Digital Age - How to approach Cyber Security
von Andreas von Grebmer
Die Eidgenössische Finanzmarktaufsicht FINMA hat ein neues Rundschreiben 2017/1 «Corporate Governance – Banken» sowie im Zusammenhang damit Änderungen zu den Rundschreiben 2008/21 «Operationelle Risiken – Banken» und 2010/1 «Vergütungssysteme» veröffentlicht. Die neuen Bestimmungen werden per 1. Juli 2017 in Kraft treten. Das bisherige Rundschreiben 2008/24 «Überwachung und interne Kontrollen Banken» wird auf diesen Zeitpunkt hin aufgehoben werden.
Vorliegend interessiert insbesondere das Rundschreiben 2008/21 über operationelle Risiken von Banken. In diesem werden neu speziell auch IT- und Cyberrisiken berücksichtigt, indem diese Risiken im Risikomanagementgrundsatz 4 betreffend die Technologieinfrastruktur ergänzt werden. Danach hat die Geschäftsleitung sowohl ein allgemeines IT-Risikomanagement-Konzept als auch ein Risikomanagement-Konzept speziell für den Umgang mit Cyber-Risiken, das heisst Risiken in Bezug auf mögliche Verluste aus Cyber-Attacken, zu erstellen.
Das IT-Risikomanagement-Konzept muss in Übereinstimmung mit der IT-Strategie und der vom betreffenden Institut definierten Risikotoleranz stehen sowie die für das jeweilige Institut relevanten Aspekte gemäss international anerkannten Standards berücksichtigen und die nachfolgenden Punkte beinhalten:
Das Risikomanagement-Konzept betreffend Cyber-Risiken hat mindestens die nachfolgenden Aspekte abzudecken und eine effektive Umsetzung durch geeignete Prozesse sowie eine eindeutige Festlegung von Aufgaben, Rollen und Verantwortlichkeiten zu gewährleisten:
Speziell zu erwähnen ist auch, dass das revidierte Rundschreiben ausdrücklich verlangt, dass die Geschäftsleitung von Banken zum Schutz der kritischen und/oder sensitiven Daten und IT-Systemen vor Cyber-Attacken regelmässig Verwundbarkeitsanalysen und Penetration Testings durchführen lassen muss und hierzu qualifiziertes Personal mit angemessenen Ressourcen einzusetzen ist.
Lesen Sie hier den gesamten Artikel: isss.ch