DORA – BaFin-Umsetzungshinweise Internen Revision

Kreditinstitute - Grundstufe

Veranstaltungsdetails

Nr.:
2024411
0 freie Plätze
Termin:
09.12.2024, 09:30-17:00 Uhr
Seminarort:
Online
Referenten:
Axel Becker
Besonderheit:
Neu
Stunden:
7.0 Stunden CPE
0.0 Stunden Ethik-CPE
Gebühr:
610,00 € für Mitglieder
660,00 € für Nichtmitglieder


Kreditinstitute - Grundstufe

Beschreibung

Aufsichtliche Umsetzungshinweise und der damit verbundene Handlungsbedarf für die Institute und die Interne Revision

Die Erfordernisse des Digital Operational Resilience Act (DORA) sind in allen EU-Mitgliedstaaten ab dem 17. Januar 2025 verbindlich anzuwenden. Durch DORA soll ein EU-weiter Rechtsrahmen zur Stärkung der Cybersicherheit und der digitalen Betriebsfestigkeit des Finanzsektors erreicht werden.

Die im Juli 2024 veröffentlichte BaFin-Aufsichtsmitteilung soll eine Unterstützung bei der Umsetzung der DORA- Anforderungen an das IKT-Risikomanagement (Kapitel II) und das IKT-Drittparteienrisikomanagement (Kapitel V Abschnitt I) geben (incl. RTS).

Sie richtet sich insbesondere an diejenigen von der BaFin beaufsichtigten Unternehmen, die unter die Anwendungsbereiche der Bankaufsichtlichen Anforderungen an die IT (BAIT) oder der Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) fallen und künftig u. a. die Anforderungen an das IKT-Risikomanagement gemäß Art. 5 bis 15 DORA erfüllen müssen.

Basis der Umsetzungshinweise sind die Ergebnisse von sechs in 2023 eingerichteten Arbeitsgruppen, die sich aus Vertreterinnen und Vertretern der Industrie, der Deutschen Bundesbank und der BaFin zusammengesetzt haben.

In den Arbeitsgruppen wurden die Anforderungen der DORA an den bereits erwähnten „regulären IKT-Risikomanagementrahmen“ und an die „Schlüsselprinzipien für ein solides Management des IKT-Drittparteienrisikos“ (Art. 28 - 30 DORA) sowie der dazugehörigen RTS-Entwürfe den Anforderungen der Kapitel 1 bis 10 BAIT und VAIT gegenübergestellt. Der Handlungsbedarfe wird darin dargestellt.

Das Seminar stellt die Erfordernisse der BaFin-Aufsichtsmitteilung und den Handlungsbedarf für die Institute und die Interne Revision (Projektbegleitung, Revisionsprüfung) dar.

Seminarinhalte

Programm

Einleitung, Governance und Organisation

Informationsrisiko- und Informationssicherheitsmanagement

  • Akzentverschiebung von Informationssicherheit zu IKT-Risikomanagement
  • Fokus auf Analyse- und Kontrollhandlungen
  • Schulung und Kommunikation

IT-Betrieb

IKT-Geschäftsfortführungsmanagement

  • Veränderte Struktur und Inhalte von Leitlinien und Plänen
  • Erweiterung verpflichtender Szenarien
  • Regelmäßige Überprüfung
  • Stärkung von Krisenmanagement und Kommunikation

IT-Projektmanagement und Anwendungsentwicklung

  • Vergleichbare Anforderungen im IKT-Projektmanagement
  • Detailvorgaben zu IKT-System Beschaffung, Entwicklung und Instandhaltung *Wegfall der Wesentlichkeitsgrenze im IKT-Änderungsmanagement

IKT-Drittparteienrisikomanagement

  • Abgrenzung zu Auslagerung und Ausgliederung
  • Ausweitung der Vertragsanforderungen
  • Neuregelung von Unterauftragsvergaben
  • Umfangreiche Anforderungen an Risikoanalysen und Due-Diligence
  • Geänderte Anforderungen an den Ausstieg
  • Veränderungen an der Governance des IKT-Drittparteienrisikos
  • Hinweis zu Meldepflichten und Informationsregister

Operative Informationssicherheit

  • Gestärkte Netzwerksicherheit
  • Verschlüsselung von Daten auch während der Verarbeitung
  • Zeitnahe Erkennung und Behandlung von Schwachstellen

Identitäts- und Rechtemanagement

  • Explizite Anforderungen an das Identitätsmanagement
  • Einführung des „need-to-use“ Prinzips

Seminarziel

Ziel des Seminars ist es, Ihnen einen Überblick über die in der BaFin-Aufsichtsmitteilung enthaltenen Hinweise zur Umsetzung von DORA im IKT-Risikomanagement und IKT-Drittparteienmanagement zu geben, um den Handlungsbedarf für das eigene Institut und die Bedeutung für die Interne Revision aufzuzeigen.

Referenten

Axel Becker

  Axel Becker

Axel Becker ist Geschäftsführer der Regulartech-IT-Audit-Consult GmbH, Weil der Stadt. Er verantwortet regulatorische Umsetzungsprojekte zu den Megatrends Nachhaltigkeit, IT-Regulatorik (wie BAIT)/ -sicherheit und weiteren regulatorischen Herausforderungen (u.a. MaRisk). Er verfügt über mehr als 30 Jahren an Erfahrung mit Führungsaufgaben im Bereich Internen Revision in verschiedenen Banken sowie in der regulatorischen Beratung.

Herr Becker ist zudem Verwaltungsratsmitglied des Deutschen Instituts für Interne Revision e.V. und war langjähriges Mitglied im BaFin-Gesprächskreis kleine Institute über den BdB sowie langjähriges Mitglied im BdB Arbeitskreis MaRisk. Er ist als Referent mit unterschiedlichen regulatorischen Themenbereichen an anerkannten Akademien und Bildungseinrichtungen (wie BdB, DSGV, DIIR, BVR, Duale Hochschule des Landes Baden-Württemberg etc.) tätig.