Kreditinstitute
Beschreibung
Nach DORA regeln die erforderlichen technischen Regulierungsstandards die Einzelanforderungen zur Meldung IKT-bezogener Vorfälle/ mögliche Cyberbedrohungen und Testen der digitalen operationellen Resilienz einschließlich Threat-led Penetration Testing (TLPT). Das Seminar geht auf die konkreten Anforderungen ein und stellt einzelne Umsetzungslösungen dar.
RTS Meldung IKT-bezogener Vorfälle/ mögliche Cyberbedrohungen
DORA verpflichtet dazu, einen Managementprozess zu implementieren, der neben der Behandlung von IKT-bezogenen Vorfällen auch die Überwachung, Protokollierung und ggf. Meldung von IKT-bezogenen Vorfällen umfasst. Sämtliche Vorfälle müssen von Finanzunternehmen gem. den in Art. 18 DORA genannten Kriterien klassifiziert werden. Die einzelne Ausgestaltung dieser Kriterien beschreibt der RTS. Wird ein Vorfall als schwerwiegend klassifiziert, so unterliegt er der Meldepflicht. Die Meldepflicht besteht insb. auch für schwerwiegende zahlungsbezogene Betriebs- und Sicherheitsvorfälle (u.a. Vorfälle mit Bezug auf zahlungsbezogene Dienste (vgl. Art. 3 Nr. 9 & 11 DORA [BaFin – Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle]).
Testen der digitalen operationellen Resilienz einschließlich Threat-led Penetration Testing
DORA verpflichtet alle Finanzunternehmen dazu, ihre Informations- und Kommunikationstechnologie intensiver als bisher zu prüfen, indem sie ein risikobasiertes, proportionales Testprogramm etablieren sollen (Ausnahmen Kleinstunternehmen [BaFin – Testen der digitalen operationellen Resilienz einschließlich Threat led Penetration Testing (TLPT)]). Ein solches Testprogramm soll z.B. Open-Source-Software analysieren, die Netzsicherheit und die physische Sicherheit in den Finanzunternehmen prüfen sowie Gap-Analysen, szenariobasierte Tests, Kompatibilitätstests oder Penetrationstests umfassen und ist integraler Bestandteil des IKT-Risikomanagementrahmens eines jeden Finanzunternehmens (vgl. BaFin – Testen der digitalen operationellen Resilienz einschließlich Threat led Penetration Testing (TLPT)).
Neben den allgemeinen Anforderungen für das Testen der digitalen operationalen Resilienz im Rahmen des Testprogramms von Finanzunternehmen, wie es in den Artikel 24 und 25 DORA beschrieben ist, führt DORA ebenfalls erweiterte Tests von IKT-Tools, -Systemen und -Prozessen auf Basis von TLPT ein (Artikel 26 und 27 DORA[(vgl. BaFin – Testen der digitalen operationellen Resilienz einschließlich Threat led Penetration Testing (TLPT)).])
Programm
Einleitung
- Gegenstand, Geltungsbereich, Begriffsbestimmungen
- Granularer Überblick über die technischen Standards
RTS Meldung IKT-bezogener Vorfälle/ mögliche Cyberbedrohungen
- Klassifizierungskriterien
- Schwerwiegende Vorfälle und Wesentlichkeitsschwellen
- Erhebliche Cyberbedrohungen
- Relevanz schwerwiegender Vorfälle in anderen Mitgliedstaaten/Einzelheiten der Meldungen an andere zuständige Behörden
- Entwurf der Kosten-Nutzen-Analyse/Folgenabschätzung
Testen der digitalen operationellen Resilienz einschließlich Threat-led Penetration Testing
- Allgemeine Bestimmungen, Definitionen
- Kriterien zur Identifizierung von Finanzunternehmen, die einen TLPT durchführen müssen
- Anforderungen an den Prüfungsumfang, die Prüfmethodik und die Ergebnisse des TLPT
- Anforderungen und Normen für die Verwendung interner Tester
Seminarziel
Ziel des Seminars ist es, Ihnen einen Überblick über die erforderlichen technischen Regulierungsstandards für die Einzelanforderungen zur Meldung IKT-bezogener Vorfälle/ mögliche Cyberbedrohungen und Testen der digitalen operationellen Resilienz einschließlich Threat-led Penetration Testing (TLPT) zu geben. Das Seminar geht auf die konkreten Anforderungen ein und stellt einzelne Umsetzungslösungen dar.
Teilnehmerkreis
Vorstände, Aufsichtsräte (Verwaltungsräte), Führungskräfte/ Mitarbeiter der Internen Revision, Informationssicherheitsbeauftragte, Risk Management, IT-Bereich, externe Revision, Aufsicht, Mitarbeiter von Beratungsunternehmen.