Aus dem Risk Hub

2. September 2025
Lesezeit: 5 Minuten

DORA ersetzt BAIT: Das musst Du jetzt wissen – Der große Überblick für 2025

Die BAIT sind Geschichte – zumindest für den Großteil der Finanzbranche. Seit dem 17. Januar 2025 ist die EU-Verordnung DORA (Digital Operational Resilience Act) unmittelbar anzuwenden. Die Bankaufsichtlichen Anforderungen an die IT (BAIT) wurden von der BaFin für Institute, die unter DORA fallen, vollständig aufgehoben.

Doch was bedeutet das für Dich und Dein Unternehmen? Welche bisherigen BAIT-Regelungen bleiben relevant, weil sie mit DORA deckungsgleich sind? Und worauf musst Du Dich mit DORA neu einstellen?

Hier bekommst Du den vollständigen Überblick.

DORA ersetzt BAIT

DORA ersetzt BAIT – Der große Überblick für 2025

Thema BAIT (bisher) DORA (neu ab 17.01.2025) Was das für Dich bedeutet
Rechtsrahmen Nationale Verwaltungsvorschrift der BaFin EU-Verordnung – direkt gültig in allen Mitgliedsstaaten Einheitlicher europäischer Standard für digitale Resilienz
Anwendungsbereich Banken, Finanzdienstleister, teils Zahlungsdienste Alle Finanzunternehmen inkl. Banken, Versicherungen, Kapitalverwaltung, Zahlungs- & Kryptodienste Erweiterter Geltungsbereich – auch IT-Dienstleister betroffen
Status ab 2025 BAIT weiterhin gültig BAIT aufgehoben für DORA-Institute BAIT gilt nur noch bis Ende 2026 für Nicht-DORA-Institute (z. B. Leasing, Factoring)
IT-Governance Strategische IT-Steuerung durch Geschäftsleitung Artikel 5 – Verantwortung der Geschäftsleitung für IKT-Resilienz Geschäftsführung trägt volle Verantwortung für Cyber-Resilienz
IKT-Risikomanagement Anforderungen an IT-Risikomanagement Artikel 6 ff. – Risikomanagement für Informations- & Kommunikationstechnologien Risikomanagement muss EU-weit einheitlich dokumentiert und geprüft werden
Informationssicherheit ISM, Schutzmaßnahmen, Zugriffskontrolle Artikel 8 – Sicherheitsrichtlinien, Zugriffskontrollen, Schutzmaßnahmen Bestehende ISM-Richtlinien können übernommen, aber auf DORA-Terminologie umgestellt werden
IT-Betrieb & Infrastruktur Überwachung und Stabilität des IT-Betriebs Artikel 11 – Systemstabilität, Monitoring, Echtzeit-Analyse Erweiterte Logging- & Monitoringpflichten (Echtzeit erforderlich)
Auslagerungen (inkl. Cloud) BAIT & MaRisk-Vorgaben zu Auslagerungen Artikel 28 ff. – IKT-Drittparteienrisikomanagement Pflicht zur Registrierung, Bewertung & Überwachung aller IT-Dienstleister
Notfallmanagement IT-Notfallkonzept + AT 7.3 MaRisk Artikel 10 – Business Continuity & Response-Pläne Resilienztests (z. B. Red Teaming, TLPT) ergänzen klassische Notfallübungen
Resilienztests Penetrationstests empfohlen Artikel 21 – Regelmäßige, bedrohungsbasierte Tests Pflicht zur Durchführung von TLPT und technischen Resilienzprüfungen
Meldepflichten Keine formale Meldepflicht Artikel 17 ff. – Meldung schwerwiegender IKT-Vorfälle binnen 4 Stunden Verpflichtende Prozesse zur Erkennung, Klassifizierung und Meldung erforderlich
Drittparteienregister Keine zentrale Übersicht EU-weites Register kritischer IKT-Dienstleister Mehr Transparenz & Aufsicht auf EU-Ebene – besonders für Cloud-Anbieter
Relevanz BAIT Voll anwendbar Nur noch Übergangsweise für Nicht-DORA-Institute Übergangszeit bis Ende 2026 für Anpassung an DORA nutzen

Was ist DORA?

DORA ist eine EU-Verordnung, die darauf abzielt, die digitale operationale Resilienz im gesamten Finanzsektor der EU zu stärken. Sie gilt unmittelbar und verbindlich für eine Vielzahl von Unternehmen, darunter:

  • Kreditinstitute

  • Wertpapierfirmen

  • Zahlungsinstitute

  • Kapitalverwaltungsgesellschaften

  • Krypto-Dienstleister

  • Versicherungen

DORA ist also der neue Rechtsrahmen, wenn es um Informationssicherheit, IKT-Risikomanagement, Auslagerungen und IT-Notfallmanagement geht.

Was bedeutet das für die BAIT?

Die BAIT sind für Institute, die unter DORA fallen, nicht mehr anwendbar. Lediglich Leasing- und Factoringgesellschaften, die nicht direkt von DORA erfasst werden, müssen die BAIT weiterhin anwenden – aber auch nur noch bis Ende 2026. Dann treten auch für sie DORA oder darauf abgestimmte Anforderungen in Kraft.

