FINMA erhöht die Resilienz-Anforderungen an die Finanzmarktakteure in der Schweiz.

Einleitung

Die Eidgenössische Finanzmarktaufsicht FINMA hat am 13. Dezember 2022 das totalrevidierte Rundschreiben 2023/1 „Operationelle Risiken und Resilienz – Banken“ veröffentlicht. Damit passt die FINMA das Rundschreiben den technologischen Entwicklungen an und konkretisiert die Aufsichtspraxis u.a. zu Themen wie Management der operationellen Risiken, Umgang mit kritischen Daten, Management der Risiken im Zusammenhang mit Informations- und Kommunikationstechnologie (IKT) und Cyber-Risiken. Zudem lässt die FINMA die Prinzipien zur operationellen Resilienz sowie weitere Prinzipien des Basler Ausschusses für Bankenaufsicht einfliessen. Mögliche Erleichterungen oder Verschärfungen für die Adressaten des Rundschreibens sind möglich; ebenso wie Anpassungen aufgrund von der Grösse, der Komplexität, der Struktur und des Risikoprofils eines Instituts (Proportionalitätsprinzips). Das revidierte Rundschreiben ist prinzipienbasiert und technologieneutral gestaltet und tritt am 1. Januar 2024 in Kraft. Mit nachfolgendem Artikel möchten wir einen kurzen Überblick über einige auserlesene Themen des revidierten Rundschreibens geben.

Management der operationellen Risiken

Das (übergreifende) Management der operationellen Risiken, welches Teil des institutsweiten Risikomanagements nach dem FINMA Rundschreiben 2017/1 „Corporate Governance – Banken“ bildet, wird im Rundschreiben in Kapitel IV. ausgeführt.

Die FINMA präzisiert insbesondere die Rolle und Verantwortung des Oberleitungsorgans in Bezug auf operationelle Risiken und führt aus, dass das Oberleitungsorgan über strategische Richtungswechsel (z.B. Änderung des Geschäftsmodells) zu entscheiden hat, wenn es gewisse inhärente oder residuale Risiken als nicht oder nicht mehr tolerierbar einschätzt. Auch ist es Sache des Oberleitungsorgans, die definierte Risikotoleranz eines Instituts zu genehmigen und dabei die Ergebnisse aus den Risiko- und Kontrollbeurteilungen zu berücksichtigen.

Demgegenüber hat die Geschäftsleitung nachvollziehbar sicherzustellen, dass die operationellen Risiken identifiziert, beurteilt, begrenzt und überwacht werden. Auch die Sicherstellung der Effektivität der Ausgestaltung sowie der Implementierung dieses Managements der operationellen Risiken durch regelmässige Überprüfungen ist Sache der Geschäftsleitung. Einzelheiten hierzu sowie auch zur institutsinternen Berichterstattungspflicht finden sich im Rundschreiben.

Das Rundschreiben legt zudem fest, dass die Institute die operationellen Risiken institutsübergreifend sowie einheitlich zu kategorisieren und in ein Inventar aufzunehmen haben. Auch über die Identifikation und Begrenzung von operationellen Risiken (Kontroll- und Minderungsmassnahmen) sowie zu den Schlüsselkontrollen äussert sich das totalrevidierte FINMA Rundschreiben (neu) ausführlich.

In Buchstabe B bis Buchstabe F des Kapitels IV. des totalrevidierten Rundschreibens, geht die FINMA auf einzelne Risiken gesondert ein:

