Was bedeutet BAIT – und wie du dein Institut fit für DORA machst

Die Abkürzung BAIT ist in der Finanzwelt längst etabliert. Sie steht für die „Bankaufsichtlichen Anforderungen an die IT“ und bildet den deutschen Rahmen für ein effektives IT-Management in Banken, Finanzdienstleistern und Wertpapierinstituten. Doch mit der neuen EU-Verordnung DORA (Digital Operational Resilience Act) beginnt ein neues Kapitel – eines, das du nicht verpassen solltest.

In diesem Artikel zeige ich dir, was BAIT bedeutet, wie sich die Anforderungen unter DORA weiterentwickeln und worauf du jetzt achten solltest, um compliant und zukunftsfähig zu bleiben.

DORA ersetzt BAIT

BAIT – das Fundament der IT-Aufsicht in Deutschland

Die BAIT basieren auf § 25a Abs. 1 und § 25b KWG und dienen der technisch-organisatorischen Steuerung von IT-Ressourcen. Seit ihrer Einführung geben sie klare Vorgaben für:

  • IT-Strategie und Governance

  • Informationssicherheitsmanagement (ISMS)

  • IT-Betrieb und Projektmanagement

  • Benutzerrechte- und Berechtigungsmanagement

  • Auslagerungen an IT-Dienstleister

Mit anderen Worten: Die BAIT definieren, wie du deine IT sicher und kontrolliert betreiben sollst, damit dein Institut stabil, gesetzeskonform und krisenresistent bleibt.

Warum DORA jetzt alles verändert

Mit DORA wird dieses System weiterentwickelt – und zwar auf EU-Ebene. DORA ist seit Januar 2023 in Kraft und muss seit dem 17. Januar 2025 verpflichtend angewendet werden. Die Verordnung zielt auf nichts Geringeres als die digitale operationelle Resilienz des gesamten Finanzsektors ab.

Und genau hier kommst du ins Spiel: Denn DORA betrifft nicht nur Banken, sondern auch Wertpapierfirmen, Kapitalverwaltungsgesellschaften, Zahlungs- und E-Geld-Institute, Krypto-Player und sogar IT-Dienstleister mit kritischer Funktion.

👉 Mehr zu den aktuellen Entwicklungen findest du in unserem Artikel zu DORA Compliance – Neueste Entwicklungen.

BAIT vs. DORA – Wo liegt der Unterschied?

Damit du den Überblick behältst, habe ich dir die wichtigsten Unterschiede zwischen BAIT und DORA in einer klaren Tabelle zusammengefasst:

Bisherige Regelung: BAIT Neue Regelung: DORA
Verwaltungsvorschrift der BaFin auf Basis von § 25a KWG EU-Verordnung, direkt anwendbar in allen Mitgliedsstaaten
Gilt nur für Institute mit Sitz in Deutschland Gilt für über 20 Finanzmarkttypen EU-weit, inkl. kritischer IKT-Dienstleister
Fokus auf technische Organisation der IT Fokus auf digitale Resilienz: IT, Cyber, Outsourcing, Krisenreaktion, Tests
Anforderungen an Auslagerung gemäß § 25b KWG Spezielle Vorgaben für IKT-Drittanbieter, z. B. Konzernregister, Risikoanalyse
Kein zentrales Meldewesen für IT-Vorfälle Pflicht zur Meldung schwerwiegender IKT-Vorfälle an nationale Aufsicht
Umsetzung im Rahmen von Prüfungen nach KWG/MaRisk DORA ist prüfungs- und sanktionsfähig durch ESAs, neue Aufsichtsstruktur

Das bedeutet DORA konkret für dich

Wenn du mit den BAIT vertraut bist, hast du bereits ein solides Fundament. DORA geht jedoch deutlich weiter. Es bringt fünf zentrale Pflichtenblöcke, die du Schritt für Schritt in dein Institut integrieren musst:

1. IKT-Risikomanagement

Du brauchst ein umfassendes IKT-Risikomanagement-System, das folgende Punkte abdeckt:

  • Klassifikation und Bewertung von Risiken

  • Kritikalitätsanalyse der IT-Systeme

  • Maßnahmenplanung für Resilienz und Reaktion

  • Dokumentation für Aufsicht und interne Prüfungen

👉 Die Anforderungen an das ISMS aus BAIT reichen allein nicht mehr aus.

2. Meldung schwerwiegender IKT-Vorfälle

DORA verpflichtet dich, schwerwiegende IKT-Vorfälle innerhalb von 4 Stunden an die Aufsicht zu melden. Dies betrifft z. B.:

  • Systemausfälle

  • Cyberangriffe

  • Datenschutzverletzungen

  • Betriebsunterbrechungen

Dabei musst du ein strukturiertes Verfahren zur Erkennung, Analyse, Bewertung und Meldung entwickeln.

3. Tests der digitalen Resilienz

Du musst deine IKT-Systeme regelmäßig auf Belastbarkeit testen – mit:

  • Penetrationstests

  • Red-Team-Tests

  • Business-Continuity-Simulationen

Diese Tests sind risikoorientiert auszuwählen – bei kritischen Systemen auch unter Einbindung von externen Spezialisten.

