Kreditinstitute
Beschreibung
Die Erfordernisse des Digital Operational Resilience Act (DORA) sind in allen EU-Mitgliedstaaten ab dem 17. Januar 2025 verbindlich anzuwenden. Laut Erhebung des Branchenverbandes Bitkom e. V. lagen die im Jahr 2023 direkt durch Cyber-Angriffe verursachten gesamtwirtschaftlichen Schäden bei EUR 148 Mrd. mit gestohlenen Daten EUR 206 Mrd. (vgl. Bitkom e.V.) für die deutsche Wirtschaft. Hierdurch ergeben sich auch in Bezug auf die IT- und Cybersicherheit neue und aktuelle Überwachungserfordernisse für Geschäftsleitungen sowie den zuständigen Überwachungsgremien in der Finanzindustrie.
Das Seminar hat zum Ziel, für Geschäftsführer und Überwachungsgremien einen ganzheitlichen Überblick über die wesentlichen Erfordernisse, abgeleitet an den DORA-Erfordernissen aus der DORA-Basisverordnung sowie den ergänzenden Anforderungen wie RTS darzustellen und den Verantwortungsbereich sowie den Handlungsbedarf im Institut aufzuzeigen.
Es gibt auch einen Zwischenstand, ob es in den DORA-Umsetzungsprozessen klemmt, teilt Erfahrungen aus den aktuellen BaFin-Empfehlungen zur DORA-Umsetzung, erläutert, an welchen Stellen die kritischen Pfade für das Projektmanagement liegen und wie das Institut aus Altlasten der BAIT (nicht/ teilweise umgesetzten Anforderungen umgeht. Es zeigt den Geschäftsleitern auch mögliche Beschleunigungsakzente für die Umsetzungsprojekte in DORA-Prio 1-Themen auf, die den Instituten ggf. erhöhten Projektaufwand und damit auch möglicherweise erhebliche Kosten einsparen können. Erfahrungen aus Umsetzungsprojekten werden neutral erläutert und die „Lessons-Learned“ aufgezeigt.
Eine unzureichende Erfüllung bzw. Umsetzung der DORA-Erfordernisse kann zu teils erheblichen Aufwendungen führen (Schwächen in der Cyber-Resilienz (Risiken/ Schäden für das Institut), Bußgelder wg. verspäteter/ entfallender Meldungen (72 Std.-Regel bei der Meldung von schwerwiegenden Vorfällen), mögliche Sonderprüfungen durch die Aufsicht bzw. kontenintensive Nachbesserungsarbeiten etc.). Ein fehlendes Testen der neuen DORA-Meldungen in der Praxis kann zur Nichteinhaltung bei den zeitlichen Fristen führen. Auch Tests im Informationsregister lohnen sich.
Das Seminar kann auf Wunsch auch Inhouse durchgeführt werden.
Programm
Einleitung
- Ziel von DORA
- Überwachung der Umsetzungsstände in den Instituten/ der Umsetzungsprojekte (Umsetzungsfrist 17.01.2025, projektseitige Unterstützung, Qualifikationsnachweise Gremien, Vorstand, Führungskräfte, Mitarbeiter)
- Aufsichtliche Erwartungshandlung bzgl. Umsetzung/ Berücksichtigung im kommenden Jahresabschluss/ erwartete Sonderprüfungen durch die Aufsicht
DORA-Kapitel II: IKT-Risikomanagement (Art. 5 – 16)
- Neue DOR-Strategie (mögliche Zusammenfassung bestehender IT-Strategie (BAIT) und daraus abgeleitete Verantwortlichkeiten und Überwachungserfordernisse
- Verstärkte Verantwortlichkeit der Geschäftsleitung und gremienseitige Überwachung
- Organisatorische Pflichten des Managements/ Skill-Matrix der Vorstände und Gremien
- Überwachung der DORA-seitigen Anpassung IKT-Risikomanagements sowie der IKT-Governance (wesentliche Themen)
- Gremienseitige Überwachung des IKT-Geschäftsfortführungsmanagements (BCM. Notfallmanagement abgeleitete Überwachungsverantwortung)
Kapitel III: Behandlung, Klassifizierung und Berichterstattung IKT- bezogener Vorfälle (Art. 17 – 23)
- Vorstandsseitige und gremienseitige Überwachung von IKT-Vorfällen, Bewertung der Schäden für das Institut und notwendige Reaktion (Überwachung von Meldungen/ Maßnahmen)
- Kommunikation mit Aufsicht, Kunden, Geschäftspartnern, Öffentlichkeit bei Cybervorfällen (Kommunikationsstrategie, Verantwortlichkeiten)
- Überwachung der Meldepflichten von schwerwiegenden IKT-Vorfällen (Umgang mit den Auswirkungen für das Institut, Lessons-Learned)
Kapitel III: Testen der digitalen operationalen Resilienz (Art. 24 – 27)
- Vorstands- und gremienseitige Überwachung der digitalen Betriebsstabilität (Pen-Tests, Erfordernis (?) sowie Qualifikation in- und externer Tester)
Kapitel IV: Management des IKT-Drittparteirisikos (Kapitel V, Abschnitt I, Artikel 28 bis 30)
- Vorstands- und gremienseitige Überwachung des Managements der IKT-Drittparteienrisikos
- Verstärkung der Rechtsposition des Instituts (zügige und effektive Vertragsanpassungen an die DORA-Erfordernisse)
- Abstimmung des IKT-Geschäftsfortführungsmanagements mit kritischen/ wichtigen IKT-Dienstleistern (Business Continuity Management, Notfallplanungen)
- Neues Informationsregister (wichtig: kritische/ wichtige IKT-Drittdienstleister)
- Vorstandsseitige Verantwortung der Strategie des IKT-Drittparteienrisikos (incl. kritischer/ wichtiger Drittparteien, Überwachungserfordernisse)
Dauer: 1 Tag (Online-Durchführung)
Ort: Online
Seminarziel
Ziel des Seminars ist es, den Überwachungsgremien (Aufsichtsrat, Verwaltungsrat etc.) und den Geschäftsleitern der Institute (Vorstände, Geschäftsführer etc.) einen komprimierten Überblick über die Überwachungsskills aus dem „Digital Operational Resilience Act“ (DORA) zu geben, auf die Umsetzungsrelevanz einzugehen und geeignete Maßnahmen für die Wahrnehmung der Überwachungsfunktion in den Instituten aufzuzeigen.
Teilnehmerkreis
Vorstände, Geschäftsführer, Verwaltungsräte, Aufsichtsräte (Verwaltungsräte), Führungskräfte/ Leitungsebene, Informationssicherheitsbeauftragte, externe Revision, Aufsicht, Mitarbeiter von Beratungsunternehmen.