  • Management der IKT-Risiken: Das Management der IKT-Risiken beinhaltet sowohl das Änderungsmanagement (Change Management), als auch den IKT-Betrieb (Run, Maintenance) sowie das Vorfallmanagement (Incident Management). Es ist Sache der Geschäftsleitung, entsprechende Verfahren, Prozesse, Kontrollen sowie AKV Massnahmen zu implementieren und zu dokumentieren (z.B. jährliche Berichterstattung an die Geschäftsleitung über relevante IKT-Risiken, Informationen zur Entwicklung der Risiken sowie Effektivität der Schlüsselkontrollen, etc.). Dies gilt auch in Bezug auf die Sicherstellung von Vertraulichkeit, Integrität und Verfügbarkeit der IKT. Genehmigung und Überwachung ist Sache des Oberleitungsorgans. Insbesondere neue Entwicklungsmethoden wie „Agile“ haben Eingang in das Rundschreiben gefunden (Change Management). Aber auch die Bedeutung der IKT-Inventarisierung (insbesondere im Hinblick auf zeitnahe Reaktionen bei IKT- und Cyber-Vorfällen sowie bei Problemen innerhalb eines IT-Systems) wird im Rundschreiben hervorgehoben.
  • Management der Cyber-Risiken: Gemäss den Erläuterungen der FINMA vom 7. Dezember 2022 zur Totalrevision des Rundschreibens 2008/21 bzw. der Teilrevision des Rundschreibens 2013/3 („Erläuterungen“) hat die FINMA die Sicherheitsanforderungen in Bezug auf Cyber-Risiken gestützt auf Erfahrungen aus ihrer Aufsichtspraxis überarbeitet und präzisiert. Das Management der Cyber-Risiken lässt sich gemäss FINMA auch nicht völlig losgelöst vom Management der IKT-Risiken behandeln bzw. beurteilen. Die Materialisierung (resp. der Eintritt) von IKT-Risiken könne zu höheren Cyber-Risiken führen (und umgekehrt). In Bezug auf den Meldeprozess resp. die Meldepflicht einer Cyber-Attacke macht die FINMA in den Erläuterungen den Verweis auf die Aufsichtsmitteilung 05/2020 „Meldepflicht von Cyber-Attacken gemäss Art. 29 Abs. 2 FINMAG“ (vgl. Sie hierzu auch unseren Magazinbeitrag: FINMA-Aufsichtsmitteilung 05/2020: Meldepflicht bei Cyber-Attacken
  • Management der Risiken kritischer Daten: Auch den kritischen Daten (d.h. Daten, welche in Anbetracht der Grösse, der Struktur, der Komplexität, des Risikoprofils und des Geschäftsmodells des Instituts von so wesentlicher Bedeutung sind, dass sie einen erhöhten Sicherheitsanspruch erfordern) wird im totalrevidierten Rundschreiben Rechnung getragen. Die FINMA erhöht das Schutzniveau in Bezug auf den Umgang mit kritischen Daten (z.B. Definition und Implementierung einer Datenstrategie) und weitet das Rundschreiben dahingehend aus, dass neu auch die Integrität sowie Verfügbarkeit kritischer Daten im revidierten Rundschreiben abgedeckt sind (zusätzlich zur Vertraulichkeit, welche im Rahmen von Kundenidentifikationsdaten im bisherigen Anhang 3 des FINMA Rundschreibens 08/21 bereits adressiert wurde). Aus den Erläuterungen geht hervor, dass FINMA Beaufsichtigte neben den Meldepflichten an die FINMA unter Umständen auch Meldepflichten an die zuständige Datenschutzbehörde/Datenschutzbeauftragten gestützt auf das jeweils anwendbare Datenschutzrecht haben (können).
  • Business Continuity Management (BCM): Diese neuen, aktualisierten Ausführungen im Rundschreiben (Buchstabe E) werden ab Inkrafttreten des Rundschreibens (1. Januar 2024) die als Mindeststandard anerkannten „Empfehlungen für das Business Continuity Management (BCM)“ der Schweizerischen Bankiervereinigung ablösen. Das Rundschreiben macht u.a. klar, dass jeder relevante Geschäfts- und Organisationsbereich eines Instituts im Rahmen der BIA (Business Impact Analyse) seine kritischen Prozesse („RTO“ und „RPO“ als Stichworte) sowie die dafür benötigen Ressourcen (mit weitergehender „Auslegung“ wie bis anhin) zu identifizieren hat. Zudem hat das Institut mindestens einen Business Continuity Plan (BCP) sowie einen Disaster Recovery Plan (DRP), als Teil des BCP, zu definieren sowie ad hoc im Falle wesentlicher Änderungen mindestens jährlich zu überprüfen und zu aktualisieren. Sowohl die Umsetzung der BCP sowie der DRP ist mit Tests (wie Table-Top Übungen) regelmässig zu beurteilen. Was den Umfang der Tests angeht, so werden diese neu auf „schwerwiegende, aber plausible Szenarien“ bezogen bzw. ausgedehnt.
  • Management der Risiken aus dem grenzüberschreitenden Dienstleistungsgeschäft: Die Ausführungen zum Management der Risiken aus dem grenzüberschreitenden Dienstleistungsverkehr entsprechen nahezu dem Grundsatz 7 der qualitativen Anforderungen an den Umgang mit operationellen Risiken aus dem FINMA Rundschreiben 2008/21 „Operationelle Risiken – Banken“.

