DORA – Basisanforderungen – und der damit verbundene Handlungsbedarf für die Institute und die Interne Revision

Kreditinstitute - Grundstufe

Veranstaltungsdetails

Nr.:
2025002
12 freie Plätze
Termin:
08.01.2025, 09:30-17:00 Uhr
Seminarort:
Online
Referenten:
Axel Becker
Maria Dzolic
Besonderheit:
Neu
Stunden:
7.0 Stunden CPE
0.0 Stunden Ethik-CPE
Gebühr:
610,00 € für Mitglieder
660,00 € für Nichtmitglieder


Kreditinstitute - Grundstufe

Beschreibung

Die Erfordernisse des Digital Operational Resilience Act (DORA) sind in allen EU-Mitgliedstaaten ab dem 17. Januar 2025 verbindlich anzuwenden. Durch DORA soll ein EU-weiter Rechtsrahmen zur Stärkung der Cybersicherheit und der digitalen Betriebsfestigkeit des Finanzsektors erreicht werden. Dies ist auch notwendig, denn die Schäden durch Cyberrisiken in den Finanzsystemen sind hoch; immer wieder sind Finanzdienstleister teils empfindlich betroffen. Zudem werden auch die wichtigen IT-Dienstleister in die erhöhten Anforderungen miteinbezogen.

Mit DORA werden Anforderungen eingeführt, um angemessen auf Störungen und Bedrohungen der Informations- und Kommunikationstechnologie (IKT) zu reagieren und Cyber-Angriffe zu verhindern bzw. ihre Auswirkungen zu reduzieren bzw. zu minimieren.

Im Finanzbereich finden aktuell eine Vielzahl von Umsetzungsprojekten statt. Dabei spielt die Interne Revision im Rahmen der Projektbegleitung (wesentliche Projekte) eine wichtige Rolle. Fachseitig finden umfangreiche GAP-Analysen statt, um den Handlungsbedarf zu messen und die Umsetzung der DORA-Anforderungen zu sichern. Schwierig ist die Situation im Hinblick auf die technischen Umsetzungsstandards, die sich teilweise noch in Konsultation befinden. Dies macht die Umsetzung nicht leichter.

Das Seminar stellt die Erfordernisse des DORA-Basispapiers dar, diskutiert die Inhalte und leitet Prüfungsfragen ab, die teils auch im Rahmen einer GAP-Analyse verwendet werden können.

Sowohl für die Bereiche der Informationssicherheit sowie der Internen Revision zwingt die IT-Risikolage und die durch DORA verschärfte Regulatorik zum Handeln in den Instituten. Bei Nichteinhaltung der Vorgaben drohen Sonderprüfungen durch die Aufsicht; bei Nichteinhaltung der künftigen Meldeerfordernisse drohen Bußgelder für die Institute. Die Geschäftsleitungen sind in der Primärverantwortung.

Abgeleitet werden Handlungs- und Prüfungsansätze für die Bereiche Informationssicherheit, Interne Revision und Fraud-Prävention. Praktische Erfahrung ergänzen die Ausführungen.

Seminarinhalte

Programm

Einleitung

  • Ziel von DORA
  • Gegenstand, Geltungsbereich, Begriffsbestimmungen
  • Granularer Überblick über die technischen Standards

DORA-Kapitel II: IKT-Risikomanagement (Art. 5 - 16)

  • Organisatorische Pflichten des Managements
  • Etablierung einheitlicher Vorgaben zur Erkennung von IKT-Störungen und notwendige Reaktion
  • Vereinheitlichung des IKT-Risikomanagements sowie des Regelungsrahmens inkl. Richtlinien, Arbeitsanweisungen und Prozesse
  • Verwendung von IKT-Sicherheitstools, -Richtlinien und -Verfahren
  • Vorgaben für Notfallpläne zur Reaktion und Wiederanlauf
  • Zusammengefasste Checkliste (Masterfragen für die Interne Revision)

Kapitel III: Behandlung, Klassifizierung und Berichterstattung IKT- bezogener Vorfälle (Art. 17 - 23)

