Die Eidgenssische Finanzmarktaufsicht FINMA hat neue Vorgaben zum Thema Cyber Security erlassen, die per 1. Juli 2017 in Kraft getreten sind. Zu beachten ist das neue Rundschreiben 2017/1 Corporate Governance Banken sowie im Zusammenhang damit die Revision des Rundschreibens 2008/21 Operationelle Risiken Banken und die Revision des Rundschreibens 2010/1 Vergtungssysteme. Aufgehoben wurde das bisherige Rundschreiben 2008/24 berwachung und interne Kontrollen Banken.

Im revidierten Rundschreiben 2008/21 ber operationelle Risiken von Banken werden neu speziell auch IT- und Cyberrisiken adressiert und die Liste der Risiken im Risikomanagementgrundsatz 4 betreffend die Technologieinfrastruktur ergnzt. Gefordert ist dabei die Geschftsleitung. Sie hat sowohl ein allgemeines IT-Risikomanagement-Konzept als auch ein Risikomanagement-Konzept speziell fr den Umgang mit Cyber-Risiken zu erstellen und zu implementieren. Als Cyber-Risiken gelten Risiken in Bezug auf mgliche Verluste aus Cyber-Attacken.

Das von der Geschftsleitung implementierte IT-Risikomanagement-Konzept muss mit der IT-Strategie und der von der Bank definierten Risikotoleranz bereinstimmen und hat die fr das jeweilige Institut relevanten Aspekte gemss international anerkannten Standards zu bercksichtigen.

Die Geschftsleitung hat sicherzustellen, dass das IT-Risikomanagement-Konzept mindestens die nachfolgenden Punkte beinhaltet:

  • Organisation: die eindeutige Festlegung von Rollen, Aufgaben und Verantwortlichkeiten in Bezug auf die kritischen Applikationen sowie damit verbundener IT-Infrastruktur und kritischen und/oder sensitiven Daten und Prozesse,
  • Inventar: eine aktuelle bersicht ber die wesentlichsten Bestandteile der Netzwerkinfrastruktur und ein Inventar aller kritischen Applikationen und der damit verbundenen IT-Infrastruktur sowie Schnittstellen mit Dritten,
  • Prozesse: einen systematischen Prozess im Hinblick auf die Identifikation und Beurteilung von IT- Risiken im Rahmen der Due Diligence, insbesondere bei Akquisitionen bzw. Auslagerungen im IT-Bereich sowie bei der berwachung von Dienstleistungsvereinbarungen, und
  • Awareness: Massnahmen zur Strkung des Bewusstseins der Mitarbeitenden im Hinblick auf ihre Verantwortung zur Reduktion von IT-Risiken sowie Einhaltung und Strkung der IT- Informationssicherheit.

Die Geschftsleitung hat zudem ein Risikomanagement-Konzept fr den Umgang mit Cyber-Risiken zu implementieren. Dieses Konzept hat mindestens die nachfolgenden Aspekte abzudecken und eine effektive Umsetzung durch geeignete Prozesse sowie eine eindeutige Festlegung von Aufgaben, Rollen und Verantwortlichkeiten zu gewhrleisten:

  • Identifikation der institutsspezifischen Bedrohungspotenziale durch Cyber-Attacken, insbesondere in Bezug auf kritische und/oder sensitive Daten und IT-Systeme,
  • Schutz der Geschftsprozesse und der Technologieinfrastruktur vor Cyber-Attacken, insbesondere im Hinblick auf die Vertraulichkeit, Integritt und Verfgbarkeit der kritischen und/oder sensitiven Daten und IT-Systeme,
  • zeitnahe Erkennung und Aufzeichnung von Cyber-Attacken auf Basis eines Prozesses zur systematischen berwachung der Technologieinfrastruktur,
  • Reaktion auf Cyber-Attacken durch zeitnahe und gezielte Massnahmen sowie bei wesentlichen, die Aufrechterhaltung des normalen Geschftsbetriebs bedrohenden Cyber-Attacken in Abstimmung mit dem Business Continuity Management (BCM), und
  • Sicherstellung einer zeitnahen Wiederherstellung des normalen Geschftsbetriebs nach Cyber-Attacken durch geeignete Massnahmen.

Neu sind Banken auch zu Penetration-Tests verpflichtet. Das revidierte Rundschreiben 2008/21 verlangt, dass die Geschftsleitung einer Bank zum Schutz der kritischen und/oder sensitiven Daten und IT-Systemen vor Cyber-Attacken regelmssig Verwundbarkeits-analysen und Penetration Testings (Ausntzen von Software-Schwachstellen und Sicherheitslcken in der Technologieinfrastruktur, um unberechtigten Zugang zu dieser Technologieinfrastruktur zu erhalten) durchfhren lsst. Hierfr ist qualifiziertes Personal mit angemessenen Ressourcen einzusetzen.

Ausserdem wurden auch die Vorschriften fr den Umgang mit elektronischen Kundendaten verschrft (Rundschreiben 2008/21, Anhang 3: Rz 2, 3, 5, 6, 7, 8, 16, 17, 30, 33, 34, 56).