- IKT-Risikomanagement (Kapitel II, Artikel 5 bis 16)
- Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle (Kapitel III, Artikel 17 bis 23)
- Testen der digitalen operationellen Resilienz einschließlich Threat-led Penetration Testing (TLPT) (Kapitel IV, Artikel 24 bis 27)
- Management des IKT-Drittparteienrisikos (Kapitel V, Abschnitt I, Artikel 28 bis 30)
- Überwachungsrahmen für kritische IKT-Drittdienstleister (Kapitel V, Abschnitt II, Artikel 31 bis 44)
- Vereinbarungen über den Austausch von Informationen sowie Cyberkrisen- und Notfallübungen (Kapitel VI, Artikel 44 und Artikel Kapitel VII, Artikel 49)
Neben dem Gesetz geht die Schulung auf die entsprechenden RTS und ITS ein und stellt Bezüge zu folgenden Themen dar:
- Abweichungen zu BAIT / KAIT / VAIT / ZAIT
- Gesetzliche Grundlagen (KWG, KAGB, VAG) und die entsprechenden Rundschreiben zum Risikomanagement (MaRisk, KaMaRisk, MaRisk VA)
- Europäische Guidelines der EBA, EIOPA, ESMA
- TIBER (threat intelligence-based ethical red teaming)
- Best Practice Methoden (wie Cobit2019 und ITIL) und Standards (wie ISO27.00x)
- Internes Kontrollsystem (IKS)
- 3-Lines-of-Defence Modell (3LoD)
- Informationsverbund
- Umgang mit Interessenkonflikten in der Aufbau und Ablauforganisation (auch im agilen Kontext und in Bezug auf SecDevOps)
- Schutzbedarfsbestimmung der Informationen und sich daraus ableitende Maßnahmen
- Kritische Infrastruktur ( KRITIS ) nach dem IT-Sicherheitsgesetzen und den KRITIS-Verordnungen sowie NIS2
