DORA – Spezialanforderungen – Management / Überwachung IKT Drittparteienrisiko

Kreditinstitute

Beschreibung

Die Erfordernisse des Digital Operational Resilience Act (DORA) sind in allen EU-Mitgliedstaaten ab dem
17. Januar 2025 verbindlich anzuwenden. Durch DORA soll ein EU-weiter Rechtsrahmen zur Stärkung der Cybersicherheit und der digitalen Betriebsfestigkeit des Finanzsektors erreicht werden. Dies ist auch notwendig, denn die Schäden durch Cyberrisiken in den Finanzsystemen sind hoch; immer wieder sind Finanzdienstleister teils empfindlich betroffen. Zudem werden auch die wichtigen IT-Dienstleister in die erhöhten Anforderungen miteinbezogen.

Mit DORA werden Anforderungen eingeführt, um angemessen auf Störungen und Bedrohungen der Informations- und Kommunikationstechnologie (IKT) zu reagieren und Cyber-Angriffe zu verhindern bzw. ihre Auswirkungen zu reduzieren bzw. zu minimieren.

Im Finanzbereich finden aktuell eine Vielzahl von Umsetzungsprojekten statt. Dabei spielt die Interne Revision im Rahmen der Projektbegleitung (wesentliche Projekte) eine wichtige Rolle. Fachseitig finden umfangreiche GAP-Analysen statt, um den Handlungsbedarf zu messen und die Umsetzung der DORA-Anforderungen zu sichern. Schwierig ist die Situation im Hinblick auf die technischen Umsetzungsstandards, die sich teilweise noch in Konsultation befinden. Dies macht die Umsetzung nicht leichter  

Die DORA-Regelungen beinhalten die Risiken, die durch die Nutzung von IKT-Dienstleistungen mit IKT-Drittdienstleistern bestehen – insbesondere die Einschätzung/ Überwachung der IKT-Drittparteirisiken.

Künftig muss vor Vertragsabschluss mit Drittparteien eine Risikoanalyse und Due-Diligence durch die Institute durchgeführt werden.

Weitere Ergänzungen gehen auf die vertraglichen Bestimmungen ein – u.a. werden die Kündigungsrechte gestärkt und es gibt neue Anforderungen bezüglich der Ausstiegsstrategie.

Alle bestehenden IKT-Vertragsbeziehungen sind zudem künftig in ein neues Informationsregister einzupflegen. Dies dient auch zur Transparenz über die Abhängigkeitsverhältnisse zu IKT- Dienstleistern, die meist bei Cyberangriffen auch betroffen sind.

Das Seminar stellt ganzheitlich die Erfordernisse der technischen DORA-Standards zum Management/ Überwachung des IKT-Drittparteienrisikos dar – siehe Tabelle:

Finaler Entwurf des RTS zur Leitlinie in Bezug auf die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer und wichtiger Funktionen (Art. 28 Abs. 10)
Finaler Entwurf zur Erstellung der Standardvorlage für das Informationsregister (Art. 28 Abs. 9)
Konsultationsentwurf des RTS zur Spezialisierung von Elementen bei der Untervergabe von kritischen oder wichtigen Funktionen (Art. 30 Abs.5)
Quelle: https://www.Bafin.de/DE/Aufsicht/DORA/Management_IKT_Drittparteirisiko/Management_IKT-Drittparteirisiko_node.html

Abgeleitet werden Handlungs- und Prüfungsansätze für alle mit dem IKT-Drittparteienrisiko betroffenen Bereiche in den im DORA-Anwendungsbereich betroffenen Institute, Interne Revision und Fraud-Prävention. Praktische Erfahrung ergänzen die Ausführungen.

Programm

Einleitung

  • Ziel von DORA
  • Bedeutung des IKT-Drittparteienmanagements

Finaler Entwurf des RTS zur Leitlinie in Bezug auf die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer und wichtiger Funktionen (Art. 28 Abs. 10)

    Finaler Entwurf zur Erstellung der Standardvorlage für das Informationsregister (Art. 28 Abs. 9)

    Konsultationsentwurf des RTS zur Spezialisierung von Elementen bei der Untervergabe von kritischen oder wichtigen Funktionen (Art. 30 Abs.5)

      Seminarziel

      Ziel des Seminars ist es, Ihnen einen Überblick über die speziellen DORA-Anforderungen zum Management/ Überwachung IKT-Drittparteienrisiko zu geben, auf die Umsetzungsrelevanz einzugehen und geeignete Maßnahmen für die Projektarbeit sowie die praktische Tätigkeit der Internen Revision (incl. Projektbegleitung) und des IT-Informationssicherheitsmanagements in den Instituten aufzuzeigen.

      Teilnehmerkreis

      Vorstände, Aufsichtsräte (Verwaltungsräte), Führungskräfte/ Mitarbeiter der Internen Revision, Informationssicherheitsbeauftragte, Auslagerungsmanagement, Risk Management, IT-Bereich, externe Revision, Aufsicht, Wirtschaftsprüfer, mit Auslagerungssachverhalten betraute Juristen, Mitarbeiter von Beratungsunternehmen etc.