Die BAIT sind Verwaltungsanweisungen der Bundesanstalt für Finanzdienstleistungsaufsicht, die in Form eines Rundschreibens erstmals am 3. November 2017 veröffentlicht wurden. Das Rundschreiben gibt einen „flexiblen und praxisnahen Rahmen für die technisch-organisatorische Ausstattung der Institute, insbesondere für das Management der IT-Ressourcen und für das IT-Risikomanagement“ vor und konkretisiert die Vorgaben der MaRisk. 

Am 16. August 2021 hat die BaFin die neue Fassung der BAIT veröffentlicht, die am gleichen Tag in Kraft getreten ist (Rundschreiben 10/2017 (BA)). Sie enthält u. a. neue Kapitel zum Thema Operative Informationssicherheit und IT-Notfallmanagement sowie neue Anforderungen an Zahlungsdienstleister. Übergangsfristen gibt es keine, da laut BaFin keine grundlegend neuen Anforderungen gestellt, sondern bestehende Vorgaben konkretisiert wurden. Einer der Hintergründe der BAIT-Novellierung waren die Leitlinien der EBA zum Management von IKT- und Sicherheitsrisiken.

Neben der BAIT gibt es auch eine VAIT und eine KAIT, die die versicherungsaufsichtlichen bzw. kapitalverwaltungungsaufsichtlichen Anforderungen an die IT behandelt. Ebenfalls am 16. August 2021 wurde das neue Rundschreiben „Zahlungsdiensteaufsichtliche Anforderungen an die IT“, kurz ZAIT, veröffentlicht. Darin erläutert die Aufsicht, welche aufsichtlichen Anforderungen an eine ordnungsgemäße Geschäftsführung Zahlungs- und E-Geld-Institute mit Blick auf den Einsatz von Informationstechnik und Cybersicherheit beachten müssen. Auch dieses Rundschreiben orientiert sich eng an den MaRisk und den BAIT.