17Jun

FINMA-Aufsichtsmitteilung 05/2020 – Meldepflicht Cyber-Attacken

Written by Equilas. Posted in Rechnungswesen

Die Gefahr von Cyber-Attacken auf den Schweizer Finanzplatz erachtet die FINMA als weiterhin sehr hoch. Dabei stehen beaufsichtigte Institute der FINMA im Visier von Cyber-Kriminellen, die es nebst monetären Interessen auch auf die Beeinträchtigung der Verfügbarkeit, Vertraulichkeit und Integrität von kritischer Technologieinfrastruktur und sensitiven Informationen abgesehen haben.

Die Aufsichtsmitteilung 05/2020 der FINMA behandelt die gemäss Art. 29. Abs. 2 Finanzmarktaufsichtsgesetz (FINMAG) geltende gesetzliche Anforderung einer unverzüglichen Meldung von Vorkommnissen, die für die Aufsicht von wesentlicher Bedeutung sind. Im Zuge der COVID-19 Pandemie besteht eine erhöhte Gefahr von Cyber-Attacken, da sich Cyber-Kriminelle die allgemeine Verunsicherung der bereits stark geforderten Unternehmungen zu Nutzen machen könnten.

Um die Wesentlichkeit einer solchen Cyber-Attacke festlegen zu können, sind im Anhang 1 der FINMA-Aufsichtsmitteilung 05/2020 Definitionen enthalten, welche den Schweregrad der Attacke festlegen. Grundlage dazu sind die nach FINMA-RS 08/21 operationelle Risiken festzulegenden «kritischen Aktiven» und deren Schutzziele.

Beispiele für kritische Aktiven

  • Informationen (z.B. sensible Kundenidentifikationsdaten)
  • Technologieinfrastruktur (Software, Hardware)
  • Gebäude (Rechenzentren, Hauptgebäude)
  • Personal (Schlüsselpersonal wie IT-Verantwortlicher, Geschäftsleitung etc.)

Führen also beispielsweise Cyber-Attacken zu einem Abfluss von Kundenidentifikationsdaten, welche erhebliche Reputationsschäden oder finanzielle Auswirkungen zur Folge haben, dann handelt es sich gemäss Anhang 1 der FINMA-Aufsichtsmitteilung 05/2020 um einen schwerwiegenden Fall, welcher unverzüglich der FINMA zu melden wäre.

Eine unverzügliche Meldung an die FINMA bedeutet, dass der betroffene Beaufsichtigte bei Feststellung einer solchen Cyber-Attacke und einer Erstbeurteilung über dessen Kritikalität, innerhalb von 24 Stunden die FINMA über den zuständigen (Key)-Account Manager vororientiert. Die eigentliche Meldung soll entlang der folgenden Liste innerhalb von 72 Stunden über die webbasierte Erhebungs- und Gesuchsplattform (EHP) der FINMA erfolgen. Auf dieser EHP-Plattform, welche seit Juni 2020 verfügbar ist, kann unter «Meldungen» die Meldungsvorlage «Meldung Cyber-Attacken» ausgefüllt werden. Folgende Anhaltspunkte sind Teil dieser Meldung an die FINMA (nicht abschliessende Aufzählung):

  • Name des Instituts
  • Kontaktperson inkl. Kontaktdaten (Telefon & E-Mail Adresse)
  • Datum / Uhrzeit Meldung an FINMA
  • Datum / Uhrzeit Feststellung Angriff
  • Datum / Uhrzeit Angriffszeitpunkt (sofern bereits bekannt)
  • Beschreibung der Cyber-Attacke und aktueller Status
  • Erstbeurteilung Schweregrad der Cyber-Attacke (Siehe Anhang 1) (Einfachauswahl:
  • mittel, hoch, schwerwiegend)
  • Trend des Schweregrads (Einfachauswahl: abnehmend, stabil, erhöhend)
  • Betroffene Entitäten (Betroffene Organisationseinheit(en) im Institut bzw. Dienstleister)
  • Betroffene Schutzziele (Mehrfachauswahl: Vertraulichkeit, Integrität, Verfügbarkeit)
  • Betroffene kritische Funktionen, Geschäftsprozesse bzw. Aktiven (Betroffene Informationen, Technologieinfrastruktur, Gebäude oder Personal)
  • Betroffene Anzahl Kunden (aktueller Stand)
  • Angriffsvektoren (Mehrfachauswahl: E-Mail, web-basierter Angriff, Brute-Force-Angriff, Identitätsdiebstahl, externe Wechselmedien, Verlust/Diebstahl von Geräten, Ausnutzung von Software-Schwachstelle, Ausnutzung von Hardware-Schwachstelle, Andere)
  • Typus des Angriffs (Beschreibung) (z.B. DDoS, Unautorisierter Zugriff, Schadsoftware, Missbrauch / unsachgemässe Benutzung von Technologieinfrastruktur usw.)
  • Administrative, operative und/oder technische Gegenmassnahmen mit erwarteter Fristigkeit
  • Kommunikationsmassnahmen (was, an wen, wann)

