Mit der Verordnung 2022/2554 (Digital Operational Resilience Act, DORA) hat die Europäische Union umfassende Anforderungen an die digitale operationale Resilienz für den gesamten Finanzsektor festgelegt. DORA umfasst insbesondere Anforderungen an das IKT-Risikomanagementrahmenwerk, die Meldung schwerwiegender IKT-Vorfälle, das Testen digitaler operationaler Resilienz sowie das IKT-Drittparteienrisikomanagement von Finanzunternehmen. Zudem schafft DORA einen EU-weiten Überwachungsrahmen für kritische IKT-Drittdienstleister. Die Verordnung („Level 1“) wird durch acht Delegierte Verordnungen, zwei Durchführungsverordnungen, zwei Delegierte Rechtsakte (jeweils „Level 2“) sowie zwei Guidelines („Level 3“) ergänzt.

Als europäische Verordnung findet sie seit dem 17. Januar 2025 unmittelbare Anwendung in Deutschland. Vor diesem Hintergrund hat die BaFin die zahlungsdiensteaufsichtlichen, versicherungsaufsichtlichen und kapitalverwaltungsaufsichtlichen Anforderungen an die IT (ZAIT, VAIT und KAIT) mit Ablauf des 16. Januar 2025 aufgehoben, um eine Doppelregulierung zu vermeiden.

Die bankaufsichtlichen Anforderungen an die IT (BAIT, BaFin-Rundschreiben 10/2017 in der Fassung vom 16. Dezember 2024) geben auf der Grundlage des § 25a Abs. 1 Kreditwesengesetz (KWG) einen flexiblen und praxisnahen Rahmen für die technisch-organisatorische Ausstattung der Institute – insbesondere für das Management der IT-Ressourcen, das IT-Risikomanagement und das IT-Sicherheitsmanagement – vor. Ferner präzisieren sie die Anforderungen des § 25b KWG (Auslagerung von Aktivitäten und Prozessen). Aus dem Anwenderkreis der BAIT ausgenommen sind alle Institute, die ein Risikomanagement für die Informations- und Kommunikationstechnologie (IKT-Risikomanagement) nach Art. 5‑15 bzw. Art. 16 DORA betreiben müssen. Zudem wurde bei der letzten BAIT-Anpassung das Kapitel 11 (Management der Beziehungen mit Zahlungsdienstnutzern) aufgehoben. Das im Dezember 2024 verabschiedete Finanzmarktdigitalisierungsgesetz (FinmadiG) unterwirft weitere, über das KWG regulierte Nicht-CRR-Institute der DORA (u. a. Förderinstitute seit dem 17. Januar 2025, Finanzdienstleistungsinstitute ab dem 1. Januar 2027). Die BAIT werden dann mit Ablauf des 31. Dezember 2026 vollständig aufgehoben.