Praxiskommentar BAIT und DORA: Bankaufsichtliche Anforderungen an die IT und Digital Operational Resilience Act

Patrik Buchmüller; Jens Gampe; Sandra Schmolz

doi:10.34156/9783791054704

Search publication

Bibliographic data

Edition: 1/2025
Copyright Year: 2025
ISBN-Print: 978-3-7910-5468-1
ISBN-Online: 978-3-7910-5470-4
Publisher: Schäffer-Poeschel, Stuttgart
Language: German
Pages: 380
Product Type: Monograph

1. Vorwort No access
2. Abkürzungsverzeichnis No access
3. Bearbeiterverzeichnis No access
1. 1. 1.1.1 Adressaten des Buchs No access
  2. 1.1.2 Gliederung des Textes No access
  3. 1.1.3 Die Erfolgsgeschichte der BAIT No access
  4. 1.1.4 Aufbau der BAIT No access
2. 1. 1.2.1 BaFin-Veröffentlichungen vom 16.08.2021 No access
  2. 1.2.2 Inhaltlicher Geltungskreis im Teil I BAIT No access
  3. 1.2.3 Stärkung der Anforderungen an den Informationsverbund (BAIT-Kapitel II.3.) No access
  4. 1.2.4 Anpassungen im BAIT-Kapitel II.4. zur Informationssicherheitsleitlinie und zum Schulungsprogramm No access
  5. 1.2.5 Neues BAIT-Kapitel II.5. Operative IT-Sicherheit No access
  6. 1.2.6 Anpassungen in den BAIT-Kapiteln II.6., II.7. und II.8. No access
  7. 1.2.7 Neues BAIT-Kapitel II.10. IT-Notfallmanagement No access
  8. 1.2.8 Schnittstellen zu den MaRisk-Novellen No access
3. 1.3 Übergang von BAIT zu DORA No access
4. 1.4 Vorgaben in CRR/CRD und im Kreditwesengesetz No access
5. 1.5 Aktivitäten von EZB und EBA inklusive DORA-Umsetzung No access
6. 1. 1.6.1 Baseler Ausschuss No access
  2. 1.6.2 G7 und Financial Stability Board No access
7. 1. 1.7.1 BSI und ENISA No access
  2. 1.7.2 BSI-Gesetz und KRITIS No access
  3. 1.7.3 Lieferkettengesetzgebung und CSRD No access
1. 2.1 Teil I Vorbemerkung und BAIT-Gliederung No access
2. 1. 2.2.1 Einführung in das Kapitel IT-Strategie No access
  2. 2.2.2 Ziele und Maßnahmen der IT-Strategie (Tz. II.1.1. BAIT) No access
  3. 2.2.3 Mindestinhalte der IT-Strategie (Tz. II.1.2. BAIT) No access
  4. 2.2.4 Zur Bedeutung der IT-Strategie No access
3. 1. 2.3.1 Einführung in das Kapitel IT-Governance No access
  2. 2.3.2 Anforderungen an die IT-Governance in BAIT-Kapitel 2 No access
4. 1. 2.4.1 Einführung in das Kapitel Informationsrisikomanagement No access
  2. 2.4.2 Grundlegende Anforderungen an das Informationsrisikomanagement (Tz. II.3.1. BAIT) No access
  3. 2.4.3 Governance zum Informationsrisikomanagement (Tz. II.3.2. BAIT) No access
  4. 2.4.4 Bestandteile des Informationsverbundes (Tz. II.3.3. BAIT) No access
  5. 2.4.5 Schutzbedarfsanalyse (Tz. II.3.4. BAIT) No access
  6. 2.4.6 Zuständigkeit für die Überprüfung der Schutzbedarfsfeststellung (Tz. II.3.5. BAIT) No access
  7. 2.4.7 Sollmaßnahmen (Tz. II.3.6. BAIT) No access
  8. 2.4.8 Risikoanalyse und Soll-Ist-Vergleich (Tz. II.3.7. BAIT) No access
  9. 2.4.9 Sonstige risikoreduzierende Maßnahmen (Tz. II.3.8. BAIT) No access
  10. 2.4.10 Integration in den OpRisk-Managementprozess (Tz. II.3.9. BAIT) No access
  11. 2.4.11 Bedrohungs- und Schwachstellenanalyse (Tz. II.3.10. BAIT) No access
  12. 2.4.12 Interne Berichtspflichten (Tz. II.3.11. BAIT) No access
5. 1. 2.5.1 Aufgaben des Informationssicherheitsmanagements (Tz. II.4.1. BAIT) No access
