FINMA-Rundschreiben 2023/1 – Wie resilient sind Sie heute schon?

Autor: Kerstin Leibig, Andreas Rostin, Roman Regenbogen

Kontakt: Kerstin Leibig

FINMA-Rundschreiben 2023/1 – Wie resilient sind Sie heute schon?

Die Regulierungen in Bezug auf operationelle Risiken und Resilienz werden sowohl in der Schweiz als auch in der EU erweitert

Die fortschreitende Digitalisierung und die stark wachsende Bedrohung durch Cyberangriffe gaben den Auslöser für eine Totalrevision des FINMA-Rundschreibens 2008/21, welches nun durch das FINMA-Rundschreiben 2023/1 „Operationelle Risiken und Resilienz – Banken“ ersetzt wird.

Auf europäischer Ebene stehen viele Schweizer Akteure im Finanzsektor in der Verantwortung, Anforderungen des 2023 in Kraft getretenen „Digital Operational Resilience Act (DORA)“ bis Januar 2025 umzusetzen. Für diese europäische Regulierung hat Eraneos kürzlich einen weiterführenden Artikel publiziert.

Das FINMA-RS 2023/1 verschärft die Anforderungen für das Management von operationellen Risiken und definiert neue Anforderungen zur Sicherstellung der operationellen Resilienz von Banken

Mittels des revidierten Rundschreibens konkretisiert die FINMA die Aufsichtspraxis in Bezug auf das:

Übergreifende Management von operationellen Risiken im Allgemeinen
Management von IKT-Risiken
Management von Cyber-Risiken
Management der Risiken kritischer Daten
Business Continuity Management (BCM)
Management der Risiken aus dem grenzüberschreitenden Dienstleistungsgeschäft

Darüber hinaus beinhaltet das Rundschreiben Kapitel zur Sicherstellung der operationellen Resilienz und zur Weiterführung von kritischen Dienstleistungen bei der Abwicklung und Sanierung von systemrelevanten Banken.

Die inhaltlichen Änderungen beziehen sich auf bereits bestehende Risikomanagement Themen sowie neue Themen, insbesondere in Bezug auf das Management der Risiken kritischer Daten und der Sicherstellung der operationellen Resilienz, die eine Überprüfung des Kontrollrahmens der Bank erfordern:

Je nach Themenbereich bestehen unterschiedliche Fristen für die Umsetzung

Die Inkraftsetzung des Rundschreibens ist auf den 1. Januar 2024 datiert. Jedoch sieht die FINMA für die Anforderungen des neuen Kapitels V „Sicherstellung der operationellen Resilienz“ Erleichterungen beim Umsetzungshorizont in Abhängigkeit des Themenbereichs vor, die in nachfolgender Grafik zusammenfassend dargestellt sind:

Für einzelne Themenbereiche können je nach Unternehmensgrösse und Maturität grosse Implementierungsaufwände entstehen

Als grössere Herausforderung sehen wir den ambitionierten Zeitrahmen für die Implementierung der verschärften Anforderungen des Kapitels IV, insbesondere im Zusammenhang mit Kapitel IV Bst. C „Management von Cyber-Risiken“ und Kapitel IV Bst. D „Management der Risiken kritischer Daten“.

Das Kapitel V „Sicherstellung der operationellen Resilienz“ ist neu, somit von zentraler Bedeutung für die Umsetzung des neuen FINMA-Rundschreibens und stellt aus unserer Sicht eine weitere grössere Herausforderung dar – auch wenn für die Umsetzung wesentlicher Bestandteile dieses Kapitels ab Inkrafttreten des Rundschreibens zwei Jahre Übergangsfrist bestehen.

Die Erfüllung der Anforderungen des Rundschreibens erfordert Handlungsbedarf

Um die Anforderungen des Rundschreibens zu erfüllen, empfehlen wir unter anderem die nachfolgenden Schritte umzusetzen. Beachten Sie hierbei, dass es sich lediglich um einen beispielhaften Auszug aus dem gesamten Anforderungskatalog des FINMA-Rundschreibens handelt:

Sofern noch nicht in Ihrem Unternehmen implementiert, integrieren Sie beim Management von operationellen Risiken auch die Genehmigung von Strategien für den Umgang mit der IKT, den Cyber-Risiken, den kritischen Daten und dem BCM, und überwachen Sie deren Einhaltung.
Erstellen Sie ein Inventar von allen ausgelagerten IKT-Dienstleistungen, die kritische oder wichtige Funktionen betreffen und stellen Sie sicher, dass dieses Inventar stets auf dem aktuellen Stand gehalten wird. Legen Sie einen besonderen Fokus auf Dienstleister, die als systemkritisch erachtet werden könnten wie beispielsweise grosse Cloud-Service-Anbieter (Amazon Web Services, Microsoft Azure).
Lassen Sie Ihre Netzwerke und Systeme auf bestehende Schwachstellen prüfen. Unseren Kunden bieten wir „Vulnerability Scans“ (z.B. auf ihren Internetauftritt oder spezifische Anwendungen) mit adressaten-gerechtem Ergebnisreport innerhalb von 7-14 Tagen an. Die Durchführung von Penetration Tests und Red Teaming Übungen ist umfassender. Penetration Tests fokussieren sich auf die Identifizierung von technischen Schwachstellen und eine Risikobeurteilung der identifizierten Schwachstellen. Eine Red Teaming Übung, hingegen, beschränkt sich nicht nur auf die Identifikation von Schwachstellen in Systemen, sondern prüft darüber hinaus auch organisatorische Schwachstellen, beispielsweise durch simulierte Phishing-Kampagnen und Social Engineering Attacken. Während Penetration Tests bei der Identifikation von Schwachstellen enden, nutzen Red Teaming Übungen die identifizierten Schwachstellen auch aktiv aus.
Organisieren Sie Tabletop-Übungen, bei denen ein Ransomware-Angriff auf Systeme und Daten simuliert wird. Bei unseren Kunden stellen wir dabei nicht nur die Frage wer was bis wann tut, sondern auch: Woher wissen Sie, dass die Systeme, die Sie sichern, nicht sofort wieder infiziert werden? Wie können Sie sicher sein, dass Ihre Backups nicht kompromittiert worden sind? Wie lässt sich der Zeitpunkt bestimmen, an dem die Systeme (und Daten) infiziert wurden? Wie werden Sie die Daten und Systeme nach diesem Zeitpunkt wiederherstellen?
Erstellen Sie oder überprüfen Sie bereits existierende Pläne für ihre interne und externe Kommunikation bei einem Vorfall. Diese Pläne regeln unter anderem eine frist- und adressatengerechte Kommunikation mit Ihren Kunden, Regulatoren und Geschäftspartnern sowie den eigenen Mitarbeitern.

Unsere Experten haben langjährige Erfahrung im Bereich Risk Management, Cybersecurity und Digitalisierung und stehen für Fragen gern zur Verfügung. Lassen Sie uns gemeinsam ihre operationelle Resilienz für die Zukunft stärken!