Dieser Anforderungsbereich betrifft Kritische Infrastrukturen für die Anbieter, die aufgrund ihrer Dienstleistungen und ihrer Größe der BSI-KRITIS-Verordnung unterliegen und besondere Anforderungen an die Informationssicherheit erfüllen müssen. Kritische Infrastrukturen (KRITIS) sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall Versorgungsengpässe oder andere dramatische Folgen eintreten würden. Dazu gehören beispielsweise Krankenhäuser, Energie- und Wasserversorger oder Telekommunikations-Unternehmen.
BAIT, VAIT und KAIT stimmen dabei inhaltlich weitgehend überein, mit Ausnahme der Kritischen Infrastrukturen. In den KAIT ist dieser Aspekt nicht enthalten, da der Tätigkeitsbereich nicht als kritisch eingestuft ist. Die Bafin aktualisiert diese drei Vorschriften regelmäßig und reagiert damit auf die neuesten technologischen Entwicklungen und die sich verändernden Angriffsvektoren der Cyberkriminellen.
Ein Beispiel ist hier die Novelle der BAIT vom 16. August 2021 mit einigen Erweiterungen und Anpassungen. Neu dabei ist etwa das Kapitel „Operative Informationssicherheit“ mit Anforderungen an Wirksamkeitskontrollen für bereits umgesetzte Maßnahmen für eine höhere Informationssicherheit. Dazu gehören beispielsweise Schwachstellenscans, Penetrationstests oder Simulationen von Angriffen.
Neu ist außerdem das Kapitel „IT-Notfallmanagement“ mit der Einrichtung von Wiederanlauf-, Notbetriebs- und Wiederherstellungsplänen für zeitkritische Prozesse und Aktivitäten. Laut BAIT müssen Banken jetzt jährlich auf Basis eines IT-Testkonzepts prüfen, ob diese drei Arten von IT-Notfallplänen wirksam sind. Hinzu kommen verschärfte Anforderungen an die Erkennung und Analyse von sicherheitsrelevanten Ereignissen, Security-Awareness-Schulungen, das Risikomanagement oder die physische Sicherheit.