Überwachung der NIS2-Einhaltung im IKT-Drittparteienmanagement für Finanzinstitute und die Interne Revision

Kreditinstitute

Beschreibung

Mit der Einführung/Umsetzung der NIS2-Richtlinie (Network and Information Security Directive 2)1 hat die Europäische Union die Anforderungen an Cybersicherheit und Risikomanagement für Unternehmen erheblich verschärft. Dadurch stehen auch Finanzinstitute vor erweiterten Anforderungen an die Steuerung und Überwachung von Cybersicherheitsrisiken – insbesondere entlang ihrer IKT-Liefer bzw. Dienstleistungsketten. Parallel wirken bestehende aufsichtsrechtliche Vorgaben wie DORA (Digital Operational Resilience Act)2 und nationale Mindestanforderungen an das Risikomanagement, wodurch ein komplexes regulatorisches Zusammenspiel in der IKT-Drittparteienüberwachung entsteht.

IKT-Drittparteien – etwa Cloud-Anbieter, IT-Dienstleister oder Softwareprovider – sind zu kritischen Bestandteilen der Wertschöpfungskette geworden. Gleichzeitig erhöhen sie die Angriffsfläche und stellen besondere Anforderungen an Transparenz, Kontrolle und Nachweisbarkeit von Sicherheitsmaßnahmen. Finanzinstitute müssen daher nicht nur geeignete Steuerungsmechanismen etablieren, sondern auch eine kontinuierliche, prüffähige Überwachung der NIS2-Compliance sicherstellen.

Insbesondere die Interne Revision nimmt hierbei eine Schlüsselrolle ein: Sie bewertet unabhängig die Angemessenheit und Wirksamkeit der implementierten Kontrollsysteme und liefert der Geschäftsleitung sowie Aufsichtsorganen eine fundierte Einschätzung zur regulatorischen Konformität.

Dieses Seminar vermittelt praxisnah, wie Finanzinstitute ein wirksames Überwachungssystem für die NIS2-Einhaltung im IKT-Drittparteienmanagement aufbauen und wie die Interne Revision dieses systematisch prüfen und begleiten kann.

Programm

  • Regulatorischer Rahmen im Finanzsektor
    • Überblick über die NIS2-Richtlinie und deren Relevanz für Finanzinstitute
    • Schnittstellen zu DORA und weiteren aufsichtsrechtlichen Vorgaben
    • Anforderungen an IKT-Drittparteien und Lieferketten
  • IKT-Drittparteienmanagement im Finanzkontext
    • Definition (kritischer/wichtiger) IKT-Dienstleister
    • Risikoarten (z.B. Konzentrationsrisiken, Abhängigkeiten)
  • Überwachungsanforderungen nach NIS2
    • Kontinuierliches Monitoring und Kontrollmechanismen
    • Mindestanforderungen an Sicherheitsmaßnahmen bei Drittparteien
    • Nachweisführung und Dokumentationspflichten
  • Prüfungsansätze der Internen Revision
    • Aufbau eines risikoorientierten Prüfungsplans
    • Prüffelder und Kontrollziele im IKT-Drittparteienmanagement
    • Zusammenarbeit mit „2nd Line of Defense“ (z.B. Risikomanagement, Compliance)

Seminarziel

Das Seminar stellt die relevanten Gebiete der KI-GAP-Analyse dar, diskutiert mögliche Umsetzungsthemen und Maßnahmen sowie die regulatorische Bedeutung zu IKT-Risiken beim Einsatz von KI in Finanzinstituten.

Teilnehmerkreis

Führungskräfte/ Mitarbeiter der Internen Revision, KI-Einheiten, Informationssicherheits-beauftragte, IKT-Risk Management, IT-Compliance, IT-Bereich, externe Revision, Aufsicht, Mitarbeiter von IKT-Beratungsunternehmen

Voraussetzungen

Basiswissen im Bereich der IT und IT-Regulatorik sind für die Teilnahme von Vorteil.

  1. Vgl. RICHTLINIE (EU) 2022/2555 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie) ↩︎
  2. Vgl. VERORDNUNG (EU) 2022/2554 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011 ↩︎