In einer Aufsichtsmitteilung veröffentlicht die Eidgenössische Finanzmarktaufsicht FINMA ihre Erkenntnisse aus der Aufsichtstätigkeit im Bereich der Cyber-Risiken. Weiter präzisiert sie darin die Meldepflicht von Cyber-Attacken und szenariobezogene Cyber-Risiko-Übungen.
Die FINMA weist Cyber-Risiken seit mehreren Jahren als eines der Hauptrisiken für den Schweizer Finanzplatz aus (siehe Risikomonitor). In einer Aufsichtsmitteilung informiert die FINMA über die Erkenntnisse aus der Aufsichtstätigkeit im Bereich der Cyber-Risiken und weist auf wiederholt festgestellte Mängel hin. Zudem präzisiert die FINMA die Anforderungen an die Meldepflicht von Cyber-Attacken und an die Durchführung von szenariobezogenen Cyber-Übungen.
Auslagerungen als Risikotreiber
In den Jahren 2022 und 2023 betrafen mehr als die Hälfte der gemeldeten Cyber-Attacken ausgelagerte Dienstleistungen. Auch die FINMA stellt im Rahmen ihrer Aufsichtstätigkeit bezüglich Cyber-Risiken sehr häufig Schwachstellen in diesem Bereich fest. Neben den Auslagerungen sind aber auch andere Themen immer wieder im Fokus, zum Beispiel die Governance im Umgang mit Cyber-Risiken.
Aufsichtsinstrumente erweitert
Zudem hat die FINMA in den letzten Jahren zusätzliche cyberspezifische Aufsichtsinstrumente eingeführt, wie das sogenannte Red Teaming oder Table-Top-Übungen mit den beaufsichtigten Instituten. Beim Red Teaming übernehmen Sicherheitsexperten die Rolle von Angreifenden und versuchen, die Cybersicherheitsvorkehrungen eines Unternehmens zu umgehen, indem die Angriffsweise eines "bösartigen" Hackers kopiert wird. In Table-Top-Übungen wird ein Szenario auf dem Papier simuliert und durchgespielt. Die identifizierten Risiken werden laufend analysiert, ausgewertet und in einer Risikolandkarte zusammengefasst.
Umfassende Aufsichtshandlungen im Cyber-Bereich
Beaufsichtigte Institute sind verpflichtet, Cyber-Attacken der FINMA zu melden. Zudem führte die FINMA auch im letzten Jahr mehr als ein Dutzend cyberspezifischer Vor-Ort-Kontrollen durch. Die Meldungen von den Beaufsichtigten oder den Prüfgesellschaften sowie die cyberspezifischen Vor-Ort-Kontrollen der FINMA ermöglichen es der FINMA, die Qualität des Cyber-Abwehrdispositives der beaufsichtigten Institute vertieft zu beurteilen und bei Bedarf institutsspezifische Massnahmen frühzeitig zu ergreifen.