Die Eidgenössische Finanzmarktaufsicht FINMA veröffentlicht in einer Aufsichtsmitteilung ihre neusten Erkenntnisse aus der Aufsichtstätigkeit im Bereich der Cyber-Risiken.
Die FINMA präzisiert darin
- die Meldepflicht von Cyber-Attacken und
- szenariobezogene Cyber-Risiko-Übungen.
Einleitung
Die FINMA weist Cyber-Risiken seit mehreren Jahren als eine der Hauptrisiken für den Schweizer Finanzplatz aus (wir berichteten: Risikomonitor).
Neue Erkenntnisse
In ihrer neusten Aufsichtsmitteilung informiert die FINMA über ihre Erkenntnisse aus der Aufsichtstätigkeit im Bereich der Cyber-Risiken und weist auf wiederholt festgestellte Mängel hin.
Zudem präzisiert die FINMA ihre Anforderungen an die
- Meldepflicht von Cyber-Attacken und
- Durchführung von szenario-bezogenen Cyber-Übungen.
Outsourcing als Risikotreiber
Laut FINMA betrafen in den Jahren 2022 und 2023
- mehr als die Hälfte der gemeldeten Cyber-Attacken ausgelagerte Dienstleistungen.
Die FINMA stellte im Rahmen ihrer Aufsichtstätigkeit erneut Schwachstellen fest:
- bei Cyber-Risiken;
- bei IT-Auslagerungen;
- bei der Governance im Umgang mit Cyber-Risiken.
Aufsichtsinstrumente erweitert
Die FINMA habe in den letzten Jahren zusätzliche cyber-spezifische Aufsichtsinstrumente eingeführt, wie:
- das sog. Red Teaming:
- Sicherheitsexperten übernehmen die Rolle von Angreifern und versuchen, die Cybersicherheits-Vorkehren eines Finanzunternehmens zu umgehen, indem die Angriffsweise eines «bösartigen» Hackers kopiert wird.
- Table-Top-Übungen mit den beaufsichtigten Instituten:
- Simulierung und Durchspielung eines Szenarios auf dem Papier.
Die identifizierten Risiken würden laufend analysiert, ausgewertet und schliesslich in einer Risikolandkarte zusammengefasst.
Umfassende Aufsichtshandlungen im Cyber-Bereich
Beaufsichtigte Institute seien verpflichtet, die Cyber-Attacken der FINMA zu melden.
Die FINMA habe zudem im letzten Jahr mehr als ein Dutzend cyber-spezifischer Vor-Ort-Kontrollen durchgeführt.
Die Meldungen von Beaufsichtigten, Prüfgesellschaften und cyber-spezifischen Vor-Ort-Kontrollen würden der FINMA Folgendes ermöglichen:
- Vertiefte Beurteilung der Qualität des Cyber-Abwehrdispositives der beaufsichtigten Institute;
- Frühzeitige Ergreifung institutsspezifische Massnahmen für den Bedarfsfall.
FINMA-Aufsichtsmitteilung 03/2024
Erkenntnisse aus der Cyber-Risiko-Aufsichtstätigkeit, Präzisierung zur FINMA-Aufsichtsmitteilung 05/2020 und zu szenariobezogenen Cyber-Übungen
Zuletzt geändert: 07.06.2024 Grösse: 0.33 MB
Weiterführende Informationen
- FINMA
- Aufsichtsmitteilungen
- FINMA – Aufsichtsmitteilungen | finma.ch
- FINMA – Aufsichtsmitteilungen Archiv | finma.ch
Quelle
LawMedia Redaktionsteam