DORA Content Hub
Von BAIT/VAIT/KAIT/ZAIT zu DORA
Was ändert sich von BAIT zu DORA? Transition-Timeline bis 2027, Mapping und neue Anforderungen.
Von BAIT/VAIT/KAIT/ZAIT zu DORA: Der Paradigmenwechsel
Mit dem Inkrafttreten der DORA-Verordnung (EU 2022/2554) verandert sich die regulatorische Landschaft fur IT-Sicherheit im Finanzsektor grundlegend. Die bisher geltenden nationalen BaFin-Rundschreiben BAIT, VAIT, KAIT und ZAIT werden schrittweise durch den EU-weit harmonisierten DORA-Rahmen abgelost. Fur Finanzunternehmen in Deutschland bedeutet das: Wer bisher BAIT-konform war, muss jetzt prufen, was sich unter DORA andert — und wo die neuen Anforderungen uber das bisherige Niveau hinausgehen.
Was sind BAIT, VAIT, KAIT und ZAIT?
Die vier Rundschreiben der BaFin bilden bisher das nationale Regelwerk fur IT-Sicherheit im deutschen Finanzsektor:
| Rundschreiben | Vollstandiger Name | Adressaten | Basis |
|---|---|---|---|
| BAIT | Bankaufsichtliche Anforderungen an die IT | Kreditinstitute, Finanzdienstleistungsinstitute | KWG, MaRisk |
| VAIT | Versicherungsaufsichtliche Anforderungen an die IT | Versicherungsunternehmen, Pensionsfonds | VAG |
| KAIT | Kapitalverwaltungsaufsichtliche Anforderungen an die IT | Kapitalverwaltungsgesellschaften | KAGB |
| ZAIT | Zahlungsdiensteaufsichtliche Anforderungen an die IT | Zahlungsinstitute, E-Geld-Institute | ZAG |
Diese Rundschreiben konkretisieren die allgemeinen Anforderungen der jeweiligen Aufsichtsgesetze an die IT-Sicherheit und IT-Governance. Sie sind rechtlich als Verwaltungsvorschriften einzuordnen und wurden von der BaFin als Auslegungshilfen zu den bestehenden Gesetzen veroffentlicht.
Ubergangsfrist: Parallele Geltung
DORA ist seit dem 17. Januar 2025 unmittelbar anwendbar. Die BaFin hat angekundigt, die nationalen Rundschreiben schrittweise an DORA anzupassen oder aufzuheben. Bis zur vollstandigen Aufhebung gelten beide Regelwerke parallel — wobei DORA als EU-Verordnung Vorrang hat.
In der Praxis bedeutet das: Finanzunternehmen mussen ab sofort DORA-konform handeln. Die bisherigen BAIT/VAIT/KAIT/ZAIT-Anforderungen werden nicht uber Nacht unwirksam, aber sie werden schrittweise durch die DORA-Anforderungen ersetzt. Die BaFin hat signalisiert, dass sie bei Prufungen zunehmend die DORA-Anforderungen als Massstab anlegt.
Was andert sich? BAIT-Bereiche im DORA-Kontext
Die folgende Tabelle zeigt, wie die bisherigen BAIT-Kapitel den DORA-Artikeln zugeordnet werden und wo sich wesentliche Anderungen ergeben:
| BAIT-Kapitel | DORA-Artikel | Wesentliche Anderung |
|---|---|---|
| 1. IT-Strategie | Art. 5, Art. 6 | Erweiterte Governance-Pflichten, personliche Verantwortung des Leitungsorgans, Schulungspflicht |
| 2. IT-Governance | Art. 5, Art. 6 | Unabhangige Kontrollfunktion fur IKT-Risiken verpflichtend, 3-Lines-of-Defence-Modell |
| 3. Informationsrisikomanagement | Art. 6-8 | Umfassenderer Risikomanagementrahmen, explizite Pflicht zur IKT-Vermogenswerterfassung |
| 4. Informationssicherheitsmanagement | Art. 9-10 | Detailliertere Vorgaben zu Verschlusselung, Zugriffssteuerung, Anomalieerkennung |
| 5. Operative IT-Sicherheit | Art. 7, Art. 9 | Stand der Technik als expliziter Massstab, Patch-Management starker reguliert |
| 6. Identitats- und Rechtemanagement | Art. 9 | MFA-Pflicht starker betont, Least-Privilege-Prinzip explizit verankert |
| 7. IT-Projekte und Anwendungsentwicklung | Art. 7, Art. 8 | Quellcode-Prufung als Testmethode, Security by Design |
| 8. IT-Betrieb | Art. 7, Art. 11-12 | Erweiterte BCP-Anforderungen, explizite Backup-Richtlinien, RTO/RPO-Pflicht |
| 9. Auslagerungen an IT-Dienstleister | Art. 28-44 | Informationsregister, CTPP-Aufsicht, Sub-Outsourcing-Regeln, Exit-Strategien |
| 10. IT-Notfallmanagement | Art. 11-12, Art. 17-23 | Harmonisierte Meldefristen (4h/72h/1M), dreistufiges Meldeverfahren |
| 11. Kritische Infrastrukturen | Art. 24-27 | TLPT-Pflicht fur systemrelevante Institute, TIBER-EU als Referenz |
Was ist neu in DORA?
