Skip to main content

Das DORA-Informationsregister: Ein zentraler Bestandteil für die operationelle Resilienz im Finanzsektor

Mit der Einführung des Digital Operational Resilience Act (DORA) wird ein Informationsregister für Finanzunternehmen verpflichtend, um die Risiken der Abhängigkeit von IKT-Drittdienstleistern zu minimieren. Dieses Register dient als zentrale Übersicht für Verträge und Beziehungen mit IKT-Dienstleistern, die kritische oder wichtige Funktionen unterstützen.

MiCA: Die neue Ära der Kryptowährungsregulierung

Hier findest du relevante Links zu den Anforderungen des DORA-Informationsregisters und dessen Umsetzung:

  1. BaFin zu DORA und dem Informationsregister
    Die BaFin hat detaillierte Informationen über die Anforderungen an das Informationsregister veröffentlicht. Dies umfasst die Meldepflichten, welche Unternehmen ab Januar 2025 erfüllen müssen, und die jährliche Einreichung der Register. Weitere Infos:
    DORA – BaFin-Workshops zum Informationsregister(BaFin) und DORA – BaFin.

  2. Europäische Aufsichtsbehörden und DORA
    Die EBA, ESMA und EIOPA arbeiten gemeinsam an der Entwicklung technischer Standards zur Umsetzung von DORA, die auch das Informationsregister betreffen. Diese Standards sollen sicherstellen, dass alle IT-Dienstleister und kritischen Funktionen ordnungsgemäß erfasst werden. Mehr Details hier:
    ESMA – DORA, EBA – DORA.

Ziel und Zweck des Informationsregisters

Laut DORA, insbesondere Artikel 28 Abs. 3, müssen Finanzunternehmen ein umfassendes Informationsregister führen, das alle relevanten IKT-Dienstleistungen und deren Verträge erfasst. Dies betrifft sowohl interne als auch externe Dienstleister. Durch die Identifikation von kritischen IKT-Dienstleistern wird die Überwachung und Risikobewertung erleichtert, da Störungen bei diesen Anbietern erhebliche Auswirkungen auf die Finanzstabilität haben könnten.

Das Register soll von den Finanzaufsichtsbehörden, wie der BaFin, jederzeit angefordert werden können. Auf Basis dieser Informationen wird die Widerstandsfähigkeit der gesamten Finanzindustrie gegenüber Cyberangriffen oder IT-Ausfällen bewertet und gestärkt.


Anforderungen aus DORA: Aufbau und Inhalte

Finanzunternehmen sind verpflichtet, das Register kontinuierlich zu pflegen und die darin enthaltenen Informationen regelmäßig zu aktualisieren. Es umfasst alle IKT-Dienstleister und deren Verträge, die kritische oder wichtige Funktionen des Unternehmens unterstützen. Dazu zählen auch Unterauftragnehmer in der Kette der Auslagerung. Jede Ebene der Unterauftragsvergabe muss erfasst werden, insbesondere bei kritischen oder wichtigen Funktionen, deren Ausfall zu erheblichen Störungen führen könnte.

Zu den Informationen, die im Register enthalten sein müssen, gehören:

  1. Identifikation kritischer Funktionen: Unternehmen müssen alle operativen und geschäftlichen Funktionen identifizieren und bewerten, welche davon als kritisch oder wichtig eingestuft werden.
  2. Erfassung von Verträgen mit IKT-Dienstleistern: Verträge mit externen und internen IKT-Dienstleistern, die diese kritischen Funktionen unterstützen, müssen vollständig erfasst werden.
  3. Kette der Unterauftragsvergabe: Falls Unterauftragnehmer an den IKT-Dienstleistungen beteiligt sind, müssen auch diese in das Register aufgenommen werden.

Besonderheiten der Erfassung

Es ist wichtig zu beachten, dass nicht nur direkte Auslagerungen erfasst werden müssen, sondern auch sonstige IKT-Dienstleistungen, die kritische oder wichtige Funktionen unterstützen. Dies bedeutet, dass die Reichweite des Registers über herkömmliche Auslagerungsregister hinausgeht.


Meldepflichten und Berichterstattung

Gemäß DORA müssen die Informationsregister mindestens einmal jährlich an die nationalen Aufsichtsbehörden gemeldet werden. Dies dient der Bestimmung der kritischen IKT-Dienstleister im Finanzsektor. Die BaFin wird künftig detaillierte Anforderungen zur Übermittlung dieser Register vorgeben, einschließlich der Verwendung standardisierter Excel-Vorlagen oder strukturierten Dateien.

