FINMA-Rundschreiben 2023/1 – Wie resilient sind Sie heute schon?
Die fortschreitende Digitalisierung und die stark wachsende Bedrohung durch Cyberangriffe gaben den Auslöser für eine Totalrevision des FINMA-Rundschreibens 2008/21, welches nun durch das FINMA-Rundschreiben 2023/1 „Operationelle Risiken und Resilienz – Banken“ ersetzt wird.
Auf europäischer Ebene stehen viele Schweizer Akteure im Finanzsektor in der Verantwortung, Anforderungen des 2023 in Kraft getretenen „Digital Operational Resilience Act (DORA)“ bis Januar 2025 umzusetzen. Für diese europäische Regulierung hat Eraneos kürzlich einen weiterführenden Artikel publiziert.
Mittels des revidierten Rundschreibens konkretisiert die FINMA die Aufsichtspraxis in Bezug auf das:
- Übergreifende Management von operationellen Risiken im Allgemeinen
- Management von IKT-Risiken
- Management von Cyber-Risiken
- Management der Risiken kritischer Daten
- Business Continuity Management (BCM)
- Management der Risiken aus dem grenzüberschreitenden Dienstleistungsgeschäft
Darüber hinaus beinhaltet das Rundschreiben Kapitel zur Sicherstellung der operationellen Resilienz und zur Weiterführung von kritischen Dienstleistungen bei der Abwicklung und Sanierung von systemrelevanten Banken.
Die inhaltlichen Änderungen beziehen sich auf bereits bestehende Risikomanagement Themen sowie neue Themen, insbesondere in Bezug auf das Management der Risiken kritischer Daten und der Sicherstellung der operationellen Resilienz, die eine Überprüfung des Kontrollrahmens der Bank erfordern:
Die Inkraftsetzung des Rundschreibens ist auf den 1. Januar 2024 datiert. Jedoch sieht die FINMA für die Anforderungen des neuen Kapitels V „Sicherstellung der operationellen Resilienz“ Erleichterungen beim Umsetzungshorizont in Abhängigkeit des Themenbereichs vor, die in nachfolgender Grafik zusammenfassend dargestellt sind:
Als grössere Herausforderung sehen wir den ambitionierten Zeitrahmen für die Implementierung der verschärften Anforderungen des Kapitels IV, insbesondere im Zusammenhang mit Kapitel IV Bst. C „Management von Cyber-Risiken“ und Kapitel IV Bst. D „Management der Risiken kritischer Daten“.
Das Kapitel V „Sicherstellung der operationellen Resilienz“ ist neu, somit von zentraler Bedeutung für die Umsetzung des neuen FINMA-Rundschreibens und stellt aus unserer Sicht eine weitere grössere Herausforderung dar – auch wenn für die Umsetzung wesentlicher Bestandteile dieses Kapitels ab Inkrafttreten des Rundschreibens zwei Jahre Übergangsfrist bestehen.
Um die Anforderungen des Rundschreibens zu erfüllen, empfehlen wir unter anderem die nachfolgenden Schritte umzusetzen. Beachten Sie hierbei, dass es sich lediglich um einen beispielhaften Auszug aus dem gesamten Anforderungskatalog des FINMA-Rundschreibens handelt:
- Sofern noch nicht in Ihrem Unternehmen implementiert, integrieren Sie beim Management von operationellen Risiken auch die Genehmigung von Strategien für den Umgang mit der IKT, den Cyber-Risiken, den kritischen Daten und dem BCM, und überwachen Sie deren Einhaltung.
- Erstellen Sie ein Inventar von allen ausgelagerten IKT-Dienstleistungen, die kritische oder wichtige Funktionen betreffen und stellen Sie sicher, dass dieses Inventar stets auf dem aktuellen Stand gehalten wird. Legen Sie einen besonderen Fokus auf Dienstleister, die als systemkritisch erachtet werden könnten wie beispielsweise grosse Cloud-Service-Anbieter (Amazon Web Services, Microsoft Azure).
- Lassen Sie Ihre Netzwerke und Systeme auf bestehende Schwachstellen prüfen. Unseren Kunden bieten wir „Vulnerability Scans“ (z.B. auf ihren Internetauftritt oder spezifische Anwendungen) mit adressaten-gerechtem Ergebnisreport innerhalb von 7-14 Tagen an. Die Durchführung von Penetration Tests und Red Teaming Übungen ist umfassender. Penetration Tests fokussieren sich auf die Identifizierung von technischen Schwachstellen und eine Risikobeurteilung der identifizierten Schwachstellen. Eine Red Teaming Übung, hingegen, beschränkt sich nicht nur auf die Identifikation von Schwachstellen in Systemen, sondern prüft darüber hinaus auch organisatorische Schwachstellen, beispielsweise durch simulierte Phishing-Kampagnen und Social Engineering Attacken. Während Penetration Tests bei der Identifikation von Schwachstellen enden, nutzen Red Teaming Übungen die identifizierten Schwachstellen auch aktiv aus.
- Organisieren Sie Tabletop-Übungen, bei denen ein Ransomware-Angriff auf Systeme und Daten simuliert wird. Bei unseren Kunden stellen wir dabei nicht nur die Frage wer was bis wann tut, sondern auch: Woher wissen Sie, dass die Systeme, die Sie sichern, nicht sofort wieder infiziert werden? Wie können Sie sicher sein, dass Ihre Backups nicht kompromittiert worden sind? Wie lässt sich der Zeitpunkt bestimmen, an dem die Systeme (und Daten) infiziert wurden? Wie werden Sie die Daten und Systeme nach diesem Zeitpunkt wiederherstellen?
- Erstellen Sie oder überprüfen Sie bereits existierende Pläne für ihre interne und externe Kommunikation bei einem Vorfall. Diese Pläne regeln unter anderem eine frist- und adressatengerechte Kommunikation mit Ihren Kunden, Regulatoren und Geschäftspartnern sowie den eigenen Mitarbeitern.
Unsere Experten haben langjährige Erfahrung im Bereich Risk Management, Cybersecurity und Digitalisierung und stehen für Fragen gern zur Verfügung. Lassen Sie uns gemeinsam ihre operationelle Resilienz für die Zukunft stärken!
Sie pflegen starke Partnerschaften und Netzwerke
Kerstin Leibig
Managing Consultant
Financial Services, Telco & Utilities
+41 58 411 91 18
Andreas Rostin
Head of Cybersecurity
Financial Services, Telco & Utilities
+41 58 411 91 74
Roman Regenbogen
Head of Regulatory & Compliance
Financial Services, Telco & Utilities
+41 58 123 93 20