Mit den „Bankaufsichtlichen Anforderungen an die IT“ (BAIT), die sich primär an die Geschäftsleitungen der Kreditinstitute richten, soll die Erwartungshaltung der Aufsicht in Bezug auf die IT-Sicherheit transparenter dargestellt werden.

Dieses Rundschreiben gibt auf der Grundlage des § 25a Abs. 1 des Kreditwesengesetzes (KWG) einen flexiblen und praxisnahen Rahmen für die technisch-organisatorische Ausstattung der Institute – insbesondere für das Management der IT-Ressourcen und für das IT-Risikomanagement – vor. Es präzisiert ferner die Anforderungen des § 25b KWG (Auslagerung von Aktivitäten und Prozessen).

Das Rundschreiben vom 16.08.2021 setzt die „EBA-Leitlinien für IKT und Sicherheitsrisikomanagement“ aus dem November 2019 um. Darüber hinaus sind Erfahrungen aus der Aufsichtspraxis in die Überarbeitung eingeflossen.

Im Zuge der Novellierung wurden die beiden neuen Kapitel „Operative Informationssicherheit“ und „IT-Notfallmanagement“ ergänzt. Darin enthalten sind verschiedentliche Anforderungen, die zuvor nicht explizit genannt wurden. Insbesondere sind in diesen beiden Kapiteln Anforderungen zur Überwachung der Informationssicherheit, zur Kontrolle der Wirksamkeit von Informationssicherheitsmaßnahmen und zur Konkretisierung des AT 7.3 MaRisk (Notfallmanagement) im Zusammenhang mit zeitkritischen Prozessen und Aktivitäten zusammengefasst. Konkretisiert wurden des Weiteren Verantwortlichkeiten und Kontrollen für das Informationsrisikomanagement und Anforderungen zur physischen Informationssicherheit.