Neue Vorgaben der FINMA zu IT- und Cyberrisiken

Die Eidgenössische Finanzmarktaufsicht FINMA hat ein neues Rundschreiben 2017/1 «Corporate Governance – Banken» sowie im Zusammenhang damit Änderungen zu den Rundschreiben 2008/21 «Operationelle Risiken – Banken» und 2010/1 «Vergütungssysteme» veröffentlicht. Die neuen Bestimmungen werden per 1. Juli 2017 in Kraft treten. Das bisherige Rundschreiben 2008/24 «Überwachung und interne Kontrollen Banken» wird auf diesen Zeitpunkt hin aufgehoben werden.

Vorliegend interessiert insbesondere das Rundschreiben 2008/21 über operationelle Risiken von Banken. In diesem werden neu speziell auch IT- und Cyberrisiken berücksichtigt, indem diese Risiken im Risikomanagementgrundsatz 4 betreffend die Technologieinfrastruktur ergänzt werden. Danach hat die Geschäftsleitung sowohl ein allgemeines IT-Risikomanagement-Konzept als auch ein Risikomanagement-Konzept speziell für den Umgang mit Cyber-Risiken, das heisst Risiken in Bezug auf mögliche Verluste aus Cyber-Attacken, zu erstellen.

Das IT-Risikomanagement-Konzept muss in Übereinstimmung mit der IT-Strategie und der vom betreffenden Institut definierten Risikotoleranz stehen sowie die für das jeweilige Institut relevanten Aspekte gemäss international anerkannten Standards berücksichtigen und die nachfolgenden Punkte beinhalten:

1. eine aktuelle Übersicht über die wesentlichsten Bestandteile der Netzwerkinfrastruktur und ein Inventar aller kritischen Applikationen und der damit verbundenen IT-Infrastruktur sowie Schnittstellen mit Dritten,
2. die eindeutige Festlegung von Rollen, Aufgaben und Verantwortlichkeiten in Bezug auf die kritischen Applikationen sowie damit verbundener IT-Infrastruktur und kritischen und/oder sensitiven Daten und Prozesse,
3. einen systematischen Prozess im Hinblick auf die Identifikation und Beurteilung von IT- Risiken im Rahmen der Due Diligence, insbesondere bei Akquisitionen bzw. Auslagerungen im IT-Bereich sowie bei der Überwachung von Dienstleistungsvereinbarungen, und
4. Massnahmen zur Stärkung des Bewusstseins der Mitarbeitenden im Hinblick auf ihre Verantwortung zur Reduktion von IT-Risiken sowie Einhaltung und Stärkung der IT- Informationssicherheit.

Das Risikomanagement-Konzept betreffend Cyber-Risiken hat mindestens die nachfolgenden Aspekte abzudecken und eine effektive Umsetzung durch geeignete Prozesse sowie eine eindeutige Festlegung von Aufgaben, Rollen und Verantwortlichkeiten zu gewährleisten:

1. Identifikation der institutsspezifischen Bedrohungspotenziale durch Cyber-Attacken, insbesondere in Bezug auf kritische und/oder sensitive Daten und IT-Systeme,
2. Schutz der Geschäftsprozesse und der Technologieinfrastruktur vor Cyber-Attacken, insbesondere im Hinblick auf die Vertraulichkeit, Integrität und Verfügbarkeit der kritischen und/oder sensitiven Daten und IT-Systeme,
3. zeitnahe Erkennung und Aufzeichnung von Cyber-Attacken auf Basis eines Prozesses zur systematischen Überwachung der Technologieinfrastruktur,
4. Reaktion auf Cyber-Attacken durch zeitnahe und gezielte Massnahmen sowie bei wesentlichen, die Aufrechterhaltung des normalen Geschäftsbetriebs bedrohenden Cyber-Attacken in Abstimmung mit dem Business Continuity Management (BCM), und
5. Sicherstellung einer zeitnahen Wiederherstellung des normalen Geschäftsbetriebs nach Cyber-Attacken durch geeignete Massnahmen.

Speziell zu erwähnen ist auch, dass das revidierte Rundschreiben ausdrücklich verlangt, dass die Geschäftsleitung von Banken zum Schutz der kritischen und/oder sensitiven Daten und IT-Systemen vor Cyber-Attacken regelmässig Verwundbarkeitsanalysen und Penetration Testings durchführen lassen muss und hierzu qualifiziertes Personal mit angemessenen Ressourcen einzusetzen ist.
Lesen Sie hier den gesamten Artikel: isss.ch