09:00 – 10:15
Hinführung zum Thema und Ablauf des Seminars
- Erwartungen an den Lehrgang
- Kurze Vorstellung der Teilnehmenden
- Rolle in der Bank
- Wo ist das IT-Risikomanagement angesiedelt
- Ihre Berührungspunkte zum IT-Risikomanagement in Ihrer Bank
- Bedeutung des IT-Risikomanagement für Ihre Arbeit
Dipl.-Ing. Dr. Christian Koza, IKT Prüfer & IT Audit Expert
10:15 – 10:30 Kaffeepause
10:30 – 11:30
Rechtliche Neuerungen – ausgewählte Anforderungen an Finanzinstitute
- DORA-Neuerungen im Überblick: Die wichtigsten Inhalte der neuen Verordnung
- Technische Regulierungsstandards (RTS)
- TIBER EU
- Der neue Überwachungsrahmen für kritische IKT-Drittdienstleister
Dr. Anna Muri, MBA, Senior Spezialistin IT-Risiko-Aufsicht, Finanzmarktaufsicht (FMA)
11:30 – 12:30
Technische Umsetzung & Erfahrungsberichte
- Technische und regulatorische Anforderungen, Umsetzung
- Herausforderungen
- Leitlinien für das Management von IKT- und Sicherheitsrisiken anhand ausgewählter Beispiele
- Erfahrungen während der Prüfung vor Ort im Bereich LSI
- Potenzielle Folgen von DORA für den Prüfablauf vor Ort
- DORA-Umsetzung auf europäischer Ebene
- Neue Elemente in der Beaufsichtigung von IT-Risiken
- Was wird zu beachten sein?
Speaker von Österreichische Nationalbank (OeNB) in Absprache
12:30 – 13:30 Mittagspause
13:30 – 14:00
Zwischen Datenwert und IT-Bedrohungen: Eine umfassende Betrachtung der Herausforderungen und Lösungsansätze
- Zusammenhang zwischen IT-Risiken und Daten
- Die unmittelbare Verbindung zwischen der Sicherheit digitaler Informationen und den potenziellen Gefahren (Verarbeitung, Speicherung und Übertragung)
- Daten als zentrales Unternehmensgut:
- Bedeutung von Daten für Unternehmen
- Risiken durch IT-bezogene Bedrohungen (Cyberangriffe, Datenverlust, Datenschutzverletzungen)
- Unternehmensabhängigkeit von Daten:
- Notwendigkeit von Datenintegrität und -verfügbarkeit
- Sicherheitsrisiken: Systematische Schwachstellen, menschliche Fehler, gezielte Angriffe auf sensible Daten
- Effektive Risikobewältigung:
- Erfordert umfassende Strategie
- Einbindung von technologischen Sicherheitsmaßnahmen
- Schulungen der Mitarbeiter:innen
- Regelmäßige Überprüfungen
- Einhaltung von Datenschutzrichtlinien für Datenintegrität und Vertraulichkeit
Mit Hilfe einer Use Cases aus den gewählten Branchen werden Ihnen einige Praxisfälle vorgeführt
14:00 – 15:00
Gruppendiskussion / Workshop
Hier liegt der Fokus auf dem aktiven Austausch innerhalb der Gruppe und Interaktion, um die aktuellen Themen besser zu verstehen. Die gewählten Use Cases werden weiter thematisiert und ausgeführt.
15:00 – 15:30 Kaffeepause
15:30 – 17:00
Einsatzgebiete von AI im Umfeld von IT / Data Security (Marktübersicht, Tools, etc.)
Hands-on Session anhand eines konkreten Use Case.
Erhalten Sie Verständnis für die Tiefe der Komplexität, Vielfältigkeit aber auch Verbesserungspotenziale.
Ing. Alin Kalam, M.Sc., Head of Market Intelligence & Retail, Digital Data Strategy, UNIQA Insurance Group AG
09:00 – 10:30
Einsatz von KI im Kontext des IT-Risikomanagements – Chance oder Risiko?
