Kreditinstitute
Beschreibung
Eines der Kernstücke der DORA-Anforderungen, welches mit Prio 1 bis zum 17.01.2025 umzusetzen ist, besteht in der Regelung (SfO) der Meldung IKT-bezogener Vorfälle sowie die Eingabe, für die die Institute einen begrenzten Zeitrahmen zu Verfügung haben (Erstmeldung innerhalb von 24 Stunden). In den meisten DORA-Umsetzungsprojekten wird die praktische Meldung nicht trainiert, so dass die Gefahr einer Zeitüberschreitung und damit die Nichterfüllung der Meldeerfordernisse durch die Fachzuständigen mit den entsprechenden Konsequenzen besteht (zzgl. möglicher Bußgelder für das Institut).
Das Seminar stellt die notwendigen praktischen Prozessanforderungen für die Meldung IKT-bezogener Vorfälle/ Cyberbedrohungen dar. Wird ein Vorfall als schwerwiegend klassifiziert, so unterliegt er der Meldepflicht. Die Meldepflicht besteht insb. auch für schwerwiegende zahlungsbezogene Betriebs- und Sicherheitsvorfälle (u.a. Vorfälle mit Bezug auf zahlungsbezogene Dienste (vgl. Art. 3 Nr. 9 & 11 DORA). Auf Basis von Vorfallinformationen wird ein Musterfall für eine Cyberbedrohung dargestellt und die daraus resultierenden Vorbereitungsarbeiten sowie Eingabeerfordernisse besprochen.
Es wird ein Beispielfall einer schwerwiegenden Cyberbedrohung dargestellt und exemplarisch die notwendigen Eingabedaten (Meldedaten) ermittelt, die für die praktische Eingabe in das Meldeportal notwendig sind.
Das Seminar richtet sich an Projekt- und Umsetzungsverantwortliche, IKT-Risk Manager als auch an zuliefernde Fachbereiche sowie die Interne Revision – die gleichfalls in die projektbegleitenden Tätigkeiten der Institute eingebunden ist als auch das Prüffeld Meldung IKT-bezogener Vorfälle/ Cyberbedrohungen innerhalb des risikoorientierten Prüfungsansatzes prüft.
Das Seminar geht auf die konkreten DORA-Umsetzungsanforderungen ein und stellt die praktische Umsetzung dar.
Programm
- Einleitung – praktische Anwendung von meldepflichtigen Vorfällen
- Notwendige SfO – Prozessanforderung
- Fallbeispiel – schwerwiegender Cybervorfall (incl. notwendige Eingabedaten)
- Erstellung der Erstmeldung
- Erstellung der Folgemeldung/ Abschlussmeldung
- Jahresmeldung an die zuständige Aufsichtsbehörde
Seminarziel
Das Seminar stellt beispielhafte Prozessanforderungen für die Meldung IKT-bezogener Vorfälle/ Cyberbedrohungen dar. Wird ein Vorfall als schwerwiegend klassifiziert, so unterliegt er der Meldepflicht. Die Meldepflicht besteht insb. auch für schwerwiegende zahlungsbezogene Betriebs- und Sicherheitsvorfälle (u.a. Vorfälle mit Bezug auf zahlungsbezogene Dienste (vgl. Art. 3 Nr. 9 & 11 DORA). Auf Basis von Vorfallinformationen wird ein Musterfall für eine Cyberbedrohung dargestellt und die daraus resultierenden Vorbereitungsarbeiten sowie Eingabeerfordernisse besprochen.
Teilnehmerkreis
Vorstände, Aufsichtsräte (Verwaltungsräte), Führungskräfte/ Mitarbeiter der Internen Revision, Informationssicherheitsbeauftragte, IKT-Risk Management, IT-Compliance, IT-Bereich, externe Revision, Aufsicht, Mitarbeiter von IKT-Beratungsunternehmen