Seminare und Trainings mit microfin

In this training, learn about the functions and content in CloudGate that serve to ensure compliance with the AI Act (EU Artificial Intelligence Act) for artificial intelligence use cases:

• AI use case type and AI register – information gathering and reporting
• Multiple processes – redesigning AI-relevant assessment processes
• AI Act assessment templates – classification and review of obligations under the AI Act regulation
   

Duration: 60 minutes (online), free of charge, customized content and scope on request

[Lernen Sie in diesem Training die Funktionen und Inhalte in CloudGate, die zur Sicherstellung der Compliance mit dem EU KI-VO (Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates vom 13. Juni 2024 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz) für die KI-Anwendungsfälle dienen:

• KI-Anwendungsfalltyp und KI-Register - Informationssammlung und Berichtswesen
• Multiple Prozesse - KI-relevante Prüfprozesse anders gestalten
• AI Act Prüfvorlagen - Klassifikation und Prüfung der Pflichten aus der KI-VO
   

Dauer: 60 Minuten (online), kostenlos, individuelle Zusammenstellung nach Bedarf]

Learn functions for maintaining the register of information required by the regulation for financial institutions in the EU 2024/2956 (DORA ROI) and work with your register efficiently:

• How to collect, maintain and submitt information in ROI? Use cases, contracts, service provider chains, supported functions and assessments
• Individual settings for the register and export formats
• Gain confidence and efficiency in working with ROI in CloudGate: tips and tricks for your team
   

Duration: 60-90 minutes (online), free of charge, customized to your needs

[Lernen Sie Funktionen für die Dokumentation und Meldung der Informationsregister, relevant für die Finanzinstitute in EU (Durchführungsverordnung (EU) 2024/2956 der EU Kommission) sowie wie man mit dem Register effizient arbeitet:

• Wie sammeln, pflegen und melden wir Informationen? Erläuterungen zu Anwendungsfällen, Dienstleisterketten, unterstützten Funktionen und Ergebnisse der Risikoanalysen
• Mögliche Einstellungen und Exportformate
• Effizientes Arbeiten mit dem Informationsregister in CloudGate: Tipps und Tricks
   

Dauer: 60-90 Minuten (online), kostenlos, individuelle Zusammenstellung nach Bedarf

CloudGate for reporting – available reports and optione: design and optimize your reporting with CloudGate:

• Reports in CloudGate – an overview of the features, incl. filters: provider, use cases, risks, mitigation measures, supported critical/important functions
• If needed: Registers: Central Register (FSI, all branches), Register of Information (DORA), AI Register (AI Act and beyond)
• If needed: Audits – document and manage monitoring and monitoring measures
   

Duration: 45 minutes (online), free of charge, customized compilation on request

[CloudGate für das Berichtswesen: Wie können Sie Ihr Reporting mit CloudGate gestalten und optimieren:

• Berichte in CloudGate - eine Übersicht über die Funktionen inkl. Filter: Dienstleister, Anwendungsfälle, Risiken, Mitigationsmaßnahmen, Unterstützung kritischer/wichtiger Funktionen
• Nach Bedarf: Register: Zentrales Register (FSI und alle Branchen), Informationsregister (DORA), KI-Register (KI-VO)
• Nach Bedarf: Audits - Moniten und Monitenmaßnahmen dokumentieren, verwalten
   

Dauer: 45 Minuten (online), kostenlos, individuelle Zusammenstellung auf Anfrage]

In this workshop, learn about the planned new features in CloudGate and the implementation period. Help shape the innovations—share your thoughts on your desired features and best practice for better usability, processes, and content:

• New features of the latest updates—benefits and experience
• CloudGate roadmap: overview of planned features (short- and long-term perspective)
• Help shape innovations: Discuss your desired features and trends
   

Duration: 60-90 minutes (online), free of charge, customized to your needs

[Erfahren Sie in diesem Workshop über die geplanten neuen Funktionen in CloudGate und den Zeitraum der Implementierung. Gestalten Sie die Innovationen mit - tauschen Sie sich mit uns auch zu Ihren gewünschten Funktionen und Optimierungen aus: bezüglich Bedienbarkeit, Prozesse und Inhalte:

• Neue Funktionen der letzten Updates - Nutzen und Erfahrung
• CloudGate Roadmap: Überblick über die geplanten Funktionen (kurz- und langfristige Perspektive)
• Innovationen mitgestallten: Diskussion Ihrer gewünschten Funktionen und Trends
   

Dauer: 60 Minuten (online), kostenlos, individuelle Zusammenstellung auf Anfrage]

Optimize your CloudGate configuration to best support your assessments. Get tips on how to use the system and best practices:

• Configuring CloudGate – processes, tags, system settings, white labeling
• Coordinator's functions during assessments
• Use cases: Quick navigation through content, tips & tricks
   

Duration: 60–90 minutes (online), free of charge, customized content available on request

Optimieren Sie Ihre CloudGate-Konfiguraton, sodass Ihre Prüfungen reibungslos und effizient verlaufen. Erhalten Sie Tipps für die Bedienung und Best-Practices:

• Konfiguration von CloudGate - Prozess, Prüfungen, Tags, Systemeinstellungen, Whitelabeling
• Funktionen der Koordinatoren bei Prüfungen
• Anwendungsfälle: Schnelle Navigation durch Inhalte, Tipps & Tricks
   

Dauer: 60-90 Minuten (online), kostenlos, individuelle Zusammenstellung auf Anfrage

Onboarding for use case owners and reviewers (2nd LoD - e.g. DSB, Legal, ISM, ZAM): CloudGate functions for user groups that want to use services and provide info about them - and those, who check their compliance against the own requirements:

• What is my role and how do I complete my tasks?
• My tool – what functions does CloudGate offer me?

Duration: 45 minutes (online), free of charge, individual content available on request

[Onboarding für Fachbereiche und Prüfer (2. LoD - bspw. DSB, Recht, ISM, Einkauf, ZAM): CloudGate-Funktionen für Benutzergruppen, die Services einführen wollen und dazu Informationen liefern – und die Compliance gegen die eigenen Anforderungen prüfen:

• Welche Rolle habe ich und wie arbeite ich meine Aufgaben ab?
• Mein Werkzeug – welche Funktionen bietet mir CloudGate?
   

Dauer: 45 Minuten (online), kostenlos, individueller Themenumfang auf Anfrage]

Collaborate with the provider representatives on assessments - how to use this feature: 

• External responder in CloudGate - function overview
• How to invite the provider representatives to the assessment
• Rights of the provider representatives and collaboration, tips & tricks
   

Duration: 60 minutes (online), free of charge, customized compilation on request

[Die Zusammenarbeit mit den Dienstleister-Vertretern in Prüfungen nutzen und effizient gestalten: 

• Externe Bearbeiter in CloudGate - Überblick über die Funktion
• Dienstleister-Vertreter anlegen und zur Prüfung einladen
• Sichtrechte und Kollaboration, Tipps & Tricks
   

Dauer: 60 Minuten (online), kostenlos, individuelle Zusammenstellung auf Anfrage]

CloudGate stellt die Schnittstelle zur Melde- und Veröffentlichungsplattform (MVP) der BaFin für Auslagerungsanzeigen für Kunden in Deutschland bereit. Wie funktioniert die Schnittstelle und wie Ihr Unternehmen sie nutzen kann erfahren Sie in diesem Training.

Dauer: 60-90 Minuten (online), individuelle Zusammenstellung auf Anfrage

Übersicht der Inhalte:

• Welche nationale Meldearten gibt es? 
• Welche Daten werden für die Auslagerungsmeldung(en) benötigt?
• Wie funktioniert die Meldung (BaFin via XML-Datei-Upload und via SOAP (Meldeweg: Webservice) benachrichtigen, Historie ansehen, Referenznummer der Auslagerung der BaFin, Berechtigung etc.)
• Meldung für die Meldepflichtige Organisation einrichten - gemeinsame Konfiguration in Ihrer CloudGate-Instanz nach Bedarf
   

Preis: kostenlos

Simple explanation of how digital checklists work in CloudGate for coordinators and reviewers:

• Overview of digital catalogs, checklists, and checkpoints in CloudGate - functions
• Connection to use case status
• Recertifications (regular & ad hoc assessments)
• On request: additional functions, e.g. write through, follow-up assessments
   

Duration: 60 minutes (online), free of charge, customized compilation on request

[Funktionsweise den digitalen Prüflisten in CloudGate für Koordinatoren und Prüfer einfach erklärt:

• Übersicht über digitale Prüfkataloge, Prüflisten und Prüfpunkte in CloudGate - Funktionen
• Zusammenhang mit Anwendungsfall-Status
• Rezertifizierungen (Regel- und Ad-hoc Prüfungen)
• Nach Bedarf: Zusätzliche Funktionen wie Write Through, Folgeprüfungen
   

Dauer: 60 Minuten (online), kostenlos, individuelle Zusammenstellung auf Anfrage]

Get insights into the templates in CloudGate and tips on how to use them:

• microfin assessment templates for (risk) assessments for cloud, managed services, and artificial intelligence use cases – current content
• Features related to audit templates – permissions, copying templates, updates from microfin
   

Duration: 45 minutes (online), free of charge, customized compilation on request

[Erhalten Sie Einblicke in die Vorlagen in CloudGate sowie Tipps für die Bedienung:

• Prüfvorlagen von microfin: Standar-(Risiko-)Prüfung der Cloud-, Managed Services- und Künstliche Intelligenz- Anwendungsfälle: aktuelle Inhalte
• Funktionen rund um die Prüfvorlagen - Berechtigungen, Kopieren der Prüfvorlagen, Updates von microfin
   

Dauer: 45 Minuten (online), kostenlos, individuelle Zusammenstellung auf Anfrage]

"Take it or leave it" – Wer abheben will in Richtung Cloud, ist in aller Regel eng an die Allgemeinen Geschäftsbedingungen (AGB) und die damit verbundenen Standards (TOM) des Cloud-Anbieters gebunden. Cloud ist Massengeschäft, und da gibt es eben (so gut wie) keine Möglichkeit zu individueller Verhandlung, wie man sie im konventionellen IT-Outsourcing noch als Selbstverständlichkeit kennt. Das gilt gleichermaßen in der Public wie auch in der Private Cloud. Doch wo liegen die Fallstricke? Welche (quasi-) rechtlichen und regulatorischen Anforderungen aus der IT-Compliance sind gegen AGB und Standards des Anbieters auf deren Vereinbarkeit mit der konkreten Cloud-Lösung zu prüfen? Und wer gibt Antworten hierzu?

Nahe an der Praxis bietet unser Seminar/Webinar Anleitung und Orientierung in dem thematisch weiten Feld der Cloud Compliance. Die TeilnehmerInnen haben die Möglichkeit, mit den ReferentInnen eigene Fragen aus dem Cloud-Tages- und Projektgeschäft zu diskutieren. Eine funktionierende Cloud Compliance festigt letztlich das Vertrauen in die Cloud-Nutzung als Beitrag in der Digitalen Transformation.

Empfohlen als 1-tägiges Seminar oder Webinar in 2 Teilen.

Übersicht der Inhalte:

• Dienst- oder Mietvertrag – akademische Diskussion oder zielführende Differenzierung?
• Standarddokumente, -Prüfungen und -Nachweise der Top-3-Hyperscaler: AWS, Microsoft Azure und Google Cloud
• Datenschutz in der Cloud – die aktuelle Lage
• Business- und Service-Continuity-Management und Cloud-Compliance (auch branchenspezifisch für Banken und Versicherungen)
• Einrichtung bzw. Anpassung der Kontroll- und Steuerungssysteme auf die kontinuierliche Einhaltung der Cloud Compliance
• Einblick in den microfin Cloud Guide und Erläuterung einschlägiger Zertifikate im Kontext von Cloud Compliance und deren Belastbarkeit
• Schutz von Betriebsgeheimnissen – Vorstellung des Gesetzes zum Schutz von Geschäftsgeheimnissen (GeschGehG)
• Optional und branchenspezifisch: Aufsichtsrechtliche und regulatorische Anforderungen an die Cloud-Nutzung bei Banken, Finanz- und Zahlungsdienstleistern sowie Versicherungen (KWG, BAIT, MaRisk, VAG, MaGo, VAIT, Solvency II, EBA, EIOPA etc.)

Preis: EUR 800,- pro Person zzgl. MwSt. Weitere Informationen siehe Flyer.

Banken, Finanz- und Zahlungsdienstleister sowie Versicherungen stehen bei der Nutzung cloudbasierter Lösungen "unter Aufsicht". Wie im traditionellen IT-Outsourcing gilt bei Vorliegen der entsprechenden Voraussetzungen auch bei Cloud-Diensten wie M365 die zwingende Notwendigkeit zur Analyse der damit verbundenen Risiken in der Nutzung (u.a. MaRisk, Solvency II). Dabei stoßen diese Unternehmen vielfach an die Grenzen der Komplexität der individuell zu prüfenden Anforderungen, wie sie u.a. aus dem Datenschutz, der Informationssicherheit, dem IT-Risikomanagement erwachsen – nicht zuletzt, weil jede der in Frage stehenden M365-Apps wie Exchange, SharePoint, Teams etc. einzeln aufgrund der unterschiedlichen Anwendungsfälle auf ihre jeweilige Risikobehaftung zu prüfen sind.

Das Seminar/Webinar gibt einen umfassenden Einblick in den Ablauf solcher Risikoanalysen und zeigt die von Microsoft standardmäßig ergriffenen technischen und organisatorischen Maßnahmen auf, die es zu bewerten gilt. Die ReferentInnen von ISW und microfin geben vor dem Hintergrund ihrer einschlägigen Erfahrung aus der Begleitung solcher Risikoanalysen Beispiele weiter, die sich in der Praxis bei der Risikobeurteilung der M365-Apps bislang bewährt haben. Die TeilnehmerInnen erhalten zugleich Orientierung, welche einschlägigen Dokumentationen, Nachweise, Zertifikate etc. hierzu auf der Webseite von Microsoft ausgewiesen werden und im Rahmen der Risikoanalyse herangezogen werden sollten. 

Empfohlen als 1-tägiges Seminar oder Webinar in 2 Teilen.

