Die Abschaffung der BAIT und ihre Auswirkungen auf das Outsourcing

Die Abschaffung der BAIT und ihre Auswirkungen auf das Outsourcing

Die etablierte Outsourcing-Governance spielt auch unter DORA eine zentrale Rolle.

veröffentlicht am 11.04.2025 | Lesezeit: ca. 5 Minuten
Daniel Wagenknecht
Daniel Wagenknecht
Olaf Rösener
Olaf Rösener
Ibrahim Bilsel
Ibrahim Bilsel

Key Facts:

  • Die Abschaffung der BAIT stellt Finanzinstitute vor offene Fragen, da sie in den letzten Jahren ihre Outsourcing-Governance nach den BAIT-Anforderungen aufgebaut und weiterentwickelt haben.
  • Die gute Nachricht: Die etablierte Outsourcing-Governance kann mit Anpassungen weiterhin für die Umsetzung der DORA-Anforderungen verwendet werden.
  • Finanzinstitute sollten ihre Outsourcing-Governance dahingehend überprüfen und anpassen, welche etablierten Vorgaben und Prozesse keinen Bestand mehr haben und welche den Anforderungen nach DORA entsprechen.

Mit Einführung des Digital Operational Resilience Act (DORA) zum 17. Januar 2025 wurden die bisherigen Anforderungen der BAIT, VAIT, KAIT und abgelöst. Für das Outsourcing, das in DORA als „Third Party Risk Management“ bezeichnet wird, stellt sich nun die Frage: Wie können Finanzinstitute die etablierten BAIT-Vorgaben anpassen, um den neuen Anforderungen von DORA gerecht zu werden? Welche Änderungen sind notwendig, um eine nahtlose Umsetzung der DORA-Vorgaben zu gewährleisten und die Outsourcing-Governance langfristig zu optimieren?

DORA 2025: Nächste Schritte für Finanzdienstleister

Jetzt informieren: Anforderungen, Fristen und Handlungsbedarf auf einen Blick.

Zum Artikel

Ein Blick über die BAIT-Anforderungen an das Outsourcing

Die BAIT definierte in Kapitel 9 „Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen“ klare Vorgaben, die in die folgenden fünf Kategorien eingeordnet werden konnten:

  • Definition und Klassifizierung einer IT-Dienstleistung: Während die MaRisk und EBA-Leitlinien den Begriff der Auslagerung und des sonstigen Fremdbezugs definieren, führte die BAIT den Begriff der „IT-Dienstleistung“ ein und gab konkrete Beispiele, welche Dienstleistungen unter diesen Begriff fallen.
  • Risikobewertung für den sonstigen Fremdbezug von IT-Dienstleistungen: Die BAIT verlangte eine Risikobewertung für jeden sonstigen Fremdbezug von IT-Dienstleistungen, deren Art und Umfang im Verhältnis zum Risikomanagement des Instituts festgelegt werden mussten. Eine Besonderheit war die Möglichkeit, gleichartige IT-Dienstleistungsbeziehungen zu clustern.
  • Steuerung und Überwachung von IT-Dienstleistungen: Die BAIT betonte die Notwendigkeit der Steuerung und Überwachung des sonstigen Fremdbezugs von IT-Dienstleistungen, unter anderem unter Berücksichtigung der zuvor durchgeführten Risikobewertung.
  • OpRisk, Exit- und Ausfallpläne: Die BAIT forderte, dass aus der Risikobewertung abgeleitete Maßnahmen in die Vertragsgestaltung einfließen, insbesondere in Bezug auf Informationssicherheits- und Business Continuity Management. Zudem sollten ermittelte Risiken in die Gesamtrisikobewertung des operationellen Risikos einbezogen werden. Bei Relevanz wurden auch Exit-Strategien gefordert, um den Ausfall eines IT-Dienstleisters abzufedern.
  • Überprüfung der Risikobewertung: Die BAIT verlangte eine regelmäßige Überprüfung der Risikobewertung im Zusammenhang mit IT-Dienstleistungen.

Die Auswirkungen der BAIT-Abschaffung auf das Outsourcing

Mit der Abschaffung der BAIT und der Einführung von DORA stehen Finanzinstitute vor der Aufgabe, die etablierten Strukturen und Prozesse anzupassen. Denn operativ fallen unter die Anwendung der BAIT alle IT-Beschaffungen, welche häufig deutlich mehr als eine dreistellige Anzahl von Verträgen sind.

