Konkretisierung des DORA durch technische Durchführungs- und Implementierungsstandards: Ein Ausblick

Der Digital Operational Resilience Act (DORA) – eine Verordnung der Europäischen Kommission mit dem Ziel, die Cyber Resilienz in der europäischen Finanzindustrie zu stärken – ist seit dem 16. Januar 2023 in Kraft.
Obwohl die betroffenen Institutionen die Anforderungen des DORA bis zum Januar 2025 umsetzen müssen und zahlreiche Harmonisierungsprojekte bereits geplant werden, sind noch nicht alle dieser Anforderungen konkret festgelegt. Dies erfolgt erst im Rahmen von technischen Durchführungs- und Implementierungsstandards (RTS und ITS). In den RTS/ITSs werden insbesondere Anforderungen aus Kapiteln zum IKT-Risikomanagement, zur Meldung von IKT-bezogenen Vorfällen, zur Prüfung der digitalen Betriebsstabilität oder zum Risiko durch IKT-Drittanbieter konkretisiert. Diese Konkretisierungen umfassen zentrale Anforderungen wie zum Beispiel den vereinfachten IKT-Risikomanagementrahmen, die notwendigen Inhalte bei der Meldung von Vorfällen und die Anforderungen für erweiterte Tests von IKT-Tools, -Systemen und -Prozessen auf Basis von bedrohungsorientierten Penetrationstests.
Im Rahmen des Vortrags wird (a) ein Rückblick auf die vom DORA betroffenen Branchen und die zentralen Anforderungen gegeben; (b) die in den RTS/ITS zu konkretisierenden Anforderungen dargestellt; (c) schon vorhandene Entwürfe aus der öffentlichen Konsultationsfassung kommentiert und mögliche Konsequenzen für die Umsetzung sowie für weitere Vorgaben im Finanz- und Versicherungswesen diskutiert; und (d) ein Ausblick auf die noch ausstehenden RTS/ITS gegeben.

Lernziele

• Einordnen der Anforderungen des DORA im Kontext des eigenen Unternehmens,
• Verständnis des Lösungsraums für Umsetzungen in Harmonisierungsprojekten auf Basis der noch zu konkretisierenden Anforderungen und
• Kenntnis über den schon bekannten Stand der Konsultation von ITS/RTS

Speaker

 

Christian Schwartz
Christian Schwartz ist leitender Managing Consultant der usd AG und Leiter der ISACA-Fachgruppe IT-Compliance im Finanz- und Versicherungswesen. Er verantwortet den usd-Beratungsbereich Informationssicherheit in der Finanz- und Versicherungswirtschaft und betreut als verantwortlicher Managing Consultant zahlreiche Projekte mit Fokus auf regulatorische Anforderungen, Enterprise Security Architecture und Cyber-Security-Strategie.

Patrick Schmidt
Patrick Schmidt ist Information Security Framework Specialist bei der Deutschen Börse AG und Mitglied der ISACA-Fachgruppe IT-Compliance im Finanz- und Versicherungswesen. In seiner Rolle bei der Deutschen Börse AG berät er Management und Projekte zu regulatorischen Anforderungen und deren Implementierung und kultiviert zudem ein entsprechendes Netzwerk zum aktiven Austausch innerhalb und außerhalb der Gruppe Deutschen Börse.

IT-GRC-Kongress Newsletter

Ihr möchtet über den IT-GRC-Kongress
auf dem Laufenden gehalten werden?

 

Anmelden