Übersicht der Inhalte:

• Regulatorische Notwendigkeit zur Durchführung von Risikoanalysen der M365-Apps bei Banken, Finanz- und Zahlungsdienstleistern sowie Versicherungen
• Übersicht der an der Risikoanalyse der M365-Apps üblicherweise zu beteiligenden Funktions- und Organisationseinheiten
• Praxistipps zur Entflechtung der M365-Apps in sinnvolle Anwendungsfälle bei der Risikoanalyse
• Praxistipps zum – möglichst "schlanken" – Vorgehen in der M365-Risikoanalyse
• Übersicht zu prüfungsrelevanten (Microsoft-)Dokumenten wie Zusatzvereinbarungen, Testatsberichte, Prüfkataloge wie BSI C5
• Praxiseinblick in technische Risiken in der Nutzung der M365-Online-Dienste
• Exit-Plan für M365 (Anforderungen, Konzept und Vorgehen)
• Praxisbewährte Hilfsmittel zur "handhabbaren" und revisionssicheren Durchführung und Dokumentation der M365-Risikoanalyse
• Nach der Erstanalyse: Revalidierung der identifizierten Risiken während der Nutzung von M365 (Rhythmus, Wiedervorlagen Nachweise der Kontrollen und Garantien etc.)
• Exkurs: O365-Backup und Notfallplan als Einflussfaktoren auf die Risikoanalyse?
   

Preis: EUR 800,- pro Person zzgl. MwSt. Weitere Informationen siehe Flyer.

Auslagerungen und Ausgliederungen in die Public Cloud sind nicht gleichzusetzen mit Auslagerungen von traditionellen Managed Services. Erfahren Sie in diesem Seminar bzw. Webinar, für welche Zwecke Banken, Zahlungsdienstleister und Versicherungen in Deutschland bereits die Public Cloud nutzen und welche (branchenspezifischen) Lösungen angeboten werden. Daneben vermutteln wir einen Überblick über aktuelle regulatorische Anforderungen (EBA-, EIOPA-Guidelines, KWG, VAG, MaGo, 6. MaRisk-, BAIT-, VAIT-Novellen, ZAIT, KAIT, Solvency II) und blicken hinter die Kulissen der 44er-Sonderprüfungen mit Fokus Cloud.
Nach Bedarf gibt das Seminar/Webinar eine Einführung in das Thema Cloud Governance und Best Practices, wie sich Finanzinstitute in einer Cloud-Umgebung aufstellen. Gerne können Sie hier die Gelegenheit nutzen, mit unseren ReferentInnen die konkreten Cloud-Vorhaben und -Themen zu besprechen.

Empfohlen als 2-tägiges Seminar oder Webinar in 3 Teilen.

Übersicht der Inhalte:

• Bei Bedarf: Cloud-Grundlagen kompakt - eine kurze Übersicht
• Deutsche Banken, Finanzdienstleister, Versicherungen in der (Public) Cloud – was ist überhaupt möglich, wer macht was schon heute?
• Marktentwicklungen und Trends mit Fokus Deutschland
• Bei Bedarf: Lizenztechnische Herausforderungen bei Cloud-Nutzung (branchenübergreifend)
• Regulatorische Anforderungen bzgl. Auslagerungen/Ausgliederungen in die Cloud im Überblick: KWG, BAIT, MaRisk, VAG, MaGo, VAIT, Solvency II, EBA, EIOPA etc.
• Erfahrungen aus der aktuellen Prüfungspraxis der BaFin und der EZB bei Sonderprüfungen im Zusammenhang mit Auslagerungen/Ausgliederungen in die Cloud
• Anforderungen an den Aufbau des Cloud-Registers
• Bei Bedarf: Datenschutz in der Cloud
• Bei Bedarf: Cloud Governance für Banken, Finanzdienstleister, Versicherungen: Best Practice
• Nach Bedarf: Vorstellung ausgewählter Musterdokumente aus unserem Framework für Cloud Management (z.B. Cloud-Risikoanalyse, Checklisten, Prozessbeschreibungen, Cloud Governance Maturity Assessment etc.) und Diskussion Ihrer aktuellen Fälle
• Nach Bedarf: Ableitung des eigenen Handlungsbedarfs (GAP-Analyse) und nächste Schritte
   

Preis: EUR 1.500,- pro Person zzgl. MwSt. Weitere Informationen siehe Flyer.

Mit DORA hat die EU eine Verordnung zur Stärkung der digitalen Resilienz des Finanzsektors vorgelegt. Damit sollen bestehende Regelwerke unter enger Einbeziehung der europäischen Finanzaufsichtsbehörden EBA, EIOPA und ESMA zugleich harmonisiert und gestärkt werden. Finanz- und Dienstleistungsunternehmen stehen dabei gleichermaßen vor der Frage, wie sich die Anforderungen auf IKT- und Cloud-Auslagerungen auswirken. Seit Jahresbeginn ist die Verordnung wirksam, Finanzunternehmen haben nunmehr Zeit für die Umsetzung bis zum Januar 2025. Höchste Zeit also, sich mit den Anforderungen auseinanderzusetzen.