  2. 2.5.2 Informationssicherheitsleitlinie (Tz. II.4.2. BAIT) No access
  3. 2.5.3 Informationssicherheitsrichtlinien und -prozesse (Tz. II.4.3. BAIT) No access
  4. 2.5.4 Funktion des Informationssicherheitsbeauftragten (Tz. II.4.4. BAIT) No access
  5. 2.5.5 Unabhängigkeit des Informationssicherheitsbeauftragten (Tz. II.4.5. BAIT) No access
  6. 2.5.6 Beschränkte Auslagerungsmöglichkeit (Tz. II.4.6. BAIT) No access
  7. 2.5.7 Analysen nach Informationssicherheitsvorfällen (Tz. II.4.7. BAIT) No access
  8. 2.5.8 Richtlinie zum Testen und Überprüfen der Maßnahmen zum Schutz der Informationssicherheit (Tz. II.4.8. BAIT) No access
  9. 2.5.9 Schulungs- und Sensibilisierungsprogramm (Tz. II.4.9. BAIT) No access
  10. 2.5.10 Berichterstattung zur Informationssicherheit (Tz. II.4.10. BAIT) No access
6. 1. 2.6.1 Einführung in das Kapitel Operative Informationssicherheit No access
  2. 2.6.2 Aufgaben der operativen IT-Sicherheit (Tz. II.5.1. BAIT) No access
  3. 2.6.3 Operative Informationssicherheitsmaßnahmen und -prozesse (Tz. II.5.2. BAIT) No access
  4. 2.6.4 Gefährdungsanalyse (Tz. II.5.3. BAIT) No access
  5. 2.6.5 Identifizierung sicherheitsrelevanter Ereignisse (Tz. II.5.4. BAIT) No access
  6. 2.6.6 Reaktion auf sicherheitsrelevante Ereignisse (Tz. II.5.5. BAIT) No access
  7. 2.6.7 Überprüfung der Sicherheit der IT-Systeme (Tz. II.5.6. BAIT) No access
  8. 2.6.8 Zusammenfassung und Ausblick auf DORA No access
7. 1. 2.7.1 Einführung in das Kapitel Identitäts- und Rechtemanagement No access
  2. 2.7.2 Zielsetzung (Tz. II.6.1. BAIT) No access
  3. 2.7.3 Anforderungen an Berechtigungskonzepte, Zuordenbarkeit von Zugriffen und Vergabe von Berechtigungen (Tz. II.6.2. BAIT bis Tz. II.6.4. BAIT) No access
  4. 2.7.4 Anforderungen an die Rezertifizierung von Berechtigungen (Tz. II.6.5. BAIT und Tz. II.6.6. BAIT) No access
  5. 2.7.5 Anforderungen an privilegierte Berechtigungen (Tz. II.6.7. BAIT) No access
  6. 2.7.6 Anforderungen an technisch-organisatorische Maßnahmen (Tz. II.6.8. BAIT) No access
  7. 2.7.7 Zusammenfassendes Fazit und Ausblick zu DORA No access
8. 1. 2.8.1 Einführung in das Kapitel IT-Projekte und Anwendungsentwicklung No access
  2. 2.8.2 Zielsetzung der Regelungen zu IT-Projekten und Anwendungsentwicklung (Tz. II.7.1. BAIT) No access
  3. 2.8.3 Regelungen zu IT-Projekten (Tz. II.7.2. BAIT bis Tz. II.7.5. BAIT) No access
  4. 2.8.4 Regelungen zur Anwendungsentwicklung (Tz. II.7.6. BAIT bis Tz. II.7.12. BAIT) No access
  5. 2.8.5 Regelungen zur individuellen Datenverarbeitung (Tz. II.7.13. BAIT und Tz. II.7.14. BAIT) No access
  6. 2.8.6 Zusammenfassendes Fazit und Ausblick zu DORA No access
9. 1. 2.9.1 Einführung in das Kapitel IT-Betrieb No access
  2. 2.9.2 Allgemeine Vorgaben zum IT-Betrieb (Tz. II.8.1. BAIT) No access
  3. 2.9.3 Angaben zu Komponenten der IT-Systeme (Tz. II.8.2. BAIT) No access
  4. 2.9.4 Steuerung und Aktualisierung von IT-Systemen (Tz. II.8.3. BAIT) No access
  5. 2.9.5 Änderung von IT-Systemen (Tz. II.8.4. BAIT und Tz. II.8.5. BAIT) No access
  6. 2.9.6 Umgang mit ungeplanten Abweichungen vom Regelbetrieb (Tz. II.8.6. BAIT) No access
  7. 2.9.7 Verfahren zur Datensicherung und Datensicherungskonzepte (Tz. II.8.7. BAIT) No access
