08:30 Herzlich willkommen! Empfang bei Kaffee & Tee
09:00 Begrüßung und Eröffnung durch imh und den Vorsitzenden Dipl.-Ing. Dr. Christian Koza, IT Audit Expert
09:05 DORA-Umsetzung aus aufsichtsrechtlicher Perspektive
- Vorgehen der FMA iZm DORA
- Überblick über die wichtigsten delegierten Rechtsakte
- Aufsichts- und Prüfungsschwerpunkte
Dr. Anna Muri, MBA, Senior Spezialistin IT-RisikoAufsicht, Finanzmarktaufsicht (FMA)
09:45 Questions and Answers – FMA berichtet!
Dr. Anna Muri, MBA, Senior Spezialistin IT-RisikoAufsicht, Finanzmarktaufsicht (FMA)
10:00 OeNB berichtet über DORA
- DORA-Zeitplan
- Laufende Umsetzungsarbeiten
MMag. Stefan Unteregger, MBA, Abteilung für Europäische Großbankenrevision, Österreichische Nationalbank & österreichischer Vertreter beim „European Supervisory Authorities’ Joint Committee Sub-Committee on Digital Operational Resilience” (JC SC DOR)
10:30 Kaffeepause
11:00 Das Infinite Game der Informationssicherheit: Cybersecurity-Bedrohungen und -Gegenmaßnahmen
- Infinite Game und Finite Game
- Threat Landscape – Globale Marktsicht und lokale Auswirkungen
- Standards und Umsetzungsszenarien
- Best Practices in Branchen und Themen
- Ausblick auf die nächsten Entwicklungen (z. B. KI, Managementsysteme, Internationale Entwicklungen)
Dipl.-Kfm. (Univ.) Klaus Kilvinger, Geschäftsführer, Opexa Advisory GmbH
11:30 DORA und NIS: Wo sich die Wege kreuzen
- Wie Sie DORA und NIS-2 intern verknüpfen und Synergien nutzen können
- Die Bedeutung der Integration von DORA und NIS-2 im IT-Bereich verstehen
- Wie Sie mit den Überschneidungen umgehen und strategisch agieren können
- Warum die NIS II für den österreichischen Markt wichtig ist und wie Unternehmen darauf reagieren können
Dipl.-Ing. (FH) Robert Lamprecht MSc, Partner, KPMG Advisory GmbH
12:00 Praxiseinblick in die Umsetzung von DORA: Digitales Management der IKT-Drittdienstleister
- Einfache Einbringung von Auslagerungsvorhaben durch digitale Prozesse
- Sichere Einhaltung der regulatorischen Anforderungen bei der Erstellung von Auslagerungsverträgen
- Automatisierte Initiierung wiederkehrender Prüfungen und Generierung von Prüfberichten
Mag. Robin Schmeisser, Geschäftsführer, Fabasoft Contracts GmbH
12:20 Aufbau des Register of Information nach DORA für alle Lieferanten der österreichischen Banken
- Erfahrungen aus NIS und NIS II
- Definition des Erhebungsstandards
- Koordination mit Aufsichtsbehörden
- Prototyp und Zeitplan
- Kosten und Project Governance
Mag. Alexander Mitter, KSÖ-Vorstandsmitglied, KSÖ, Kompetenzzentrum Sicheres Österreich (Geschäftsführer KSV1870 Nimbusec)
12:40 Mittagspause
13:40 Implementierung einer DORA-Compliance-Strategie in einem multinationalen Unternehmen – Definition lokaler EU-Vorschriften als globale Best Practices
Herausforderungen bei der Definition globaler Best Practices:
- Kulturelle Unterschiede: Verschiedene Länder haben unterschiedliche Risikobereitschaften, Rechtstraditionen und Geschäftspraktiken
- Lokale EU-Vorschriften können im Widerspruch zu globalen Standards stehen oder sich mit diesen überschneiden
Strategien zur Harmonisierung:
- Risikobasierter Ansatz: Anpassung der DORA-Compliance-Bemühungen auf die jeweilig strikteste Risikoexposition
- Globales Inventar wesentlicher Regulierungen und detaillierter Zuordnung von Policies und Standards
- Zentralisierte Richtlinien mit lokaler Zuordnung, um spezifische Anforderungen zu erfüllen
- Funktionsübergreifende Zusammenarbeit
- Entwicklung konsistenter KPIs zur Messung der betrieblichen Resilienz in verschiedenen Regionen
- Regelmäßige Audits
- Austausch weltweit gewonnener Erkenntnisse, um die allgemeine Resilienz zu verbessern
Gerald Hentschel, Head of IT (CIO), Western Union International Bank GmbH & Western Union Payment Services Ireland Ltd
14:10 Erfahrungen aus der Praxis: DORA-Umsetzungen in kleinen und mittleren Finanzunternehmen
- Wo stehen die Finanzunternehmen?
- Was waren bisher die größten Herausforderungen?
- Wie soll man priorisieren?
- Wie nutzt man die nächsten 6 Monate am besten?
- Tipps aus der Umsetzungspraxis
DI Johann Donauer LL.M, Geschäftsführer, DORIDA GmbH
14:30 Praxisbericht OeNB – „Penetration Testing“
- Herleitung der regulatorischen Anforderungen
- Erfahrungen aus der Prüfpraxis
Mag. (FH) Gernot Burgsteiner, GSLC, CISA, Abteilung für Bankenrevision, Österreichische Nationalbank
14:55 TIBER-AT Implementation Guide
- Regulatorisches Rahmenwerk
Vortrag in Absprache
Ing. Mag. Thomas John, Senior Manager, Deloitte Audit Wirtschaftprüfungs GmbH
15:10 Kaffeepause
15:40 „Threat-Led Penetration Testing“ (TLPT)
Vortrag in Absprache
Nenad Milanovic, Chief Information Security Officer, Erste Group Bank AG
16:10 Praxisbericht von einem Drittdienstleister
- Bericht aus den Umsetzungsarbeiten / Praxisbericht
- Einstellung von den Kunden
- Erste Erfahrungen
- Meldungen von Vorfällen – aktueller Stand
Dr. Bijan Afshordel, Head of IT Governance and Security Consulting, d-fine Austria GmbH
16:25 Praxisbericht Versicherung
- Was hat sich in den letzten Monaten getan?
- Wo stehen wir aktuell?
- Was sind die nächsten Schritte bis Ende des Jahres?
- Welche Problemfelder/Herausforderungen haben sich in den letzten Monaten herauskristallisiert?
Speaker in Anfrage
16:40 DISKUSSIONSRUNDE: Alle Stakeholder an einem Tisch
- Die Sinnhaftigkeit der DORA abfragen
- Welche Vorteile erweisen sich durch die DORA?
- Blick in die Glaskugel – Wie geht es weiter? Erste Einschätzungen und weitere Schritte sowie Herausforderungen in der Praxis
- KI bei der DORA Umsetzung
Dr. Bijan Afshordel, Head of IT Governance and Security Consulting, d-fine Austria GmbH
Dr. Alexander Kern, MSc., Geschäftsführer Fachverband Finanzdienstleister, Wirtschaftskammer Österreich
DI Andreas Schaupp, MMSc MAS, Group Chief Information, Security Officer, BAWAG Group
Mag. Severin Winkler, Director, Cyber Security, IT Advisory, KPMG Advisory GmbH
16:55 Zusammenfassung des Tages. Zeit für Fragen und Diskussion
17:00 Get-together – Lassen Sie in entspannter Atmosphäre den Tag ausklingen