Kreditinstitute
Beschreibung
Die Erfordernisse des Digital Operational Resilience Act (DORA) sind in allen EU-Mitgliedstaaten ab dem 17. Januar 2025 verbindlich anzuwenden. Durch DORA soll ein EU-weiter Rechtsrahmen zur Stärkung der Cybersicherheit und der digitalen Betriebsfestigkeit des Finanzsektors erreicht werden. Dies ist auch notwendig, denn die Schäden durch Cyberrisiken in den Finanzsystemen sind hoch; immer wieder sind Finanzdienstleister teils empfindlich betroffen. Zudem werden auch die wichtigen IT-Dienstleister in die erhöhten Anforderungen miteinbezogen.
Mit DORA werden Anforderungen eingeführt, um angemessen auf Störungen und Bedrohungen der Informations- und Kommunikationstechnologie (IKT) zu reagieren und Cyber-Angriffe zu verhindern bzw. ihre Auswirkungen zu reduzieren bzw. zu minimieren.
Im Finanzbereich finden aktuell eine Vielzahl von Umsetzungsprojekten statt. Dabei spielt die Interne Revision im Rahmen der Projektbegleitung (wesentliche Projekte) eine wichtige Rolle. Fachseitig finden umfangreiche GAP-Analysen statt, um den Handlungsbedarf zu messen und die Umsetzung der DORA-Anforderungen zu sichern. Schwierig ist die Situation im Hinblick auf die technischen Umsetzungsstandards, die sich teilweise noch in Konsultation befinden. Dies macht die Umsetzung nicht leichter.
Das Seminar stellt die Erfordernisse zu den Meldungen zu schwerwiegenden IKT-bezogenen Vorfällen sowie Cyberbedrohungen und stellt die Meldekriterien hierzu dar.
Sowohl für die Bereiche der Informationssicherheit sowie der Internen Revision zwingt die IT-Risikolage und die durch DORA verschärfte Regulatorik zum Handeln in den Instituten. Bei Nichteinhaltung der Vorgaben drohen Sonderprüfungen durch die Aufsicht; bei Nichteinhaltung der künftigen Meldeerfordernisse drohen Bußgelder für die Institute. Die Geschäftsleitungen sind in der Primärverantwortung. Die Interne Revision ist Berater der Geschäftsleitung und damit auch in der Mitverantwortung.
Abgeleitet werden Handlungs- und Prüfungsansätze für die Bereiche Informationssicherheit, Interne Revision und Fraud-Prävention. Praktische Erfahrung ergänzen die Ausführungen.
Programm
Einleitung
- Ziel von DORA
- Gegenstand, Geltungsbereich, Begriffsbestimmungen
- Granularer Überblick über die technischen Standards
Festlegung der Kriterien für die Einstufung von IKT-bezogenen Vorfällen, der Wesentlichkeitsschwellen für schwerwiegende Vorfälle und erhebliche Cyber-Bedrohungen gemäß Verordnung (EU) 2022/2554
- • Art. 17 bis 23 Verpflichtung Managementprozess zur Behandlung von IKT-bezogenen Vorfällen und Überwachung, Protokollierung und ggf. Meldung von IKT-bezogenen Vorfällen
Entwürfe technischer Regulierungsstandards über den Inhalt der Meldungen und Berichte über größere Zwischenfälle und erhebliche Cyber-Bedrohungen sowie zur Festlegung der Fristen für die Meldung größerer Vorfälle und Entwürfe für technische Durchführungsstandards zu den Standardformularen, Vorlagen und Verfahren für Finanzinstitute zur Meldung eines schweren Vorfalls und einer erheblichen Cyber-Bedrohung
- Art. 19/2 freiwilliges Meldewesen für erhebliche Cyberbedrohungen ein
- Art. 3/13 Finanzunternehmen sollen die Aufsicht über Bedrohungen informieren können, welche das Potential haben, einen schwerwiegenden IKT-Vorfall herbeizuführen
- – Informationsaustausch Aufsicht
- – Risiko für den Finanzmarkt beurteilen
- – relevante Akteure informieren
Seminarziel
Ziel des Seminars ist es, Ihnen einen Überblick über die speziellen DORA-Anforderungen zu IKT-Meldungen schwerwiegender IKT-bezogener Vorfälle zu geben, auf die Umsetzungsrelevanz einzugehen und geeignete Maßnahmen für die Projektarbeit sowie die praktische Tätigkeit der Internen Revision (incl. Projektbegleitung) und des IT-Informationssicherheitsmanagements in den Instituten aufzuzeigen.
Teilnehmerkreis
Vorstände, Aufsichtsräte (Verwaltungsräte), Führungskräfte/ Mitarbeiter der Internen Revision, Informationssicherheitsbeauftragte, IT-Bereich, externe Revision, Aufsicht, Mitarbeiter von Beratungsunternehmen