Für Cyber-Attacken mit Schweregrad Hoch und Schwerwiegend gemäss Anhang 1 der FINMA-Aufsichtsmitteilung 05/2020 erwartet die FINMA nach Abschluss der institutsseitigen Fallbearbeitung einen abschliessenden Ursachenbericht (Root-Cause-Analyse) inklusive einer Analyse, Grund für den Erfolg der Attacke, Auswirkungen der Attacke für die Einhaltung von regulatorischen Vorgaben, den Betrieb und die Kunden sowie mindernde Massnahmen, um die Konsequenzen der Attacke zu adressieren. Für Cyber-Attacken mit Schweregrad Schwerwiegend sind zudem Nachweise und Analysen zur Funktionsfähigkeit der Krisenorganisation einzureichen. Für Cyber-Attacken mit dem Schweregrad Mittel gemäss Anhang 1 der FINMA-Aufsichtsmitteilung 05/2020 reicht ein abschliessender Ursachenbericht.

Die FINMA erwartet die Umsetzung der Konkretisierung aus der Aufsichtsmitteilung zur Meldung von Cyber-Attacken bis spätestens per 1. September 2020 oder auf Best-Effort-Basis bereits früher.

Schlussfolgerung

Die FINMA-Aufsichtsmitteilung 05/2020 erläutert eine bereits bestehende gesetzliche Meldepflicht aus dem FINMAG. Bei kleineren Banken sind häufig IT-Verbundslösungen im Outsourcing-Verhältnis im Einsatz. Dies entbindet sie jedoch nicht von ihrer Pflicht, sicher zu stellen, dass bei erfolgten Cyber-Attacken auch die FINMA ordnungsgemäss informiert wird. Eine entsprechende kritische Überwachung des IT-Providers und eine Anpassung der bestehenden Reglemente und Weisungen werden die nächsten Schritte in der Umsetzung dieser Aufsichtsmitteilung sein.

Tags: ,

test

News

  • Sicherstellung der operationellen Resilienz

    Im Zuge der Umsetzung des neuen FINMA-RS 23/1 «Operationelle Risiken und Resilienz – Banken» erweist sich das neue Thema operationelle Resilienz als ziemlich anspruchsvoll. Unter operationeller Resilienz wird allgemein die Fähigkeit eines Instituts verstanden, seine kritischen Funktionen bei Unterbrechungen innerhalb der Unterbrechungstoleranz wiederherstellen zu können. Ab dem 1. Januar 2024 müssen alle, dem Geltungsbereich zugehörigen Institute sicherstellen, dass sie operationell resilient sind. Institute des Kleinbankenregimes sowie Institute der FINMA-Kategorie 4 und 5 sind zwar von gewissen Pflichten in der Umsetzung befreit, müssen aber dennoch ihre operationelle Resilienz in den Grundzügen sicherstellen können. Konkret umfasst dies das Vorgehen zur Sicherstellung der operationellen Resilienz durch die Festlegung ihrer kritischen Funktionen sowie deren Unterbrechungstoleranzen. Ferner ist das Thema operationelle Resilienz als fester Bestandteil in die Berichterstattung an den Verwaltungsrat und die Geschäftsleitung zu integrieren.

    2023-09-05 10:14:32

    Weiterlesen

  • Fragestellungen zur Umsetzung des Datenschutzes

    Am 1. September 2023 ist das revidierte Bundesgesetz über den Datenschutz (DSG) in Kraft getreten, welches gewisse Änderungen und Neuerungen mit sich bringt. Für eine gesetzeskonforme Umsetzung ist es hilfreich, sich mit den nachfolgenden Fragestellungen auseinander zu setzen und den Datenschutz innerhalb des Unternehmen zu thematisieren:

    2023-09-05 10:12:23

    Weiterlesen

  • Vermögensverwalter – Praxiserfahrungen nach erteilter Bewilligung

    Nachdem ein Grossteil der Vermögensverwalter sich für die Erlangung einer Bewilligung nach FINIG entschieden und diese erhalten haben, stellt sich die nächste Herausforderung bei der Umsetzung der regulatorischen Anforderungen im laufenden Betrieb. Gestützt auf die im Rahmen der Bewilligungsbegleitung, der Beratung und Betreuung von verschiedenen Vermögensverwaltern und der ersten aufsichtsrechtlichen Prüfungen durch die Prüfgesellschaften gesammelten Erfahrungen ergeben sich erste Erkenntnisse und Praxiserfahrungen.

