Skip to main content

DORA: Der Countdown läuft – Vorbereitung des Finanzsektors auf neue EU-Cyberrisikoregeln

Ab Januar 2025 steht für über 3.600 Unternehmen des deutschen Finanzsektors eine bedeutende Veränderung an: die Anwendung der EU-Verordnung DORA (Digital Operational Resilience Act), die darauf abzielt, den Finanzsektor widerstandsfähiger gegenüber Cyberrisiken zu machen.

Diese regulatorische Initiative gewinnt insbesondere vor dem Hintergrund jüngerer Cyberangriffe, wie dem Vorfall im Sommer 2023, bei dem die Hackergruppe Clop eine Schwachstelle im Datentransferprogramm MoveIT ausnutzte und weltweit tausende von Unternehmen betraf, an Bedeutung. Besonders betroffen waren auch deutsche Finanzinstitute und Versicherer, was die tiefgreifenden Abhängigkeiten und potenziellen Folgen von IT-Pannen oder Cyberangriffen im Finanzsektor verdeutlicht.

Transparenz schafft Vertrauen – Genauigkeit bei der Herkunft der Mittel.

Verstärkter Fokus der Aufsichtsbehörden auf Cyberrisiken

Die BaFin hat, in Kooperation mit anderen europäischen Aufsichtsbehörden, bereits eine verstärkte Aufmerksamkeit auf die IT-Sicherheit von Banken, Versicherern und anderen Finanzdienstleistern gerichtet. Mit DORA führen die europäischen Aufsichtsbehörden nun ein „single rulebook“ für das Risikomanagement in Bezug auf Informations- und Kommunikationstechnologie (IKT) ein, das sämtliche Finanzunternehmen in Europa umfasst und die bisherigen nationalen Regelungen ergänzt und teilweise verschärft.


Umsetzungsfristen und technische Standards

Die Verordnung, die im Januar 2023 in Kraft getreten ist, sieht vor, dass die betroffenen Institute und Unternehmen bis Januar 2025 die neuen Anforderungen erfüllen müssen. Die drei europäischen Aufsichtsbehörden – die EBA, ESMA und EIOPA – entwickeln dazu technische Regulierungsstandards und Leitlinien. Diese sollen den Unternehmen helfen, die Vorgaben praktisch umzusetzen und gleichzeitig ein hohes Maß an Sicherheit gewährleisten.


Kernanforderungen von DORA

Zu den zentralen Elementen von DORA gehört ein umfangreiches IKT-Risikomanagement, das von der Unternehmensleitung direkt verantwortet wird. Die Unternehmen müssen nicht nur die Risiken managen, sondern auch Strategien und Budgets für ihre digitale operationale Resilienz festlegen. Dabei ist besonders wichtig, dass alle Maßnahmen auf dem neuesten Stand der Technik und international anerkannten Best Practices basieren.


Berichtspflichten und Transparenz

Ein wesentlicher Aspekt von DORA ist die Pflicht für Finanzunternehmen, IKT-Vorfälle sorgfältig zu dokumentieren, zu überwachen und zu melden. Diese Meldepflichten werden durch DORA nicht nur erweitert, sondern auch standardisiert, wobei die BaFin eine zentrale Rolle in der Entgegennahme und Weiterleitung solcher Meldungen an das BSI und europäische Aufsichtsbehörden spielt.


Testprogramme und Penetrationstests

DORA verpflichtet Unternehmen außerdem, ihre IKT-Systeme regelmäßig durch risikobasierte und proportionale Testprogramme zu überprüfen. Für bedeutende Unternehmen sind spezielle Penetrationstests (Threat Led Penetration Tests – TLPT) vorgesehen, die darauf abzielen, IT-Schwachstellen zu identifizieren und zu schließen.

