Detaillierte Informationen zum Seminar
Inhalte:
Gesamtüberblick DORA-Verordnung und weitere Informationssicherheitsgesetze im Kontext (DORA-Richtlinie, NIS-2, FinmadiG, Datenschutz)
Referentenentwurf Finanzmarktdigitalisierungsgesetz (FinmadiG): nationale Konkretisierungen zur Umsetzung der DORA in Deutschland
- Änderungen im Versicherungsaufsichtsgesetz (VAG), Kreditwesengesetz (KWG), Wertpapierhandelsgesetz (WpHG)
- Befugnisse der BaFin im Zusammenhang mit DORA
- Umsetzung der durch DORA geforderten Meldepflichten für IKT-Vorfälle
- Erweiterung der Jahresabschlussprüfung für Versicherungen (§ 35 Nr. 10 VAG)
Mitgeltende Dokumente
- Technische Regulierungsstandards (RTS)
- Technische Implementierungsstandards (ITS)
- Delegierte Rechtsakte
Überblick DORA-Verordnung
Begriffliche Definitionen
- ?digitale operationale Resilienz
- ?kritische oder wichtige Funktion vs. ?wesentliche Auslagerung
Berufsgeheimnis
Einschlägigkeit - wen betrifft die DORA-Verordnung?
- Proportionalitätsprinzip
- Ausnahmen und Erleichterungen u. a. Klein- u. Kleinstunternehmen (Art. 16, Abs. 5-16)
- Sektorspezifische Regulierung - Zusammenhang zur NIS-2-RL
Verhältnis DORA zu BAIT und VAIT
IT-Governance - Pflichten und Verantwortung der Geschäftsleitung bzw. Leitungsorgane (Art. 5 Abs. 2)
IKT-Risikomanagementrahmen
- Informationssicherheitsmanagementsystem (ISMS)
- Physische Umwelt
- ?Identifizierung: Anforderungen an die Aufbau- und Ablauforganisation
Schulungspflicht der Leitungsorgane (Art. 5 Abs. 4)
Drittparteien-Risikomanagement
- Vertragliche Pflichten, § Handlungsbedarfe: § 25b KWG vs. Art. 30 DORA-VO
- Synergien: Berührungspunkte zu Auftragsverarbeitung und IT-Lieferkette gem. NIS-2
- Kontrollpflichten
- Kritische IKT-Dienstleister
Anforderungen an die IKT-Systeme, IKT-Sicherheit und IT Continuity
TOMs
- Backups und Wiederherstellung, Wiederanlaufpläne
- Redundanzen
- Weiterentwicklung
Cybersicherheitstests: Thread-Led Penetration Testing (TLPT)
IKT-Vorfälle
- Klassifizierung
- Prozess
- Meldung
- Kommunikation
Informationsaustausch
Befugnisse der Behörden
- Rolle der BaFin
- Zusammenarbeit
- Sanktionen
- Zwangsgelder für kritische IKT-Dienstleister (ErwG 81, Art. 35)
Ziele/Bildungsabschluss:
Ab dem Jahr 2025 tritt die DORA-Verordnung (Digital Operational Resilience Act) in Kraft und ist für Finanzunternehmen, Banken, Versicherungen und deren IT-Dienstleister verpflichtend umzusetzen. Diese neue Verordnung stärkt die digitale operationale Resilienz und stellt besondere Anforderungen an das IKT-Risikomanagement, die IKT-Sicherheit und das Drittparteienmanagement.
In unserer DORA-Schulung erhalten die Teilnehmerinnen und Teilnehmer sowohl einen technischen als auch einen rechtlichen Überblick über die Verpflichtungen der DORA-Verordnung und die damit verbundenen Informationssicherheitsgesetze wie die DORA-Richtlinie, NIS-2, das Finanzmarktdigitalisierungsgesetz (FinmadiG) sowie den Datenschutz. Darüber hinaus erfahren sie, welche Schritte notwendig sind, um die DORA-Compliance in ihrem Unternehmen frühzeitig sicherzustellen.
Ein zentraler Schwerpunkt des Seminars liegt auf der Umsetzung der DORA in Deutschland, einschließlich der nationalen Konkretisierungen durch das FinmadiG und der damit verbundenen Änderungen im Versicherungsaufsichtsgesetz (VAG), Kreditwesengesetz (KWG) und Wertpapierhandelsgesetz (WpHG). Zudem thematisieren unsere Referentinnen und Referenten die erweiterten Befugnisse der BaFin sowie die Meldepflichten für IKT-Vorfälle.
Besonders wichtig ist das Verhältnis von DORA zu bestehenden Richtlinien wie BAIT und VAIT - hier erfahren die Teilnehmerinnen und Teilnehmer, welcher Handlungsbedarf besteht, wenn diese bereits umgesetzt wurden. Unser DORA-Seminar bietet darüber hinaus eine detaillierte Einführung in das IKT-Risikomanagement-Rahmenwerk, das die Pflichten der Geschäftsleitung sowie die Anforderungen an ein Informationssicherheitsmanagementsystem [GA1] (ISMS) umfasst. Themen wie Drittparteienmanagement (Third Party Management), Cybersicherheitstests und die Implementierung von Backups, Wiederherstellungsplänen und Kontrollpflichten gegenüber kritischen IKT-Dienstleistern runden das Training ab und vermitteln den Teilnehmerinnen und Teilnehmern das nötige Wissen, um die Anforderungen der DORA vollständig zu erfüllen.
Sie erhalten die notwendigen Informationen sowie Checklisten, um die DORA-Compliance in ihrem Unternehmen sicherzustellen, mögliche Lücken in der Umsetzung frühzeitig zu identifizieren und so die digitale operationale Resilienz ihres Unternehmens zu stärken.
Die Teilnahmebescheinigung dient auch als Schulungsnachweis für Geschäftsleitungen gemäß § 38 Abs. 3 BISG-E und Art. 5 Abs. 4 DORA.
Teilnahmevoraussetzungen:
Es bestehen keine besonderen Voraussetzungen. Grundkenntnisse im Zusammenhang mit Informationssicherheitsmanagement und Risikomanagement sind von Vorteil, aber nicht erforderlich.
Lehrgangsverlauf/Methoden:
Präsenzseminar
Zielgruppe:
Vorstand / Geschäftsführer bzw. -leitung / (Gesamt-)Management / Aufsichtsrat / Betriebsrat,
CIO, CISO, CTO, IT-Leitung, IT-Sicherheitsbeauftragte (ISB)
Seminarkennung:
EX/A52/10201581/19122024-1