Course Overview
Die nachweisliche Umsetzung der DORA ist für Kredit-, Versicherungs-, und Finanzdienstleistungsinstitute sowie für deren IT-Dienstleister von existenzieller Bedeutung.
Die DORA harmonisiert die nationalen Regelungen der Aufsichtsbehörden und konkretisiert die aktuellen Einwirkungen auf einen sicheren IT-Betrieb u. a. in Bezug auf die Cybersicherheit, IKT-Risiken und digitale operationale Resilienz. Insbesondere werden der Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle, dem Testen der digitalen operationellen Resilienz einschliesslich Threat-led Penetration Testing (TLPT), dem Management des IKT-Drittparteienrisikos, dem Überwachungsrahmen für kritische IKT-Drittdienstleister, den Vereinbarungen über den Austausch von Informationen sowie Cyberkrisen- und Notfallübungen eine besondere Bedeutung in der DORA beigemessen.
Neben weiteren Verschärfungen bei der Sanktionierung von Verstössen seitens der relevanten Unternehmen muss davon ausgegangen werden, dass künftige Überprüfungen und Audits von aufsichtsrechtlicher Seite sowie von Wirtschaftsprüfern weniger Spielraum hinsichtlich der Reife der Massnahmen für die Umsetzung der Anforderungen der DORA zulassen.
Der unternehmensspezifischen Umsetzung von Massnahmen für einen ordnungsgemässen, sicheren und konformen Betrieb der IT muss vor diesem Hintergrund eine hohe Bedeutung beigemessen werden.
Eine dedizierte Auseinandersetzung mit der DORA muss dazu führen, dass erforderliche Projektierungen des IT-Betriebs und explizit die Entwicklung angemessener Massnahmen der Informationssicherheit zielgerichtet umgesetzt werden. Darüber hinaus sollten alle relevanten Stakeholder für die Erfüllung der Anforderungen aus der DORA ausreichend informiert und sensibilisiert werden.Die nachweisliche Umsetzung der DORA ist für Kredit-, Versicherungs-, und Finanzdienstleistungsinstitute sowie für deren IT-Dienstleister von existenzieller Bedeutung.
Who should attend
- Angehende ITSiBe / CISO / BCM-Manager / Risk-Manager
- IT-Leitung
- Verantwortliche in der Informationssicherheit
- Verantwortliche im Risikomanagement
- Verantwortliche im Business Continuity Management
- Verantwortliche in der Revision / IT-Revision
- Führungskräfte
- Projektleitung
- Datenschutzbeauftragte
- Unternehmensberater
- Wirtschaftsprüfer
Prerequisites
keine
Course Objectives
Der Schwerpunkt des Seminars liegt in der Vermittlung der Anforderungen aus der DORA. Insbesondere werden die einzelnen Handlungsbereiche der DORA vertiefend erläutert und die angemessene Umsetzung der resultierenden Massnahmen aus den Handlungsbereichen aufgezeigt. Die umfangreichen Arbeitsunterlagen zum Seminar enthalten ein Musterkonzept für den Nachweis der Umsetzung der Massnahmen aus den Handlungsbereichen der DORA.
Course Content
Der Gegenstand der DORA
- Geltungsbereich
- Begriffsbestimmungen
- Grundsatz der Verhältnismässigkeit
Das IKT-Risikomanagement
- Governance und Organisation
- IKT-Risikomanagementrahmen
- IKT-Systeme, -Protokolle und -Tools
- IKT-Risikomanagement, - Revision und -Revisionsplan
- Identifizierung
- Schutz und Prävention
- Erkennung
- Reaktion und Wiederherstellung
- Verfahren zum Backup sowie Verfahren und Methoden zur Wiedergewinnung und Wiederherstellung
- Lernprozesse und Weiterentwicklung
- Kommunikation
Die Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle
- Prozess für die Behandlung IKT-bezogener Vorfälle
- Klassifizierung von IKT-bezogenen Vorfällen und Cyberbedrohungen
- Meldung schwerwiegender IKT-bezogener Vorfälle und freiwillige Meldung erheblicher Cyberbedrohungen
- Harmonisierung von Inhalt und Vorlagen von Meldungen
- Zentralisierung der Berichterstattung über schwerwiegende IKT-bezogene Vorfälle
- Rückmeldung von Aufsichtsbehörden
Das Testen der digitalen operationalen Resilienz
- Testen von IKT-Tools und -Systemen
- Durchführung von Threat-led Penetration Testing (TLPT)
Management des IKT-Drittparteienrisikos
- Prinzipien für ein solides Management des IKT-Drittparteienrisikos
- Bewertung
- Vertragsbestimmungen
- Überwachungsrahmen für IKT-Drittdienstleister
Vereinbarungen über den Austausch von Informationen
- Austausch von Informationen zu Cyberbedrohungen
- Projektrisiken
Behörden
- Zusammenarbeit der Behörden
- Sektorübergreifende Übungen, Kommunikation und Zusammenarbeit im Finanzbereich
- Sanktionen