Management von IKT-Drittdienstleistern

Ein weiterer wichtiger Bereich, den DORA adressiert, ist das Risikomanagement bei der Nutzung von IKT-Drittdienstleistern. Vor Vertragsabschluss ist eine umfassende Risikoanalyse und Due-Diligence-Prüfung erforderlich. Für kritische oder wichtige Funktionen müssen die Unternehmen eine Ausstiegsstrategie vorhalten und vertraglich festlegen, dass der Dienstleister bei IKT-Vorfällen unterstützt.


Vorbereitung auf den Ernstfall

Nicht zuletzt betont DORA die Bedeutung von Krisenmanagement und Notfallübungen. Der Austausch von Informationen und Erkenntnissen über Cyberbedrohungen wird gefördert, um die Resilienz des gesamten Sektors zu stärken. Die BaFin plant, in diesem Bereich aktiv zu sein und die Zusammenarbeit und Kommunikation in Krisensituationen zu optimieren.


Schlussfolgerung:

Zusammenfassend stellt DORA eine umfassende Initiative dar, die darauf abzielt, die digitale operationale Resilienz des europäischen Finanzsektors zu stärken. Während der Countdown läuft, müssen die Unternehmen nicht nur die technischen Anforderungen umsetzen, sondern auch eine Kultur der Cybersicherheit und kontinuierlichen Verbesserung etablieren. Die nächsten zwei Jahre werden für die betroffenen Unternehmen eine kritische Phase der Anpassung und Vorbereitung sein, um den neuen Herausforderungen effektiv begegnen zu können.

– Lehrgang IT-Compliance und Notfall-Management –

Was bedeutet Informationssicherheit und Notfall-Management? – Informationssicherheit und Notfall-Management sind wichtige Themen in unserer heutigen vernetzten Welt. Der Lehrgang Informationssicherheit und Notfall-Management vermittelt Dir die notwendigen Kenntnisse und Fähigkeiten, um ein erfolgreiches Informationssicherheits- und Notfallmanagement-Programm aufzubauen.

Durch den Lehrgang wist Du in die Lage versetzt, effektive Maßnahmen zur Informationssicherheit und Notfallvorsorge zu ergreifen und so Deiner Organisation einen wertvollen Beitrag zu leisten. Der Lehrgang ist der nächste Schritt auf Deiner Karriereleiter.

Lehrgang Informationssicherheit und Notfall-Management

Lehrgang Informationssicherheit und Notfall-Management

Für Informationssicherheitsbeauftragte/r und Notfallbeauftragte/r,
sowie n
eu bestellte ISB und BCM

Online

1610 €

Zzgl. gesetzl. MwSt.

  • Du hast die Option zur Teilnahme an der „S+P certified“-Prüfung

  • 09.15 bis 17.00

  • 1. Tag:

    • Aufgaben des Informationssicherheits-Beauftragten
    • Wie du deine IT-Sicherheit verbessern kannst

  • 2. Tag:

    • Die Rolle des Beauftragten für Notfälle
    • Business Impact Analysen und Risk Impact Analysen

Buche deinen Lehrgang
Informationssicherheit und Notfall-Management

Programm zum Lehrgang Informationssicherheit und Notfall-Management

Programm 1. Seminartag
09.15 bis 17.00          

Aufgaben des Informationssicherheits-Beauftragten

  • Verzahnung von IT-Strategie, IT-Sicherheits- und IT-Risikomanagement
  • Effiziente Kommunikation und Schnittstellenmanagement mit Auslagerungs-, Datenschutz- und Compliance-Beauftragten
    • Mindestanforderungen aus BAIT, KAIT, VAIT, ZAIT, DIN EN ISO 2700x und
      BSI-Grundschutz
       prüfungsfest umsetzen
    • Einführung der Informationssicherheits-Leitlinie mit Prozessen zur Identifizierung, Schutz, Entdeckung, Reaktion und Wiederherstellung

