Bundle "Den DORA-Anforderungen gestärkt entgegenblicken"

Seminare "DORA – Basisanforderungen" & "DORA Implementer"

Beschreibung

Seminar: DORA Basisanforderungen – Handlungsbedarf für die Institute und die Interne Revision

Die Erfordernisse des Digital Operational Resilience Act (DORA) sind in allen EU-Mitgliedstaaten seit 17. Januar 2025 verbindlich anzuwenden. Durch DORA soll ein EU-weiter Rechtsrahmen zur Stärkung der Cybersicherheit und der digitalen Betriebsfestigkeit des Finanzsektors erreicht werden. Dies ist auch notwendig, denn die Schäden durch Cyberrisiken in den Finanzsystemen sind hoch. Immer wieder sind Finanzdienstleister teils empfindlich betroffen. Zudem werden auch die wichtigen IT-Dienstleister in die erhöhten Anforderungen miteinbezogen.

Mit DORA werden Anforderungen eingeführt, um angemessen auf Störungen und Bedrohungen der Informations- und Kommunikationstechnologie (IKT) zu reagieren und Cyber-Angriffe zu verhindern bzw. ihre Auswirkungen zu reduzieren bzw. zu minimieren.

Im Finanzbereich finden aktuell eine Vielzahl von Umsetzungsprojekten statt. Dabei spielt die Interne Revision im Rahmen der Projektbegleitung (wesentliche Projekte) eine wichtige Rolle. Fachseitig finden umfangreiche GAP-Analysen statt, um den Handlungsbedarf zu messen und die Umsetzung der DORA-Anforderungen zu sichern. Schwierig ist die Situation im Hinblick auf die technischen Umsetzungsstandards, die sich teilweise noch in Konsultation befinden. Dies macht die Umsetzung nicht leichter.   

Das Seminar stellt die Erfordernisse des DORA-Basispapiers dar, diskutiert die Inhalte und leitet Prüfungsfragen ab, die teils auch im Rahmen einer GAP-Analyse verwendet werden können.

Sowohl für die Bereiche der Informationssicherheit sowie der Internen Revision zwingt die IT-Risikolage und die durch DORA verschärfte Regulatorik zum Handeln in den Instituten. Bei Nichteinhaltung der Vorgaben drohen Sonderprüfungen durch die Aufsicht. Bei Nichteinhaltung der künftigen Meldeerfordernisse drohen Bußgelder für die Institute. Die Geschäftsleitungen sind in der Primärverantwortung.

Abgeleitet werden Handlungs- und Prüfungsansätze für die Bereiche Informationssicherheit, Interne Revision und Fraud-Prävention. Praktische Erfahrung ergänzen die Ausführungen.
 

Seminar "DORA Implementer – Praxisseminar zur Operationellen Resilienz"

Der Digital Operational Resilience Act (DORA) war bis 17.01.2025 von den regulierten Finanzunternehmen in Deutschland umzusetzen. Die DORA-Anforderungen ersetzen die bisherigen BaFin-Rundschreiben mit Anforderungen an die IT für Banken (BAIT), Versicherungsunternehmen (VAIT), Kapitalverwaltungsgesellschaften (KAIT) sowie Zahlungs- und E-Geldinstitute (ZAIT)

In unserem Seminar erlernen Sie die vertiefenden Grundlagen und wichtige Elemente zum effizienten Aufbau, Betrieb und der kontinuierlichen Verbesserung eines Information Security Management Systems (ISMS) auf Basis der DORA-Anforderungen. Kern des Seminars ist eine Anleitung, wie die zahlreichen Anforderungen aus der DORA-Verordnung sowie die darauf basierenden nachgelagerten delegierten Rechtsakte der EU in die schriftlich-fixierte Ordnung der Finanzunternehmen übertragen werden können und die neuen DORA-Anforderungen inhaltlich rechtzeitig umgesetzt werden können.
 

