Subdienstleister, IKT & DORA: Risiken erkennen, bewerten & überwachen

Vorgaben Aufsicht & DORA • Häufige Mängel • Risikoanalyse & Überwachungskonzept anpassen • kritische Dienstleister & IKT-Risiken identifizieren & einstufen • Meldepflicht

Mit DORA wurden die Anforderungen an das Risikomanagement von Auslagerungen und Subdienstleistern erheblich verschärft. Banken müssen sicherstellen, dass IKT-Dienstleistungen korrekt bewertet, Risiken systematisch erfasst und Dienstleisterketten lückenlos überwacht werden. Fehleinschätzungen bei der Kritikalität oder unzureichende Kontrollmechanismen können zu aufsichtsrechtlichen Feststellungen und Haftungsrisiken führen. Besonders die neuen Anforderungen an die Dokumentation, Meldepflichten und Gesamthaftung stellen viele Institute vor Herausforderungen. Wer Prüfungsfeststellungen vermeiden und die Compliance sicherstellen will, muss die regulatorischen Vorgaben konsequent umsetzen.

Seminarnummer: SE2507009
Interessant für die Bereiche: Revision, IT & Orga

DORA verschärft die Anforderungen – höhere Dokumentationspflichten, strengere Meldeanforderungen und eine lückenlose Überwachung der gesamten Dienstleisterkette sind notwendig! Setzen Sie die Vorgaben praxisnah und revisionssicher um!

Seminarinhalte:

Überblick über die Anforderungen an das Risikomanagement der Subdienstleister

  • Strengere Vorgaben durch DORA. Die Mindestanforderungen aus dem RTS zur Unterauftragsvergabe sind erheblich gestiegen – eine Anpassung der Risikomanagementprozesse ist daher dringend notwendig geworden.
  • Häufige Mängel bei der Risikoanalyse. Unterschätzte Risiken bei der Risikoanalyse von Subdienstleistern und fehlende Steuerungsmechanismen führen regelmäßig zu Prüfungsfeststellungen.
  • Vertragliche Kontrollrechte allein reichen nicht aus. Ohne ein belastbares Überwachungskonzept bleiben zentrale Risiken unerkannt und regulatorische Anforderungen unerfüllt.
  • Steigende Sanktionen bei Nichteinhaltung. Finanzinstitute müssen nachweisen, dass ihre Prozesse den aufsichtsrechtlichen Anforderungen entsprechen – doch wie gelingt eine revisionssichere Umsetzung?

Materialitätsbewertung von IKT-Dienstleistungen – DORA fordert eine höhere Granularität

  • Ableitung der Kritikalität der IKT-Dienstleistungen. Die Materialität der IKT-Dienstleistungen muss präzise für kritische bzw. wichtige Funktionen ermittelt werden.
  • Konsistente Bewertung erforderlich. Kritische Dienstleistungen müssen im gesamten Drittparteienrisikomanagement, der Informationssicherheit und dem Business Continuity Management durchgängig erfasst werden.
  • Fehleinschätzungen mit gravierenden Folgen. Eine falsche Einstufung einzelner IT-Dienstleistungen kann zentrale Geschäftsprozesse gefährden – eine Überbewertung hingegen unnötige Ressourcen binden.
  • Vertragsgestaltung mit IKT-Drittdienstleister. IKT-Prüffeldstrategie muss in die IT-Prüfungsstrategie integriert werden und es MUSS eine eigene Risikogewichtung der DORA Themen erfolgen 

Identifikation kritischer Subdienstleister

  • Fehlende Transparenz in der Dienstleisterkette. Ohne eine vollständige Erfassung aller Beteiligten bleibt die Compliance mit DORA lückenhaft
  • Fehlende Vererbung der Kritikalität auf Subdienstleister. Die Bewertung der Materialität der IKT-Dienstleistungen muss auch auf Ebene der Subdienstleister klar dokumentiert und für Dritte nachvollziehbar sein.
  • Wachsende Anforderungen an die Dokumentation. Eine unzureichende Analyse oder fehlerhafte Nachweise können die Gesamtbewertung des IKT-Risikos erheblich beeinträchtigen.

Überwachung der Dienstleisterkette

  • Vertragliche Mindestanforderungen sind zu beachten. Der aktuelle Entwurf des RTS zur Unterauftragsvergabe definiert verbindliche vertragliche Mindestanforderungen – eine Nichtbeachtung führt zu Feststellungen.
  • Materielle Änderungen müssen analysiert werden. Informationspflichten sind sicherzustellen und jede Veränderung muss auf ihre Auswirkungen und Risiken hin geprüft werden.
  • Gesamthaftung für Mängel in der Kette. Banken tragen die Verantwortung über mehrere Stufen hinweg – eine unzureichende Kontrolle kann weitreichende Haftungsrisiken mit sich bringen.
  • Vertragliche Kontrollrechte sind nicht genug. Ohne ein strukturiertes und kontinuierliches Überwachungsmodell bleiben kritische Risiken unerkannt
  • Strengere Meldepflichten bei IKT-Vorfällen. Wer muss wann welche Vorfälle melden – und welche Konsequenzen drohen bei Versäumnissen? Ein funktionierendes Meldekonzept muss implementiert werden.