Risikoanalyse zur Feststellung des IT-Schutzbedarfs

  • Risikoanalyse im Informationsmanagemen
  • Qualitativ verschärfte Risikoanalyse auf Basis einheitlicher Scoring-Kriterien
    • Einschätzung des Schutzbedarfs mit Blick auf Ziele, Integrität, Verfügbarkeit, Vertraulichkeit und Authentizität
    • Maßstäbe für Erstellung des Sollmaßnahmenkatalogs und Ableiten der risikoreduzierenden Maßnahmen

Wie du als Information Security Officer deine IT-Sicherheit verbessern kannst

  • Neue Vorgaben an das Monitoring, die Kontroll- und Berichtspflichten
  • Agile Techniken lernen und erfolgreich umsetzen:
    • Continuous Monitoring und Continuous Auditing
    • Agile Techniken für das ISB Reporting
  • Fokus auf Agilität stellt hohe Anforderungen an das Benutzer- Berechtigungsmanagement
  • Digital Resilience Act (DORA): Neue Anforderungen an die Sicherheit von Netzwerk- und Informationssystemen

Programm 2. Seminartag
09.15 bis 17.00          

Die Rolle des Beauftragten für Notfälle

  • MaRisk AT 7.3: Das deutlich erweiterte Aufgabenspektrum des BCM
  • Ziele zum Notfallmanagement und Ableitung eines Notfallmanagementprozess
  • Notfallkonzept für zeitkritische Aktivitäten und Prozesse
  • Festlegen von geeigneten Maßnahmen zur Schadensreduzierung
  • Neue Reporting-Pflichten: mindestens quartalsweise Berichterstattung über den Zustand des Notfallmanagements
  • Schnittstelle Auslagerung: Outsourcer und Insourcer müssen über aufeinander abgestimmte Notfallkonzepte verfügen

Business Impact Analysen und Risk Impact Analysen

  • Verschärfte Anforderungen an Business Impact Analysen:
  • Beeinträchtigung von Aktivitäten und Prozessen
  • Zeitpunkt des Ausfalls
  • Risk Impact Analysen für die identifizierten zeitkritischen Aktivitäten und Prozesse
  • Berücksichtigung von Notfallszenarien

Laufende Überwachungspflichten des Business Continuity Managers

  • Maßstäbe für Steuerungs- und Kontrolltätigkeiten und deren Durchführung
  • Prüfungssichere Bewertung der Auswirkungs- und Risikoanalysen
  • Überprüfungen des Notfallkonzeptes sind zu protokollieren

Dein Mehrwert mit dem Lehrgang Informationssicherheit und Notfall-Management

💡 Schneller Karriere machen mit dem S+P Lehrgang.

💡 Du lernst von den Besten und verbesserst deine Fähigkeiten.

💡 Du lernst die neuesten Trends kennen.

💡 Die S+P Tool Box gibt dir die richtigen Werkzeuge an die Hand.

💡 S+P bietet innovative und praxisnahe Lehrgänge für Fach- und Führungskräfte.

💡 Teilnahmezertifikat Lehrgang Informationssciherheit und Notfall-Management

💡 Option: S+P certified mit Prüfung zum zertifizierten Informationssichereits- und Notfall-Maanagement Beauftragten

S+P Tool Box

  • Schnellzugriff-Vorträge als PDF: Kompakte und sofort einsetzbare Informationen speziell für den Resilience Officer – von den Grundlagen der Informationssicherheit bis hin zu fortgeschrittenen Notfallmanagement-Strategien.

  • Kompakt-Toolkit für den Informationssicherheits-Beauftragten: Ein klarer und leicht verständlicher Leitfaden, der aufzeigt, wie man seine Rolle effektiv ausfüllt und dabei die organisatorische Sicherheit gewährleistet.

  • S+P Guide für IT-Sicherheitsverbesserungen: Praktische und direkte Schritte, um die IT-Sicherheit umgehend zu verbessern und potenzielle Schwachstellen zu erkennen und zu beheben.