Ein entscheidender Schritt zur Umsetzung des Registers ist die rechtzeitige Freischaltung und Registrierung der Melder bei der BaFin. Im Zuge der Implementierung sind bereits Dry-Runs durchgeführt worden, um die Prozesse und Meldewege zu testen. Finanzunternehmen sollten daher frühzeitig mit der Befüllung und Pflege ihrer Informationsregister beginnen, um mögliche Verzögerungen bei der Freischaltung zu vermeiden.


Handlungsanweisungen für Finanzunternehmen

Um den Anforderungen des DORA-Informationsregisters gerecht zu werden, sollten Finanzunternehmen folgende Schritte umsetzen:

  1. Frühzeitige Identifikation kritischer Funktionen: Unternehmen müssen frühzeitig alle Funktionen identifizieren, die als kritisch oder wichtig gelten. Dies erfordert eine detaillierte Analyse der gesamten Betriebs- und IT-Prozesse.

  2. Erfassung aller relevanten IKT-Dienstleister: Jedes Unternehmen sollte sicherstellen, dass sämtliche Verträge mit internen und externen IKT-Dienstleistern erfasst werden, die kritische oder wichtige Funktionen unterstützen.

  3. Regelmäßige Überprüfung und Aktualisierung: Die Informationen im Register müssen regelmäßig überprüft und bei Bedarf aktualisiert werden. Insbesondere bei Änderungen in der Kette der Unterauftragsvergabe ist es notwendig, das Register auf dem neuesten Stand zu halten.

  4. Koordination mit der BaFin: Unternehmen sollten sicherstellen, dass sie mit der BaFin eng zusammenarbeiten und alle erforderlichen Informationen pünktlich bereitstellen. Dies umfasst auch die Meldung von Änderungen im Register sowie die Einhaltung der Fristen für die Übermittlung der jährlichen Berichte.

  5. Vorbereitung auf die IT-Umsetzung: Finanzunternehmen müssen sicherstellen, dass ihre internen Systeme auf die Erfassung und Meldung der Informationen vorbereitet sind. Dies umfasst die Nutzung der von der BaFin bereitgestellten Vorlagen sowie die Teilnahme an Testläufen zur Sicherstellung einer reibungslosen Übermittlung.

  6. Schulung und Sensibilisierung: Es ist entscheidend, dass alle relevanten Abteilungen, insbesondere IT und Risikomanagement, über die Anforderungen des DORA-Registers informiert sind und entsprechend geschult werden.


Fazit: Das Informationsregister als Schlüsselinstrument für die Resilienz

Das DORA-Informationsregister stellt einen zentralen Baustein zur Stärkung der operationellen Resilienz im Finanzsektor dar. Durch die detaillierte Erfassung aller IKT-Dienstleistungen und deren Unterauftragnehmer wird das Risiko von IT-Ausfällen und Cyberangriffen minimiert. Finanzunternehmen müssen sich auf diese neuen Anforderungen einstellen und sicherstellen, dass ihre Informationsregister vollständig und aktuell sind.

Frühzeitige Planung und Zusammenarbeit mit der BaFin sind entscheidend, um die gesetzlichen Vorgaben einzuhalten und die Resilienz gegen technologische Risiken zu stärken.


DORA-Compliance: Neueste Entwicklungen

Zielgruppe:

  • Chief Technology Officer (CTO), Informations-Sicherheitsbeauftragte (CISO)
  • Führungskräfte und Compliance Officer im Finanzsektor
  • Programm:

  • IKT-Risikomanagement implementieren: Erfahre, wie du die Anforderungen des IKT-Risikomanagements nach DORA in deiner Organisation umsetzt. Lerne, wie du mithilfe der RTS zum IKT-Risikomanagementrahmen (Art. 15) und des vereinfachten Rahmens (Art. 16 Abs. 3) eine robuste Sicherheitsstrategie entwickelst.

  • IKT-Drittparteirisiken managen: Erfahre, wie du das Risiko von IKT-Drittanbietern managst. Nutze die RTS zur Nutzung von IKT-Dienstleistungen (Art. 28 Abs. 10), um eine sichere und verlässliche Drittanbieterbeziehung zu gewährleisten.

  • Technische Regulierungs- und Durchführungsstandards: Erhalte einen Überblick über die relevanten RTS und ITS zu IKT-Risikomanagement und Vorfällen. Erfahre, wie du diese technischen Standards in dein Compliance-Framework integrierst, um eine gesetzeskonforme und sichere Betriebsführung zu gewährleisten.