- Strategien zur Risikoreduzierung durch Einsatz von KI
- KI als Werkzeug im IT Security Management / IT-Risikomanagement
- KI als IT-Risiko
- Herausforderungen/Lösungsansätze um KI im Bankenumfeld compliant einzusetzen
Mag. Susanne Zach, Partnerin, Data Analytics Lead, Ernst & Young Management Consulting GmbH
Marina Christ, Senior Managerin, Business Consulting, Ernst & Young Management Consulting GmbH
10:30 – 11:00 Kaffeepause
11:00 – 12:30
Aktuelle Herausforderungen für Banken im Umgang mit Service Providern
- CCAG-Collaborative Cloud Audit Group
- Zusammenarbeit zur gemeinsamen Prüfung von großen Cloud Providern
- Cloud Provider in Bezug auf Risikomanagement
- CCM (Cloud-Control Matrix) als Prüfansatz für Cloud Provider
Dipl.-Ing. Dr. Christian Koza, IKT Prüfer & IT Audit Expert
12:30 – 14:00 Mittagspause
14:00 – 16:00
Identifikation von IT-Risiken
- Klassifizierung und Bewertung von IT-Risiken
- Erfahrungen aus aktuellen Compliance-Herausforderungen
- Methoden und Vorgehensweisen der Identifikation
- Beispiele aus der Praxis
Ing. Thomas Buchberger, IT-Leiter, Marchfelder Bank eG
09:00 – 12:30
Effektives Risikomanagement, Krisenkommunikation und Cyberresilienz im Fokus
- Umsetzung von Kontrollen, wie läuft der Risikobehebungsprozess ab?
- Schwerpunkte internes Kontrollsystem und operationelles Risiko
- Risikoreduzierung durch Kontrollen
- Business-Impact-Analysen (BIA)
- Effektive Krisenkommunikation: Strategien für interne und externe Stakeholder
- Verschiedene Kommunikationsarten (intern / extern), sowie Stakeholder (Management, Mitarbeiter:innen, Medien, Kunden und Kundinnen, Lieferanten & Partner)
- Cyberangriff: Austausch mit Security Peers, Consulter & Dienstleister betreffend Support und Threat Intelligence
- Vorteile/Nachteile von Software-Eigenentwicklung im IT-Risikomanagement
- Vor- und Nachteile betreffend einer Software-Eigenentwicklung im Bereich IT-Risikomanagement
- Vergleich mit kommerziellen Produkten für IT-Risikomanagement
- Erstellung und Durchführung der Notfallpläne (BCP, Business continuity Plan)
- Aufbau von BCPs
- Test der BCPs sowie verschiedener Krisenszenarien
- Best Practices
- Preventive, detective, corrective und deterrent Kontrollen
- Verschiedene Security Kontrollen (Preventive, Detective, Corrective und Deterrent)
- NIST Cyber Security Framework (CSF) und CIS, sowie Best Practice Empfehlungen
- Operationale Resilienz zum Schutz vor Bedrohungen und potenziellen IT-Ausfällen
- Test of Design (ToD)
- Test of Effectiveness (ToE) Audits
- Security Awareness Schulungen zur Stärkung der Unternehmenssicherheit
- Überblick über die verschiedenen Schulungsinhalte, Schulungsprogramme sowie Messung des Security Awareness Scores
- Relevanz und Erfahrungswerte von Cyberversicherungen
- Welchen Stellenwert spielen Cyberversicherungen in Unternehmen?
- Darstellung der Bereiche, welche versichert werden können und welche nicht
- Erfahrungswerte und Bereiche, welche nur mit hohen Kosten versichert werden können
Dr. Stefan Hofbauer, Information Security Manager, Volksbank Wien AG
12:30 – 13:30 Mittagspause
13:30 – 17:00
Workshop
- Gruppenarbeit zum Thema Handlungsbedarf:
- Welchen Handlungsbedarf leiten Sie für Banken ab, um die künftigen Anforderungen zu erfüllen?
- Welchen Nutzen leiten Sie aus einem effektiven IT-Risikomanagement für Ihre Bank ab?
- Gruppenarbeit zu den Aspekten „preventive-detective-reactive“:
Die Vermeidung / Reduktion von IT-Risiken, die Erkennung des Eintretens von IT-Risiken und der Umgang beim Eintritt von IT-Risiken: - In welchen Bereichen einer Bank halten Sie das IT-Risikomanagement für besonders wichtig?
- Wo spielen Prevention – Detection – Reaction jeweils eine besonders wichtige Rolle, durch welche können diese 3 Aspekte erreicht werden?
Dipl. Ing. Dr. Christian Koza, IKT Prüfer & IT Audit Expert
Abschluss: Vergabe der imh Lehrgangszertifikate