  • Toolkit für den Notfall-Beauftragten: Ein praktisches Werkzeug, das sofortigen Zugriff auf Best Practices, Checklisten und Handlungsempfehlungen bietet, um in Krisensituationen rasch zu reagieren.

  • Quick-Check für Business Impact und Risk Impact Analysen: Ein einfacher Leitfaden, um schnell den geschäftlichen Einfluss von Risiken und Notfällen zu bewerten und entsprechende Maßnahmen abzuleiten.

Praxisnahe Lösungsbeispiele:

    • Proaktiver Schutz bei Delta Tech GmbH: Wie Delta Tech mithilfe unseres Kompakt-Toolkits für Informationssicherheits-Beauftragte potenzielle Bedrohungen erkannte und sofort Gegenmaßnahmen einleitete.

    • Schnelle Reaktion bei Zeta Systems AG: Durch unseren Blitz-Guide für IT-Sicherheitsverbesserungen konnte Zeta Systems AG sofortige Maßnahmen ergreifen, als ein Sicherheitsvorfall auftrat.

    • Resilienz in Echtzeit bei Eta Services GmbH: Mithilfe unseres Quick-Checks für Business Impact und Risk Impact Analysen war Eta Services stets bereit, sich schnell an wechselnde Situationen anzupassen und potenzielle Geschäftsunterbrechungen zu minimieren.

– Lehrgang Informationssicherheit und Notfall-Management –

Aufgaben als Informationssicherheits- und Notfall-Management Beauftragter

Der Informationssicherheitsbeauftragte ist für die Sicherheit der Informationen und Daten der Organisation verantwortlich. Er muss sicherstellen, dass alle Mitarbeiter die Sicherheitsrichtlinien und -verfahren einhalten. Darüber hinaus ist er für das Notfall-Management zuständig und muss sicherstellen, dass im Falle eines Notfalls alle richtigen Maßnahmen ergriffen werden.

Die Aufgaben des Informationssicherheitsbeauftragten umfassen:

  • Überwachung der Einhaltung der Sicherheitsrichtlinien und -verfahren durch alle Mitarbeiter
  • Planung, Durchführung und Überwachung von Schulungen und Übungen zum Umgang mit Notfallsituationen
  • Erstellung von Berichten über die Sicherheitssituation der Organisation

Der Informationssicherheitsbeauftragte muss ein gutes Verständnis für Sicherheit und Notfall-Management haben. Er sollte in der Lage sein, komplexe Sachverhalte verständlich zu erklären und klare Anweisungen zu geben. Er muss gut organisiert sein und über gute Kommunikationsfähigkeiten verfügen.

S+P Lehrgang: Der smarte Weg zum erfolgreichen Informationssicherheits- und Notfall-Management-Beauftragten!

S+P Certified -Zertifizierter CIO - Muster Zertifikat
S+P Certified

Eine starke Marke für Deine Zertifizierung – S+P Certified

Mit Bestehen der Prüfung erwirbst du das Recht deinen Titel mit dem Zusatz S+P Certified zu führen. Du profitierst von einer starken Marke, die wir aktiv schützen und pflegen.

Nütze die Möglichkeit und absolviere die Prüfung zum Zertifizierten Informationssicherheits- und Notfall-Management Beauftragten (S+P).

S+P Certified ist ein Prüf- und Zertifizierungsprogramm, das innovative Seminare und Lösungen schützt. Dieses Programm gibt dir die Sicherheit, dass du ein qualitativ hochwertiges und zuverlässiges Produkt erwirbst. S+P Certified ist ein kraftvolles Zeichen der Innovation und des Qualitätsnachweises.

Was kann ich von einem S+P Online Lehrgang erwarten?

Du hast dich für einen S+P Online Lehrgang entschieden und möchtest nun wissen, was dich erwartet? Dann bist du hier genau richtig! Wir geben dir einen Überblick über die Vorteile von S+P Online Lehrgängen.