  • mehr erfahren

09.15 bis 17.00
Online
Online

805 €

Zzgl. gesetzl. MwSt.
Zzgl. gesetzl. MwSt.
  • Fortbildungsnachweis:

  • Zeitstunden nach §15 FAO, §15 Abs. 2 HinSchG und Artikel 5 DORA (Verordnung (EU) 2022/2554)

  • 6,50 Zeitstunden


In deinem Seminar enthalten:

Die S+P Tool Box:

Vorträge als PDF

Für ein schnelles Nachschlagen und Auffrischen des Seminarinhalts bieten wir kompakte PDF-Dokumente zu den Vorträgen. Diese Unterlagen unterstützen dich dabei, das Erlernte jederzeit zu vertiefen und direkt in die Praxis umzusetzen.

DORA Compliance Update-Leitfaden

Dieser Leitfaden hilft dir bei der Umsetzung der neuesten Änderungen und verschärften Anforderungen der Digital Operational Resilience Act (DORA). 

DORA-Toolkit

In diesem Toolkit findest du die wichtigsten Tools, wie Leitfäden, Risk Asssessment und IT-Strategie zur Implementierung der DORA-Anforderungen. Es umfasst Best Practices und innovative Ansätze, die dir helfen, deine Compliance-Prozesse zu optimieren und zukunftssicher zu gestalten.

Case Study „Delta Bank“

Untersucht, wie die Delta Bank erfolgreich die Anforderungen des IKT-Risikomanagements (Kapitel II, Artikel 5 bis 16) umgesetzt hat und bietet wertvolle Erkenntnisse für ähnlich gelagerte Fälle. Diese Fallstudie zeigt praxisnahe Lösungsansätze und Best Practices.

Case Study „Epsilon Insurance“

Zeigt den Übergang von traditionellen IT-Governance-Prinzipien zur DORA-Regulierung bei der Epsilon Insurance und liefert praktische Einblicke in die Anwendung der neuen IKT-Drittparteirisiko-Managementvorgaben (Kapitel V, Artikel 28 bis 30). Lerne aus den Erfahrungen und Herausforderungen, die Epsilon Insurance gemeistert hat.

Case Study „Zeta Finance“

Betrachtet die Einführung zukunftsorientierter Compliance-Techniken bei Zeta Finance und zeigt, wie das Unternehmen Resilienztests und Threat-led Penetration Testing (Kapitel IV, Artikel 24 bis 27) nutzt, um effizienter und sicherer zu arbeiten. Diese Fallstudie bietet dir Einblicke in innovative Ansätze und deren praktische Umsetzung.

Programm

Wie kannst du für dein Finanzinstitut die digitale operationelle Resilienz stärken und gleichzeitig den neuen gesetzlichen Anforderungen gerecht werden? In diesem Seminar erhältst du einen umfassenden Überblick über die neuesten Entwicklungen und Anforderungen der Digital Operational Resilience Act (DORA). Du lernst praxisorientierte Ansätze zur Implementierung der Compliance-Anforderungen und zur Stärkung deiner IT-Sicherheitsstrategien.

Wir behandeln detailliert die wichtigsten Aspekte des IKT-Risikomanagements, einschließlich der Klassifizierung und Meldung von IKT-bezogenen Vorfällen, sowie die Durchführung von Resilienztests zur Sicherstellung der Systemsicherheit. Zudem erfährst du, wie du Risiken durch Drittanbieter managst und einen robusten Überwachungsrahmen für kritische IKT-Drittdienstleister entwickelst.

Durch praxisorientierte Beispiele und Fallstudien erhältst du wertvolle Einblicke in die praktische Umsetzung der DORA-Anforderungen, einschließlich der Integration technischer Standards in dein Compliance-Framework und der Entwicklung effektiver Strategien für den Informationsaustausch und das Krisenmanagement.

IKT-Risikomanagement und Vorfallmanagement

IKT-Risikomanagement: Erfahre, wie du Anforderungen des IKT-Risikomanagements (Kapitel II, Artikel 5 bis 16) umsetzt, einschließlich des RTS (Art. 15 und 16 Abs. 3).

Vorfallmanagement: Lerne die Kriterien zur Klassifizierung und Berichterstattung von IKT-Vorfällen (Kapitel III, Artikel 17 bis 23) kennen, einschließlich der RTS (Art. 18 Abs. 3, 20.a).

