DORA ersetzt BAIT: Das musst Du jetzt wissen – Der große Überblick für 2025

Die BAIT sind Geschichte – zumindest für den Großteil der Finanzbranche. Seit dem 17. Januar 2025 ist die EU-Verordnung DORA (Digital Operational Resilience Act) unmittelbar anzuwenden. Die Bankaufsichtlichen Anforderungen an die IT (BAIT) wurden von der BaFin für Institute, die unter DORA fallen, vollständig aufgehoben.

Doch was bedeutet das für Dich und Dein Unternehmen? Welche bisherigen BAIT-Regelungen bleiben relevant, weil sie mit DORA deckungsgleich sind? Und worauf musst Du Dich mit DORA neu einstellen?

Hier bekommst Du den vollständigen Überblick.

Was ist DORA?

DORA ist eine EU-Verordnung, die darauf abzielt, die digitale operationale Resilienz im gesamten Finanzsektor der EU zu stärken. Sie gilt unmittelbar und verbindlich für eine Vielzahl von Unternehmen, darunter:

  • Kreditinstitute

  • Wertpapierfirmen

  • Zahlungsinstitute

  • Kapitalverwaltungsgesellschaften

  • Krypto-Dienstleister

  • Versicherungen

DORA ist also der neue Rechtsrahmen, wenn es um Informationssicherheit, IKT-Risikomanagement, Auslagerungen und IT-Notfallmanagement geht.


Was bedeutet das für die BAIT?

Die BAIT sind für Institute, die unter DORA fallen, nicht mehr anwendbar. Lediglich Leasing- und Factoringgesellschaften, die nicht direkt von DORA erfasst werden, müssen die BAIT weiterhin anwenden – aber auch nur noch bis Ende 2026. Dann treten auch für sie DORA oder darauf abgestimmte Anforderungen in Kraft.

Das heißt für Dich konkret:

  • DORA ersetzt BAIT vollständig, wenn Du ein DORA-pflichtiges Institut bist.

  • BAIT bleibt nur übergangsweise relevant – und nur für Institute außerhalb des DORA-Anwendungsbereichs.


Welche Inhalte der BAIT findest Du auch in DORA wieder?

Obwohl DORA ein eigenständiger Rechtsrahmen ist, sind viele Anforderungen inhaltlich deckungsgleich oder sehr ähnlich zu den BAIT. Hier eine Gegenüberstellung:

BAIT-Thema DORA-Anforderung (Artikel)
IT-Governance Artikel 5 – Strategische Steuerung durch die Geschäftsleitung
Informationsrisikomanagement Artikel 6 – IKT-Risikomanagement
Informationssicherheitsmanagement Artikel 8 – Schutzmaßnahmen und Sicherheitspolitik
Benutzerberechtigungen Artikel 6 – Zugriffskontrollen
IT-Betrieb und Infrastruktur Artikel 11 – IT-Systemstabilität und Überwachung
Auslagerungen (inkl. Cloud) Artikel 28 ff. – Drittparteienrisikomanagement
IT-Notfallmanagement Artikel 10 – Business Continuity und Response-Pläne
Operative Sicherheit / Tests Artikel 21 – Resilienz-Tests & Penetrationstests
Schnittstelle zu Zahlungsdienstnutzern Artikel 16 – Spezifische Anforderungen an Zahlungsinstitute

Kurz gesagt: DORA ist umfassender, strikter – aber viele Themen kennst Du bereits aus den BAIT.


Was ist neu mit DORA?

Trotz vieler Überschneidungen bringt DORA neue Pflichten mit sich, die Du unbedingt kennen solltest:

1. Meldepflichten bei IKT-Vorfällen

DORA verlangt, dass bedeutende IKT-Vorfälle innerhalb von 4 Stunden an die zuständige Behörde gemeldet werden – also keine freiwillige Selbstanzeige mehr, sondern eine verpflichtende Meldung.

Du musst also:

  • Prozesse zur Erkennung, Bewertung und Kategorisierung von IKT-Vorfällen etablieren.

  • Ein Meldesystem aufbauen, das den DORA-Zeitvorgaben gerecht wird.


