Recap Fachtagung ITRegulatorik

Pia Streicher, Senior Consultant und Johannes Hugo, Head of Business Unit IT-Security

In schöner, offener Atmosphäre zwischen den Hochhäusern Frankfurts waren wir von ADWEKO am Montag und Dienstag bei der Fachtagung IT-Regulatorik der FCH-Gruppe zu Gast. Mit einem Vortrag rund um Auslagerungen und Risikomanagement unter DORA komplettierten wir den Themenschwerpunkt “Rund um regulatorische Entwicklungen”. 

DORA, Cloud, IT-Prüfungen – das stand auf der Agenda der Tagung 

Regulatorische Entwicklungen gibt es in der IT mehr als genug, dementsprechend breit konnten sich die Referierenden aufstellen. In den Mittelpunkt sind die Themen gerückt, die die Branche vor Herausforderungen stellen:

– Relevante Themenfelder für IT-Prüfungen,
– Nutzung von Cloud-Dienstleistungen, 
DORA aus der aufsichtlichen Perspektive,
– Resilienz im Spannungsfeld der globalen IT-Sicherheitslage,
– Einblicke in Schwerpunktthemen einer On Site Inspektion der EZB,
– Auslagerungen und Risikomanagement unter DORA. 

Die etwa 50 Teilenehmenden haben gemeinsam mit den Referent*innen aus Aufsicht, Branche und Beratung die Gelegenheit zum fachlichen Austausch und der ein oder anderen Diskussion genutzt. Insbesondere rund um die Cloud und die aufsichtliche Wahrnehmung von DORA wurde auch in den Pausen und beim gemeinsamen Abendessen diskutiert. 

Fachtagung IT-Regulatorik

Spannende Einblicke in vieldiskutierte Themen

Im Rahmen der adressierten Themen sind einige Diskussionspunkte entstanden, zu denen wir Ihnen gerne einen Einblick geben möchten:

 

  • Zweifel an der KWG-Konformität von wesentlichen Cloud-Auslagerungen entstehen vor allem durch mangelnde Informationen zum konkreten Ort, an dem Daten und Informationen verarbeitet und gespeichert werden. Denken Sie daran, sich dies nicht nur vertraglich zusichern zu lassen, sondern auch Berichte anzufordern und Wirksamkeitsprüfungen durchzuführen. 
  • Nicht jeder Cloud-Anbieter, der sich mit aufsichtsrechtlicher Konformität rühmt, setzt diese auch wirklich um. Seien Sie aufmerksam und prüfen Sie die Vertragsunterlagen gegen die aufsichtsrechtlichen Anforderungen. Vertragsunterlagen können freiwillig der BaFin vorgelegt werden, die eine Einschätzung zur aufsichtsrechtlichen Konformität aussprechen kann. 
  • Auch wenn eine Quantifizierung herausfordernd ist: Non Financial Risk – gerade aus der IT – sollten bei der Überführung ins Operationelle Risiko quantifiziert sein. Das erleichtert ihre Einordnung und das Verständnis für mögliche Folgen bei ihrem Eintritt. 
  • Beim Umgang mit Risiken ist die Risikoakzeptanz das letzte Mittel, nicht alle Risiken können akzeptiert werden. Denken Sie auch an eine Schließung entdeckter Lücken und mitigierende Maßnahmen. 
  • Denken Sie bei Notfallübungen und Szenarien an einen Verlust der Datenintegrität und erarbeiten Sie dafür mögliche Wiederherstellungsszenarien. Hier schlummern Herausforderungen. 

Bei allen fachlichen Themen kam das leibliche Wohl nicht zu kurz: am Montagabend haben die Teilnehmenden und einige der Referierenden gemeinsam in der Genussakademie ein dreigängiges Menü zubereitet, die Erkenntnisse und Eindrücke des ersten Tages auf sich wirken lassen und die Gelegenheit zum Netzwerken und Austauschen genutzt.

Gerne stehen wir Ihnen bei der Meisterung dieser und anderer Herausforderungen rund um Ihre Cybersicherheit zur Seite!

sprechen sie mit
PIA STREICHER!

Pia Streicher