Unsere Referenten erläutern im ersten Teil die wichtigsten Begriffe, Regelungen und Zusammenhänge und ordnen diese in bereits bestehende Anforderungen im IT-Outsourcing sowie in Anforderungen der Nutzung cloudbasierter Lösungen ein. Der zweite Teil stellt den Bezug vor allem zur IT-Sicherheit her und zeigt, wie sich die Anforderungen in der Praxis bewältigen lassen. Bereiten Sie sich frühzeitig auf das bevorstehende Regelwerk und dessen Umsetzung vor.

Empfohlen als 1-tägiges Seminar bzw. Webinar in 2 Teilen. Teile (je 4 Stunden) sind einzeln oder zusammen buchbar.

Inhalte Teil 1:

• Einordnung DORA als Teil des EU-Maßnahmenpakets zur Digitalisierung des Finanzsektors
• Rolle und Verantwortung europäischer Aufsichtsbehörden im Zusammenhang mit DORA sowie Rechtsverbindlichkeit im Verhältnis zu nationalen aufsichtlichen bzw. regulatorischen Vorgaben in Deutschland
• Adressatenkreis von DORA und die damit verbundene weite Auslegung des Begriffs "Finanzunternehmen" inkl. Beispiele
• Erläuterung der wesentlichen Inhalte der einzelnen Regelungsbereiche von DORA sowie damit verbundene Betrachtung praktischer Auswirkungen auf IKT-Auslagerungen und Nutzung cloudbasierter Lösungen
• Wesentliche Auswirkungen auf IKT-Auslagerungs-/Ausgliederungsverträge inkl. Beispiele

Inhalte Teil 2:

• Auf DORA vorbereiten: Maßnahmen zur Mitigation und zur Erreichung einer höheren Abwehrreife, Methoden und Mittel zur Prüfung der digitalen Betriebsstabilität (Software-Supply-Chain-Sicherheit, Scan-Lösungen & Runtime Protection, Schutz vor Ransomware, Netzwerk- und Kommunikationssicherheit, Threat Intelligence Services, To SIEM or not to SIEM, Risiko Innentäter)
• Informationsaustausch zur Früherkennung und Vermeidung von Ansteckungseffekten: Austauschformate, STIX 2.1, TAXII 2.1
• Nach Bedarf: Allgemeine Ableitung und erste Bewertung möglicher Auswirkungen für euer Unternehmen (gilt für Teil 1 und 2)
   

Preis: EUR 500,- pro Person zzgl. MwSt. je Teil 1 oder 2. Weitere Informationen siehe Flyer.

Wie kann der Datenaustausch mit US-amerikanischen Cloud-Providern datenschutzkonform erfolgen? Wie reagieren insbesondere US-amerikanische Hyperscaler wie AWS, Google Cloud oder Microsoft Azure/M365 auf die aktuelle Rechtslage und welche organisatorischen, technischen und rechtlichen Lösungsansätze bieten sie grundsätzlich an? Was tolerieren die Datenschutz-Aufsichtsbehörden in Deutschland angesichts der vielfachen De-facto-Monopollösungen dieser Anbieter? Und ändert die Trans-Atlantische Data-Privacy-Framework etwas daran im Grundsatz?

Datenverschlüsselung kann wirksamen Schutz bei der Nutzung cloudbasierter Ressourcen und Services bieten. Vor allem im Kontext der Angebote der großen US-amerikanischen Hyperscaler, aber reicht es aus?

Die Experten von IT-Security@Work (ISW) und microfin erläutern in diesem Seminar/Webinar die aktuelle Rechtslage, räumen zugleich mit den vielerorts verbreiteten (Fehl-) Interpretationen auf und geben eine grundlegende Übersicht zu den Möglichkeiten der Verschlüsselung in der Nutzung, dem Transport und der Speicherung der Daten. Diskutieren Sie mit uns Ihre konkreten Cloud-Use-Cases und nutzen unsere Erfahrung als Sparringspartner!

Empfohlen als 1,5-tägiges Seminar oder Webinar in Teilen.

