Ab dem Jahr 2025 ist die DORA-Verordnung durch Finanzunternehmen, Banken und Versicherungen sowie deren IT-Dienstleister einzuhalten. In unserem DORA-Seminar geben wir den Teilnehmerinnen und Teilnehmern einen kompakten Überblick über die gesetzlichen und technischen Anforderungen der DORA sowie die damit zusammenhängenden Rechtsnormen und mitgeltenden Dokumente. Wir erläutern, welche Unternehmensgruppen konkret betroffen sind und zeigen, welcher Handlungsbedarf besteht, wenn die Anforderungen gemäß BAIT oder VAIT bereits im Unternehmen umgesetzt wurden.
Zielgruppe:
Vorstand, Geschäftsführer bzw. -leitung, (Gesamt-)Management, Aufsichtsrat, Betriebsrat, CIO, CISO, CTO, IT-Leitung, IT-Sicherheitsbeauftragte (ISB)
Inhalt:
Gesamtüberblick DORA-Verordnung und weitere Informationssicherheitsgesetze im Kontext (DORA-Richtlinie, NIS-2, FinmadiG, Datenschutz)
Referentenentwurf Finanzmarktdigitalisierungsgesetz (FinmadiG): nationale Konkretisierungen zur Umsetzung der DORA in Deutschland
- Änderungen im Versicherungsaufsichtsgesetz (VAG), Kreditwesengesetz (KWG), Wertpapierhandelsgesetz (WpHG)
- Befugnisse der BaFin im Zusammenhang mit DORA
- Umsetzung der durch DORA geforderten Meldepflichten für IKT-Vorfälle
- Erweiterung der Jahresabschlussprüfung für Versicherungen (§ 35 Nr. 10 VAG)
Mitgeltende Dokumente
- Technische Regulierungsstandards (RTS)
- Technische Implementierungsstandards (ITS)
- Delegierte Rechtsakte
Überblick DORA-Verordnung
Begriffliche Definitionen
- „digitale operationale Resilienz“
- „kritische oder wichtige Funktion“ vs. „wesentliche Auslagerung“
Berufsgeheimnis
Einschlägigkeit – wen betrifft die DORA-Verordnung?
- Proportionalitätsprinzip
- Ausnahmen und Erleichterungen u. a. Klein- u. Kleinstunternehmen (Art. 16, Abs. 5-16)
- Sektorspezifische Regulierung – Zusammenhang zur NIS-2-RL
Verhältnis DORA zu BAIT und VAIT
IT-Governance – Pflichten und Verantwortung der Geschäftsleitung bzw. Leitungsorgane (Art. 5 Abs. 2)
IKT-Risikomanagementrahmen
- Informationssicherheitsmanagementsystem (ISMS)
- Physische Umwelt
- „Identifizierung“: Anforderungen an die Aufbau- und Ablauforganisation
Schulungspflicht der Leitungsorgane (Art. 5 Abs. 4)
Drittparteien-Risikomanagement
- Vertragliche Pflichten, § Handlungsbedarfe: § 25b KWG vs. Art. 30 DORA-VO
- Synergien: Berührungspunkte zu Auftragsverarbeitung und IT-Lieferkette gem. NIS-2
- Kontrollpflichten
- Kritische IKT-Dienstleister
Anforderungen an die IKT-Systeme, IKT-Sicherheit und IT Continuity
TOMs
- Backups und Wiederherstellung, Wiederanlaufpläne
- Redundanzen
- Weiterentwicklung
Cybersicherheitstests: Thread-Led Penetration Testing (TLPT)
IKT-Vorfälle
- Klassifizierung
- Prozess
- Meldung
- Kommunikation
Informationsaustausch
Befugnisse der Behörden
- Rolle der BaFin
- Zusammenarbeit
- Sanktionen
- Zwangsgelder für kritische IKT-Dienstleister (ErwG 81, Art. 35)
Wir freuen uns auf Ihren Besuch.
Eventdatum: Montag, 25. November 2024 09:00 – 15:00
Eventort: Online
Firmenkontakt und Herausgeber der Eventbeschreibung:
TÜV NORD Akademie GmbH & Co. KG
Große Bahnstraße 31
22525 Hamburg
Telefon: +49 (511) 9986-1981
Telefax: iFAX: +49 (511) 998 669 2550
http://www.tuevnordakademie.de
Weiterführende Links
verantwortlich. Dieser ist in der Regel auch Urheber der Eventbeschreibung, sowie der angehängten
Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH
übernimmt keine Haftung für die Korrektheit oder Vollständigkeit des dargestellten Events. Auch bei
Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit.
Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung
ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem
angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen
dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet