Kreditinstitute
Beschreibung
Die Erfordernisse des Digital Operational Resilience Act (DORA) sind ab 17.01.2025 bei vielen der 3.600 DORA-relevanten Finanzunternehmen einzuhalten und von der dortigen Internen Revision „risikoorientiert“ zu prüfen.
Der risikoorientierte Prüfungsplan der Internen Revision war im letzten Jahr oder alternativ „Ad-Hoc“ ab 17.01.2025 an die neuen regulatorischen Erfordernisse anzupassen. Daraus abgeleitet sind risikoorientiert die wichtigen Prüffelder zu identifizieren und die Prüfungen gezielt vorzubereiten. Erste DORA-Prüfungen laufen bereits.
Wir stellen in dem Seminar ausgewählte „risikoorientierte“ use cases für die Interne Revision dar und gehen auf erste praktische Prüfungserkenntnisse und Prüfungserfahrungen ein. Wir gehen auf Fragen ein wie: Wie geht die Interne Revision mit „Altlasten“ und „Nichteinhaltung“ der zeitlichen DORA-Vorgaben (Projektabschluss bis 17.01.2025) um oder welche aufsichtlichen Risiken ergeben sich hierbei für die Institute?
Das Seminar richtet sich an die Interne Revision, externe Revision, IKT-Projekt- und Umsetzungsverantwortliche, IKT-Risk Manager, Informationssicherheitsbeauftragte, BCM-Beauftragte als auch an DORA-relevante Fachbereiche.
Das Seminar geht auf die konkreten DORA-Prüfungsanforderungen zum Informationsregister ein und stellt auch die praktische Umsetzung dar.
Programm
- Neuer DORA-bezogener risikoorientierter Prüfungsplan der Internen Revision
- IKT-Risikomanagement (Kapitel II, Artikel 5 bis 16), Prüfung Erfordernisse RTS RMF Art. 1 – 27, IKT-Governance/ DOR-Strategie/ IKT-Kommunikationsstrategie als auch IKT-Drittparteienstrategie, IKT-Kommunikationsfunktion (Beauftragter, -pläne, -kommunikationsstrategien), Umsetzung der neuen DORA-Pflichtszenarien gem. RTS RMF Art 26 (2) in IKT-Geschäftsfortführung
- Management des IKT-Drittparteienrisikos (Kapitel V, Abschnitt I, Artikel 28 bis 30), SfO-IKT Drittparteien, Überwachungsanforderungen (allgemeine und kritisch/ wichtige IKT-Drittparteien), allgemeine Anforderungen an die Führung und Aktualisierung des Informationsregisters, Umfang des Informationsregisters, Aufbau des Informationsregisters, Inhalt/Eingabe ins Informationsregister
- Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle (Kapitel III, Artikel 17 bis 23) Prozess Vorfallsmeldewesen, Zuständigkeiten Aufbauorganisation (neues IKT-Risikomanagement), Identifizierungsmatrix für meldepflichtige Vorfälle/ Bedrohungen – Wesentlichkeitsschwellen?, Regelung Eingabe ins MVP-Register der BaFin (Erstmeldung, Folgemeldung, Abschlussmeldung), Erfassung der Schäden aus Vorfällen – Reporting an die BaFin/ EBA, Umgang mit Rückmeldungen der Aufsicht (BaFin, EBA)
- Testen der digitalen operationellen Resilienz /einschl. Thread-Led Penetration Test bei systemrelevanten Instituten (Kapitel IV, Artikel 24 bis 27) Zuständigkeit Pen-Testing (intern/ extern, beides), risikoorientierter Ansatz, Prozess Pen-Testing, Überwachung bei IKT-Drittdienstleistern, erweiterte TLPT-Testpflicht (nur bei systemrelevanten Instituten)
- IKT-Risikomanagement (Kapitel II, Artikel 5 bis 16), Prüfung Erfordernisse RTS RMF Art. 1 – 27, IKT-Governance/ DOR-Strategie/ IKT-Kommunikationsstrategie als auch IKT-Drittparteienstrategie, IKT-Kommunikationsfunktion (Beauftragter, -pläne, -kommunikationsstrategien), Umsetzung der neuen DORA-Pflichtszenarien gem. RTS RMF Art 26 (2) in IKT-Geschäftsfortführung
- IKT-Governance/ -Compliance
- Umgang mit Altlasten und nicht umgesetzten DORA-Themen
