FINMA-RS 08/21, ursprünglich „Operationelle Risiken – Banken“, war ein Rundschreiben der Eidgenössischen Finanzmarktaufsicht (FINMA), das die qualitativen Anforderungen an das Management operationeller Risiken für Banken in der Schweiz definierte. Es stellte klar, wie die regulatorischen Vorgaben zu Risikomanagement, interner Kontrolle und der Organisation im Hinblick auf operationelle Risiken zu interpretieren sind. Das Rundschreiben wurde angesichts neuer internationaler Standards und technologischer Entwicklungen im Jahr 2023 überarbeitet und als FINMA-RS 23/1 „Operationelle Risiken und Resilienz – Banken“ neu herausgegeben.
Inhalt der Überarbeitung (FINMA-RS 23/1)
Die Totalrevision, die am 1. Januar 2024 in Kraft tritt, betont nun verstärkt die Sicherstellung der operationellen Resilienz, also die Widerstandsfähigkeit von Banken gegenüber Störungen und Krisen. Sie ersetzt FINMA-RS 08/21 und bringt folgende wesentliche Änderungen und Neuerungen:
Management der operationellen Risiken
Das neue Rundschreiben legt weiterhin den Fokus auf das übergreifende Management von operationellen Risiken, zu denen IT- und Cyber-Risiken, Risiken hinsichtlich kritischer Daten sowie Business Continuity Management (BCM) zählen. Es fordert Institute dazu auf, eine ganzheitliche Risikostrategie zu implementieren und operationelle Risiken systematisch zu erfassen, zu begrenzen und zu überwachen. Die Festlegung und Überwachung der Risikotoleranz durch das Oberleitungsorgan ist dabei zentral.
IT- und Cyber-Risiken
Besondere Aufmerksamkeit gilt den IT- und Cyber-Risiken. Institute müssen geeignete Maßnahmen implementieren, um die Vertraulichkeit, Integrität und Verfügbarkeit der IT-Systeme sicherzustellen. Dazu gehören:
- Regelmäßige Penetrationstests und Schwachstellenanalysen, die alle wesentlichen IT-Komponenten und kritischen Daten umfassen, insbesondere solche, die über das Internet erreichbar sind oder für die Erbringung kritischer Funktionen unerlässlich sind.
- Szenariobasierte Cyber-Übungen, die auf die institutspezifischen Bedrohungen abgestimmt sind, um die Reaktionsfähigkeit auf mögliche Angriffe zu testen.
Management kritischer Daten
Kritische Daten, die für den Betrieb der Banken und für regulatorische Zwecke essenziell sind, müssen streng geschützt werden. Diese Daten werden nach Vertraulichkeit, Integrität und Verfügbarkeit klassifiziert und entlang ihres gesamten Lebenszyklus verwaltet. Dazu gehört der Schutz vor unberechtigtem Zugriff, auch in Testumgebungen.
Business Continuity Management (BCM)
Das BCM stellt sicher, dass kritische Prozesse bei Störungen oder Unterbrechungen wiederhergestellt werden können. Es definiert Wiederherstellungsziele (RTO und RPO) und legt fest, wie auf Krisen zu reagieren ist. Die Einführung regelmäßiger Tests, darunter auch Table-Top-Übungen, stellt sicher, dass die Krisenorganisation und die Wiederherstellungsprozesse auf Störungen vorbereitet sind.
Operationelle Resilienz
Ein wesentlicher Bestandteil des neuen Rundschreibens ist die operationelle Resilienz. Diese zielt darauf ab, sicherzustellen, dass Institute ihre kritischen Funktionen auch in schwerwiegenden, aber plausiblen Krisenszenarien innerhalb akzeptabler Grenzen fortführen können. Dazu müssen Institute eine Inventarliste ihrer kritischen Funktionen und Prozesse führen, deren Abhängigkeiten und Unterbrechungstoleranzen definieren und regelmäßig testen.
Meldepflichten bei Vorfällen
Bei wesentlichen Störungen oder Cyber-Angriffen müssen Institute die FINMA innerhalb von 24 Stunden informieren. Eine detaillierte Meldung ist innerhalb von 72 Stunden nachzureichen, um den Vorfall und die getroffenen Maßnahmen zu dokumentieren.
Penetrationstests werden zur absoluten Pflicht
Klar und deutlich, wie selten, fordert die FINMA regelmäßige Penetrationstests und stellt dabei die Verantwortung der Geschäftsleitung in den Vordergrund:
Die Geschäftsleitung lässt regelmässig Verwundbarkeitsanalysen und Penetrationstests durchführen. Diese müssen durch qualifiziertes Personal mit angemessenen Ressourcen ausgeführt werden. Dabei sind alle inventarisierten Bestandteile der IKT, die über das Internet erreichbar sind, zu berücksichtigen. Zudem sind inventarisierte Bestandteile der IKT, welche nicht über das Internet erreichbar, aber für die Erbringung von kritischen Prozessen notwendig sind, oder welche elektronische kritische Daten beinhalten, zu berücksichtigen.
Des Weiteren werden "risikobasiert szenariobezogene Cyber-Übungen" verlangt - hiermit sind primär Red Teaming, Phishing, Table Top-Übungen und ähnliches gemeint.
Auf Basis der institutsspezifischen Bedrohungspotenziale müssen risikobasiert szenariobezogene Cyber-Übungen17 durchgeführt werden. Das Ergebnis der Übungen ist in geeigneter Form zu dokumentieren und zu rapportieren.
Vielen Dank für dein Feedback! Wir werden es prüfen und unseren Artikel anpassen.