Inhalte

Seminar: DORA Basisanforderungen – Handlungsbedarf für die Institute und die Interne Revision

• Einleitung
  • Ziel von DORA
  • Gegenstand, Geltungsbereich, Begriffsbestimmungen
  • Granularer Überblick über die technischen Standards
• IKT-Risikomanagement (Art. 5–16)
  • Organisatorische Pflichten des Managements
  • Etablierung einheitlicher Vorgaben zur Erkennung von IKT-Störungen und notwendige Reaktion
  • Vereinheitlichung des IKT-Risikomanagements sowie des Regelungsrahmens inkl. Richtlinien, Arbeitsanweisungen und Prozesse
  • Verwendung von IKT-Sicherheitstools, -Richtlinien und -Verfahren
  • Vorgaben für Notfallpläne zur Reaktion und Wiederanlauf
  • Zusammengefasste Checkliste (Masterfragen für die Interne Revision)
• Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle (Art. 17–23)
  • Überwachung von Cyber-Bedrohungen (standardisiert)
  • Erfordernisse des IKT-Frühwarnsystems
  • Einstufung/ Klassifizierung aller IKT-Vorfälle sowie deren umfassende Auswirkungsanalyse
  • Aufzeichnungspflichten
  • Vordefinition von Kommunikationsplänen
  • Meldepflichten von schwerwiegenden IKT-Vorfällen
  • Zusammengefasste Checkliste (Masterfragen für die Interne Revision)
• Testen der digitalen operationalen Resilienz (Art. 24–27)
  • Anforderungen an das Testprogramm zur Prüfung der digitalen Betriebsstabilität (Penetration Testing)
  • Überprüfung kritischer Funktionen & Dienstleistungen inkl. Auslagerungen
  • Geeignete Tests inkl. konkreter Testverfahren
  • Beauftragung externer Dienstleister für Thread Led Penetration Tests (TLPT)
  • Qualifikationen interner und externer Prüfer / Tester (inkl. Interne Revision)
  • Genehmigung von Testinhalten durch Behörde und Vorlage von Testergebnissen
  • Zusammengefasste Checkliste (Masterfragen für die Interne Revision)
• Management des IKT-Drittparteirisikos (Kapitel V, Abschnitt I, Art. 28–30)
  • Allgemeine Prinzipien IKT-Drittparteienrisiko
  • Vorläufige Bewertung des IKT-Konzentrationsrisikos auf Unternehmensebene
  • Wesentliche Vertragsbestimmungen

Seminar: DORA Implementer – Praxisseminar zur Operationellen Resilienz

• Rechtliche Grundlagen mit Fokus auf den aktuellen Stand der Regulatory Technical Standards (RTS) und Implementing Technical Standards (ITS)
• Aktuelle Fragen zum Übergang von den BaFin-Rundschreiben auf die EU-einheitlichen DORA-Anforderungen
• Best Practice zur Umsetzung der Anforderungen zum IKT-Risikomanagement in Kapitel II der DORA-Verordnung
• Grundlagen und Einführung in ein Information-Security-Management-System (ISMS) der ISO/IEC 2700x Normreihe und Aufbau als Bezugsbasis
• Best Practice Kernelemente DORA „Testen der digitalen operationalen Resilienz“ (Kapitel IV der DORA-Verordnung)
• IKT-Drittparteien: Review von Service Level Agreements mit Blick auf die DORA-Anforderungen
• Best Practice zur Umsetzung der Anforderungen an das Incident Management und Reporting gemäß Kapitel III der DORA-Verordnung
• Best Practice Kernelemente DORA Kapitel V „Management des IKT-Drittparteienrisikos“ mit Fokus auf die Umsetzung des Informationsregisters

Teilnehmerkreis

Fach- oder Führungskräfte aus Risikomanagement, IT-Betrieb, Revision sowie Informationssicherheitsbeauftragte und sofern Sie aktuell in DORA-Umsetzungsprojekten arbeiten