Sicherstellung der operationellen Resilienz

Kapitel V. des Rundschreibens regelt die Anforderungen an die operationelle Resilienz. Operationelle Resilienz wird im Rundschreiben u.a. definiert als „die Fähigkeit eines Instituts, seine kritischen Funktionen bei Unterbrechungen innerhalb der Unterbrechungstoleranz wiederherstellen zu können.“

Für jede kritische Funktion hat das Institut eine Unterbrechungstoleranz zu definieren und vom Oberleitungsorgan genehmigen zu lassen. Auch ist ein entsprechendes Inventar zu führen. Zudem hat das Institut Massnahmen zur Sicherstellung der operationellen Resilienz „unter Berücksichtigung schwerwiegender, aber plausibler Szenarien“ zu treffen. Auch soll die Fähigkeit, die kritischen Funktionen unter schwerwiegenden, aber plausiblen Szenarien weiterhin erbringen zu können, innerhalb der entsprechenden Unterbrechungstoleranz regelmässig getestet sowie geübt werden. Dies unter anderem auch um eine Gefährdung des Instituts durch den Ausfall von grundlegenden Ressourcen (wie z.B. Strom, Insolvenz eines wichtigen Dienstleisters oder aufgrund einer Pandemie) weitmöglichst auszuschliessen.

In Bezug auf die Sicherstellung der operationellen Resilienz haben die Adressaten gemäss totalrevidiertem Rundschreiben grundsätzlich eine Übergangsfrist von zwei Jahren (vgl. entsprechende Verweise im Rundschreiben 2023/01, Rz. 113). Für einige auserlesene Anforderungen (wie z.B. in Bezug auf das Inventar) gilt eine Übergangsfrist von einem Jahr ab Inkrafttreten.

Weiterführung von kritischen Dienstleistungen bei der Abwicklung und Sanierung von systemrelevanten Banken

Im zweitletzten Kapitel des Rundschreibens (Kapitel VI.) wird kurz auf die Weiterführung von kritischen Dienstleistungen bei der Abwicklung und Sanierung von systemrelevanten Banken eingegangen. Die neuen Ausführungen entsprechen weitgehend dem bisherigen Grundsatz 6 der qualitativen Anforderungen an den Umgang mit operationellen Risiken aus dem FINMA Rundschreiben 2008/21 „Operationelle Risiken – Banken“.

Fazit und Ausblick

Die FINMA hat mit der Totalrevision des FINMA Rundschreibens 2023/1 nicht nur der zunehmenden Komplexität der IT-Systeme, dem technologischen Fortschritt und Wandel, der Häufung von Cyber-Angriffen sowie dem Umgang mit kritischen Daten Rechnung getragen, sondern auch die Aufsichtspraxis in Bezug auf das Management dieser operationellen Risiken konkretisiert.

Die Revision des FINMA Rundschreibens zu den operationellen Risiken hat auch Änderungen des FINMA Rundschreibens 2013/03 „Prüfwesen“ zur Folge. Das teilrevidierte FINMA Rundschreiben 2013/03 „Prüfwesen“ soll ebenfalls per 1. Januar 2024 in Kraft treten.

Die Eigenmittelanforderungen, welche derzeit noch Bestandteil des FINMA Rundschreibens 2008/21 sind, werden neu und im Zuge der Umsetzung der finalen Basel III Regeln durch die zu revidierende Eigenmittelverordnung (ERV) sowie durch weitere FINMA-Ausführungsbestimmungen ersetzt.