2. Regelmäßige Resilienztests

Neben klassischen Penetrationstests verlangt DORA regelmäßige Tests zur digitalen Resilienz. Dazu gehören:

  • Threat-Led Penetration Testing (TLPT) für kritische Institute

  • Szenarien-Übungen und Red Teaming

  • Technische, organisatorische und prozessuale Tests Deiner Resilienzmaßnahmen

Hier reicht es also nicht mehr, einmal im Jahr ein System zu prüfen – Testpläne müssen systematisch und regelmäßig durchgeführt werden.


3. Drittparteienmanagement wird Pflicht

DORA nimmt Dich beim IKT-Drittparteienrisikomanagement deutlich stärker in die Pflicht:

  • Du musst alle IKT-Dienstleister registrieren, bewerten und überwachen.

  • IKT-Risikobewertungen sind für jeden Drittanbieter zu dokumentieren.

  • Bei kritischen Dienstleistungen gelten erhöhte Anforderungen, inklusive Exit-Strategien und Vertragsstandards.

Das betrifft besonders:

  • Cloud-Anbieter

  • Infrastruktur-Dienstleister

  • Softwareanbieter (SaaS, PaaS, IaaS)


4. DORA-Register und Oversight Framework

Ab 2025 müssen Institute ihre kritischen IKT-Dienstleister in einem EU-weiten Register führen. Für sehr große Dienstleister wird zudem eine direkte EU-Aufsicht eingeführt.


Welche BAIT-Richtlinien kannst Du weiterhin nutzen?

Auch wenn DORA jetzt gilt, kannst Du bestehende Dokumentationen und Prozesse aus der BAIT-Zeit weiterhin nutzen – wenn sie DORA-konform sind.

Hier ein paar Tipps:

  • Richtlinien für ISM/IRM kannst Du meist übernehmen, musst sie aber auf DORA-Terminologie und -Artikel referenzieren.

  • Notfallpläne aus AT7.3 MaRisk + BAIT können als Grundlage dienen – aber Resilienz-Tests müssen ergänzt werden.

  • Protokollierungen, Logging und Monitoring musst Du ggf. erweitern, um den DORA-Anforderungen zu Echtzeit-Erkennung und Analyse gerecht zu werden.

  • Verantwortlichkeiten (Accountability) solltest Du überarbeiten: DORA verlangt klare Zuständigkeiten, Eskalationsstufen und Kontrollpflichten.


Praxis-Tipp: So bereitest Du Dich vor

  1. Gap-Analyse machen: Welche BAIT-Regelungen hast Du bereits umgesetzt – und welche DORA-Vorgaben fehlen noch?

  2. Richtlinien überarbeiten: Passe vorhandene Policies an DORA-Strukturen an, insbesondere hinsichtlich Meldepflichten, Tests und Drittparteien.

  3. Verantwortlichkeiten klären: Erstelle ein DORA-Rollenmodell mit klarer Zuweisung – Geschäftsführung, ISB, IKT-Risikomanagement, Fachbereiche.

  4. Mitarbeiter schulen: Sensibilisiere Teams für neue Meldewege, Testszenarien und Bedrohungslagen – am besten durch ein E-Learning.

  5. Verträge prüfen: Geh alle IKT-Dienstleistungsverträge durch – erfüllen sie DORA-Vorgaben wie Exit-Klauseln, Auditrechte, Leistungsdefinitionen?


Fazit: DORA ist mehr als nur „neue BAIT“

DORA geht deutlich über die BAIT hinaus – insbesondere durch den europaweiten Rechtsrahmen, die verpflichtenden Meldungen, die Testverfahren und das Drittparteien-Register. Gleichzeitig sind viele der bisherigen BAIT-Strukturen eine solide Grundlage, auf der Du aufbauen kannst.

Wenn Du die Übergangszeit bis zur vollständigen DORA-Konformität jetzt nutzt, sicherst Du Deinem Unternehmen nicht nur Rechtssicherheit, sondern auch eine nachhaltig robuste IT- und Sicherheitsarchitektur.


Noch Fragen oder brauchst Du Hilfe bei der DORA-Umsetzung?
S+P unterstützt Dich gern mit:

Meld Dich einfach – S+P hilft Dir dabei, DORA nicht nur zu erfüllen, sondern optimal umzusetzen. 💡


Kontakt

ISO9001
AZAV
ecovadis

Newsletter

S&P Unternehmerforum GmbH 755 Bewertungen auf ProvenExpert.com