DORA – BaFin-Umsetzungshinweise
Aufsichtliche Umsetzungshinweise und der damit verbundene Handlungsbedarf für die Institute und die Interne Revision
Termin wählenBeschreibung
Die Erfordernisse des Digital Operational Resilience Act (DORA) sind in allen EU-Mitgliedstaaten ab dem
17. Januar 2025 verbindlich anzuwenden. Durch DORA soll ein EU-weiter Rechtsrahmen zur Stärkung der Cybersicherheit und der digitalen Betriebsfestigkeit des Finanzsektors erreicht werden.
Die im Juli 2024 veröffentlichte BaFin-Aufsichtsmitteilung soll eine Unterstützung bei der Umsetzung der DORA- Anforderungen an das IKT-Risikomanagement (Kapitel II) und das IKT-Drittparteienrisikomanagement (Kapitel V Abschnitt I) geben (incl. RTS).
Sie richtet sich insbesondere an diejenigen von der BaFin beaufsichtigten Unternehmen, die unter die Anwendungsbereiche der Bankaufsichtlichen Anforderungen an die IT (BAIT) oder der Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) fallen und künftig u. a. die Anforderungen an das IKT-Risikomanagement gemäß Art. 5 bis 15 DORA erfüllen müssen.
Basis der Umsetzungshinweise sind die Ergebnisse von sechs in 2023 eingerichteten Arbeitsgruppen, die sich aus Vertreterinnen und Vertretern der Industrie, der Deutschen Bundesbank und der BaFin zusammengesetzt haben.
In den Arbeitsgruppen wurden die Anforderungen der DORA an den bereits erwähnten „regulären IKT-Risikomanagementrahmen“ und an die „Schlüsselprinzipien für ein solides Management des IKT-Drittparteienrisikos“ (Art. 28 - 30 DORA) sowie der dazugehörigen RTS-Entwürfe den Anforderungen der Kapitel 1 bis 10 BAIT und VAIT gegenübergestellt. Der Handlungsbedarfe wird darin dargestellt.
Das Seminar stellt die Erfordernisse der BaFin-Aufsichtsmitteilung und den Handlungsbedarf für die Institute und die Interne Revision (Projektbegleitung, Revisionsprüfung) dar.
Inhalte
Einleitung
- DORA-Strategie
- Governance- und Kontrollrahmen
- Ausweitung Verantwortung des Leitungsorgans (Vorstand, Geschäftsführer)
Governance und Organisation
- Neue Strategie für die digitale operationale Resilienz
- IKT-spezifischer interner Governance- und Kontrollrahmen
- Aufgaben des Leitungsorgans
Informationsrisiko- und Informationssicherheitsmanagement
- Akzentverschiebung von Informationssicherheit zu IKT-Risikomanagement
- Fokus auf Analyse- und Kontrollhandlungen
- Schulung und Kommunikation
IT-Betrieb
- Gestärkte Betriebsstabilität
- Klassifizierung der IKT-Systeme und -Informationen
- Ausweitung auf alle Änderungen an IKT-Systemen
- Getrennte Datenhaltung sowie Abgleich der Datensicherung
IKT-Geschäftsfortführungsmanagement
- Veränderte Struktur und Inhalte von Leitlinien und Plänen
- Erweiterung verpflichtender Szenarien
- Regelmäßige Überprüfung des IKT-Geschäftsfortführungsmanagements
- Stärkung von Krisenmanagement und Kommunikation
IT-Projektmanagement und Anwendungsentwicklung
- Vergleichbare Anforderungen im IKT-Projektmanagement
- Detailvorgaben zu IKT-System Beschaffung, Entwicklung und Instandhaltung
- Wegfall der Wesentlichkeitsgrenze im IKT-Änderungsmanagement
IKT-Drittparteienrisikomanagement
- Abgrenzung zu Auslagerung und Ausgliederung
- Ausweitung der Vertragsanforderungen
- Neuregelung von Unterauftragsvergaben
- Umfangreiche Anforderungen an Risikoanalysen und Due-Diligence
- Geänderte Anforderungen an den Ausstieg
- Veränderungen an der Governance des IKT-Drittparteienrisikos
- Hinweis zu Meldepflichten und Informationsregister
Operative Informationssicherheit
- Gestärkte Netzwerksicherheit
- Verschlüsselung von Daten auch während der Verarbeitung
- Zeitnahe Erkennung und Behandlung von Schwachstellen
Identitäts- und Rechtemanagement
- Explizite Anforderungen an das Identitätsmanagement
- Einführung des „need-to-use“ Prinzips
Methodik
- Interaktiver Vortrag
- Praxisbeispiele
- Diskussion
- Blitzlicht
- Individuelles Feedback
- Offene Runde
Teilnehmerkreis
Das Seminar richtet sich an Mitarbeiter und Führungskräfte der Internen Revision, Informationssicherheitsbeauftragte, externe Revision, Aufsicht, Mitarbeiter von Beratungsunternehmen.
Termine & Orte
online
Seminarnummer 2462373
Anmeldeschluss 16.09.2024
online
Seminarnummer 2562125
Anmeldeschluss 26.01.2025
online
Seminarnummer 2562126
Anmeldeschluss 15.10.2025
Rabatte / Fördermöglichkeiten
Folgende Bildungsangebote könnten Sie ebenfalls interessieren:
04.11.2024, 09:30-17:00 in online
Das Seminar gibt Ihnen einen Überblick über das Basispapier des „Digital Operational Resilience Act“ (DORA), geht auf die Umsetzungsrelevanz ein und zeigt geeignete Maßnahmen für die Projektarbeit sowie die praktische Tätigkeit der Internen Revision und des IT-Informationssicherheitsmanagements in den Instituten auf.
Mehr Details Jetzt buchen04.03.2025, 09:30-17:00 in online
In diesem Seminar werden die Grundlagen, wichtige Elemente zum effizienten Aufbau, Betrieb und der kontinuierlichen Verbesserung eines Information Security Management System (ISMS), auf Basis der DORA-Anforderungen, vermittelt. Der Schwerpunkt liegt in der Vertiefung zu den Bereichen „Testen der digitalen operationalen Resilienz“ und „Management des IKT-Drittparteienrisikos“.
Mehr Details Jetzt buchen16.10.2024, 09:30 - 18.10.2024, 15:00 in online
Unser Lehrgang vermittelt systematisch das Thema DORA (Basisanforderung sowie IKT-Sicherheitsmanagement), so dass Sie einen besseren Überblick und mehr Sicherheit gewinnen – besonders in Bezug auf die neuesten Entwicklungen. Mit Ihrer Zertifizierung verfügen Sie über das Fachwissen zu den regulatorischen Anforderungen im Bereich DORA und IKT-Sicherheitsmanagement und die Fähigkeit, dieses Wissen effektiv und praxisnah anzuwenden.
Mehr Details Jetzt buchen30.09.2024, 09:30-17:00 in online
Das Seminar fokussiert sich auf auf neue regulatorische Entwicklungen wie DORA, das BSI-Handbuch Cybersecurity, Fraud-Management Systeme und bindet wichtige Praxiserfahrungen mit ein.
Mehr Details Jetzt buchen