Bankaufsichtliche Anforderungen an die IT

Basisdaten
Titel	Rundschreiben 10/2017 (BA) Bankaufsichtliche Anforderungen an die IT
Kurztitel	Bankaufsichtliche Anforderungen an die IT
Abkürzung	BAIT
Geltungsbereich	Bundesrepublik Deutschland
Ursprüngliche Fassung vom	3. November 2017
Letzte Neufassung vom	16. August 2021

Die Bankaufsichtlichen Anforderungen an die IT, abgekürzt BAIT, sind Verwaltungsanweisungen, die mit einem Rundschreiben der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) für die sichere Ausgestaltung der IT-Systeme sowie der zugehörigen Prozesse und diesbezüglicher Anforderungen an die IT-Governance in deutschen Kreditinstituten veröffentlicht wurden. Sie wurden von der BaFin mit dem Rundschreiben 10/2017 (BA) vom 3. November 2017 erstmals veröffentlicht.

Die BAIT konkretisieren – wie die Mindestanforderungen an das Risikomanagement – die gesetzlichen Anforderungen des § 25a Absatz 1 Satz 3 Nr. 4 und 5 des Kreditwesengesetzes (KWG). Es handelt sich bei ihnen um normeninterpretierende Verwaltungsvorschriften, die eine Selbstbindung der deutschen Aufsicht gegenüber den Kreditinstituten darstellen.

In den Bankaufsichtlichen Anforderungen an die IT formuliert die Aufsicht einen Rahmen für die technisch-organisatorische Ausstattung der Institute – insbesondere für das Management der IT-Ressourcen und für das IT-Risikomanagement. Da die Institute zunehmend IT-Dienstleistungen von Dritten beziehen, auch im Rahmen von Auslagerungen, wird auch der § 25b KWG in diese Interpretation einbezogen.

Am 14. September 2018 hat die BaFin eine aktualisierte Fassung der BAIT veröffentlicht. Die neuen BAIT enthalten einen zusätzlichen Abschnitt zum Thema Kritische Infrastrukturen. Ansonsten sind die Inhalte gegenüber der ursprünglichen Fassung unverändert. Die am 16. August 2021 veröffentlichte Fassung enthält drei zusätzliche Abschnitte zu den Themen operative Informationssicherheit, IT-Notfallmanagement und Management der Beziehungen mit Zahlungsdienstnutzern.