Inhalte - Fokus Datenschutz:

• Datenschutz gestern, heute und morgen: Aktuelle Entwicklungen im Spannungsfeld Datenschutz und Cloud
•  Wie ist die aktuelle Lage hinsichtlich Datentransfer in die USA?
• Cloud-Sourcing mit den großen Hyperscalern
• Umgang mit besonders sensitiven Daten (Gesundheits- und Finanzdaten etc.), Scoring und Profiling
• Vision: Die Europäische Cloud
• Einblick in den microfin Cloud Guide und damit verbundene Übersicht einschlägiger Standards und Zertifikate sowie in spezifische Muster-Checklisten zum Datenschutz in der Cloud
• Back-up der Daten in der Cloud: eine Angelegenheit des Kunden
• Folgen und Bußgeld bei Verstößen gegen den Datenschutz in der Cloud
   

Inhalte - Fokus Verschlüsselung:

• Einführung in die Verschlüsselung und der Unterschied zwischen Transport-, In-Nutzung- und Speicher-Verschlüsselung
• Funktionsweise eines Hardware-Sicherheits-Moduls (HSM)
• Architekturmodell der Cloud in Verbindung mit Verschlüsselung
• Praxisbeispiel Microsoft Azure: Was ist der "Availability Key" von Microsoft? Welche Möglichkeiten gibt es, um den Zugriff durch Microsoft auf die Kundendaten abzustellen? Wie kann ich sicherstellen, dass MS-Office-Daten, MS Exchange und Teams-Daten verschlüsselt werden?
• Kann ich auf Verschlüsselungsangebote der Cloud Service Provider vertrauen? Welcher Cloud Service Provider bietet welche Möglichkeiten bei der Verschlüsselung?
• Auf Anfrage: Technische Kryptographie (Open SSL, XCA)
   

Preis: EUR 1.100,- pro Person zzgl. MwSt. Weitere Informationen siehe Flyer.

Während Agilität, time2market und Flexibilität gute Gründe für die Nutzung der Cloud sind – für ein strukturiertes Kostenmanagement sind sie es nicht.

Die Cloud ändert die Kostenstrukturen der Unternehmen: Aus klassischen Investitionskosten werden Betriebskosten. Dein Unternehmen zahlt für alles, was in der Cloud genutzt wird – und auch für das, was nicht genutzt wird, aber abonniert bzw. gebucht.

In diesem Seminar bzw. Webinar lernst du die Kostenmechanismen der Cloud zu verstehen und die Grundlagen für den Aufbau eines erfolgreichen Cloud-Financial-Managements kennen. Du hast die Möglichkeit, mit unseren ReferentInnen die Fragen aus der aktuellen Cloud-Kosten-Praxis zu diskutieren.

Empfohlen als 1-tägiges Seminar bzw. Webinar in 2 Teilen.

Inhalte Teil 1: Grundlagen

• Was ist Cloud-Kostenmanagement und welche Herausforderungen sind damit verbunden?
• Preismodelle und Preishebel in der Public Cloud
• Wie behält man Cloud-Kosten im Griff?
• FinOps: Grundlagen, Team und dazugehörige Prozesse
   

Inhalte Teil 2: Operationalisierung

• Tagging & Verrechnungskonzept
• Wie optimiert mein Unternehmen die (aktuellen oder zukünftigen) Kosten in der Cloud?
• Optional: Cloud Financial Management Maturity
• Optional: FinOps Tools – Einblick in die Praxis

Preis: EUR 800,- pro Person zzgl. MwSt. Weitere Informationen siehe Flyer.

Mit den MaRisk, den BAIT, dem FISG im Jahr 2021 sowie den VAIT im Jahr 2022 stehen vier regulatorische bzw. gesetzliche Novellen, deren Inkrafttreten sich u.a. erheblich auf die IT-Organisation und IT-Auslagerungen von Banken und Versicherungen auswirkt. Daneben soll sich die Befugnis der BaFin auf das Recht der unmittelbaren Direktprüfung der IT-Dienstleister ausweiten.

Die Experten von IT-Security@Work (ISW) und microfin klären in diesem Partner-Seminar bzw. -Webinar über die wesentlichen Neuerungen auf, zeigen den organisatorischen Anpassungsbedarf - sowohl auf Seiten der Banken und Versicherungen als auch auf Seiten der IT-Dienstleister - auf und setzen diese anhand konkreter Beispiele in Bezug zur Praxis. Die TeilnehmerInnen haben so die Möglichkeit, die Auswirkungen aus den Novellen auf ihre konkrete Organisation und Auslagerungssituation zu reflektieren und mit den ReferentInnen über mögliche Ansätze zur Umsetzung zu diskutieren.

Empfohlen als 2-tägiges Seminar oder Webinar in 3 Teilen.

