Schulung: DORA-Verordnung in Unternehmen umsetzen
Ab dem Jahr 2025 ist die DORA-Verordnung durch Finanzunternehmen, Banken und Versicherungen sowie deren IT-Dienstleister einzuhalten. In unserem DORA-Seminar geben wir den Teilnehmerinnen und Teilnehmern einen kompakten Überblick über die gesetzlichen und technischen Anforderungen der DORA sowie die damit zusammenhängenden Rechtsnormen und mitgeltenden Dokumente. Wir erläutern, welche Unternehmensgruppen konkret betroffen sind und zeigen, welcher Handlungsbedarf besteht, wenn die Anforderungen gemäß BAIT oder VAIT bereits im Unternehmen umgesetzt wurden.
Zielgruppe:
Vorstand, Geschäftsführer bzw. -leitung, (Gesamt-)Management, Aufsichtsrat, Betriebsrat, CIO, CISO, CTO, IT-Leitung, IT-Sicherheitsbeauftragte (ISB)
Inhalt:
Gesamtüberblick DORA-Verordnung und weitere Informationssicherheitsgesetze im Kontext (DORA-Richtlinie, NIS-2, FinmadiG, Datenschutz)
Referentenentwurf Finanzmarktdigitalisierungsgesetz (FinmadiG): nationale Konkretisierungen zur Umsetzung der DORA in Deutschland
Begriffliche Definitionen
Einschlägigkeit – wen betrifft die DORA-Verordnung?
IT-Governance – Pflichten und Verantwortung der Geschäftsleitung bzw. Leitungsorgane (Art. 5 Abs. 2)
IKT-Risikomanagementrahmen
Drittparteien-Risikomanagement
TOMs
IKT-Vorfälle
Befugnisse der Behörden
Zielgruppe:
Vorstand, Geschäftsführer bzw. -leitung, (Gesamt-)Management, Aufsichtsrat, Betriebsrat, CIO, CISO, CTO, IT-Leitung, IT-Sicherheitsbeauftragte (ISB)
Inhalt:
Gesamtüberblick DORA-Verordnung und weitere Informationssicherheitsgesetze im Kontext (DORA-Richtlinie, NIS-2, FinmadiG, Datenschutz)
Referentenentwurf Finanzmarktdigitalisierungsgesetz (FinmadiG): nationale Konkretisierungen zur Umsetzung der DORA in Deutschland
- Änderungen im Versicherungsaufsichtsgesetz (VAG), Kreditwesengesetz (KWG), Wertpapierhandelsgesetz (WpHG)
- Befugnisse der BaFin im Zusammenhang mit DORA
- Umsetzung der durch DORA geforderten Meldepflichten für IKT-Vorfälle
- Erweiterung der Jahresabschlussprüfung für Versicherungen (§ 35 Nr. 10 VAG)
- Technische Regulierungsstandards (RTS)
- Technische Implementierungsstandards (ITS)
- Delegierte Rechtsakte
Begriffliche Definitionen
- „digitale operationale Resilienz"
- „kritische oder wichtige Funktion" vs. „wesentliche Auslagerung"
Einschlägigkeit – wen betrifft die DORA-Verordnung?
- Proportionalitätsprinzip
- Ausnahmen und Erleichterungen u. a. Klein- u. Kleinstunternehmen (Art. 16, Abs. 5-16)
- Sektorspezifische Regulierung – Zusammenhang zur NIS-2-RL
IT-Governance – Pflichten und Verantwortung der Geschäftsleitung bzw. Leitungsorgane (Art. 5 Abs. 2)
IKT-Risikomanagementrahmen
- Informationssicherheitsmanagementsystem (ISMS)
- Physische Umwelt
- „Identifizierung": Anforderungen an die Aufbau- und Ablauforganisation
Drittparteien-Risikomanagement
- Vertragliche Pflichten, § Handlungsbedarfe: § 25b KWG vs. Art. 30 DORA-VO
- Synergien: Berührungspunkte zu Auftragsverarbeitung und IT-Lieferkette gem. NIS-2
- Kontrollpflichten
- Kritische IKT-Dienstleister
TOMs
- Backups und Wiederherstellung, Wiederanlaufpläne
- Redundanzen
- Weiterentwicklung
IKT-Vorfälle
- Klassifizierung
- Prozess
- Meldung
- Kommunikation
Befugnisse der Behörden
- Rolle der BaFin
- Zusammenarbeit
- Sanktionen
- Zwangsgelder für kritische IKT-Dienstleister (ErwG 81, Art. 35)