Im Folgenden werden die Auswirkungen des Wegfalls der Anforderungen für die eben benannten Themen beleuchtet und erläutert, inwieweit diese Anforderungen für die Umsetzung der DORA-Anforderungen verwendet werden können und worin die Unterschiede liegen.

1. Die Klassifizierung einer Dienstleistung als IT-Dienstleistung entfällt, kann jedoch als Orientierung für die Klassifizierung einer IKT-Dienstleistung gemäß DORA dienen.

Mit der Aufhebung der BAIT entfällt die Klassifizierung einer Dienstleistung als „IT-Dienstleistung“. Stattdessen verlangt DORA die Einstufung von Dienstleistungen als „IKT-Dienstleistung“, wobei Finanzinstitute prüfen müssen, ob eine Dienstleistung diese Kriterien erfüllt.

BAIT können dabei als Orientierungshilfe dienen, da die Begriffe inhaltlich ähnlich sind. Auch die BaFin geht in ihren Q&A auf diesen Aspekt ein und stellt klar, dass grundsätzlich alle sonstigen Fremdbezüge von IT-Leistungen (sFB-IT) auch IKT-Dienstleistungen sind. Finanzinstitute müssen eine eigenständige Definition und Interpretation entwickeln, um zu entscheiden, in welchen Fällen eine Dienstleistungsvereinbarung eine IKT-Dienstleistung darstellt.

Der Begriff „IKT-Dienstleistung“ umfasst ein breites Spektrum, das über die in der BAIT genannten IT-Dienstleistungen hinausgeht. In DORA sind 19 verschiedene Arten von IKT-Dienstleistungen definiert, die berücksichtigt werden müssen.

2. Die Risikobewertung für den sonstigen Fremdbezug von IT-Dienstleistungen kann weiterverwendet werden.

Im Gegensatz zu BAIT fordert DORA vor vertraglicher Vereinbarung einer IKT-Dienstleistung die Bewertung spezifischer Dienstleistungs- und Dienstleisterrisiken, wie etwa das Konzentrationsrisiko oder Interessenkonflikte.

Die etablierten Strukturen aus der BAIT für die Risikobewertung können weiterhin genutzt werden, müssen jedoch um die spezifischen Risikokategorien aus DORA erweitert werden. Ein wichtiger Unterschied besteht darin, dass DORA nicht explizit die Möglichkeit zur Clusterung gleichartiger Risikobewertungen für den Fremdbezug von IT-Dienstleistungen vorsieht.

3. Die Steuerung und Überwachung von I(K)T-Dienstleistungen bleiben erhalten.

DORA fordert die regelmäßige Überprüfung der Risiken, die im Zusammenhang mit der vertraglichen Vereinbarung ermittelt wurden. Die durch BAIT für den sonstigen Fremdbezug von IT-Dienstleistungen etablierten Steuerungsmechanismen können somit für die Steuerung und Überwachung von IKT-Dienstleistungen erhalten bleiben, müssen jedoch um Elemente aus der Risikobewertung nach DORA erweitert werden.

Ein wichtiger Unterschied: Die Steuerung von Dienstleistern auf Basis von Vertragsbündeln, wie sie in der BAIT erlaubt war, ist in DORA keine explizite Anforderung. Aufgrund von großen Mengengerüsten bei IT-Beschaffungen wird es sich zeigen, ob diese Praxis insbesondere für risikoarme IT-Beschaffungen weiterhin genutzt wird.

4. Die Einbindung von Risiken in die Vertragsgestaltung, ins OpRisk sowie Exit-Strategien behalten ihre Gültigkeit.

Mit DORA sind für IKT-Dienstleistungen feste Vertragselemente definiert, besonders für Dienstleistungen, die eine kritische oder wichtige Funktion unterstützen.

Im Gegensatz zu BAIT wird somit nicht mehr von einer individuellen Unterscheidung durch eine Risikobewertung ausgegangen, sondern durch die Klassifizierung einer IKT-Dienstleistung. Finanzinstitute müssen festlegen, welche Vertragsinhalte gemäß DORA zu berücksichtigen sind. Sofern bereits weitere Vertragsinhalte aus einer Risikobewertung der BAIT berücksichtigt sind, ist die weitere Berücksichtigung auch für IKT-Dienstleistungen empfohlen.