    Umsetzung der internen Bestimmungen

    Für die Erteilung der Bewilligung durch die FINMA mussten Vermögensverwalter mit der Gesucheinreichung umfangreiche interne Bestimmungen in Form von Reglementen und Weisungen vorweisen. Eine Vielzahl von Vermögensverwaltern hatten vor der Bewilligung nach FINIG bereits ein internes Regelwerk, jedoch nicht in einem Umfang, wie dies für die Bewilligungserteilung gefordert wurde. Die regulatorischen Anforderungen, welche sich aus der Geschäftstätigkeit des Vermögensverwalters ergeben, mussten detailliert geregelt sowie für die Einhaltung entsprechende Kontrollen, Verantwortlichkeiten, Dokumentationspflichten und eine angemessene Berichterstattung implementiert werden. Folglich mussten Vermögensverwalter ein umfangreiches internes Kontrollsystem mit einer Risikoanalyse über das gesamte Institut, einem Kontrollinventar und einem Tätigkeitsplan ausarbeiten.

    2023-07-04 14:03:14

    Weiterlesen

  • Inkrafttreten revidiertes Datenschutzgesetz

    Nach einem langwierigen Prozess tritt das revidierte Datenschutzgesetz (DSG) per 01.09.2023 in Kraft. Anstoss zu der vorliegenden Revidierung des bestehenden Datenschutzgesetzes war einerseits die Anpassung der datenschutzrechtlichen Normen an die geänderten gesellschaftlichen und technologischen Gegebenheiten, andererseits aber auch die Abstimmung auf die Datenschutznormen der EU. Gerade der zweite Punkt ist von entscheidender Bedeutung, damit die Schweiz von der EU weiterhin als Drittstaat mit angemessenem Datenschutzniveau anerkannt wird.

    Das neue DSG sieht keine Übergangsfristen vor, was bedeutet, dass die geänderten und neuen Pflichten per 01.09.2023 umgesetzt werden müssen.

    Wesentliche Änderungen und Neuerungen

    Die Generalüberholung des bestehenden DSG hat zu wesentlichen Änderungen und Neuerungen im DSG geführt. Auf ausgewählte Neuerungen wird nachfolgend kurz eingegangen.

    2023-07-04 13:57:37

    Weiterlesen

  • Sustainable Finance

    Unter dem Begriff Sustainable Finance wird verstanden, dass Finanzdienstleister sowohl Umwelt- (Environment), Sozial- (Social) als auch Unternehmensführungsaspekte (Governance) bei ihren Entscheidungen und Dienstleistungen berücksichtigen. Konkret heisst das, dass die Finanzintermediäre Umwelt-, Sozial- und Governance-Kriterien (ESG-Kriterien) in ihre Geschäfts- oder Investitionsentscheidungen sowie ihre Dienstleistungserbringung so integrieren, dass Kundinnen und Kunden sowie die Gesellschaft einen nachhaltigen Nutzen davontragen.

    Ziel und Zweck

    Ziel und Zweck von Sustainable Finance und des Einbezugs von ESG-Kriterien in die Entscheidungen und Dienstleistungen der Finanzintermediäre ist es, die Finanzindustrie und die Investoren dazu zu bewegen – und ihnen die Möglichkeit zu bieten – mehr Kapital in nachhaltige Investitionen zu lenken. Im Zentrum stehen sowohl Bestrebungen im Finanzierungs- wie auch dem Anlagegeschäft von
    Finanzinstituten.

    Auf diese Weise sollen unter anderem die Risiken des Klimawandels, der Ressourcenknappheit sowie der sozialen Ungleichheit bekämpft werden.

    2023-07-04 13:50:17

    Weiterlesen

Abonnieren Sie den Newsletter

GL

Kontakt

Equilas AG
Genfergasse 8
3011 Bern

Login

Um Dateien herunterzuladen müssen Sie sich einloggen: Login

Haben Sie noch keinen Account? Dann kontaktieren Sie uns bitte: Kontakt