DIGITALISIERUNG Programm
DIGITALISIERUNG Programm zur hybrid Information am Dienstag, 28. Fe DORA: Aufsichtsregime für kritische IKT-Drittdienstleister Am 16. Januar 2023 trat der Rechtsakt über digitale Betriebsstabilität (DORA) in Kraft. Die Regelungen sähen eine Konsolidierung der bisher vorhandenen sektorspezifischen Regelungen, eine Harmonisierung des Vorgehens bei IKT-bezogenen Vorfällen sowie ein Aufsichtsregime für kritische IKT-Drittdienstleister vor, erklärte Mag. Alexander Natter, Referent in der Abteilung Aufsicht über Aktienbanken, Zahlungsinstitute und Einlagensicherung der österreichischen Finanzmarktaufsicht (FMA) in Wien. In der DORA-Verordnung würden einheitliche Anforderungen für das Risikomanagement-Framework, die Sicherheit der Netz- und Informationssysteme von im Finanzsektor tätigen Unternehmen und Organisationen sowie kritischen IT-Drittdienstleistern, die ihnen Dienstleistungen im Bereich IKT wie Cloud-Plattformen oder Datenanalysedienste bereitstellen, festgelegt, führte Natter aus. Diese kritischen IT-Service-Provider würden künftig auch einem Überwachungsrahmen unterworfen. Mit der Verordnung werde ein Rechtsrahmen für die digitale Betriebsstabilität geschaffen, nach dem alle Unternehmen sicherstellen müssten, in der 48 04 | 2023 Bernd Rummel von der Europäischen Bankenaufsichtsbehörde (EBA) sprach unter anderem über Identity Theft und Phishing. Lage zu sein, allen Arten von Störungen und Bedrohungen im Zusammenhang mit IKT standzuhalten, darauf zu reagieren und sich von ihnen zu erholen. Diese Anforderungen seien in allen EU-Mitgliedstaaten einheitlich. Das Kernziel bestehe darin, Cyber-Vorfälle zu verhindern bzw. deren Auswirkungen zu mindern. Natter ging darüber hinaus auf den in DORA geregelten Aspekt der digitalen Betriebsstabilität ein. Vorgeschrieben wird demnach die Implementierung eines proportionalen Programms zur Prüfung der digitalen Betriebsstabilität im Rahmen des IKT-Risikomanagementrahmens. DORA sehe zudem Verfahren zur Behebung erkannter Probleme und Validierungsmethoden sowie mindestens jährliche Prüfungen der Betriebsstabilität vor. Im Rahmen dieser Prüfungen sei eine Reihe weiterer Aspekte zu beachten, etwa die Analyse von Open-Source-Software, die Bewertung der Netzsicherheit, die Analyse der physischen Sicherheit sowie Überprüfungen der physischen Sicherheit, erläuterte Natter. Notwendig seien auch Quellcodeprüfungen, Kompatibilitäts-, Leistungs- und End-to- End-Tests, erklärte der Experte. 09:30 Uhr Begrüßung Andrea van Kesse 09:45 Uhr Keynote: Eine kur regulatorischen A Bernd Rummel | 10:05 Uhr Informationssich Initiativen André Nash | Bu 10:45 Uhr Digital Operation Erwartungen Mag. Alexander 11:35 Uhr Pause 12:00 Uhr Die neue ISO/IE Best-Practice-H Dr. Stefan Rans 12:40 Uhr Neue gesetzlich von Systemen z Stephan Meyer 13:10 Uhr Mittagspause 14:10 Uhr Einführung ein Wolfram Stiasn 14:50 Uhr Erfahrungsber Sebastian Diel 15:30 Uhr Pause 15:55 Uhr Wirksamkeitsk Bastian Bolen 16:35 Uhr Sicherheitsbe von IT-Drittbez Dirk Schuman 17:15 Uhr Verabschiedu Eine Veranstaltung von ww
