Kreditinstitute
Beschreibung
Die Erfordernisse des Digital Operational Resilience Act (DORA) sind in allen EU-Mitgliedstaaten ab dem
17. Januar 2025 verbindlich anzuwenden. Durch DORA soll ein EU-weiter Rechtsrahmen zur Stärkung der Cybersicherheit und der digitalen Betriebsfestigkeit des Finanzsektors erreicht werden.
Die im Juli 2024 veröffentlichte BaFin-Aufsichtsmitteilung soll eine Unterstützung bei der Umsetzung der DORA- Anforderungen an das IKT-Risikomanagement (Kapitel II) und das IKT-Drittparteienrisikomanagement (Kapitel V Abschnitt I) geben (incl. RTS).
Sie richtet sich insbesondere an diejenigen von der BaFin beaufsichtigten Unternehmen, die unter die Anwendungsbereiche der Bankaufsichtlichen Anforderungen an die IT (BAIT) oder der Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) fallen und künftig u. a. die Anforderungen an das IKT-Risikomanagement gemäß Art. 5 bis 15 DORA erfüllen müssen.
Basis der Umsetzungshinweise sind die Ergebnisse von sechs in 2023 eingerichteten Arbeitsgruppen, die sich aus Vertreterinnen und Vertretern der Industrie, der Deutschen Bundesbank und der BaFin zusammengesetzt haben.
In den Arbeitsgruppen wurden die Anforderungen der DORA an den bereits erwähnten „regulären IKT-Risikomanagementrahmen“ und an die „Schlüsselprinzipien für ein solides Management des IKT-Drittparteienrisikos“ (Art. 28 – 30 DORA) sowie der dazugehörigen RTS-Entwürfe den Anforderungen der Kapitel 1 bis 10 BAIT und VAIT gegenübergestellt. Der Handlungsbedarfe wird darin dargestellt.
Das Seminar stellt die Erfordernisse der BaFin-Aufsichtsmitteilung und den Handlungsbedarf für die Institute und die Interne Revision (Projektbegleitung, Revisionsprüfung) dar.
Programm
Einleitung
- DORA-Strategie
- Governance- und Kontrollrahmen
- Ausweitung Verantwortung des Leitungsorgans (Vorstand, Geschäftsführer)
Governance und Organisation
- Neue Strategie für die digitale operationale Resilienz
- IKT-spezifischer interner Governance- und Kontrollrahmen
- Aufgaben des Leitungsorgans
Informationsrisiko- und Informationssicherheitsmanagement
- Akzentverschiebung von Informationssicherheit zu IKT-Risikomanagement
- Fokus auf Analyse- und Kontrollhandlungen
- Schulung und Kommunikation
IT-Betrieb
- Gestärkte Betriebsstabilität
- Klassifizierung der IKT-Systeme und -Informationen
- Ausweitung auf alle Änderungen an IKT-Systemen
- Getrennte Datenhaltung sowie Abgleich der Datensicherung
IKT-Geschäftsfortführungsmanagement
- Veränderte Struktur und Inhalte von Leitlinien und Plänen
- Erweiterung verpflichtender Szenarien
- Regelmäßige Überprüfung des IKT-Geschäftsfortführungsmanagements
- Stärkung von Krisenmanagement und Kommunikation
IT-Projektmanagement und Anwendungsentwicklung
- Vergleichbare Anforderungen im IKT-Projektmanagement
- Detailvorgaben zu IKT-System Beschaffung, Entwicklung und Instandhaltung
- Wegfall der Wesentlichkeitsgrenze im IKT-Änderungsmanagement
IKT-Drittparteienrisikomanagement
- Abgrenzung zu Auslagerung und Ausgliederung
- Ausweitung der Vertragsanforderungen
- Neuregelung von Unterauftragsvergaben
- Umfangreiche Anforderungen an Risikoanalysen und Due-Diligence
- Geänderte Anforderungen an den Ausstieg
- Veränderungen an der Governance des IKT-Drittparteienrisikos
- Hinweis zu Meldepflichten und Informationsregister
Operative Informationssicherheit
- Gestärkte Netzwerksicherheit
- Verschlüsselung von Daten auch während der Verarbeitung
- Zeitnahe Erkennung und Behandlung von Schwachstellen
Identitäts- und Rechtemanagement
- Explizite Anforderungen an das Identitätsmanagement
- Einführung des „need-to-use“ Prinzips
Seminarziel
Ziel des Seminars ist es, Ihnen einen Überblick über die in der BaFin-Aufsichtsmitteilung enthaltenen Hinweise zur Umsetzung von DORA im IKT-Risikomanagement und IKT-Drittparteienmanagement zu geben, um den Handlungsbedarf für das eigene Institut und die Bedeutung für die Interne Revision aufzuzeigen.
Teilnehmerkreis
Vorstände, Aufsichtsräte (Verwaltungsräte), Führungskräfte/ Mitarbeiter der Internen Revision, Informationssicherheitsbeauftragte, externe Revision, Aufsicht, Mitarbeiter von Beratungsunternehmen