Schulung: DORA-Verordnung in Unternehmen umsetzen (Webinar | Online)

Ab dem Jahr 2025 ist die DORA-Verordnung durch Finanzunternehmen, Banken und Versicherungen sowie deren IT-Dienstleister einzuhalten. In unserem DORA-Seminar geben wir den Teilnehmerinnen und Teilnehmern einen kompakten Überblick über die gesetzlichen und technischen Anforderungen der DORA sowie die damit zusammenhängenden Rechtsnormen und mitgeltenden Dokumente. Wir erläutern, welche Unternehmensgruppen konkret betroffen sind und zeigen, welcher Handlungsbedarf besteht, wenn die Anforderungen gemäß BAIT oder VAIT bereits im Unternehmen umgesetzt wurden.

Zielgruppe:
Vorstand, Geschäftsführer bzw. -leitung, (Gesamt-)Management, Aufsichtsrat, Betriebsrat, CIO, CISO, CTO, IT-Leitung, IT-Sicherheitsbeauftragte (ISB)

Inhalt:
Gesamtüberblick DORA-Verordnung und weitere Informationssicherheitsgesetze im Kontext (DORA-Richtlinie, NIS-2, FinmadiG, Datenschutz)

Referentenentwurf Finanzmarktdigitalisierungsgesetz (FinmadiG): nationale Konkretisierungen zur Umsetzung der DORA in Deutschland

• Änderungen im Versicherungsaufsichtsgesetz (VAG), Kreditwesengesetz (KWG), Wertpapierhandelsgesetz (WpHG)
• Befugnisse der BaFin im Zusammenhang mit DORA
• Umsetzung der durch DORA geforderten Meldepflichten für IKT-Vorfälle
• Erweiterung der Jahresabschlussprüfung für Versicherungen (§ 35 Nr. 10 VAG)

Mitgeltende Dokumente

• Technische Regulierungsstandards (RTS)
• Technische Implementierungsstandards (ITS)
• Delegierte Rechtsakte

Überblick DORA-Verordnung

Begriffliche Definitionen

• „digitale operationale Resilienz“
• „kritische oder wichtige Funktion“ vs. „wesentliche Auslagerung“

Berufsgeheimnis

Einschlägigkeit – wen betrifft die DORA-Verordnung?

• Proportionalitätsprinzip
• Ausnahmen und Erleichterungen u. a. Klein- u. Kleinstunternehmen (Art. 16, Abs. 5-16)
• Sektorspezifische Regulierung – Zusammenhang zur NIS-2-RL

Verhältnis DORA zu BAIT und VAIT

IT-Governance – Pflichten und Verantwortung der Geschäftsleitung bzw. Leitungsorgane (Art. 5 Abs. 2)

IKT-Risikomanagementrahmen

• Informationssicherheitsmanagementsystem (ISMS)
• Physische Umwelt
• „Identifizierung“: Anforderungen an die Aufbau- und Ablauforganisation

Schulungspflicht der Leitungsorgane (Art. 5 Abs. 4)

Drittparteien-Risikomanagement

• Vertragliche Pflichten, § Handlungsbedarfe: § 25b KWG vs. Art. 30 DORA-VO
• Synergien: Berührungspunkte zu Auftragsverarbeitung und IT-Lieferkette gem. NIS-2
• Kontrollpflichten
• Kritische IKT-Dienstleister

Anforderungen an die IKT-Systeme, IKT-Sicherheit und IT Continuity

TOMs

• Backups und Wiederherstellung, Wiederanlaufpläne
• Redundanzen
• Weiterentwicklung

Cybersicherheitstests: Thread-Led Penetration Testing (TLPT)

IKT-Vorfälle

• Klassifizierung
• Prozess
• Meldung
• Kommunikation

Informationsaustausch

Befugnisse der Behörden

• Rolle der BaFin
• Zusammenarbeit
• Sanktionen
• Zwangsgelder für kritische IKT-Dienstleister (ErwG 81, Art. 35)

Wir freuen uns auf Ihren Besuch.

Eventdatum: Montag, 25. November 2024 09:00 – 15:00

Eventort: Online