S+P Online Lehrgänge sind live und interaktiv – wie in einem offenen Lehrgang. Du kannst von zu Hause aus an einer Online Lehrgang teilnehmen und dabei trotzdem die Vorteile eines face-to-face Lehrgangs genießen. Es ist ein direkter Austausch mit dem Referenten und den Teilnehmern des Lehrgangs möglich. Neueste Techniken und aktuelle Fachanforderungen werden mit Hilfe spannender Case Studies aus der Praxis bearbeitet und gemeinsam gelöst. Wir trainieren zusammen 7 Stunden direkt in Deinem Home Office.

Mit der S+P Lounge erhältst du als Seminarteilnehmer einen exklusiven Zugang zu deiner persönlichen Weiterbildungsplattform. Dort findest du deine Seminarunterlagen und erhältst unterjährig Updates zu Neuerungen. Mit S+P Chatter hast du die Möglichkeit auch im Nachgang zum Lehrgang Fachfragen an deinen Referenten zu richten.

Wir bieten dir eine innovative Online Weiterbildung, die es dir ermöglicht, dich beruflich weiterzuentwickeln und neue Fähigkeiten zu erlernen.

❇️  Das Lernmaterial ist von hoher Qualität und du kannst sofort mit deiner Weiterbildung beginnen.

❇️  Die S+P Lounge ermöglicht es dir, dich jederzeit und überall weiterzubilden.

❇️  Du hast Zugriff auf eine Vielzahl von hochwertigen Lernmaterialien.


Wie man sein Unternehmen informationssicher macht ist ein Prozess

Informationssicherheit ist ein Prozess, kein Zustand. Sicherheit ist ein fortlaufender Kampf, den Unternehmen führen müssen, um sich vor Bedrohungen zu schützen. Informationssicherheit ist eine Abwehrstrategie, die Unternehmen nutzen, um sich vor Bedrohungen zu schützen und ihre Daten sicher zu halten.

Es gibt kein „richtiges“ oder „falsches“ Vorgehen bei der Informationssicherheit. Jedes Unternehmen muss seinen eigenen Weg finden, um sicherzustellen, dass seine Daten geschützt sind. Informationssicherheit ist jedoch kein statischer Prozess. Sicherheit muss ständig überprüft und angepasst werden, um sicherzustellen, dass das Unternehmen auf dem neuesten Stand bleibt. Bedrohungen ändern sich ständig und Unternehmen müssen sich anpassen, um sicherzustellen, dass ihre Sicherheitsmaßnahmen aktuell sind. Informationssicherheit ist ein fortlaufender Prozess, den Unternehmen kontinuierlich überprüfen und anpassen müssen, um sicherzustellen, dass ihre Daten geschützt sind.


Welche Verschärfungen bringen die neuen BAIT 2020?

Die neuen BAIT 2020 führen zu folgenden 11 Verschärfungen und Neuerungen:

  1. Verschärfte Anforderungen an die IT Strategie
  2. Verschärfte Anforderungen an die Darstellung des Informationsverbunds
  3. Neue Prüfpflichten für das Informationsrisikomanagement
  4. Verschärfte Anforderungen an die Informationspflichten
  5. Verschärfte Anforderungen an die Pflichten von Geschäftsführer und Vorstände
  6. BaFin fordert eine Richtlinie über das Testen und Überprüfen der Maßnahmen zum Schutz der Informationssicherheit
  7. Verschärfte Anforderungen an das Schulungsprogramm zur Informationssicherheit
  8. Neue Anforderungen an das IT Notfallmanagement
  9. Spezielle Regelungen für Zahlungsdienstleister
  10. Verschärfte Anforderungen an die Organisation von IT-Projekten
  11. Neue Anforderungen mit dem Kapitel Operative IT-Sicherheit

Kontakt

Newsletter