Dein Nutzen:

  • Praktische Tools für IKT-Risikomanagement.
  • Effektive Klassifizierung und Meldung von IKT-Vorfällen.

Digitale Resilienz und Drittparteirisiko

Resilienztests: Durchführung von Resilienztests und Threat-led Penetration Testing (Kapitel IV, Artikel 24 bis 27).

Drittparteirisiken: Management von IKT-Drittanbietern (Kapitel V, Artikel 28 bis 30), einschließlich der RTS (Art. 28 Abs. 10, 30 Abs. 5).

Überwachungsrahmen: Überwachung kritischer IKT-Drittdienstleister (Kapitel V, Artikel 31 bis 44), einschließlich der Delegierten Verordnungen (Art. 31 Abs. 6, 43 Abs. 2).

Dein Nutzen:

  • Resilienz der IT-Systeme.
  • Management und Überwachung von Drittanbieterrisiken.

Business Continuity Management

Informationsaustausch und Krisenmanagement: Anforderungen und Durchführung von Cyberkrisen- und Notfallübungen (Kapitel VI, Artikel 44 und Kapitel VII, Artikel 49).

Technische Standards: Integration von RTS und ITS in das Compliance-Framework.

Dein Nutzen:

  • Verzahnung  des BCM mit den technischen Standards der DORA
  • Einhaltung technischer Standards und Überwachung von Drittanbietern.

DORA-Compliance: Schlüsselbereiche und Umsetzung

IKT-Risikomanagement implementieren

Erfahre, wie du die Anforderungen des IKT-Risikomanagements nach DORA in deiner Organisation umsetzt. Lerne, wie du mithilfe der Regulatory Technical Standards (RTS) zum IKT-Risikomanagementrahmen (Art. 15) und des vereinfachten Rahmens (Art. 16 Abs. 3) eine robuste Sicherheitsstrategie entwickelst. Diese Strategien helfen dir, potenzielle Risiken frühzeitig zu erkennen und zu bewerten, um geeignete Maßnahmen zur Risikominimierung zu ergreifen.

IKT-Drittparteirisiken managen

Erfahre, wie du das Risiko von IKT-Drittanbietern managst. Nutze die RTS zur Nutzung von IKT-Dienstleistungen (Art. 28 Abs. 10), um eine sichere und verlässliche Drittanbieterbeziehung zu gewährleisten. Lerne, wie du durch effektives Risikomanagement die Beziehungen zu Drittanbietern kontrollierst und sicherstellst, dass alle Anforderungen an die IT-Sicherheit und Compliance eingehalten werden.

Technische Regulierungs- und Durchführungsstandards

Erhalte einen Überblick über die relevanten RTS und Implementing Technical Standards (ITS) zu IKT-Risikomanagement und Vorfällen. Erfahre, wie du diese technischen Standards in dein Compliance-Framework integrierst, um eine gesetzeskonforme und sichere Betriebsführung zu gewährleisten. Diese Standards unterstützen dich dabei, ein solides und gesetzeskonformes IT-Sicherheitsmanagement aufzubauen und aufrechtzuerhalten.

Dein Nutzen:

  • Praktische Tools für IKT-Risikomanagement: Implementiere robuste Sicherheitsstrategien und erkenne potenzielle Risiken frühzeitig.
  • Effektives Management von Drittparteirisiken: Sichere und verlässliche Beziehungen zu IKT-Drittanbietern durch Nutzung der RTS.
  • Integration technischer Standards: Aufbau eines gesetzeskonformen Compliance-Frameworks für eine sichere Betriebsführung.

Zeig, was in dir steckt
Erhalte dein digitales S+P Badge & Zertifikat


Das Digitale Karriere-Zertifikat, auch bekannt als Digital Badge, ist eine moderne Form der Zertifizierung, die dir digital verliehen wird.

Mit diesem Badge kannst du einfach und effektiv in digitalen Netzwerken, auf deinem LinkedIn-Profil oder in deinem Lebenslauf zeigen, dass du proaktiv an deiner beruflichen Entwicklung arbeitest.

Digitales Badge und Zertifikate

FAQ – Was muss ich wissen?

Was ist das Ziel des S+P Seminars DORA?

