Der zunehmende Einsatz von Dienstleistern in der Wertschöpfungskette und in Unterstützungsprozessen führt zu einer erhöhten Komplexität in der Identifizierung, Bewertung und Überwachung des Risikoportfolios. Oftmals werden für die Dienstleistungserbringung vom primären Vertragsnehmer weitere Subdienstleister beigezogen. Für das Finanzinstitut steigen dadurch Komplexität und Aufwand für das Risikomanagement und die Kontrolle der Einhaltung der Sicherheitsvorgaben. Die Verantwortung für die Sicherheit der Informationen liegt nämlich jederzeit beim Eigentümer der Daten. Somit liegt das Risiko eines Sicherheitsvorfalls und damit einhergehende Schäden bei Ihnen als Finanzinstitut. Auf welche Herausforderungen Sie besonders achten müssen und welche Vorgaben der FINMA Sie in welchem Rundschreiben finden, lesen Sie hier.

Weitergabe der Sicherheitsvorgaben an die Dienstleister

In der Praxis wird vertraglich sichergestellt, dass die Sicherheitsvorgaben des Finanzinstituts den eingesetzten Dienstleistern auferlegt werden und sie verpflichtet sind, diese an weitere Subdienstleister weiterzugeben.

Die ultimative Verantwortung für die Sicherheit der Informationen liegt jedoch jederzeit beim Eigentümer der Daten. Somit liegt das Risiko eines Sicherheitsvorfalls und damit einhergehende Schäden beim Finanzinstitut.

Vorgaben der FINMA

Die Eidgenössische Finanzmarktaufsicht (FINMA) gibt klare Vorgaben:

Rundschreiben 2018/3 Outsourcing

• Auswahl, Instruktion und Kontrolle des Dienstleisters (RZ 16 – 19, 21)
• Sicherheit (RZ 24 – 25)
• Prüfung und Aufsicht (RZ 26 – 29)
• Auslagerungen ins Ausland (RZ 30 – 31)

Rundschreiben 2023/1 Operationelle Risiken und Resilienz – Banken

• Übergreifendes Management der operationellen Risiken (RZ 38)
• Business Continuity Management (BCM) (RZ 84)
• Sicherstellung der operationellen Resilienz (RZ 104)

Ein aktives Risikomanagement der Dienstleister und eine kontinuierliche Überwachung der auferlegten Sicherheitsvorgaben ist unabdingbar, um die Sicherheit bestmöglich zu gewährleisten.

Herausforderungen für das Finanzinstitut

Die Herausforderung liegt insbesondere darin, ein Inventar der gesamten Dienstleistungskette inkl. aller involvierter Subdienstleister aufzustellen und die Risiken zu bewerten. Darauf aufbauend müssen adäquate Schutzmassnahmen definiert und vertraglich verankert werden. Ein besonderes Augenmerk muss auf einer periodischen Überwachung der Einhaltung der vereinbarten Schutzmassnahmen liegen. Und die Ergebnisse der Überwachung müssen bewertet und Korrekturmassnahmen abgeleitet werden. Der Aufbau eines wirksamen Monitorings und managementgerechten Reportings sind daher essentiell.

Redguard unterstützt Sie als Partner im Finanzmarkt bei:

• Identifikation und Bewertung der kritischen Dienstleister und involvierten Subdienstleister
• Erstellung risikobasierter Prüfpunkte für die gesamte Dienstleistungskette
• Periodische Überwachungsaudits der Dienstleistungskette
• Aufbau eines wirksamen Monitorings und Management Reportings

Sie benötigen Unterstützung? Wir begleiten zahlreiche Kunden in der Finanzbranche und freuen uns auf Ihre Anfrage. Lassen Sie sich jetzt unverbindlich beraten.

---

Lesen Sie die gesamte Blogreihe

Cloud Security: Herausforderung in der Finanzbranche
Finanzbranche: Challenge IT General Controls