welche Entscheidungsträger knappe (IT-)Budgets einzelnen notwendigen technisch-organisatorischen Maßnahmen zuordnen. Über den generellen Strategie- und Planungsprozess hinaus empfiehlt sich hier ein IT-Risikosteuerungsgremium, das einzelne Risikosteuerungsmaßnahmen priorisiert und somit strukturiert im bankweiten Planungsprozess auch unterjährig im Bedarfsfall schnell durchsetzen kann.

Tz. II.5.3. BAIT des neuen BAIT-Kapitels »Operative IT-SicherheitOperative IT-Sicherheit« enthält die Anforderung, dass Gefährdungen des Informationsverbundes frühzeitig zu identifizieren sind. Damit wird implizit die Reichweite des Frühwarnsystems analog zur sehr umfassenden Festlegung des Informationsverbundes auch auf Vernetzungen außerhalb des Instituts ausgeweitet. Die Institute müssen dann bei der Umsetzung dieser Anforderungen konzeptionell festlegen, wie die regelmäßige Auswertung der in Tz. II.5.3. BAIT genannten Informationen zu den bereits gemäß MaRisk geforderten Risikosteuerungsprozessen sowie zum Schutzbedarfsanalyseprozess passt. Hinsichtlich der Governance ist dabei v. a. zu klären, welche Aufgaben im Frühwarnprozess von der sogenannten 1st line of defence übernommen werden können und welche Aufgaben in den vom IT-Betrieb unabhängigen Einheiten der 2nd line of defence angesiedelt werden müssen. Möglicherweise können entscheidende Informationen zu Gefährdungen von ausgelagerten Teilen des Informationsverbundes das Institut über den Prozess zum Management der Auslagerungen erreichen (und müssten dann von den Auslagerungsbeauftragten an das IT-Sicherheitsmanagement weitergeleitet werden). Die direkte Verantwortung für ausgelagerte integrale Bestandteile des IT-Betriebs soll dabei direkt in einer im Institut als »retained organisation« bestehenden »First-line-IT-Einheit« angesiedelt sein.

1.2.4 Anpassungen im BAIT-Kapitel II.4. zur Informationssicherheitsleitlinie und zum Schulungsprogramm

Auch im BAIT-Kapitel II.4. kam es im Rahmen der BAIT-Novelle vom 16.08.2021 zu einigen Erweiterungen der Anforderungen. Zunächst einmal sind hier Verschärfungen in Tz. II.4.2. BAIT zu nennen, wonach die Informationssicherheitsleitlinie bei wesentlichen Veränderungen der Rahmenbedingungen zeitnah zu prüfen ist. Konkretere und weitaus umfangreichere Vorgaben zur Überprüfung des IKT-RisikomanagementrahmensIKT-Risikomanagement sind auch als Teil der DORA-Vorgaben enthalten (s. Kap. 3.2.3). In der BAIT-Novelle vom August 2021 wurden zudem durch Anpassung der Erläuterungen zu Tz. II.4.2. BAIT die Anforderungen an die Inhalte der Informationssicherheitsleitlinie nochmals erweitert sowie die Vorgaben an die InformationssicherheitsrichtlinienInformationssicherheitsrichtlinien in Tz. II.4.3. BAIT verstärkt.

Eine weitere wichtige Ergänzung im BAIT-Kapitel II.4. betrifft das Sensibilisierungs- und Schulungsprogramm für die InformationssicherheitSensibilisierungs- und Schulungsprogramm für die Informationssicherheit. Umfassende Vorgaben hierzu wurden mit einer neuen Tz. II.4.9. BAIT eingefügt, inklusive der Vorgabe einer Überprüfung des Erfolgs der Schulungsmaßnahmen. DORA setzt diesen Fokus auf Schulungsmaßnahmen fort und fordert von den Finanzunternehmen explizit die Aufnahme der Bedingungen in die Verträge mit ihren IKT-DrittdienstleisternIKT-Drittdienstleister, nach denen diese an den Schulungsprogrammen des Finanzunternehmens teilnehmen dürfen.21

Weitere Anpassungen im BAIT-Kapitel II.4. betreffen die Analyse von Informationssicherheitsvorfällen sowie die Einführung einer Richtlinie über das Testen und Überprüfen der Maßnahmen zum Schutz der Informationssicherheit. Während das BAIT-Kapitel II.4. die ­Governance-Vorgaben enthält, regelt das mit der BAIT-Novelle vom August 2021 neu eingefügte Kapitel II.5., wie die genannten Vorgaben zu Informationssicherheitsvorfällen und Informationssicherheitsmaßnahmen operativ umgesetzt werden sollen.

