Die Umsetzung der DORA angemessen planen und konzipieren (DGI®) | Berlin

Die nachweisliche Umsetzung der DORA ist für Kredit-, Versicherungs-, und Finanzdienstleistungsinstitute sowie für deren IT-Dienstleister von existenzieller Bedeutung.

Die DORA harmonisiert die nationalen Regelungen der Aufsichtsbehörden und konkretisiert die aktuellen Einwirkungen auf einen sicheren IT-Betrieb u. a. in Bezug auf die Cybersicherheit, IKT-Risiken und digitale operationale Resilienz. Insbesondere werden der Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle, dem Testen der digitalen operationellen Resilienz einschließlich Threat-led Penetration Testing (TLPT), dem Management des IKT-Drittparteienrisikos, dem Überwachungsrahmen für kritische IKT-Drittdienstleister, den Vereinbarungen über den Austausch von Informationen sowie Cyberkrisen- und Notfallübungen eine besondere Bedeutung in der DORA beigemessen.

Neben weiteren Verschärfungen bei der Sanktionierung von Verstößen seitens der relevanten Unternehmen muss davon ausgegangen werden, dass künftige Überprüfungen und Audits von aufsichtsrechtlicher Seite sowie von Wirtschaftsprüfern weniger Spielraum hinsichtlich der Reife der Maßnahmen für die Umsetzung der Anforderungen der DORA zulassen.

Der unternehmensspezifischen Umsetzung von Maßnahmen für einen ordnungsgemäßen, sicheren und konformen Betrieb der IT muss vor diesem Hintergrund eine hohe Bedeutung beigemessen werden.

Eine dedizierte Auseinandersetzung mit der DORA muss dazu führen, dass erforderliche Projektierungen des IT-Betriebs und explizit die Entwicklung angemessener Maßnahmen der Informationssicherheit zielgerichtet umgesetzt werden. Darüber hinaus sollten alle relevanten Stakeholder für die Erfüllung der Anforderungen aus der DORA ausreichend informiert und sensibilisiert werden.

• Der Gegenstand der DORA
  • Geltungsbereich
  • Begriffsbestimmungen
  • Grundsatz der Verhältnismäßigkeit
• Das IKT-Risikomanagement
  • Governance und Organisation
  • IKT-Risikomanagementrahmen
  • IKT-Systeme, -Protokolle und -Tools
  • IKT-Risikomanagement, – Revision und -Revisionsplan
  • Identifizierung
  • Schutz und Prävention
  • Erkennung
  • Reaktion und Wiederherstellung
  • Verfahren zum Backup sowie Verfahren und Methoden zur Wiedergewinnung und Wiederherstellung
  • Lernprozesse und Weiterentwicklung
  • Kommunikation

• Die Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle
  • Prozess für die Behandlung IKT-bezogener Vorfälle
  • Klassifizierung von IKT-bezogenen Vorfällen und Cyberbedrohungen
  • Meldung schwerwiegender IKT-bezogener Vorfälle und freiwillige Meldung erheblicher Cyberbedrohungen
  • Harmonisierung von Inhalt und Vorlagen von Meldungen
  • Zentralisierung der Berichterstattung über schwerwiegende IKT-bezogene Vorfälle
  • Rückmeldung von Aufsichtsbehörden
• Das Testen der digitalen operationalen Resilienz
  • Testen von IKT-Tools und -Systemen
  • Durchführung von Threat-led Penetration Testing (TLPT)
• Management des IKT-Drittparteienrisikos
  • Prinzipien für ein solides Management des IKT-Drittparteienrisikos
  • Bewertung
  • Vertragsbestimmungen
  • Überwachungsrahmen für IKT-Drittdienstleister
• Vereinbarungen über den Austausch von Informationen
  • Austausch von Informationen zu Cyberbedrohungen
  • Projektrisiken
• Behörden
  • Zusammenarbeit der Behörden
  • Sektorübergreifende Übungen, Kommunikation und Zusammenarbeit im Finanzbereich
  • Sanktionen

• Angehende ITSiBe / CISO / BCM-Manager / Risk-Manager
• IT-Leitung
• Verantwortliche in der Informationssicherheit
• Verantwortliche im Risikomanagement
• Verantwortliche im Business Continuity Management
• Verantwortliche in der Revision / IT-Revision
• Führungskräfte
• Projektleitung
• Datenschutzbeauftragte
• Unternehmensberater
• Wirtschaftsprüfer