Übersicht der Inhalte:

• Erläuterung zur Umsetzung der EBA-, ESMA- und EIOPA-Leitlinien zu Auslagerungen sowie zum ICT Risk in die deutsche Aufsichtspraxis (MaRisk, BAIT, VAIT)
• Themenschwerpunkt (1) MaRisk Novelle:
  Einrichtung eines zentralen Auslagerungsmanagements (ZAM), Notfall-Management und Notfall-Management-Prozess, eingenständige Compliance-Einheit und Einordnung in das interne Kontrollsystem (IKS), Gestaltung des Auslagerungsvertrags, Auslagerungsregister inkl. Praxisbeispiele, Ausweitung der Informations- und Prüfrechte inkl. Tipps für die Vorbereitung auf Prüfungen der BaFin sowie die Beendigungsunterstützung des IT-Dienstleisters im Kontext von Kündigungen
• Themenschwerpunkt (2) Novellen BAIT (die Bankaufsichtlichen Anforderungen an die IT) und VAIT (die Versicherungsaufsichtlichen Anforderungen an die IT):
  IT-Strategie, Umsetzung und Anpassung Informationsrisiko-Management, IT-Betrieb, IT-Notfall-Management, Vorgaben an die Gestaltung von schriftlichen Auslagerungsverträgen mit IT-Dienstleistern, Prüfung von (größeren) IT-Dienstleistern inkl. Praxisbeispiele
• Themenschwerpunkt (3) FISG Novelle:
  Anpassung der Aufsichtsgesetze im Kontext von Auslagerungen (KWG, KAGB, ZAG und WpHG), Erweiterung der BaFin-Befugnisse im Verhältnis zu (IT-) Dienstleistern sowie Bußgelder
• BSI-Anforderungen an Georedundanz von Rechenzentren
• Erste Ableitung und Bewertung möglicher Auswirkungen aus den Novellen
• Bei Bedarf: Aussprache konkreter Handlungsempfehlungen für Finanzinstitute sowie für IT-Dienstleister
   

Preis: EUR 1.500,- p. Person zzgl. MwSt. Weitere Informationen siehe Flyer.

In diesem Seminar bzw. Webinar erlernst du und dein Team praxisorientierte Handlungsweisen und Instrumente, die euch bei der Steuerung, Kontrolle und Koordination eurer Provider und Vendoren helfen. Unter anderem erfahrt ihr, wie man Servicequalitäten bestmöglich messen und sicherstellen kann. Ihr erhaltet außerdem einen vertieften Einblick in das microfin Best-Practice-Framework für das Provider- und Vendor-Management und bei Bedarf Vorschläge zur Anwendung von Best Practices auf eure Organisation.

Empfohlen als 1- oder 2-tägiges Seminar bzw. Webinar.

Übersicht der Inhalte:

• Best Practices in der Aufbau- und Ablauforganisation für das strategische, taktische und operative Provider- und Vendor-Management im Outsourcing
• Best Practices im Einsatz relevanter Instrumente und Werkzeuge im Provider- und Vendor-Management
• Einsatz der Instrumente und Methoden zum Controlling und Tracking der Services und Provider/Vendoren
• Erfolgsmessung und Reporting der Services über Kennzahlen und Ziele
• Besonderheiten in der Gestaltung und Durchführung von Outsourcing-Verträgen und Servicebeschreibungen/SLAs
• Verbesserung und Pflege der Beziehungsqualität inklusive Entwicklung und Pflege einer "Streitkultur"
• Besonderheiten bei konzerneigenen Dienstleistern inkl. Lösungsansätze für eine verbesserte Zusammenarbeit
• Einbindung eurer Praxisfälle und Ermittlung von "quick wins"
   

Preis auf Anfrage. Weitere Informationen siehe Flyer.

In diesem interaktiven Seminar bzw. Webinar erarbeitst du und dein Team zusammen mit unserem Referenten Maßnahmen zur Optimierung eurer Organisation im Provider- und Vendor-Management (Aufbau, Ablauf, Werkzeuge, Service-Ziele, KPIs etc.). Mit Hilfe unseres Best Practice Provider Management Frameworks identifizieren wir die konkreten Handlungsbedarfe, entwickeln Zielbilder und eine Roadmap zur Umsetzung - damit ihr eure Provider und Vendoren künftig noch kosteneffizienter und nachhaltiger steuert und kontrolliert.

Empfohlen als 1- oder 2-tägiges Seminar bzw. Webinar.

Übersicht der Inhalte:

• Bewertung eures Status Quo im Tagesgeschäft eures Provider- und Vendor-Managements (Stärken und Schwächen)
• Ableitung des eigenen Handlungsbedarfs zur Optimierung
• Voraussetzungen für den Umbau der eigenen Organisation im Provider- und Vendor-Management und Prüfung der Machbarkeit
• Bei Bedarf: Arbeiten mit den microfin Muster-Rollen- und Prozessbeschreibungen für das Provider- und Vendor-Management
• Anwendung von Best Practices auf die eigene Organisation im Provider- und Vendor-Management (Zielbild)
• Ableitung konkreter Maßnahmen mit Zeitplan und Definition der nächsten Schritte für die eigene Organisation (Roadmap)
   

Preis auf Anfrage. Weitere Informationen siehe Flyer.

