Kreditinstitute
Beschreibung
Gemäß des Digital Operational Resilience Act (DORA) müssen Unternehmen des Finanzsektors vom 30. April 2025 an ein Informationsregister führen. Darin sollen alle vertraglichen Vereinbarungen über die Nutzung von Dienstleistungen der Informations- und Kommunikationstechnologie (IKT) zwischen dem Finanzunternehmen und IKT-Drittdienstleistern enthalten sein. Die Unternehmen müssen die Register jährlich einreichen – und wenn die BaFin das verlangt. In DORA-Umsetzungsprojekten wird die praktische Eingabe ins Informationsregister selten praktisch trainiert. Dies birgt die Gefahr einer Nichterfüllung der Meldeerfordernisse oder auch der Falschmeldung durch die Fachzuständigen mit den entsprechenden Konsequenzen.
Das Seminar stellt die notwendigen praktischen Prozessanforderungen für die Eingabe ins Informationsregister (SfO – Aufbau- und Ablauforganisation) dar und zeigt auf, wie Prüfungen des Informationsregisters in der Praxis durchgeführt werden können. Werden die bisherigen Auslagerungen und Fremdbezüge als (kritische/wichtige) IKT-Dienstleister identifiziert, so unterliegen sie der Meldepflicht. In diesem Seminar wird ein Beispielfall für die Eingabe ins Informationsregister dargestellt und die daraus resultierenden Vorbereitungsarbeiten, Eingabeerfordernisse sowie abgeleitete Prüfungsfragen (Checkliste) besprochen.
Es wird ein Übungsfall einer (kritischen/wichtigen) IKT-Dienstleistung dargestellt und exemplarisch die notwendigen Eingabedaten ermittelt, die für die praktische Eingabe in das Informationsregister notwendig sind.
Das Seminar richtet sich an die Interne Revision, Projekt- und Umsetzungsverantwortliche, IKT-Risk Manager als auch an zuliefernde Fachbereiche. Die Interne Revision war in vielen Instituten gleichfalls in die projektbegleitenden Tätigkeiten der Institute eingebunden und deckt auch künftig das Prüffeld Eingabe ins Informationsregister innerhalb des risikoorientierten Prüfungsansatzes ab.
Das Seminar geht auf die konkreten DORA-Prüfungsanforderungen zum Informationsregister ein und stellt auch die praktische Umsetzung dar.
Programm
- Einleitung / Begriffsbestimmungen
- Klassifizierung (kritische/wichtige) IKT-Dienstleistungen, Checkliste
- Allgemeine Anforderungen an die Führung und Aktualisierung des Informationsregisters, Checkliste
- Umfang des Informationsregisters, Checkliste
- Aufbau des Informationsregisters, Checkliste
- Fallbeispiel – Inhalt/Eingabe ins Informationsregister, Checkliste
Seminarziel
Das Seminar stellt beispielhafte Prozessanforderungen für die Eingabe ins Informationsregister sowie abgeleitete Prüfungsansätze der Internen Revision dar. Wird eine bisherige Auslagerung/ein bisheriger Fremdbezug als (kritische/wichtige) IKT-Dienstleistung identifiziert, so unterliegt dies der Meldepflicht. Auf Basis eines Musterfalls wird die Eingabe ins Informationsregister dargestellt und die daraus resultierenden Vorbereitungsarbeiten sowie Eingabeerfordernisse besprochen.
Teilnehmerkreis
Führungskräfte/ Mitarbeiter der Internen Revision, Informationssicherheitsbeauftragte, IKT-Risk Management, IT-Compliance, IT-Bereich, externe Revision, Aufsicht, Mitarbeiter von IKT-Beratungsunternehmen.