BAIT war gestern, DORA ist heute: Dein Praxis-Guide für die Aufsichtsprüfungen 2026

Lange Zeit waren die Bankaufsichtlichen Anforderungen an die IT (BAIT) das Maß aller Dinge in der deutschen IT-Compliance. Doch im Januar 2026 ist das Bild eindeutig: Wer heute noch ausschließlich nach BAIT-Checklisten arbeitet, riskiert bei einer Prüfung durch die BaFin oder die Bundesbank Kopf und Kragen.

Sind die BAIT 2026 noch gültig?

Für die überwältigende Mehrheit der Institute lautet die Antwort: Nein. Mit dem Inkrafttreten von DORA am 17. Januar 2025 wurden die BAIT für alle Institute, die in den Anwendungsbereich der EU-Verordnung fallen, faktisch ersetzt. Die BaFin hat die BAIT-Rundschreiben bereits schrittweise aufgehoben.

Die einzige Ausnahme: Eine kleine Gruppe von Unternehmen (z.B. bestimmte Finanzholdinggesellschaften), die nicht direkt unter DORA fallen, unterliegt einer Übergangsfrist. Doch auch hier ist das Enddatum gesetzt: Am 31. Dezember 2026 werden die BAIT endgültig und für alle Institute in Deutschland durch den neuen europäischen Standard oder harmonisierte nationale Regeln abgelöst.

Deine Strategie für 2026: Hör auf, die BAIT als eigenständiges Regelwerk zu betrachten. Nutze sie höchstens noch als internes „Legacy-Mapping“, um zu prüfen, ob deine alten Prozesse die neuen DORA-Anforderungen bereits (teilweise) abdecken.

DORA ist keine bloße Empfehlung, sondern ein Gesetz mit direkter Wirkung. Die Aufsicht prüft 2026 entlang von fünf klar definierten Säulen. Hier ist die Struktur, die du in deinem Institut implementiert haben musst:

Säule 1: IKT-Risikomanagement & Governance

Hier geht es um das Fundament. Der Vorstand (das Leitungsorgan) trägt die volle Verantwortung.

• Was wird geprüft? Ein solider, dokumentierter Rahmen für das IKT-Risikomanagement.

• Check 2026: Sind deine IKT-Strategie und deine Business-Continuity-Pläne (BCP) aktuell und vom Vorstand unterschrieben?

Säule 2: Meldung schwerwiegender IKT-Vorfälle

2026 akzeptiert die Aufsicht keine Verzögerungen mehr. Das Meldewesen muss wie eine Schweizer Uhr funktionieren.

• Die Fristen: 24 Stunden für die Erstmeldung, 72 Stunden für den Zwischenbericht, 1 Monat für den Abschlussbericht.

• Check 2026: Kann dein Team einen Vorfall innerhalb von 4 Stunden nach der Klassifizierung als „schwerwiegend“ melden?

Säule 3: Tests der digitalen operationalen Resilienz

Nur wer testet, überlebt. DORA fordert ein jährliches Testprogramm.

• Die Verschärfung: Für bedeutende Institute ist 2026 das Jahr der TLPT (Threat-Led Penetration Tests).

• Check 2026: Hast du ein Testprotokoll, das über einfache Schwachstellen-Scans hinausgeht?

Säule 4: Management von IKT-Drittparteienrisiken

Dies ist 2026 die größte Baustelle. Du haftest für deine Dienstleister.

• Das Informationsregister: Bis zum 31. März 2026 musst du dein vollständiges Register über alle IKT-Dienstleister an die Aufsicht melden.

• Check 2026: Hast du für jeden kritischen Dienstleister (Cloud, Kernbankensystem) eine funktionierende Exit-Strategie?

Säule 5: Informationsaustausch

DORA ermutigt zum Austausch über Cyberbedrohungen.

• Der Nutzen: Frühzeitige Warnungen innerhalb der Branche.

• Check 2026: Bist du Teil eines vertrauenswürdigen Netzwerks zum Austausch von Bedrohungsinformationen?

Wenn du diesen Artikel im Januar 2026 liest, hast du wahrscheinlich gerade Schweißperlen auf der Stirn, wenn du an das Informationsregister denkst. Warum? Weil die erste große Einreichungswelle rollt.

Was gehört ins Register?

Du musst nicht nur wissen, wer dein Cloud-Anbieter ist. Du musst die gesamte Kette verstehen.

1. Stammdaten: Wer ist der Anbieter? (LEI-Nummer ist Pflicht!).

2. Vertragsdetails: Welche Leistungen werden bezogen?

3. Kritikalität: Unterstützt der Dienstleister eine „kritische oder wichtige Funktion“?

4. Unterauftragnehmer: Wer liefert dem Lieferanten zu? (Die „Ketten-Problematik“).

Fehler-Prävention für die Einreichung bis zum 31.03.2026: Verlass dich nicht auf manuelle Excel-Listen. Die Aufsicht nutzt automatisierte Validierungstools. Ein falsches Format bei der LEI führt zur Ablehnung des gesamten Registers.

2026 ist das Jahr, in dem die großen „Cloud-Giganten“ (AWS, Azure, Google) erstmals direkt von den europäischen Aufsichtsbehörden (ESAs) geprüft werden. Aber das entbindet dich nicht von deiner Verantwortung!

Deine Pflichten als Institut

Du musst nachweisen, dass du deine Dienstleister steuern kannst.

1. Eindringtiefe: Hast du in deinen Verträgen das Recht auf Vor-Ort-Prüfungen (Audit-Rechte)?

2. Exit-Plan: Wenn dein Cloud-Anbieter ausfällt oder die Preise drastisch erhöht, wie schnell kannst du zu einem anderen Anbieter umziehen oder den Betrieb selbst übernehmen?

3. Konzentrationsrisiko: Verwendest du für alle kritischen Funktionen denselben Anbieter? Die Aufsicht sieht das 2026 sehr kritisch.

Wer rastet, der rostet. Schon jetzt im Januar 2026 zeichnen sich neue Entwicklungen ab.

• AI Act & DORA: Wenn du Künstliche Intelligenz einsetzt, müssen diese Systeme in dein DORA-Risikomanagement integriert werden. Der EU AI Act fordert hier zusätzliche Transparenz.

• Art. 58 Review: Die EU-Kommission prüft aktuell, ob der Anwendungsbereich von DORA auf weitere Akteure (wie bestimmte Krypto-Dienstleister) ausgeweitet wird.

DORA ist kein Sprint, sondern ein Marathon. Wenn du die BAIT als solides Fundament genutzt hast, ist der Schritt zu DORA machbar – aber er erfordert Disziplin.

Deine Top-3 Aufgaben für dieses Jahr:

1. Register-Check: Mach dein Informationsregister bis März 2026 fehlerfrei.

2. Simulations-Check: Teste deine Meldekette für Vorfälle mindestens einmal pro Quartal.

3. Haftungs-Check: Sorge dafür, dass dein Vorstand über seine persönliche Haftung bei IT-Versäumnissen aufgeklärt ist.

Hast du Fragen zur Umsetzung oder brauchst du fertige Vorlagen für dein Informationsregister? In unseren S+P Seminaren begleiten wir dich durch den regulatorischen Dschungel. Wir zeigen dir, wie du Compliance nicht nur als Pflicht, sondern als echten Wettbewerbsvorteil nutzt.

👉 Jetzt informieren: Unsere aktuellen DORA-Seminare & Workshops 2026