DIGITALISIERUNG en Fachtagung ssicherheit 2023 bruar 2023, in Köln und online #infosicherheit2023 l und Sascha Kraatz | Bank-Verlag GmbH ze Zeitreise: Vom Management operationeller Risiken hin zu nforderungen beim Bezug von IT-Leistungen European Banking Authority (EBA) erheit im Fokus der Aufsicht – Überblick über aktuelle ndesverband deutscher Banken e.V. al Resilience Act (DORA): die neuen Anforderungen und Natter | Finanzmarktaufsicht (FMA) C 27001:2022 – Änderungen, Umstiegsfristen und inweise zur Migration om | TTS Trusted Technologies and Solutions GmbH e Anforderung an KRITIS-Betreiber: verpflichtender Einsatz ur Angriffserkennung | Bundesamt für Sicherheit in der Informationstechnik (BSI) es SIEM-Systems – ein Erfahrungsbericht y | TeamBank AG icht: SOC inhouse oder besser einkaufen? s | Aareal Bank AG ontrolle und Sicherheitstests in ISMS der | UBS Europe SE wertung und Information Security Assessment ügen n | DZ Bank AG ng Red Team simuliert Cyber-Attacken Bastian Bolender, Head of Information Security bei der UBS Europe SE, ergänzte, im Rahmen von DORA seien bedrohungsorientierte Penetrationstests (TLTP) als weiteres zentrales Element vorgesehen. Hierbei imitiere ein sogenanntes Red Team Taktiken und Techniken realer Bedrohungsakteure, um die Institute optimal auf Cyber-Attacken vorzubereiten. Diese Angriffe finden in den Produktivumgebungen der Banken und ohne vorheriges Wissen der zuständigen Sicherheitsinstanzen (z. B. Security Operations Center) statt. Daher ist diese Art von Test sehr viel realistischer als z. B. ein herkömmlicher Penetrationtest. In der BAIT (u.a. Kapitel 3.7, 5.4, 10.4) und in jedem Informationssicherheits-Managementsystem (ISMS) sei der Aspekt der Wirksamkeit von zentraler Bedeutung. Nur über eine vollständige und regelmäßige Überprüfung der Wirksamkeit könne sichergestellt werden, dass geplante Kontrollen effektiv ausgeführt werden und damit das Risko für das Unternehmen innerhalb des geplanten Rahmens liegt. Dr. Stefan Ransom, Prokurist bei der TTS Trusted Technologies and Solutions GmbH, referierte schließlich über Best-Practice-Hinweise zur Migration im Rahmen der ISO/IEC 27001:2022. Stephan Meyer, der beim Bundesamt für Sicherheit in der Informationstechnik (BSI) für die Betreuung des Sektors Finanz- und Versicherungswesen verantwortlich ist, klärte über gesetzliche Anforderungen an KRITIS-Betreiber zum Einsatz von Systemen zur Angriffserkennung auf. Wolfram Stiasny steuert im Themenfeld IT-Security der TeamBank operative Verantwortlichkeiten der 1st Line of Defense. Er sprach über die Einführung eines SIEM-Systems und stellte hierzu einen Erfahrungsbericht vor. Im Zentrum des Vortrags von Sebastian Diels, Head of Security & Access Management bei der Aareal Bank, stand ebenfalls ein Erfahrungsbericht. Er ging der Frage nach: SOC inhouse oder besser einkaufen? Dirk Schumann arbeitet als IT-Risk & -Compliance Manager des Bereichs IT der DZ Bank. Sein Thema war: Sicherheitsbewertung und Information Security Assessment von IT-Drittbezügen. Moderiert wurde die Veranstaltung von Ute Kolck (Head of Product Management) und Caroline Serong, konzipiert wurde sie von Andrea van Kessel, alle aus dem Bereich Corporate Communications des Bank-Verlags. Autor Dogan Michael Ulusoy ist Redakteur beim Bank-Verlag. w.bv-events.de | @events_bv 04 | 2023 49