4. IKT-Drittanbieter und Auslagerung

Anders als BAIT geht DORA bei Auslagerungen noch weiter:

  • Einführung eines IKT-Drittanbieterregisters

  • Risikoanalyse vor Vertragsabschluss

  • Vertragsanforderungen zu Exit-Strategien, Zugriffen, Unterauftragnehmern

  • Konzernweite Auslagerungsrichtlinien für multilaterale Verträge

Besonders wichtig: Bei kritischen IKT-Dienstleistern übernimmt die EU zentrale Aufsichtsrollen – du musst also Frühwarnsysteme und Kontrollprozesse aufsetzen.

5. Informationsaustausch zu Cyberbedrohungen

DORA ermutigt Institute dazu, sich in branchenweiten Informationsverbünden zu engagieren, um frühzeitig auf Bedrohungen reagieren zu können. Du kannst hier punkten, wenn du:

  • Threat Intelligence automatisierst

  • An branchenspezifischen Austauschplattformen teilnimmst

  • Standards wie STIX/TAXII einsetzt

DORA-Roadmap 2025 – Feinschliff statt Fundament

1. Letzter Check: Ist dein Zielbild vollständig umgesetzt?

🔎 Jetzt geht es um eine abschließende Validierung deiner DORA-Konformität. Frage dich:

  • Sind alle fünf DORA-Pfeiler (Risiko, Vorfallmeldung, Tests, Drittanbieter, Threat Intelligence) im Haus verankert?

  • Gibt es Richtlinien, Prozesse und Systeme – und sind sie dokumentiert?

  • Wurde ein internes Kontrollsystem (IKS) zur laufenden DORA-Überwachung etabliert?

📌 Tipp: Nutze einen internen Mock-Audit oder ein externes DORA-Audit-Tool zur Gap-Analyse.

2. Reporting- & Nachweisfähigkeit aufbauen

🗂️ DORA erfordert nicht nur Maßnahmen, sondern auch belastbare Nachweise für die Aufsicht. Achte besonders auf:

  • Dokumentierte Testberichte zu digitalen Resilienztests

  • Protokolle zu Risikobewertungen und Schwachstellenanalysen

  • Vorfallmeldestrategien – inklusive Eskalations- und Rückmeldepfade

👉 Diese Reports müssen prüfungsfähig sein und regelmäßig aktualisiert werden.

3. Incident-Response-Prozesse im Realitätscheck

🚨 Theoretische Vorfallmeldungen reichen nicht. Jetzt zählt: Wie schnell und sicher reagierst du wirklich?

  • Teste deine IKT-Vorfallerkennung live (z. B. durch interne Simulation)

  • Prüfe, ob deine Meldung an die BaFin/EBA via Incident-Template korrekt erfolgt

  • Trainiere ein 4-Stunden-Reaktionsfenster für Meldepflichten

📌 Ergebnis: Du gewinnst Reaktionssicherheit und rechtliche Resilienz.

4. Drittanbietersteuerung aktivieren

🤝 Verträge und Listen sind nicht genug. Nun kommt es auf die aktive Steuerung an:

  • Überwache deine IKT-Drittanbieter auf Performance und Risiken

  • Führe ein zentrales Outsourcing-Register mit DORA-relevanten Angaben

  • Bereite dich auf ESAs-Prüfungen kritischer Anbieter vor (v. a. Cloud, Rechenzentren)

👉 Zeige, dass du nicht nur delegierst, sondern kontrollierst.

5. Kontinuierliche Tests und Lessons Learned

🧪 Der DORA-Testzyklus ist nicht einmalig, sondern wiederkehrend:

  • Setze einen Testplan mit jährlichem Review auf

  • Dokumentiere Lessons Learned aus Vorfällen, Simulationen und Pentests

  • Aktualisiere deine Business Continuity-Strategie laufend

📌 Wichtig: Halte diese Prozesse in deinem Risikomanagementsystem (RMS) aktuell.

6. Mitarbeiterschulungen finalisieren und spezifizieren

👥 DORA betrifft alle – nicht nur Compliance oder IT. Du brauchst jetzt:

  • Feingliedrige Schulungskonzepte je nach Rolle (1st/2nd Line, IT, Einkauf, Vorstand)

  • Pflichtmodule zu:

    • IKT-Vorfällen

    • Meldewesen

    • Drittanbietersteuerung

    • Szenariotests

  • Nachweisdokumentation für interne und externe Prüfungen

7. DORA-Ready: Vorstand und Aufsicht informieren

🧭 DORA ist Chefsache. Sorge für:

  • Abschlussbericht an Vorstand/Aufsichtsgremien mit Status, Risiken, offenen Punkten

  • Klare Dokumentation der Zuständigkeiten und Entscheidungslagen

  • Präsentationsreife für aufsichtsrechtliche Gespräche oder Sonderprüfungen

👉 Zeige: Dein Haus ist vorbereitet, steuerbar und transparent.

Was passiert, wenn du DORA ignorierst?