Das Ziel unseres S+P Seminars zur Digital Operational Resilience Act (DORA) besteht darin, umfassende Schulungen zu den Anforderungen dieses Gesetzes anzubieten. Du wirst praxisorientierte Ansätze zur Umsetzung der Compliance-Anforderungen sowie zur Stärkung deiner IT-Sicherheitsstrategien erhalten. So wirst du in die Lage versetzt, die gesetzlichen Vorgaben effizient zu erfüllen und gleichzeitig die operative Resilienz deines Unternehmens zu verbessern.

Welche Themen werden in den S+P Seminaren für DORA-Compliance behandelt?

Die Seminare decken IKT-Risikomanagement, Management von IKT-Drittparteirisiken und technische Regulierungs- und Durchführungsstandards ab. Du lernst, wie du diese Anforderungen effektiv in deiner Organisation umsetzt und integrierst.

Für wen sind die Seminare für DORA-Compliance geeignet?

Die Seminare sind ideal für Compliance-Officer, Risikomanager, IT-Sicherheitsbeauftragte und Führungskräfte im Finanzsektor. Sie richten sich an Fachleute, die ihre Kenntnisse in der digitalen operationellen Resilienz vertiefen möchten.

Wie kann ich mich für ein S+P Seminar anmelden?

Die Anmeldung für unsere S+P Seminare erfolgt schnell und unkompliziert über unsere Website. Dort findest du alle notwendigen Informationen und kannst direkt deinen Platz reservieren.

Was ist die S+P Tool Box und welche Vorteile bietet sie den Teilnehmern der Seminare?

Die S+P Tool Box enthält hilfreiche Ressourcen wie PDF-Vorträge, Compliance Update-Leitfäden und Fallstudien. Diese Werkzeuge unterstützen dich dabei, das Erlernte praktisch anzuwenden und deine Compliance-Strategien zu optimieren.


Aktuelles zu DORA-Compliance

Sicherstellung gesetzesforme Betriebsführung

DORA verlangt von Finanzinstituten die Einhaltung spezifischer Regulatory Technical Standards (RTS) und Implementing Technical Standards (ITS), die die Anforderungen an das IKT-Risikomanagement und die Berichterstattung über IKT-Vorfälle definieren.

DORA soll die digitale operationale Resilienz des gesamten europäischen Finanzsektors in diesen sechs wesentlichen Bereichen stärken:

Zweite Tranche der RTS- und ITS-Entwürfe

Vom 08.12.2023 bis zum 04.03.2024 fand die öffentliche Konsultation der der Europäischen Aufsichtsbehörden EBA, ESMA und EIOPA zu den nachfolgenden Entwürfen statt:

  • Konsultation des RTS zu Threat Led Penetration Testing (Art. 26 Abs.11)
  • Konsultation des RTS zur Spezifizierung von Elementen bei der Untervergabe von kritischen oder wichtigen Funktionen (Art. 30 Abs. 5)
  • Konsultation des RTS zur Festlegung der Meldung schwerwiegender IKT-Vorfälle (Art. 20.a)
  • Konsultation des ITS zur Festlegung der Einzelheiten der Berichterstattung über größere IKT-bezogene Vorfälle (Art. 20.b)
  • Konsultation der GL für die Zusammenarbeit zwischen den ESA und dem CAs hinsichtlich der Struktur der Überwachung (Art. 32 Abs. 7)
  • Konsultation des RTS zur Harmonisierung der Voraussetzungen für die Durchführung der Überwachungstätigkeiten (Art. 41)

Das könnte dich interessieren…

DORA-Compliance: Neueste Entwicklungen
Mehr Details zu diesen Seminar
A26
805 €
Zzgl. gesetzl. MwSt.

Nächster Termin
22.11.2024
Seminar buchen
Digitaler Datenschutz: Strategien für sicheren Umgang mit Daten
Mehr Details zu diesen Seminar
N01
805 €
Zzgl. gesetzl. MwSt.

Nächster Termin
18.11.2024
Seminar buchen
Seminar Informations-Sicherheitsbeauftragter (ISB)
Mehr Details zu diesen Seminar
A15
805 €
Zzgl. gesetzl. MwSt.

Nächster Termin
28.11.2024
Seminar buchen
Lehrgang Informationssicherheit und Notfall-Management
Mehr Details zu diesen Seminar
Z20
1610 €
Zzgl. gesetzl. MwSt.

Nächster Termin
28.11. - 29.11.2024
Seminar buchen
Umsetzung der NIS-2-Richtlinie für Führungskräfte
Mehr Details zu diesen Seminar
A27
1610 €
Zzgl. gesetzl. MwSt.

Nächster Termin
Seminar buchen