KI-Nutzung erfordert die Berücksichtigung der DORA-Erfordernisse – wir zeigen risikoorientierte Schnittmengen auf
Kreditinstitute
Beschreibung
Die Erfordernisse des Digital Operational Resilience Act (DORA) sind ab 17.01.2025 bei vielen der 3.600 DORA-relevanten Finanzunternehmen einzuhalten. Gleichzeitig gibt es immer mehr Vorgaben zur Nutzung der KI, wie z.B. die neue Verordnung (EU) 2024/1689 zur Festlegung von künstlicher Intelligenz (KI).
Welche Regelungen aus DORA haben jedoch für die KI eine besondere Bedeutung und sollen auch mögliche DORA-Incidents aus der unwissenden Nutzung der KI und bspw. Verletzung der Schutzziele verhindern und damit Schäden für die Finanzinstitute?
Wir haben in diesem Spezialseminar „risikoorientierte Schnittpunkte“ von DORA und KI herausgearbeitet und stellen diese dar.
Das Seminar richtet sich an die für DORA und KI primär zuständigen Organisationseinheiten wie IKT-Risk Manager, Interne Revision, externe Revision, IKT/KI-Projekt- und Umsetzungsverantwortliche, Informationssicherheitsbeauftragte, BCM-Beauftragte, IT und Organisationsbereich als auch an DORA-relevante Fachbereiche.
Das Seminar geht auf risikoorientierte Schnittstellen zwischen DORA und KI ein, stellt diese dar und gibt Ansatzpunkte für die praktische Umsetzung. Hierbei wird der Revisionsbezug dargestellt.
Programm
- Neuer DORA-bezogener risikoorientierter Prüfungsplan der Internen Revision
- IKT-Risikomanagement (Kapitel II, Artikel 5 bis 16), Einbindung KI in RTS RMF Art. 1 – 27, IKT-Governance/ DORA-Strategie/ IKT-Kommunikationsstrategie als auch IKT-Drittparteienstrategie, IKT-Kommunikationsfunktion (Beauftragter, -pläne, -kommunikationsstrategien), KI-Ausfall in DORA-Pflichtszenarien gem. RTS RMF Art 26 (2) in IKT-Geschäftsfortführung
- Management des IKT-Drittparteienrisikos (Kapitel V, Abschnitt I, Artikel 28 bis 30), SfO-IKT Drittparteien mit KI-Bezug, KI-Überwachungsanforderungen (allgemeine und kritisch/ wichtige IKT-Drittparteien)
- Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle (Kapitel III, Artikel 17 bis 23) KI-use cases im Prozess Vorfallsmeldewesen, Erfassung der KI-Schäden aus Vorfällen – Reporting an die BaFin/ EBA, Umgang mit Rückmeldungen der Aufsicht (BaFin, EBA)
- Testen der digitalen operationellen Resilienz /einschl. Thread-Led Penetration Test bei systemrelevanten Instituten (Kapitel IV, Artikel 24 bis 27) Zuständigkeit Pen-Testing (intern/ extern, beides) incl. KI
- IKT-Governance/ -Compliance
- KI-Governance Rahmen (Praxisbeispiel) KI-Governance-Leitlinie, Umsetzungskontrolle – typische KI-Umsetzungsdefizite und Schwächen in der Praxis – abgeleitet revisionsseitige Use-Cases und Checkliste DORA/ KI-Governance
- KI-Governance Rahmen (Praxisbeispiel) KI-Governance-Leitlinie, Umsetzungskontrolle – typische KI-Umsetzungsdefizite und Schwächen in der Praxis – abgeleitet revisionsseitige Use-Cases und Checkliste DORA/ KI-Governance
- IKT-Geschäftsfortführungsmanagement (der DORA-Notfall in Bezug auf KI)
- typische Schwachpunkte aus Revisionsfeststellungen zur KI-Organisation wie: fehlende Benennung IKT-Kommunikationsfunktion, keine/ unzureichende Schulungen, DORA-Pflichtszenarien nach RTS 26 (2) sind nicht vollständig integriert, wichtig/ kritische Funktionen sind nicht aktuell erhoben, Drittbezüge und Abhängigkeiten unzureichend/ fehlerhaft erfasst (Abstimmung Notfallmaßnahmen mit kritisch/ wichtigen Funktionen – vollständig durchgeführt)?
- IKT-Kommunikationsstrategie (Erstellung/ Verabschiedung) – KI-relevanz / Umgang mit Kunden
- Notfalltests und Training IKT-Geschäftsfortführung
- DORA-Vorfallsmeldung
- SfO Vorfallsmeldewesen (typische Schwächen) – KI-Use Cases
- Vorfallserkennung mit KI-Bezug (intern und bei den Dienstleistern) – DORA-Vorfallsmatrix im Einsatz?
- Einhaltung der Meldefristen (erste Vorfälle und die Lessons-Learned, Analysen, Maßnahmen [wie Pen-Tests etc.] daraus)
- Zusammenarbeit mit der IKT-Kommunikationsfunktion (KI-Use Cases)
- IKT-Drittparteien
- Vollständige Umsetzung der DORA-Vertragsanpassung mit KI-Bezug?
- DORA-Vertragsmonitoring bei KI, SLA-Überwachung bei KI, Überwachung kritisch/ wichtiger Funktionen incl. Unterauftragsvergabe bei KI
- Vollständiges Setup Informationsregister im MVP-Portal
- Kritische revisorische Reflektion
Seminarziel
Das Seminar geht auf risikoorientierte Schnittstellen zwischen DORA und KI ein, stellt diese dar und gibt Ansatzpunkte für die praktische Umsetzung. Hierbei wird der Revisionsbezug dargestellt. Praktische Schwachpunkte aus DORA-Umsetzungen und erste Prüfungsfeststellungen ergänzen die Ausführungen. Es wird auch das regulatorische Risiko – durch KI – thematisiert – Implikationen für die Leitungsebene sollen von der Internen Revision gezielt herausgearbeitet werden.
Teilnehmerkreis
Führungskräfte/ Mitarbeiter der Internen Revision, Informationssicherheitsbeauftragte, IKT-Risk Management, IT-Compliance, IT-Bereich, externe Revision, Aufsicht, Mitarbeiter von IKT-Beratungsunternehmen