1.2.5 Neues BAIT-Kapitel II.5. Operative IT-Sicherheit

Mit der BAIT-Novelle vom 16.08.2021 wurden die beiden Kapitel »Operative IT-SicherheitOperative IT-Sicherheit« und »IT-NotfallmanagementIT-Notfallmanagement« hinzugefügt und darin Anforderungen aufgenommen, die bisher nicht explizit Bestandteil der BAIT waren. Insbesondere die BAIT-Kapitel II.4. und II.5. sind diesbezüglich im Zusammenspiel zu sehen und enthalten u. a. Anforderungen an die Überwachung der Informationssicherheit im Fachbereich IT sowie an die Kontrolle der Wirksamkeit von Informationssicherheitsmaßnahmen, die diesen Fachbereich explizit betreffen.

Im Anschreiben zum Konsultationsentwurf vom Oktober 2020 wurde darauf hingewiesen, dass die o. a. Kapitel insbesondere der Anpassung der BAIT an die EBA-Leitlinien für das ­Management von IKT- und SicherheitsrisikenEBA-Leitlinien für das Management von IKT- und Sicherheitsrisiken (EBA/GL/2019/04)22 dienen, welche die EBA am 28. ­November 2019 veröffentlichte (s. auch Kap. 1.2.1).

Das BAIT-Kapitel II.5. enthält sechs Textziffern. Analog zum Aufbau der übrigen BAIT-Kapitel verweist die erste Textziffer auf das Ziel des Kapitels und die entsprechenden Vorgaben in AT 7.2 MaRisk (hier mit Fokus auf das grundsätzliche Abstellen auf gängige Standards zur Informationssicherheit, die Ableitung von Schutzbedarfsmaßnahmen für den IT-BetriebIT-Betrieb, sowie Maßnahmen zur Risikobehandlung und -minderung).

In Tz. II.5.2. werden konkrete operative Sicherheitsmaßnahmen genannt, wie beispielsweise das SchwachstellenmanagementSchwachstellenmanagement, die Datenverschlüsselung und der Perimeterschutz, die von den unter die BAIT fallenden Instituten seit Inkrafttreten der BAIT-Novelle vom August 2021 umzusetzen waren. Darüber hinaus fordert Tz. II.5.3. einen Prozess zur frühzeitigen Identifizierung von Gefährdungen des Informationsverbundes auf der Basis einer strukturierten Erfassung und regelbasierten Auswertung sicherheitsrelevanter Informationen, wie z. B. Log-Daten.

Tz. II.5.4. fordert die Definition und Umsetzung von Regelungen zur Identifizierung sicherheitsrelevanter Ereignisse. Tz. II.5.5. stellt die daran anschließende Anforderung, dass sicherheitsrelevante Ereignisse zeitnah zu analysieren sind und ein Incident Management Response SystemIncident Management Response System zur angemessenen Reaktion auf Informationssicherheitsvorfälle vorliegen muss. Abschließend gibt Tz. II.5.6. vor, dass die Sicherheit der IT-Systeme regelmäßig und anlassbezogen zu überprüfen ist. Hier nennen die Erläuterungen zu BAIT II.5.6. beispielhaft Schwachstellenscans, PenetrationstestsPenetrationstest und andere Überprüfungsarten. Der Umfang der hier notwendigen Maßnahmen ergibt sich aus dem Schutzbedarf und der potenziellen »Angriffsfläche« der IT-Systeme (sowie aus den allgemeinen BAIT-Vorgaben zur Proportionalität).

In der Praxis hat die Einführung dieser neuen BAIT-Vorgaben dazu geführt, dass zunehmend externe Dienstleister auch für kleinere Unternehmen ein Security Information and Event Management System (SIEMSecurity Information and Event Management System (SIEM)) oder gar ein Security Operations Center (SOC)Security Operations Center (SOC)implementieren und regelmäßig 24/7 betreiben müssen. Einerseits trägt dies zur Minderung von IT-Risiken für die Finanzunternehmen bei, andererseits entstehen hier neue Abhängigkeiten von IT-Dienstleistern, die wiederum über die vermehrten Anforderungen an das Auslagerungsmanagement abgedeckt werden müssen. Der »Crowdstrike-IncidentCrowdstrike-IncidentCrowdstrike«, bei dem im Juli 2024 ein fehlerhaftes Update der SIEM-Software Falcon Sensor massive Störungen von Microsoft-Diensten für Unternehmen verursachte, verdeutlichte schlagartig diese Abhängigkeit: Gemäß Angaben des BSI waren am 19.07.2024 weltweit potenziell 8,5 Mio. Systeme von der Störung des Microsoft-­Azure-Dienstes betroffen.23

1.2.6 Anpassungen in den BAIT-Kapiteln II.6., II.7. und II.8.

Im BAIT-Kapitel II.6. wurden die Anforderungen an das Identitäts- und RechtemanagementIdentitäts- und Rechtemanagement auf der Basis entsprechender EBA-Vorgaben sowie der Erfahrungen der Aufsicht in der Prüfungspraxis präzisiert. Eine wesentliche Neuerung sind die besonderen Überwachungsmechanismen für privilegierte Nutzer, z. B. Systemadministratoren.

