Key Facts

• BAIT (2017–2025): nationale IT-Regeln der BaFin für Banken
• DORA (seit 2025): EU-weit einheitliche Regeln für digitale Resilienz
• FinmadiG (2024): bindet neue Institute in DORA ein
• Übergangsfrist: bis 1. Januar 2027 gelten BAIT teils weiter

---

Die Bankaufsichtlichen Anforderungen an die IT (BAIT) sind Vorgaben der BaFin, die festlegen, wie Banken ihre IT-Systeme und IT-Prozesse sicher gestalten müssen.

Die BaFin hat die BAIT erstmals am 3. November 2017 im Rundschreiben 10/2017 (BA) veröffentlicht. Damit erhielten Banken klare Leitlinien, wie sie Informationssicherheit, IT-Organisation und Auslagerungen in der IT handhaben sollen.

Im Januar 2025 hat die BaFin die meisten BAIT-Regelungen aufgehoben, weil nun die europäische Verordnung (EU) 2022/2554 – DORA („Digital Operational Resilience Act“) – gilt. DORA vereinheitlicht europaweit die Vorschriften zur digitalen Widerstandsfähigkeit von Finanzunternehmen.

Die BAIT gelten nur noch übergangsweise für Institute, die erst durch das neue Finanzmarktdigitalisierungsgesetz (FinmadiG) vom 27. Dezember 2024 unter die DORA-Regulierung fallen.

Nach § 65a Abs. 3 KWG läuft diese Übergangsfrist bis zum 1. Januar 2027.

§ 65a Abs. 3 KWG (auszugsweise):

Bestimmte Institute unterliegen bis zum 1. Januar 2027 weiterhin den bisherigen nationalen Anforderungen, bevor die EU-Verordnung (DORA) vollständig anzuwenden ist.