DORA bringt eine Reihe von Anforderungen, die in den bisherigen BaFin-Rundschreiben nicht oder nur ansatzweise enthalten waren:
Threat-Led Penetration Testing (TLPT)
Die BAIT kannten nur allgemeine Penetrationstests. DORA fuhrt mit den Artikeln 26-27 das deutlich anspruchsvollere Threat-Led Penetration Testing ein, das auf dem TIBER-EU Framework basiert und fur systemrelevante Institute verpflichtend ist. Details findest du auf unserer Seite zu DORA-Resilienztests und TLPT.
Informationsregister (Art. 28 Abs. 3)
Die BAIT verlangten eine Dokumentation von Auslagerungen, aber kein standardisiertes, jahrlich zu meldendes Register. Das DORA- Informationsregister geht deutlich weiter: Es verlangt eine lückenlose Erfassung aller IKT-Drittanbieter einschliesslich Unterauftragnehmern, Standorten und Kritikalitatsbewertungen.
Direkte Aufsicht uber kritische IKT-Drittdienstleister (CTPPs)
Vollig neu ist die direkte EU-Aufsicht uber kritische IKT-Drittanbieter (Art. 31-37). Bisher konnten Aufsichtsbehorden nur das Finanzunternehmen selbst regulieren. DORA ermoglicht erstmals, dass die ESAs direkt bei Cloud-Anbietern und anderen kritischen Dienstleistern prufen und Massnahmen anordnen konnen.
Harmonisierte Meldefristen
Die BAIT enthielten keine konkreten Meldefristen fur IT-Sicherheitsvorfalle. DORA definiert erstmals EU-weit einheitliche Meldefristen (4 Stunden / 72 Stunden / 1 Monat) mit standardisierten Meldeformularen. Mehr dazu auf unserer Seite zur DORA-Meldepflicht.
Was fallt weg?
Durch die EU-weite Harmonisierung entfallen nationale Besonderheiten:
- Sektorspezifische Rundschreiben: BAIT, VAIT, KAIT und ZAIT werden durch ein einziges, sektorubergreifendes Regelwerk ersetzt. Die bisherige Fragmentierung nach Unternehmenstyp entfallt.
- Nationale Sonderregelungen: Deutschland-spezifische Auslegungen werden durch EU-weit einheitliche Standards ersetzt. Was bisher nur fur deutsche Institute galt, wird durch harmonisierte Anforderungen fur alle EU-Mitgliedstaaten abgelost.
- MaRisk-AT 7.2/AT 9 Auslagerungsregeln: Die bisherigen MaRisk-Anforderungen an IT-Auslagerungen werden durch die deutlich detaillierteren DORA-Anforderungen (Art. 28-44) ersetzt.
Migrationsstrategie: Von BAIT zu DORA
Fur Finanzunternehmen, die bisher BAIT-konform waren, empfiehlt sich eine strukturierte Migrationsstrategie in vier Phasen:
Phase 1: Gap-Analyse (4-6 Wochen)
Systematischer Vergleich des bestehenden BAIT-konformen Regelwerks mit den DORA-Anforderungen. Identifikation aller Lucken, die geschlossen werden mussen. Priorisierung der Massnahmen nach Risiko und Aufwand. Nutze unsere DORA-Checkliste als Ausgangspunkt fur die Gap-Analyse.