Im BAIT-Kapitel II.7. zu IT-ProjektenIT-Projekt und zur AnwendungsentwicklungAnwendungsentwicklung wurden kleinere Präzisierungen der Anforderungen an das IT-Projektmanagement vorgenommen. Darüber hinaus wurden zahlreiche Präzisierungen der Anforderungen an das Testen von Anwendungen in die BAIT-Novelle vom August 2021 aufgenommen (u. a. die Nennung von Penetrationstests in den Erläuterungen zu Tz. II.7.11. BAIT).

Im BAIT-Kapitel II.8. zum IT-Betrieb wurden ebenfalls einzelne Präzisierungen vorgenommen. Inhaltlich wurde z. B. in Tz. II.8.3. BAIT aufgenommen, dass bei der Steuerung des IT-Systemportfolios sogenannte Legacy-SystemLegacy-Systeme24 besonders gesteuert werden müssen, wenn diese Systeme vom Hersteller nicht mehr unterstützt werden. In Tz. II.8.5. BAIT wurde die zusätzliche Forderung ergänzt, dass explizit auch für zeitkritische Änderungen von IT-Systemen geeignete Prozesse einzurichten sind. In Tz. II.8.6. BAIT wurden die Vorgaben zum Störungsmanagement ergänzt (z. B. zur Information der Aufsichtsbehörden). Eine wesentliche Neuerung enthält die neue Tz. II.8.8. BAIT. Demnach ist der aktuelle Leistungs- und Kapazitätsbedarf der IT-Systeme zu erheben und zu planen, um auf potenziell kommende Engpässe zeitnah reagieren zu können.

1.2.7 Neues BAIT-Kapitel II.10. IT-Notfallmanagement

Anforderungen an die Geschäftskontinuitätsplanung (Business ContinuityBusiness Continuity Management (BCM) Management, BCM) sind bereits seit der Erstfassung des MaRisk-Rundschreibens im AT 7.3 der MaRisk enthalten.25 Parallel zur Einführung eines separaten Kapitels IT-Notfallmanagement in die BAIT wurden die MaRisk-Anforderungen im AT 7.3 Notfallmanagement26 fundamental überarbeitet. Eine Vorkonsultation zur MaRisk- und BAIT-Novelle vom 16.08.2021 zwischen BaFin und Bankverbänden hat AT 7.3 MaRisk gemeinsam mit dem BAIT-Entwurf aufgrund der engen Verbindung der jeweiligen Neuerungen zur Konsultation gestellt. Ebenso wie die MaRisk sehen auch die BAIT vor, dass lediglich für zeitkritische Aktivitäten und Prozesse Vorsorge zu treffen ist. Tz. II.10.1. BAIT wiederholt dabei lediglich die MaRisk-Anforderungen in AT 7.3. Demnach sind für zeitkritische Aktivitäten und Prozesse IT-Notfallkonzepte zu erstellen. Diese Notfallkonzepte müssen Geschäftsfortführungs- sowie Wiederherstellungspläne umfassen.

Generell hat der Stellenwert des NotfallmanagementsNotfallmanagement in der Praxis stark zugenommen. Zum einem hat v. a. die COVID-19-Pandemie gezeigt, dass Pandemien auch Notfälle beinhalten können wie die Nichteinsetzbarkeit von Bankbeschäftigten auf den dafür vorgesehenen Arbeitsplätzen. Darüber hinaus haben die jüngsten Flut- und Flächenbrandkatastrophen weltweit gezeigt, dass der Ausfall physischer Infrastruktur auch außerhalb von kriegerischen Auseinandersetzungen zunehmend häufiger ein größeres Ausmaß annehmen kann. Zuletzt haben prominente Fälle von erfolgreichen Ransomware-Attacken auf kritische Infrastrukturen gezeigt, dass hier eine Anpassung der Notfallpläne und des generellen Notfallmanagementkonzepts dringend erforderlich ist (u. a. bzgl. Datensicherung und Ersatzarbeitsinfrastruktur, aber auch hinsichtlich Kommunikationsplänen). Auch der durch den Dienstleister Crowdstrike am 19.07.2024 verursachte weltweit auftretende IT-Ausfall bei vielen Unternehmen zeigt die Notwendigkeit einer guten Notfallplanung.

Mit der Veröffentlichung des überarbeiteten BSI-StandardsBSI-Standard zum BCM (200-4) im Jahr 2023 sowie der Vorbereitung auf die Umsetzung der einschlägigen DORA-Anforderungen an das BCM bis Januar 2025 wird deutlich, dass das Thema Notfallmanagement auch nach der Erstumsetzung der Neuerungen in den MaRisk und BAIT-Novellen vom 16.08.2021 eine zentrale Bedeutung für den Finanzsektor hat.

