LAWNEWS

Finanzmarktrecht / Bankenrecht

QR Code

FINMA veröffentlicht Aufsichtsmitteilung zu Cyberrisiken

Aufsichtsmitteilung 03/2024, teils präzisierend zur Aufsichtsmitteilung 05/2020

Datum:
25.06.2024
Rechtsgebiet:
Finanzmarktrecht, Bankenrecht
Thema:
FINMA
Stichworte:
Aufsichtsinstrumente, Aufsichtsmitteilung, Cyberrisiken, Risikomonitor
Autor:
LawMedia Redaktion
Verlag:
LAWMEDIA AG

Die Eidgenössische Finanzmarktaufsicht FINMA veröffentlicht in einer Aufsichtsmitteilung ihre neusten Erkenntnisse aus der Aufsichtstätigkeit im Bereich der Cyber-Risiken.

Die FINMA präzisiert darin

  • die Meldepflicht von Cyber-Attacken und
  • szenariobezogene Cyber-Risiko-Übungen.

Einleitung

Die FINMA weist Cyber-Risiken seit mehreren Jahren als eine der Hauptrisiken für den Schweizer Finanzplatz aus (wir berichteten: Risikomonitor).

Neue Erkenntnisse

In ihrer neusten Aufsichtsmitteilung informiert die FINMA über ihre Erkenntnisse aus der Aufsichtstätigkeit im Bereich der Cyber-Risiken und weist auf wiederholt festgestellte Mängel hin.

Zudem präzisiert die FINMA ihre Anforderungen an die

  • Meldepflicht von Cyber-Attacken und
  • Durchführung von szenario-bezogenen Cyber-Übungen.

Outsourcing als Risikotreiber

Laut FINMA betrafen in den Jahren 2022 und 2023

  • mehr als die Hälfte der gemeldeten Cyber-Attacken ausgelagerte Dienstleistungen.

Die FINMA stellte im Rahmen ihrer Aufsichtstätigkeit erneut Schwachstellen fest:

  • bei Cyber-Risiken;
  • bei IT-Auslagerungen;
  • bei der Governance im Umgang mit Cyber-Risiken.

Aufsichtsinstrumente erweitert

Die FINMA habe in den letzten Jahren zusätzliche cyber-spezifische Aufsichtsinstrumente eingeführt, wie:

  • das sog. Red Teaming:
    • Sicherheitsexperten übernehmen die Rolle von Angreifern und versuchen, die Cybersicherheits-Vorkehren eines Finanzunternehmens zu umgehen, indem die Angriffsweise eines «bösartigen» Hackers kopiert wird.
  • Table-Top-Übungen mit den beaufsichtigten Instituten:
    • Simulierung und Durchspielung eines Szenarios auf dem Papier.

Die identifizierten Risiken würden laufend analysiert, ausgewertet und schliesslich in einer Risikolandkarte zusammengefasst.

Umfassende Aufsichtshandlungen im Cyber-Bereich

Beaufsichtigte Institute seien verpflichtet, die Cyber-Attacken der FINMA zu melden.

Die FINMA habe zudem im letzten Jahr mehr als ein Dutzend cyber-spezifischer Vor-Ort-Kontrollen durchgeführt.

Die Meldungen von Beaufsichtigten, Prüfgesellschaften und cyber-spezifischen Vor-Ort-Kontrollen würden der FINMA Folgendes ermöglichen:

  • Vertiefte Beurteilung der Qualität des Cyber-Abwehrdispositives der beaufsichtigten Institute;
  • Frühzeitige Ergreifung institutsspezifische Massnahmen für den Bedarfsfall.

FINMA-Aufsichtsmitteilung 03/2024
Erkenntnisse aus der Cyber-Risiko-Aufsichtstätigkeit, Präzisierung zur FINMA-Aufsichtsmitteilung 05/2020 und zu szenariobezogenen Cyber-Übungen
Zuletzt geändert: 07.06.2024 Grösse: 0.33  MB

Quelle

LawMedia Redaktionsteam

Vorbehalt / Disclaimer

Diese allgemeine Information erfolgt ohne jede Gewähr und ersetzt eine Individualberatung im konkreten Einzelfall nicht. Jede Handlung, die der Leser bzw. Nutzer aufgrund der vorstehenden allgemeinen Information vornimmt, geschieht von ihm ausschliesslich in eigenem Namen, auf eigene Rechnung und auf eigenes Risiko.

Urheber- und Verlagsrechte

Alle in dieser Web-Information veröffentlichten Beiträge sind urheberrechtlich geschützt. Das gilt auch für die veröffentlichten Gerichtsentscheide und Leitsätze, soweit sie von den Autoren oder den Redaktoren erarbeitet oder redigiert worden sind. Der Rechtschutz gilt auch gegenüber Datenbanken und ähnlichen Einrichtungen. Kein Teil dieser Web-Information darf ohne schriftliche Genehmigung des Verlages in irgendeiner Form – sämtliche technische und digitale Verfahren – reproduziert werden.