Mit der Verordnung 2022/2554 (Digital Operational Resilience Act, DORA) hat die Europäische Union umfassende Anforderungen an die operationelle Resilienz für den gesamten Finanzsektor festgelegt. Als europäische Verordnung findet sie unmittelbare Anwendung in Deutschland, trat zum 16. Januar 2023 in Kraft und ist zum 17. Januar 2025 verbindlich anzuwenden. In diesem Zusammenhang wird die deutsche Aufsicht eine Überprüfung der aktuell gültigen „Bankaufsichtlichen Anforderungen an die IT“ (BAIT) vornehmen, um eine Doppelregulierung zu vermeiden. Die BAIT richten sich primär an die Geschäftsleitungen der Kreditinstitute aber auch zahlungsdiensteaufsichtliche, versicherungsaufsichtliche und kapitalverwaltungsaufsichtliche Anforderungen an die IT (ZAIT , VAIT  und KAIT) bedürfen dann ebenfalls einer diesbezüglichen Überprüfung. 

Die BAIT (BaFin-Rundschreiben 10/2017) geben auf der Grundlage des § 25a Abs. 1 des Kreditwesengesetzes (KWG) einen flexiblen und praxisnahen Rahmen für die technisch-organisatorische Ausstattung der Institute – insbesondere für das Management der IT-Ressourcen, das IT-Risikomanagement und das IT-Sicherheitsmanagement – vor.  Sie präzisieren ferner die Anforderungen des § 25b KWG (Auslagerung von Aktivitäten und Prozessen).

Das Rundschreiben 10/2017 in der aktuellen Fassung vom 16. August 2021 setzt die „EBA-Leitlinien für das Management von IKT- und Sicherheitsrisiken“ aus dem November 2019 um. Darüber hinaus sind Erfahrungen aus der Aufsichtspraxis in die Überarbeitung eingeflossen. So wurden im Zuge der Novellierung die beiden neuen Kapitel „Operative Informationssicherheit“ und „IT-Notfallmanagement“ ergänzt. Darin enthalten sind verschiedentliche Anforderungen, die zuvor nicht explizit genannt wurden. Insbesondere sind in diesen beiden Kapiteln Anforderungen zur Überwachung der Informationssicherheit, zur Kontrolle der Wirksamkeit von Informationssicherheitsmaßnahmen und zur Konkretisierung des AT 7.3 MaRisk (Notfallmanagement) im Zusammenhang mit zeitkritischen Prozessen und Aktivitäten zusammengefasst. Konkretisiert wurden des Weiteren Verantwortlichkeiten und Kontrollen für das Informationsrisikomanagement und Anforderungen zur physischen Informationssicherheit.