Die Eidgenössische Finanzmarktaufsicht (FINMA) hat eine neue Aufsichtsmitteilung zu Cyber-Risiken veröffentlicht. Darin teilt sie ihre Erkenntnisse aus der Aufsichtstätigkeit im Bereich der Cyber-Risiken und präzisiert die Meldepflicht von Cyber-Attacken sowie szenariobezogene Cyber-Risiko-Übungen.
Die FINMA identifiziert Cyber-Risiken seit mehreren Jahren als eines der Hauptrisiken für den Schweizer Finanzplatz (siehe Risikomonitor). In ihrer Mitteilung weist die FINMA auf wiederholt festgestellte Mängel hin und präzisiert die Anforderungen an die Meldepflicht von Cyber-Attacken sowie die Durchführung von szenariobezogenen Cyber-Übungen.
Auslagerungen als Risikotreiber
In den Jahren 2022 und 2023 betrafen mehr als die Hälfte der gemeldeten Cyber-Attacken ausgelagerte Dienstleistungen. Die FINMA stellt in diesem Bereich häufig Schwachstellen fest. Neben den Auslagerungen stehen auch Themen wie die Governance im Umgang mit Cyber-Risiken im Fokus.
Aufsichtsinstrumente erweitert
In den letzten Jahren hat die FINMA zusätzliche cyberspezifische Aufsichtsinstrumente eingeführt, darunter Red Teaming und Table-Top-Übungen mit den beaufsichtigten Instituten. Beim Red Teaming übernehmen Sicherheitsexperten die Rolle von Angreifern und versuchen, die Cybersicherheitsvorkehrungen eines Unternehmens zu umgehen. In Table-Top-Übungen wird ein Szenario auf dem Papier simuliert und durchgespielt. Die identifizierten Risiken werden laufend analysiert und in einer Risikolandkarte zusammengefasst.
Umfassende Aufsichtshandlungen im Cyber-Bereich
Beaufsichtigte Institute sind verpflichtet, Cyber-Attacken der FINMA zu melden. Im letzten Jahr führte die FINMA mehr als ein Dutzend cyberspezifischer Vor-Ort-Kontrollen durch. Diese Meldungen und Kontrollen ermöglichen es der FINMA, die Qualität des Cyber-Abwehrdispositivs der beaufsichtigten Institute zu beurteilen und bei Bedarf spezifische Maßnahmen frühzeitig zu ergreifen.
