Tausende Unternehmen des Finanzsektors – und darüber hinaus – müssen die EU-Verordnung DORA ab Januar 2025 umsetzen. Der Digital Operational Resilience Act (DORA) soll dazu beitragen, den europäischen Finanzmarkt gegenüber Cyberrisiken und Vorfällen der Informations- und Kommunikationstechnologie (IKT) zu stärken. Alle beaufsichtigten Institute und Unternehmen des europäischen Finanzsektors fallen unter DORA – und zwar sektorübergreifend. Und auch zahlreiche weitere Unternehmen, etwa IT-Dienstleister, müssen verschiedene Vorgaben des Regelwerks beachten. Die wichtigste Errungenschaft von DORA: Die Verordnung schafft ein „single rulebook“, also europaweite Regeln für das Management von Risiken der Informations- und Kommunikationstechnologie (IKT). Alle bereits heute beaufsichtigten Institute und Unternehmen und auch zahlreiche andere Anbieter müssen die Vorgaben beachten. In Deutschland gilt DORA für mehr als 3.600 Unternehmen des Finanzsektors.
Dieses Seminar richtet sich an alle, die in ihren Organisationen Verantwortung haben. Kern von DORA sind die Anforderungen an das IKT-Risikomanagement. Ziel ist es, die Unternehmen widerstandsfähiger gegen Cybergefahren zu machen, um somit ihre Prozesse auch während und nach einem Störungsfall funktionsfähig zu halten.
Wir werden gemeinsam erarbeiten, was genau die Vorgaben der Dora sind. (Diese sind Stand Mitte 2024 noch in Konsultation.) Und wie die Unternehmen darauf reagieren können.
Themen
- IKT-Risikomanagement von DORA (Kapitel II, Artikel 5 bis 16)
- Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle (Kapitel III, Artikel 17 bis 23)
- Testen der digitalen operationellen Resilienz einschließlich Threat-led
- Penetration Testing (TLPT) (Kapitel IV, Artikel 24 bis 27)
- Management des IKT-Drittparteirisikos (Kapitel V, Abschnitt I, Artikel 28 bis 30)
- Überwachungsrahmen für kritische IKT-Drittdienstleister (Kapitel V, Abschnitt II, Artikel 31 bis 44)
- Vereinbarungen über den Austausch von Informationen sowie Cyberkrisen-und Notfallübungen (Kapitel VI, Artikel 44 und Artikel Kapitel VII, Artikel 49)
Handlungsbedarf – Erarbeiten von Beispielen für den Stand der Umsetzung
- Sichten der Anspruchsgrundlagen
- Festlegen des Fokus zum Status der Umsetzung
- Projektbegleitende Aktivitäten oder Prüfung Ansatz ex ante oder ex post
- Auf Basis der Anspruchsgrundlagen werden beispielhafte Checklisten erstellt
- Risikoorientiert die Sachverhalte sichten
- Risiken bewerten
- Maßnahmen einschätzen
Dieses Seminar eignet sich v.a. für folgende Zielgruppen
- Geschäftsleitung, Führungskräft
- Revision / IT-Revision
- Informationssicherheit
- IT-Auditor / IT-Assessment
- Erste, zweite und dritte Verteidigungslinie