In diesem interaktiven Seminar bzw. Webinar erarbeitest du und dein Team zusammen mit unserem Referenten Lösungsansätze zur Ausrichtung der Provider-Management-Organisation nach Prinzipien des agilen Managements. Wenn ihr traditionelle IT- oder Cloud-Services steuert oder die Steuerungsrollen erst einführt, lernt ihr in dieser Veranstaltung agile Organisationsmodelle für das Provider-/Vendor-Management kennen.

Das Seminar versetzt dich und dein Team in die Lage, geeignete agile Arbeitsmethoden im Providermanagement für eure Organisation zu bewerten und umzusetzen.

Empfohlen als 1-tägiges Seminar oder Webinar in 2 Teilen.

Übersicht der Inhalte:

• Ein gemeinsames Verständnis: euer Status Quo im Providermanagement und Gründe für eure angestrebte agile Transformation
• Treiber und Ursprung des Agilen Managements
• Grundlagen, Rollen, Methoden und Design-Prinzipien agiler Arbeitsweisen
• Beispiel und Vorgehen für den Aufbau einer agilen Providermanagement-Organisation
• Erfolgsfaktoren bzw. Voraussetzungen zur Umsetzung von agilen Ökosystemen
• Unterschiede zwischen agilem Providermanagement und traditionellen Arbeitsformen
• Gemeinsame Identifikation von Einsatzfeldern und Entwicklung von Lösungsansätzen zur Adaption agiler Arbeitsweisen
   

Preis: EUR 800,- p. Person zzgl. MwSt. Weitere Informationen siehe Flyer.

Mit DORA hat die EU eine Verordnung zur Stärkung der digitalen Resilienz des Finanzsektors vorgelegt. Damit sollen bestehende Regelwerke unter enger Einbeziehung der europäischen Finanzaufsichtsbehörden EBA, EIOPA und ESMA zugleich harmonisiert und gestärkt werden. Finanz- und Dienstleistungsunternehmen stehen dabei gleichermaßen vor der Frage, wie sich die Anforderungen auf IKT- und Cloud-Auslagerungen auswirken. Seit Jahresbeginn ist die Verordnung wirksam, Finanzunternehmen haben nunmehr Zeit für die Umsetzung bis zum Januar 2025. Höchste Zeit also, sich mit den Anforderungen auseinanderzusetzen.

Unsere Referenten erläutern im ersten Teil die wichtigsten Begriffe, Regelungen und Zusammenhänge und ordnen diese in bereits bestehende Anforderungen im IT-Outsourcing sowie in Anforderungen der Nutzung cloudbasierter Lösungen ein. Der zweite Teil stellt den Bezug zur IT-Sicherheit her und zeigt, wie sich die Anforderungen in der Praxis bewältigen lassen. Bereiten Sie sich frühzeitig auf das bevorstehende Regelwerk und dessen Umsetzung vor.

Empfohlen als 1-tägiges Seminar bzw. Webinar in 2 Teilen. Teile (je 4 Stunden) sind einzeln oder zusammen buchbar.

Inhalte Teil 1:

• Einordnung DORA als Teil des EU-Maßnahmenpakets zur Digitalisierung des Finanzsektors
• Rolle und Verantwortung europäischer Aufsichtsbehörden im Zusammenhang mit DORA sowie Rechtsverbindlichkeit im Verhältnis zu nationalen, aufsichtlichen bzw. regulatorischen Vorgaben in Deutschland
• Adressatenkreis von DORA und die damit verbundene weite Auslegung des Begriffs "Finanzunternehmen" inkl. Beispiele
• Erläuterung der wesentlichen Inhalte der einzelnen Regelungsbereiche von DORA sowie damit verbundene Betrachtung praktischer Auswirkungen auf IKT-Auslagerungen und Nutzung cloudbasierter Lösungen
• Wesentliche Auswirkungen auf IKT-Auslagerungs-/Ausgliederungsverträge inkl. Beispiele

Inhalte Teil 2:

• Auf DORA vorbereiten: Maßnahmen zur Mitigation und zur Erreichung einer höheren Abwehrreife, Methoden und Mittel zur Prüfung der digitalen Betriebsstabilität (Software-Supply-Chain-Sicherheit, Scan-Lösungen & Runtime Protection, Schutz vor Ransomware, Netzwerk- und Kommunikationssicherheit, Threat Intelligence Services, To SIEM or not to SIEM, Risiko Innentäter)
• Informationsaustausch zur Früherkennung und Vermeidung von Ansteckungseffekten: Austauschformate, STIX 2.1, TAXII 2.1
• Nach Bedarf: Allgemeine Ableitung und erste Bewertung möglicher Auswirkungen für euer Unternehmen (gilt für Teil 1 und 2)
   

Preis: EUR 500,- pro Person zzgl. MwSt. je Teil 1 oder 2. Weitere Informationen siehe Flyer.