  8. 2.9.8 Leistungs- und Kapazitätsbedarf (Tz. II.8.8. BAIT) No access
  9. 2.9.9 Zusammenfassendes Fazit und Ausblick zu DORA No access
10. 1. 2.10.1 Einführung in das Kapitel Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen No access
  2. 2.10.2 Auslagerungen vs. sonstiger Fremdbezug von IT-Dienstleistungen (Tz. II.9.1. BAIT) No access
  3. 2.10.3 Risikobewertungen für sonstigen IT-Fremdbezug (Tz. II.9.2. BAIT) No access
  4. 2.10.4 Steuerung und Überwachung des sonstigen IT-Fremdbezugs (Tz. II.9.3. BAIT) No access
  5. 2.10.5 Verbindung der Risikobewertung mit Vertragsgestaltung und OpRisk-Management (Tz. II.9.4. BAIT) No access
  6. 2.10.6 Überprüfung der Risikobewertungen (Tz. II.9.5. BAIT) No access
11. 1. 2.11.1 Einführung in das Kapitel IT-Notfallmanagement No access
  2. 2.11.2 Ziele zum Notfallmanagement (Tz. II.10.1. BAIT) No access
  3. 2.11.3 Ziele und Rahmenbedingungen (Tz. II.10.2. BAIT) No access
  4. 2.11.4 IT-Notfallpläne (Tz. II.10.3. BAIT) No access
  5. 2.11.5 IT-Notfalltests (Tz. II.10.4. BAIT) No access
  6. 2.11.6 Notfallplanung für Rechenzentren (Tz. II.10.5. BAIT) No access
  7. 2.11.7 Fortentwicklung der Anforderungen und der Prüfungspraxis zur Notfallplanung No access
12. 2.12 BAIT II.11. Kundenbeziehungen mit Zahlungsdienstnutzern No access
13. 1. 2.13.1 Einführung in das Kapitel Kritische Infrastrukturen No access
  2. 2.13.2 Einzelanforderungen in Kapitel 12 (Tz. II.12.1. bis Tz. II.12.5. BAIT) No access
1. 1. 3.1.1 DORA-Verordnung, DORA-Richtlinie und FinmadiG No access
  2. 3.1.2 Delegierte Rechtsakte zu DORA No access
  3. 3.1.3 Auslegungen der Aufsicht zu DORA No access
  4. 3.1.4 Vorgaben in Kapitel I DORA-VO zum Anwendungskreis und zur Proportionalität No access
2. 1. 3.2.1 Vorgaben in Kapitel II DORA-VO und Delegierte Verordnung 2024/1774 No access
  2. 3.2.2 Vorgaben zu Leitungsorgan, Governance und Schulungen No access
  3. 3.2.3 IKT-Risikomanagementrahmen und dessen Überprüfung sowie DOR-Strategie No access
  4. 3.2.4 Geschäftskontinuitätsplanung No access
  5. 3.2.5 Vereinfachter IKT-Risikomanagementrahmen No access
3. 1. 3.3.1 Anforderungen gemäß DORA-Verordnung und Relevanz von schwerwiegenden Vorfällen No access
  2. 3.3.2 Vorgaben in den Delegierten Rechtsakten No access
  3. 3.3.3 Meldeprozess an die BaFin No access
4. 3.4 Testen der digitalen operationalen Resilienz No access
5. 1. 3.5.1 Anforderungen gemäß DORA-Verordnung im Überblick No access
  2. 3.5.2 Anforderungen gemäß DelVO 2024/1773 zur Leitlinie zur Nutzung von IKT-Dienstleistungen von Dritten No access
  3. 3.5.3 Anforderungen an das Informationsregister No access
6. 1. 3.6.1 Vorgaben gemäß DORA-VO No access
  2. 3.6.2 Delegierte Rechtsakte zu kritischen IKT-Drittdienstleistern No access
7. 3.7 Gesamtbewertung des DORA-Regelwerks No access
1. 1. 4.1.1 Weiterentwicklung im Fachgremium IT und auf EU-Ebene No access
  2. 4.1.2 Vorgaben an Cloud-Computing-Provider No access
  3. 4.1.3 Threat-led-Penetration Test/TIBER-DE No access
2. 1. 4.2.1 Fintechs und Digital Markets Act No access
  2. 4.2.2 KI und AI Act No access
5 Schlusswort No access Pages 345 - 348
Rechtstexte No access Pages 349 - 352
Literatur No access Pages 353 - 376
Autorenteam No access Pages 377 - 378