13:30 - 16:30 Uhr

Barbara Hugo-Dilworth

Head of Outsourcing Management & IAM Unternehmensentwicklung
IKB Deutsche Industriebank AG

Hohe Fachexpertise im Auslagerungsmanagement

Christian Elsässer

Bundesbankamtsrat Kompetenzzentrum IT-Risiken in der HV Sachsen und Thüringen
Deutsche Bundesbank

Kompetenzzentrum IT-Risiken Deutsche Bundesbank

Der Zugang zum Seminar erfolgt über Ihren persönlichen Nutzerbereich in MeinFCH. Informationen zum Zugang und eine Anleitung erhalten Sie spätestens eine Woche vor dem Seminar. Ihre Teilnahmebestätigung und die Seminardokumentation als PDF finden Sie ebenfalls unter MeinFCH.

Bei der Anmeldung gewähren wir ab dem zweiten Teilnehmer aus dem demselben Haus bei gemeinsamer Anmeldung in derselben Buchung einen Rabatt von 20%.

Sie erhalten nach Eingang der Anmeldung Ihre Anmeldebestätigung/Rechnung. Bitte überweisen Sie den Rechnungsbetrag innerhalb von 30 Tagen nach Zugang der Rechnung.

Eine Stornierung Ihrer Anmeldung ist nicht möglich. Eine kostenfreie Vertretung durch Ersatzteilnehmer beim gebuchten Termin dagegen schon. Der Name des Ersatzteilnehmers muss dem Veranstalter jedoch spätestens vor Seminarbeginn mitgeteilt werden. Wir weisen darauf hin, dass „Teilnahmen“ von anderen als den gebuchten Teilnehmern nicht gestattet sind und Schadensersatzansprüche des Veranstalters auslösen.
Beachten Sie außerdem, dass bereitgestellte Aufzeichnungen unserer Seminare nur von den Personen genutzt werden dürfen, die für die Nutzung freigeschaltet wurden. Die Weitergabe von Aufzeichnungen kann Schadensersatzansprüche nach sich ziehen.

Bei Absage durch den Veranstalter wird das volle Seminarentgelt erstattet. Darüber hinaus bestehen keine Ansprüche. Änderungen des Programms aus dringendem Anlass behält sich der Veranstalter vor.

Durch die Teilnahme am Seminar erhalten Sie 3 CPE-Punkte als Weiterbildungsnachweis für Ihre Zertifizierung.

Online-Veranstaltung mit Zoom.

Zoom wurde zuletzt im September 2024 mit zwei IT-Sicherheitskennzeichen des BSI ausgezeichnet. Maßgeblich für die Kennzeichnung von Videokonferenzdiensten ist die DIN SPEC 27008. Diese gibt Mindestanforderungen vor - etwa zu Accountschutz, Update- und Schwachstellenmanagement, Authentisierungsmechanismen, Transparenz, sicherem Rechenzentrumsbetrieb und weiteren Funktionen wie aktuellen Verschlüsselungstechnologien und Kontrolle während der Videokonferenz darüber, wer auf welche Weise zugeschaltet ist.
Sie erhalten rechtzeitig vor dem Seminar eine E-Mail mit einer Anleitung. Der Zugang erfolgt über MeinFCH.

02.07.2025
13:30 - 16:30 Uhr
Online
499,00 €
Film + Seminardokumentation
499,00 €

Buchen Sie rechtzeitig über den Webshop und profitieren Sie von unserem Frühbucherrabatt! Bei einer Buchung bis 4 Wochen vor dem Seminar, erhalten Sie 10 % Nachlass!

Ihr Ansprechpartner

Björn Seebach
+49 6221 99898 0
E-Mail: info@FCH-Gruppe.de

Ihre Dozenten

Barbara Hugo-Dilworth
Head of Outsourcing Management & IAM Unternehmensentwicklung
IKB Deutsche Industriebank AG

Christian Elsässer
Bundesbankamtsrat Kompetenzzentrum IT-Risiken in der HV Sachsen und Thüringen
Deutsche Bundesbank

Termin

02.07.2025

13:30 bis 16:30 Uhr

Sie haben ein Seminar verpasst oder haben an dem Seminartermin keine Zeit?

Dann nutzen Sie die innovative und flexible Non-Stop-Wissensvermittlung per 24/7-Streaming-Plattform FCH BankFlix.

Mehr erfahren
Werden Sie Sponsor!

Sie sind etablierter bzw. zertifizierter Lösungsanbieter im Finanzsektor? Dann reihen Sie sich ein in die Liste unserer namhaften Kooperationspartner. Werden auch Sie Sponsor und präsentieren Ihre Produkte und Ihr Unternehmen auf unseren Seminaren einer qualifizierten, institutsübergreifenden und klar fokussierten Zielgruppe.

FCH Nachhaltigkeitsrechner

Durch die Online-Teilnahme haben Sie folgende CO2-Werte eingespart:

  • Bitte PLZ eingeben

Um die Webseite so optimal und nutzerfreundlich wie möglich zu gestalten, werten wir mit Ihrer Einwilligung durch Klick auf „Annehmen“ Ihre Besucherdaten mit Google Analytics aus und speichern hierfür erforderliche Cookies auf Ihrem Gerät ab. Hierbei kommt es auch zu Datenübermittlungen an Google in den USA. Weitere Infos finden Sie in unseren Datenschutzhinweisen im Abschnitt zu den Datenauswertungen mit Google Analytics.