- SfO Arbeitsanweisungen / Verbandsvorgaben/ -muster (Stärken/ Schwächen, erste festgestellte Lücken), unvollständige SfO, fehlende Audit-Trails (Nachweis der DORA SfO-Vollständigkeit), inhaltlich fehlende SfO-Themen wie z.B. aus RTS RMF Art. 27 (DORA-Jahresbericht etc.) – Risiko bei aufsichtlichen Prüfungen wegen fehlendem Nachweis der vollständigen DORA-Umsetzung
- Beurteilung der IKT-Governance (Projektpläne, SfO, Wahrnehmung/ Umsetzung in der Praxis) – typische Umsetzungsdefizite und Schwächen in der Praxis
- Umgang mit Altlasten und nicht umgesetzten DORA-Themen
- IKT-Geschäftsfortführungsmanagement (der DORA-Notfall)
- Neuer Prozess (Vollständigkeit aller DORA-relevanten Ergänzungen), typische Schwachpunkte aus Revisionsfeststellungen wie: fehlende Benennung IKT-Kommunikationsfunktion, keine/ unzureichende Schulungen, DORA-Pflichtszenarien nach RTS 26 (2) sind nicht vollständig integriert, wichtig/ kritische Funktionen sind nicht aktuell erhoben, Drittbezüge und Abhängigkeiten unzureichend/ fehlerhaft erfasst (Abstimmung Notfallmaßnahmen mit kritisch/ wichtigen Funktionen – vollständig durchgeführt)?
- IKT-Kommunikationsstrategie (Erstellung/ Verabschiedung)
- Notfalltests und Training IKT-Geschäftsfortführung
- Neuer Prozess (Vollständigkeit aller DORA-relevanten Ergänzungen), typische Schwachpunkte aus Revisionsfeststellungen wie: fehlende Benennung IKT-Kommunikationsfunktion, keine/ unzureichende Schulungen, DORA-Pflichtszenarien nach RTS 26 (2) sind nicht vollständig integriert, wichtig/ kritische Funktionen sind nicht aktuell erhoben, Drittbezüge und Abhängigkeiten unzureichend/ fehlerhaft erfasst (Abstimmung Notfallmaßnahmen mit kritisch/ wichtigen Funktionen – vollständig durchgeführt)?
- DORA-Vorfallsmeldung
- SfO Vorfallsmeldewesen (typische Schwächen)
- Vorfallserkennung (intern und bei den Dienstleistern) – DORA-Vorfallsmatrix im Einsatz?
- Benennung der meldenden Personen im MVP-Register (wann entstehen operationelle Risiken bei der Meldefähigkeit der Institute?)
- Identifizierung der Wesentlichkeitsschwellen
- Einhaltung der Meldefristen (erste Vorfälle und die Lessons-Learned, Analysen, Maßnahmen (wie Pen-Tests etc.) daraus)
- Zusammenarbeit mit der IKT-Kommunikationsfunktion
- SfO Vorfallsmeldewesen (typische Schwächen)
- IKT-Drittparteien
- Vollständige Umsetzung der DORA-Vertragsanpassung?
- Neue Einrichtung der Überwachung (DORA-Vertragsmonitoring, SLA-Überwachung, Überwachung kritisch/ wichtiger Funktionen incl. Unterauftragsvergabe
- Vollständiges Setup Informationsregister im MVP-Portal
- Kritische revisorische Reflektion
- Vollständige Umsetzung der DORA-Vertragsanpassung?
Seminarziel
Das Seminar stellt den Ansatz von DORA-Prüfungen auf Basis von ausgewählten „use-cases“ und einer angepassten und risikoorientiert ausgerichteten Prüfungsplanung dar. Die Use-Cases sind auf mögliche Cybervorfälle der Institute ausgerichtet und sollen die Erkenntnis liefern, ob aus Sicht der Internen Revision ein angemessenes IKT-Management im Cybervorfall gewährleistet ist. Praktische Schwachpunkte aus DORA-Umsetzungen und erste Prüfungsfeststellungen ergänzen die Ausführungen. Es wird auch das regulatorische Risiko thematisiert – Implikationen für die Leitungsebene sollen von der Internen Revision gezielt herausgearbeitet werden.
Teilnehmerkreis
Führungskräfte/ Mitarbeiter der Internen Revision, Informationssicherheitsbeauftragte, IKT-Risk Management, IT-Compliance, IT-Bereich, externe Revision, Aufsicht, Mitarbeiter von IKT-Beratungsunternehmen