Die Finanzaufsicht BaFin hat die Mindestanforderungen an das Risikomanagement (MaRisk) und die Bankaufsichtlichen Anforderungen an die IT (BAIT) aktualisiert und in einem Rundschreiben formuliert, welche Erwartungen sie gegenüber Zahlungs- und E-Geld-Instituten hegt, wenn es um IT- und Cybersicherheit geht. Damit kommt sie unter anderem Leitlinien der europäischen Bankenregulierungsbehörde EBA zum Management von IKT- und Sicherheitsrisiken nach.

In den Zahlungsdiensteaufsichtlichen Anforderungen an die IT (ZAIT) legt die BaFin etwa dar, wie ein funktionierendes Risikomanagement ge­artet sein soll, um die IT-Sicherheit der Institute vor der zunehmenden Bedrohung durch Hacker zu stärken. Zudem stellt das Schreiben die Anforderungen dar, die eine hohe Verfügbarkeit der Dienstleistungen gewährleisten sollen. Die betreffenden Betriebe müssen nachweisen können, dass „in einem angemessenen Zeitraum nach einer Störung“ die wesentlichen Betriebsprozesse wieder zur Verfügung stehen. Dargelegt werden auch die aufsichtlichen Anforderungen an Zahlungsinstitute, die IT-Prozesse oder IT-Aktivitäten auslagern. Die BaFin beaufsichtigt nach eigenen Angaben aktuell mehr als 80 Institute nach dem Zahlungsdiensteaufsichtsgesetz (ZAG).