Die Berücksichtigung von operationellen Risiken durch den Bezug von IKT-Drittdienstleistungen und der Abhängigkeit des Instituts wird auch von DORA aufgegriffen. Finanzdienstleister müssen festlegen, wie die Art, das Ausmaß, die Komplexität und die Relevanz der Risiken in den Risikomanagementrahmen des Instituts integriert werden. Daher liegt es auf der Hand, dass die Prozesse zur Einbindung in die operationellen Risiken (OpRisk) weitergelebt werden.

Ferner greift DORA ebenfalls die Entwicklung und Dokumentation von Exit-Strategien auf und grenzt dies auf IKT-Dienstleistungen zur Unterstützung einer kritischen oder wichtigen Funktion ein. Sofern also Exit-Strategien erarbeitet wurden, können diese weiterhin berücksichtigt werden. Jedoch sind die Spezifika des Digital Operational Resilience Act, zum Beispiel das , zu berücksichtigen.

5. Risikobewertungen sind weiterhin regelmäßig zu überprüfen

Wie BAIT verpflichtet auch DORA zur regelmäßigen und anlassbezogenen Überprüfung der Risiken im Zusammenhang mit IKT-Dienstleistungen und betont insbesondere die Notwendigkeit einer kontinuierlichen Bewertung des IKT-Risikomanagements und von IKT-Risiken, was die regelmäßige Überprüfung der Risikobewertungen einschließt.

Angesichts der Abschaffung der BAIT-Anforderungen sollten Finanzinstitute weiterhin sicherstellen, dass ihre Risikobewertungen regelmäßig und anlassbezogen durchgeführt werden. Die bereits definierten Intervalle für eine regelmäßige Überprüfung sowie die Trigger für eine anlassbezogene Überprüfung können für IKT-Dienstleistungen übernommen werden.

Fazit: Die Anpassung der Outsourcing-Governance an DORA

Viele der etablierten Prozesse aus der BAIT können weiterhin als Grundlage für die Umsetzung der DORA-Anforderungen dienen. Finanzinstitute sollten jedoch ihre Outsourcing-Governance kritisch überprüfen und anpassen, um den neuen Anforderungen gerecht zu werden. Besonders wichtig ist die Anpassung der Begrifflichkeiten und die Klassifizierung von IKT-Dienstleistungen, die nun im Rahmen von DORA eine zentrale Rolle spielen.

Sourcing als Erfolgsfaktor für Banken und Versicherer

Sourcing neu gedacht – mehr Effizienz, mehr Handlungsspielraum.

Studie herunterladen

Das könnte Sie auch interessieren

CMDB DORA Frauen Meeting Computer
Cloud und Cyber Security

DORA-Umsetzung: Unterschätzte Bedeutung der Konfigurationsdatenbank CMDB

DORA-Umsetzung: Unterschätzte Bedeutung der Konfigurationsdatenbank CMDB

14.02.2025 | ca. 4 Minuten Lesezeit

Eine gut gepflegte CMDB ist ein unverzichtbares Werkzeug für die DORA-Konformität.

Axel Luckhardt
Axel Luckhardt
Lars Laakmann
Lars Laakmann
Anna-Maria von Darl
Anna-Maria von Darl
DORA Cyber Schild mit Schloss
Regulatorik und Compliance

DORA – auch nach dem Stichtag bleibt 2025 viel zu tun

DORA – auch nach dem Stichtag bleibt 2025 viel zu tun

07.02.2025 | ca. 4 Minuten Lesezeit

Eine KPMG-Untersuchung zeigt, wo die Umsetzung in Finanzunternehmen noch Lücken hat.

Nadine Schmitz
Nadine Schmitz
Frank Püttgen
Frank Püttgen
Caroline Sieveritz
Caroline Sieveritz
DORA: So gelingt die Umsetzung
Regulatorik und Compliance

DORA: So gelingt die Umsetzung

DORA: So gelingt die Umsetzung

21.04.2023 | ca. 1 Minute Lesezeit

So halten Finanzdienstleister Kurs auf die komplexen Anforderungen der Verordnung

Marian Bernhard
Marian Bernhard
Caroline Sieveritz
Caroline Sieveritz
Suche
Schliessen
© 2025 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Aktiengesellschaft nach deutschem Recht und ein Mitglied der globalen KPMG-Organisation unabhängiger Mitgliedsfirmen, die KPMG International Limited, einer Private English Company Limited by Guarantee, angeschlossen sind. Alle Rechte vorbehalten. Für weitere Einzelheiten über die Struktur der globalen Organisation von KPMG besuchen Sie bitte https://home.kpmg/governance.