DORA für IT-Dienstleister

Bezug zu gesetzlichen Grundlagen (KWG, KAGB, VAG) und den entsprechenden Rundschreiben zum Risikoma-nagement (MaRisk, KaMaRisk, MaRisk VA)

• Bezug zu den europäischen Leitlinien der EZB, EBA, EIOPA, ESMA und TIBER (threat intelligence-based ethical red teaming)
• Bezug zu den gängigen Best Practice Methoden (wie Cobit2019 und ITIL) und Standards (wie ISO27.001)
• Bezug zum internen Kontrollsystem (IKS) und zum 3-Lines-of-Defence Modell (3LoD)
• Erläuterung des Informationsverbundes und vom Um-gang mit Interessenkonflikten (auch im agilen Kontext)
• Überblick über das IT-Risikomanagement bei Finanz-dienstleistern nach DORA

Das Training strukturiert sich wie folgt:

• DORA IKT Anforderungen
• Finanzdienstleister - Hintergrund und deren Risikomanagement
• DORA - Überblick
• DORA - Relevante Anforderungen für IKT-Dienstleister
• Risikomanagement nach DORA (Level 1)
• Detailthemen aus RTS zum IKT Risi-komanagement (Level 2)
• Vorfallmanagement
• Testen der digitalen operationalen Resilienz
• Konkretisierungen bzgl. Cloud-Dienstleistungen 

Drittparteienrisikomanagement nach DORA

• Kontext „Auslagerung“ aus Sicht eines Finanz-dienstleisters (FDL)
• Definition und Zulässigkeit 
• Prozessanforderungen (Analyse, Meldung, Vertrag, Register, Überwachung, Probleme, Exit) 
• Organisatorische Anforderungen (Strategie, Policy, Verantwortliche Person, Bericht)
• Unterbeauftragung

Drittparteienüberwachung der Aufsicht

• Einstufung und Beaufsichtigung kritischer DL
• Strategische Überlegungen der Aufsicht (Konzentrationsrisiko, Souveräne Cloud)

Best Practice: aktuelle Erfahrungen zum Umgang von Dienstleistern mit den Anforderungen, erste Prüfergebnisse

 

Das Seminar richtet sich an Mitarbeiter von IT-Dienstleistern, die ihre IT-Dienstleistungen für Banken, Versicherungsunternehmen, Kapitalverwaltungsgesellschaften, Zahlungsdienstleister oder andere von DORA erfasste Unternehmen erbringen. Die sich für diese Kundengruppe ergebenden Anforderungen müssen vom IT-Dienstleister in Übereinstimmung mit der jeweiligen DORA-Umsetzung beim Kunden nachvollzogen werden. Es ist daher für den Dienstleister wichtig, diese Anforderungen zu verstehen, um zum einen die eigene Leistungserbringung entsprechend vorzubereiten. Zum anderen, um bei entsprechenden Vertragsverhandlungen auf Augenhöge auftreten und aktiv Lösungen ausarbeiten zu können, die für beide Seiten sinnvoll, praktikabel und „compliant“ sind. IT-Anbieter, die von den Aufsichtsbehörden als kritisch eingestuft worden sind, müssen DORA-Anforderungen direkt kennen und berücksichtigen.

Das Seminar befähigt die Teilnehmer, die Anforderungen der DORA für Finanzdienstleister detailliert zu kennen und zu verstehen, wie sich diese auf den IT-Drittdienstleister „vererben“. Die Teilnehmer werden so in die Lage versetzt, Vereinbarungen über IT-Dienstleistungen sachkundig zu leiten oder zu begleiten, die Hintergründe für neue Anforderungen ihrer Kunden zu verstehen und somit die bestmöglichen Dienstleistungsangebote zu entwickeln und bereitzustellen.

Interaktiver Fachvortrag, Diskussion, Moderation, prakti-sche Übungen, Präsentation, Fallstudien, Reflexion