Das heißt für Dich konkret:

  • DORA ersetzt BAIT vollständig, wenn Du ein DORA-pflichtiges Institut bist.

  • BAIT bleibt nur übergangsweise relevant – und nur für Institute außerhalb des DORA-Anwendungsbereichs.

Welche Inhalte der BAIT findest Du auch in DORA wieder?

Obwohl DORA ein eigenständiger Rechtsrahmen ist, sind viele Anforderungen inhaltlich deckungsgleich oder sehr ähnlich zu den BAIT. Hier eine Gegenüberstellung:

BAIT-Thema DORA-Anforderung (Artikel)
IT-Governance Artikel 5 – Strategische Steuerung durch die Geschäftsleitung
Informationsrisikomanagement Artikel 6 – IKT-Risikomanagement
Informationssicherheitsmanagement Artikel 8 – Schutzmaßnahmen und Sicherheitspolitik
Benutzerberechtigungen Artikel 6 – Zugriffskontrollen
IT-Betrieb und Infrastruktur Artikel 11 – IT-Systemstabilität und Überwachung
Auslagerungen (inkl. Cloud) Artikel 28 ff. – Drittparteienrisikomanagement
IT-Notfallmanagement Artikel 10 – Business Continuity und Response-Pläne
Operative Sicherheit / Tests Artikel 21 – Resilienz-Tests & Penetrationstests
Schnittstelle zu Zahlungsdienstnutzern Artikel 16 – Spezifische Anforderungen an Zahlungsinstitute

Kurz gesagt: DORA ist umfassender, strikter – aber viele Themen kennst Du bereits aus den BAIT.

Was ist neu mit DORA?

Trotz vieler Überschneidungen bringt DORA neue Pflichten mit sich, die Du unbedingt kennen solltest:

1. Meldepflichten bei IKT-Vorfällen

DORA verlangt, dass bedeutende IKT-Vorfälle innerhalb von 4 Stunden an die zuständige Behörde gemeldet werden – also keine freiwillige Selbstanzeige mehr, sondern eine verpflichtende Meldung.

Du musst also:

  • Prozesse zur Erkennung, Bewertung und Kategorisierung von IKT-Vorfällen etablieren.

  • Ein Meldesystem aufbauen, das den DORA-Zeitvorgaben gerecht wird.

2. Regelmäßige Resilienztests

Neben klassischen Penetrationstests verlangt DORA regelmäßige Tests zur digitalen Resilienz. Dazu gehören:

  • Threat-Led Penetration Testing (TLPT) für kritische Institute

  • Szenarien-Übungen und Red Teaming

  • Technische, organisatorische und prozessuale Tests Deiner Resilienzmaßnahmen

Hier reicht es also nicht mehr, einmal im Jahr ein System zu prüfen – Testpläne müssen systematisch und regelmäßig durchgeführt werden.

3. Drittparteienmanagement wird Pflicht

DORA nimmt Dich beim IKT-Drittparteienrisikomanagement deutlich stärker in die Pflicht:

  • Du musst alle IKT-Dienstleister registrieren, bewerten und überwachen.

  • IKT-Risikobewertungen sind für jeden Drittanbieter zu dokumentieren.

  • Bei kritischen Dienstleistungen gelten erhöhte Anforderungen, inklusive Exit-Strategien und Vertragsstandards.

Das betrifft besonders:

  • Cloud-Anbieter

  • Infrastruktur-Dienstleister

  • Softwareanbieter (SaaS, PaaS, IaaS)

4. DORA-Register und Oversight Framework

Ab 2025 müssen Institute ihre kritischen IKT-Dienstleister in einem EU-weiten Register führen. Für sehr große Dienstleister wird zudem eine direkte EU-Aufsicht eingeführt.

Welche BAIT-Richtlinien kannst Du weiterhin nutzen?

Auch wenn DORA jetzt gilt, kannst Du bestehende Dokumentationen und Prozesse aus der BAIT-Zeit weiterhin nutzen – wenn sie DORA-konform sind.

Hier ein paar Tipps:

  • Richtlinien für ISM/IRM kannst Du meist übernehmen, musst sie aber auf DORA-Terminologie und -Artikel referenzieren.

  • Notfallpläne aus AT7.3 MaRisk + BAIT können als Grundlage dienen – aber Resilienz-Tests müssen ergänzt werden.

  • Protokollierungen, Logging und Monitoring musst Du ggf. erweitern, um den DORA-Anforderungen zu Echtzeit-Erkennung und Analyse gerecht zu werden.

  • Verantwortlichkeiten (Accountability) solltest Du überarbeiten: DORA verlangt klare Zuständigkeiten, Eskalationsstufen und Kontrollpflichten.

Praxis-Tipp: So bereitest Du Dich vor

  1. Gap-Analyse machen: Welche BAIT-Regelungen hast Du bereits umgesetzt – und welche DORA-Vorgaben fehlen noch?

  2. Richtlinien überarbeiten: Passe vorhandene Policies an DORA-Strukturen an, insbesondere hinsichtlich Meldepflichten, Tests und Drittparteien.