Ein klarer Fall: Rechtsrisiko und Reputationsverlust. DORA ist nicht optional. Verstöße können zu:

  • Sanktionen durch ESAs oder nationale Aufsicht

  • Einschränkung deiner Geschäftstätigkeit

  • Schadensersatzforderungen durch Geschäftspartner

führen. Jetzt aktiv zu werden, heißt: Risiko vermeiden, Resilienz stärken und Wettbewerbsvorteile sichern.

Fazit: Von BAIT zu DORA – jetzt zählt der Feinschliff

Die BAIT bilden weiterhin eine solide Grundlage für das IT-Management. Doch mit DORA gilt seit Januar 2025 ein verbindlicher europäischer Maßstab, der weiter greift – inhaltlich und organisatorisch. DORA fordert dich heraus, eröffnet aber auch die Möglichkeit, dein Institut zukunftssicher, resilient und aufsichtsrobust aufzustellen.

Jetzt ist der richtige Zeitpunkt für den letzten Schliff: Verfeinere deine Prozesse, stärke die Nachweisfähigkeit und sorge für ein gelebtes, prüfbares DORA-Compliance-System. So zeigst du: Dein Haus ist bereit für die neue Regulierungswelt.

👉 Lies jetzt weiter: DORA Compliance – Neueste Entwicklungen

📘 Tipp: Du suchst eine kompakte Übersicht zu allen Dokumentationspflichten nach DORA?
Dann schau dir unseren Leitfaden an:
👉 DORA-Dokumentation leicht gemacht

FAQ: BAIT vs. DORA – kurz erklärt

  • Was bedeutet BAIT – kurz und knapp?

    BAIT steht für „Bankaufsichtliche Anforderungen an die IT“. Sie konkretisieren in Deutschland u. a. § 25a/§ 25b KWG und regeln IT-Strategie & Governance, ISMS, IT-Betrieb/Projektmanagement, Berechtigungen sowie Auslagerungen an IT-Dienstleister.

  • Ab wann gilt DORA – und was ist der Kern?

    DORA (Digital Operational Resilience Act) ist seit Januar 2023 in Kraft und seit dem 17. Januar 2025 verbindlich anzuwenden. Ziel: EU-weit einheitliche Anforderungen an die digitale operationelle Resilienz im Finanzsektor.

  • Ersetzt DORA die BAIT?

    DORA setzt einen EU-weit verbindlichen Rahmen, der über BAIT hinausgeht. In der Praxis richtest du bestehende BAIT-Prozesse, Richtlinien und Kontrollen konsequent an DORA aus – mit Fokus auf Resilienz, Meldewesen, Tests und Drittanbietersteuerung.

  • Wer ist von DORA betroffen?

    Neben Banken und Wertpapierinstituten auch KVGs, Zahlungs- und E-Geld-Institute, Krypto-Dienstleister sowie kritische IKT-Drittanbieter. DORA wirkt damit EU-weit und deutlich breiter als BAIT in Deutschland.

  • Was sind die 5 DORA-Pflichtenblöcke?

    1) IKT-Risikomanagement • 2) Meldung schwerwiegender IKT-Vorfälle • 3) Tests der digitalen Resilienz (z. B. Threat-Led Pen Tests) • 4) Steuerung von IKT-Drittanbietern/Outsourcing • 5) Informationsaustausch zu Cyberbedrohungen.

  • Welche Meldefrist gilt bei IKT-Vorfällen?

    Schwerwiegende IKT-Vorfälle sind innerhalb von 4 Stunden initial an die Aufsicht zu melden – inklusive strukturierter Erkennung, Bewertung, Eskalation und Dokumentation.

  • Wie verändern sich Auslagerungen/IKT-Drittanbieter unter DORA?

    DORA verlangt u. a. ein IKT-Drittanbieterregister, risiko-basierte Vorabprüfungen, klare Vertragsklauseln (Exit, Zugriffe, Unterauftragnehmer), konzernweite Richtlinien – und eine verstärkte Aufsicht über kritische IKT-Anbieter auf EU-Ebene.

  • Welche Tests verlangt DORA für die Resilienz?

    Risikoorientierte Testpläne mit z. B. Penetrationstests, Red-Team-Tests und Business-Continuity-Simulationen. Bei kritischen Systemen sind externe Spezialisten einzubinden; Ergebnisse sind prüfungsfest zu dokumentieren.

  • Was gehört in meine DORA-Roadmap 2025?

    Vollständigkeits-Check der 5 Pfeiler, IKS & Reporting aufbauen, 4-Stunden-Incident-Prozess testen, Drittanbieter aktiv steuern (Register/Monitoring), kontinuierliche Tests & Lessons Learned, rollenspezifische Schulungen sowie Vorstands-/Aufsichtsinformation.

  • Welche Risiken drohen bei Nichtbeachtung?

    Aufsichtsrechtliche Sanktionen (EU/Ebene), Einschränkungen der Geschäftstätigkeit, Reputations- und Haftungsrisiken. Compliance jetzt absichern heißt: Risiken vermeiden, Resilienz steigern, Wettbewerbsvorteile sichern.

S&P Unternehmerforum GmbH 766 Bewertungen auf ProvenExpert.com