Die technologische Entwicklung und die jüngsten Trends haben die FINMA veranlasst, ihre Ressourcen für die Aufsicht von Cyberrisiken zu verstärken. Dabei werden die Cyberrisiken sowohl direkt, etwa durch fokussierte Vor-Ort-Kontrollen der FINMA, als auch im Rahmen der Aufsichtsprüfung von den Prüfgesellschaften überwacht. Zudem werden grössere Institute regelmässig im Rahmen von Selbstbeurteilungen auf einen angemessenen Umgang mit Cyberrisiken hin sensibilisiert. Die in der zweiten Jahreshälfte 2018 durchgeführte Selbstbeurteilung konzentrierte sich auf die Fähigkeit der teilnehmenden Institute, die Cyberbedrohungslage im Hinblick auf institutsspezifische Verwundbarkeiten zu identifizieren, darauf aufbauend eine Risikobeurteilung vorzunehmen und Massnahmen festzulegen («Threat Intelligence»).
Gemäss der Selbstbeurteilung hat die Mehrheit der teilnehmenden Institute die vorgenannten Aspekte angemessen berücksichtigt; sie stellen dabei die Erkennung von Bedrohungen und Verwundbarkeiten von kritischen Systemen und von sensitiven Daten ins Zentrum. Bei einzelnen Instituten besteht jedoch Nachholbedarf, insbesondere bei der Identifikation von Verwundbarkeiten. Gleichzeitig entwickelt sich die Bedrohungslage dynamisch weiter, was die Beaufsichtigten veranlasst, ihren Massnahmenkatalog laufend anzupassen und zu verbessern. Auch künftig wird deshalb der Umgang mit Cyberrisiken durch die Beaufsichtigten eine zentrale Herausforderung der prudenziellen Aufsicht sein.
(Aus dem Jahresbericht 2019)