  3. Verantwortlichkeiten klären: Erstelle ein DORA-Rollenmodell mit klarer Zuweisung – Geschäftsführung, ISB, IKT-Risikomanagement, Fachbereiche.

  4. Mitarbeiter schulen: Sensibilisiere Teams für neue Meldewege, Testszenarien und Bedrohungslagen – am besten durch ein E-Learning.

  5. Verträge prüfen: Geh alle IKT-Dienstleistungsverträge durch – erfüllen sie DORA-Vorgaben wie Exit-Klauseln, Auditrechte, Leistungsdefinitionen?

Fazit: DORA ist mehr als nur „neue BAIT“

DORA geht deutlich über die BAIT hinaus – insbesondere durch den europaweiten Rechtsrahmen, die verpflichtenden Meldungen, die Testverfahren und das Drittparteien-Register. Gleichzeitig sind viele der bisherigen BAIT-Strukturen eine solide Grundlage, auf der Du aufbauen kannst.

Wenn Du die Übergangszeit bis zur vollständigen DORA-Konformität jetzt nutzt, sicherst Du Deinem Unternehmen nicht nur Rechtssicherheit, sondern auch eine nachhaltig robuste IT- und Sicherheitsarchitektur.

Noch Fragen oder brauchst Du Hilfe bei der DORA-Umsetzung?
S+P unterstützt Dich gern mit:

Meld Dich einfach – S+P hilft Dir dabei, DORA nicht nur zu erfüllen, sondern optimal umzusetzen. 💡

DORA einfach erklärt:
➡️ Alles Wichtige zum Digital Operational Resilience Act (DORA) – von den Grundlagen bis zu den Pflichten für Finanzunternehmen – findest du hier:
👉 Digital Operational Resilience Act – DORA kompakt erklärt

FAQ: DORA ersetzt BAIT – Das musst Du 2025 wissen

  • Was bedeutet es, dass DORA die BAIT ersetzt?

    Seit dem 17. Januar 2025 gilt die EU-Verordnung DORA (Digital Operational Resilience Act) unmittelbar. Für alle Institute, die unter DORA fallen, wurden die BAIT von der BaFin aufgehoben. DORA ist damit der neue verbindliche Rechtsrahmen für IT, Informationssicherheit und Resilienz im Finanzsektor.

  • Wer ist von DORA betroffen?

    DORA gilt für Kreditinstitute, Wertpapierfirmen, Zahlungs- und E-Geldinstitute, Kapitalverwaltungsgesellschaften, Versicherungen und Krypto-Dienstleister. Nur Leasing- und Factoringgesellschaften fallen vorerst noch unter die BAIT – jedoch nur bis Ende 2026.

  • Was bleibt aus den BAIT weiterhin relevant?

    Viele BAIT-Anforderungen sind inhaltlich deckungsgleich mit DORA, etwa in den Bereichen IKT-Risikomanagement, IT-Governance, Informationssicherheit und Notfallmanagement. Bestehende BAIT-Prozesse können übernommen werden, müssen aber auf DORA-Terminologie und Artikel angepasst werden.

  • Welche neuen Pflichten bringt DORA?

    DORA führt neue Meldepflichten bei IKT-Vorfällen ein (innerhalb von 4 Stunden), verlangt regelmäßige Resilienztests (z. B. TLPT, Red Teaming) und schreibt ein europaweites Register kritischer IKT-Dienstleister vor. Außerdem wird das Drittparteienrisikomanagement deutlich verschärft.

  • Wie unterscheidet sich DORA vom bisherigen BAIT-Ansatz?

    DORA ist eine EU-weite, unmittelbar geltende Verordnung, während BAIT eine nationale Verwaltungsvorschrift war. DORA harmonisiert die Regeln für alle EU-Finanzunternehmen und legt einen klaren Fokus auf digitale Widerstandsfähigkeit statt nur auf IT-Sicherheit.

  • Welche Übergangsfristen gelten?

    Für DORA-pflichtige Institute gilt DORA seit dem 17. Januar 2025 vollständig. Leasing- und Factoringgesellschaften, die nicht direkt unter DORA fallen, müssen die BAIT noch bis Ende 2026 anwenden. Danach greifen auch für sie angepasste DORA-Regelungen.

  • Was müssen Unternehmen jetzt konkret tun?

    Empfohlen sind: Gap-Analyse zwischen BAIT und DORA, Anpassung der Richtlinien, Einrichtung von Meldeprozessen, Vertragliche Prüfung der IKT-Dienstleister sowie Schulung der Mitarbeitenden zu neuen DORA-Anforderungen.

  • Wie unterstützt S+P bei der DORA-Umsetzung?

    S+P bietet Checklisten, Gap-Analysen, E-Learning-Module, Richtlinien-Vorlagen und Workshops zur Resilienzprüfung. Damit kannst Du DORA-Anforderungen effizient umsetzen und Deine IT-Resilienz nachhaltig stärken.

S&P Unternehmerforum GmbH 771 Bewertungen auf ProvenExpert.com