  • Überwachung von Cyber-Bedrohungen (standardisiert)
  • Erfordernisse des IKT-Frühwarnsystems
  • Einstufung/ Klassifizierung aller IKT-Vorfälle sowie deren umfassende Auswirkungsanalyse
  • Aufzeichnungspflichten
  • Vordefinition von Kommunikationsplänen
  • Meldepflichten von schwerwiegenden IKT-Vorfällen
  • Zusammengefasste Checkliste (Masterfragen für die Interne Revision)

Kapitel III: Testen der digitalen operationalen Resilienz (Art. 24 – 27)

  • Anforderungen an das Testprogramm zur Prüfung der digitalen Betriebsstabilität (Penetration Testing)
  • Überprüfung kritischer Funktionen & Dienstleistungen inkl. Auslagerungen
  • Geeignete Tests inkl. konkreter Testverfahren
  • Beauftragung externer Dienstleister für Thread Led Penetration Tests (TLPT)
  • Qualifikationen interner und externer Prüfer/ Tester (incl. Interne Revision)
  • Genehmigung von Testinhalten durch Behörde und Vorlage von Testergebnissen
  • Zusammengefasste Checkliste (Masterfragen für die Interne Revision)

Kapitel IV: Management des IKT- Drittparteienrisikos (Art. 28 - 44)

  • Anforderungen an das Testprogramm zur Prüfung der digitalen Betriebsstabilität (Penetration Testing)
  • Prüfung der kritischen Funktionen & Dienstleistungen inkl. Auslagerungen
  • Tests inkl. konkreter Testverfahren
  • Beauftragung externer Dienstleister für Penetrationstests / Thread Led Penetration Tests (TLPT)
  • Qualifikationen interner und externer Prüfer/ Tester (incl. Interne Revision)
  • Genehmigung von Testinhalten durch die Aufsichtsbehörde sowie Vorlage von Testergebnissen
  • Zusammengefasste Checkliste (Masterfragen für die Interne Revision)

Seminarziel

Ziel des Seminars ist es, Ihnen einen Überblick über das Basispapier des „Digital Operational Resilience Act“ (DORA) zu geben, auf die Umsetzungsrelevanz einzugehen und geeignete Maßnahmen für die Projektarbeit sowie die praktische Tätigkeit der Internen Revision und des IT-Informationssicherheitsmanagements in den Instituten aufzuzeigen.

Referenten

Axel Becker

  Axel Becker

Axel Becker ist Geschäftsführer der Regulartech-IT-Audit-Consult GmbH, Weil der Stadt. Er verantwortet regulatorische Umsetzungsprojekte zu den Megatrends Nachhaltigkeit, IT-Regulatorik (wie BAIT)/ -sicherheit und weiteren regulatorischen Herausforderungen (u.a. MaRisk). Er verfügt über mehr als 30 Jahren an Erfahrung mit Führungsaufgaben im Bereich Internen Revision in verschiedenen Banken sowie in der regulatorischen Beratung.

Herr Becker ist zudem Verwaltungsratsmitglied des Deutschen Instituts für Interne Revision e.V. und war langjähriges Mitglied im BaFin-Gesprächskreis kleine Institute über den BdB sowie langjähriges Mitglied im BdB Arbeitskreis MaRisk. Er ist als Referent mit unterschiedlichen regulatorischen Themenbereichen an anerkannten Akademien und Bildungseinrichtungen (wie BdB, DSGV, DIIR, BVR, Duale Hochschule des Landes Baden-Württemberg etc.) tätig.

Maria Dzolic

  Maria Dzolic

Maria Dzolic ist Senior-Manager bei der Regulartech-IT-Audit-Consult GmbH und beschäftigt sich mit den Themenbereichen Nachhaltigkeit und DORA. Sie ist zertifizierte Informationssicherheitsbeauftragte (Tüv Süd) und verfügt über Expertise in der Beratung und dem Financial Controlling (Bachelor).