1.2.8 Schnittstellen zu den MaRisk-Novellen

Parallel zur letzten BAIT-Anpassung im August 2021 wurden die MaRisk in Form der 6. MaRisk-Novelle angepasst. Kerninhalte der MaRisk-Änderungen im MaRisk-Rundschreiben 10/2021 vom 16.08.2021 waren Erweiterungen der Anforderungen an das Kreditrisiko (u. a. Einführung von Vorgaben zur Ermittlung der NPL-Quote sowie Vorgaben zur Wertermittlung von Immobiliensicherheiten und zum Thema Forbearance), die Einführung der normativen und ökonomischen Perspektive in die RisikotragfähigkeitRisikotragfähigkeit (RTF) sowie v. a. starke Erweiterungen der Anforderungen an das AuslagerungsmanagementAuslagerung durch Anpassung des AT 9 MaRisk sowie der Anforderungen an die NotfallplanungNotfallplanungdurch Anpassungen von AT 7.3 MaRisk.27 Darüber hinaus gab es kleinere Anpassungen mit Bezug zur BAIT-Novelle 2021, insbesondere die Einführung der Begrifflichkeit InformationsverbundInformationsverbundim Hauptteil und in den Erläuterungen zu AT 7.2 Tz. 2 MaRisk.

Eine 7. MaRisk-Novelle wurde am 29.06.2023 als Rundschreiben 05/2023 (BA) veröffentlicht. Darin enthalten waren zahlreiche Änderungen zum Thema ESG-ESG-RisikenRisiken und zur Kreditvergabe, zur Geschäftsmodellanalyse, zu Modellrisiken, Immobilienrisiken und weiteren Themen.28 In AT 7.2 MaRisk (Technisch-organisatorische Ausstattung) wurden mit dem Rundschreiben 05/2023 keine Änderungen vorgenommen, ebenso wenig in AT 7.3 MaRisk zur Notfallplanung. In AT 9 MaRisk gab es lediglich minimale Änderungen, in AT 4.2 zu den Strategien betrafen die Änderungen lediglich die Einbeziehung von ESG-Risiken. Somit ergaben sich mit der 7. MaRisk-Novelle keine relevanten inhaltlichen Änderungen der MaRisk-Vorgaben, welche die BAIT konkretisieren.

Gleiches gilt für die 8. MaRisk-Novelle, die am 29.05.2024 als Rundschreiben 06/2024 veröffentlicht wurde. Diese MaRisk-Fassung stellt gegenwärtig (Stand 31.08.2025) den aktuellen Interpretationsstand des KWG in Bezug auf die Anforderungen an das Risikomanagement der Institute dar. Weitere MaRisk-Anpassungen sind zwar bereits in Vorbereitung, da v. a. im Zuge der Umsetzung der neuen CRDCapital Requirements Regulation, Eigenkapitalverordnung (CRD), die am 19.06.2024 im Amtsblatt der Europäischen Union veröffentlicht wurde, Anpassungen notwendig sind.29 Seitens der BaFin wurde allerdings angekündigt, die MaRisk vor weiteren Ergänzungen einem gründlichen Review zu unterziehen.30 Daher ist mit einer neuen MaRisk-Version erst im Jahr 2026 zu rechnen. Bis dahin sollen die MaRisk hinsichtlich einer Vereinfachung des Regelwerks geprüft werden. Mit einer ersten Konsultationsfassung hierzu wird erst gegen Ende des Jahres 2025 gerechnet.

Die BAIT sind als bankaufsichtliche Verwaltungsvorschrift die IT-spezifische Konkretisierung der einschlägigen allgemeinen Anforderungen in den MaRisk, auf denen sie folgerichtig aufbaut. Die Interaktion zwischen BAIT und MaRisk wird in Kap. 2.1 näher dargestellt, und zwar bei der Erläuterung der Vorbemerkungen der BAIT, die auf die MaRisk hinsichtlich des Anwendungskreises und der Proportionalität der Regulierung und der Aufsicht verweisen. Sowohl in den MaRisk als auch in den BAIT erfolgt die Umsetzung des ProportionalitätsgedankenProportionalitätsgedankens über Öffnungsklauseln und stark auslegbare Formulierungen wie z. B. die Verwendung des Wortes »angemessen« zur Relativierung der jeweiligen Regelungsschärfe. Hingegen werden bezüglich der Proportionalität in EU-Verordnungen wie der CRR, aber auch der DORA-Verordnung enge Grenzen gesetzt.31 Insofern besteht durch den Wegfall der BAIT, KAIT, VAIT und ZAIT nun die Gefahr, dass die Proportionalitätsorientierung der IT-Aufsicht in Deutschland abnehmen wird.