Phase 2: Prioritaten setzen (2-3 Wochen)
Fokussiere auf die Bereiche mit den grossten Deltas:
- Hochste Prioritat: Informationsregister aufbauen (Art. 28 Abs. 3), Meldeprozesse etablieren (Art. 17-23), Governance anpassen (Art. 5)
- Hohe Prioritat: IKT-Risikomanagementrahmen aktualisieren (Art. 6), Vertragsanpassungen mit Drittanbietern starten (Art. 30)
- Mittlere Prioritat: Testprogramm ausbauen (Art. 24-25), Exit-Strategien entwickeln (Art. 28 Abs. 8)
- Langfristig: TLPT-Vorbereitung (Art. 26-27, nur fur systemrelevante Institute)
Phase 3: Schrittweise Umsetzung (3-12 Monate)
Implementierung der identifizierten Massnahmen in der festgelegten Reihenfolge. Besonders wichtig: Die Anpassung bestehender Vertrage mit IKT-Drittanbietern (Art. 30) kann erhebliche Zeit in Anspruch nehmen und sollte fruhzeitig begonnen werden. Parallel dazu muss das Informationsregister aufgebaut und mit Daten befullt werden.
Phase 4: Validierung und Dokumentation (laufend)
Abschliessende Prufung aller umgesetzten Massnahmen gegen die DORA-Anforderungen. Sicherstellung der vollstandigen Dokumentation fur Aufsichtsprufungen. Einrichtung eines kontinuierlichen Uberwachungs- und Verbesserungsprozesses.
Vorteile der Migration: Warum DORA ein Fortschritt ist
Die Migration von BAIT zu DORA ist nicht nur eine regulatorische Pflicht, sondern bietet auch Vorteile:
- Ein Regelwerk fur alle: Statt vier separate Rundschreiben (BAIT/VAIT/KAIT/ZAIT) gibt es ein einheitliches Framework. Das vereinfacht die Compliance fur Finanzgruppen mit verschiedenen Unternehmentypen.
- EU-weite Geltung: Wer DORA-konform ist, erfullt die Anforderungen in allen EU-Mitgliedstaaten — ohne nationale Sonderregeln beachten zu mussen.
- Klarere Anforderungen: DORA ist detaillierter und weniger interpretationsbedurftig als die bisherigen Rundschreiben.
- Bessere Drittparteiensteuerung: Die neuen Anforderungen an Informationsregister, Vertragsgestaltung und Exit-Strategien verbessern die Kontrolle uber IKT-Dienstleister erheblich.
Eine vollstandige Ubersicht aller Anforderungen findest du auf unserer DORA-Anforderungsseite. Fur das detaillierte IKT-Risikomanagement nach DORA haben wir eine eigene Vertiefungsseite.
BAIT-zu-DORA-Migration mit Kopexa beschleunigen
Kopexa bildet sowohl die bisherigen BAIT-Anforderungen als auch die neuen DORA-Artikel ab. Das integrierte Cross-Mapping zeigt dir sofort, wo deine bestehenden Massnahmen die DORA-Anforderungen bereits erfullen — und wo Handlungsbedarf besteht.
Jetzt Migration planenWeitere DORA-Themen
DORA-Übersicht
Pillar Page und Gesamtüberblick
Anforderungen
Alle DORA-Anforderungen im Überblick
IKT-Risikomanagement
Risikorahmen, Governance und Strategie (Art. 5–16)
Meldepflicht
IKT-Vorfälle melden: Fristen und Prozess (Art. 17–23)
Resilienztests
Basis-Tests und TLPT (Art. 24–27)
Drittparteienrisiko
IKT-Dienstleister managen (Art. 28–44)
Informationsregister
Das DORA-Informationsregister (Art. 28 Abs. 3)
Checkliste
10 Schritte zur DORA-Compliance
Kosten & Ablauf
Timeline, Budget und Ressourcen
Proportionalität
Vereinfachter Rahmen für Kleinstunternehmen (Art. 16)
ISO 27001 Mapping
Cross-Mapping und Dual-Compliance
Strafen
Sanktionen und Enforcement
Lass uns gemeinsam prüfen, wo du stehst
Kostenlos & unverbindlich