FINMA-Rundschreiben «2023/1 Operationelle Risiken und Resilienz – Banken»: Jetzt Überblick verschaffen

May 24, 2024 von Julian Scholz, Lukas Koslowski, Dominique Meier

Seit dem 1. Januar 2024 ist das totalrevidierte FINMA-Rundschreiben 2023/1 zum Management der Operationellen Risiken und Resilienz bei Banken in Kraft. Es ersetzt das bisherige Rundschreiben 2008/21 und bringt Neuerungen mit sich, die für Banken und Finanzinstitute von großer Bedeutung sind. In diesem Beitrag bieten wir Ihnen einen Überblick über die wichtigsten Aspekte des neuen Rundschreibens. Erfahren Sie, wen die neuen Regelungen betreffen, welche Grundsätze im Fokus stehen und welche Maßnahmen Sie zur Erhöhung der Resilienz und Sicherheit ergreifen müssen, um dem FINMA-Rundschreiben zu entsprechen.



Inhalt

Wen betrifft das neue FINMA-Rundschreiben?
FINMA-Rundschreiben 2023/1: Das Wichtigste im Überblick
Gesamtfazit zum FINMA-Rundschreiben 2023/1
Hot Topics: Diese Fragen sollten Sie sich stellen
Wir unterstützen Sie bei der Umsetzung des FINMA-Rundschreibens 2023/1

Wen betrifft das neue FINMA-Rundschreiben?

  • Banken
  • Finanzgruppen
  • Finanzkonglomerate
  • Kontoführende Wertpapierhäuser
  • Nicht kontoführende Wertpapierhäuser

FINMA-Rundschreiben 2023/1: Das Wichtigste im Überblick

Verschaffen Sie sich einen Überblick über die acht Grundsätze des FINMA-Rundschreiben «2023/1 Operationelle Risiken und Resilienz – Banken»:

Grundsatz 1 - Übergreifendes Management der operationellen Risiken (Rz 22-46)

  • Spezifizierung der Verantwortung von Verwaltungsrat und Geschäftsleitung: Management und Überwachung der operationellen Risiken (IKT-Risiken, Cyber-Risiken, Risiken hinsichtlich kritischer Daten, BCM-Risiken), Genehmigung von Risikotoleranzen (jährlich) sowie Strategien, Governance und Stärkung des Bewusstseins zum Umgang mit operationellen Risiken
  • Regelmässige Kontroll- und Minderungsmassnahmen – auch mittels unabhängiger Kontrollinstanzen
  • Trennung der Aufgaben, Kompetenzen und Verantwortlichkeiten, um Unabhängigkeit sicherzustellen und Interessenskonflikten vorzubeugen
  • Berichterstattung der Risikokontrolle an den Verwaltungsrat (mindestens jährlich) und an die Geschäftsleitung (halbjährlich)

Grundsatz 2 - Management der IKT-Risiken (Rz 47-60)

  • Sicherstellung von geeigneten Verfahren, Prozessen, Verantwortlichkeiten und Ressourcen:

Grundsatz 3 - Management der Cyber-Risiken (Rz 61-70)

  • Sicherstellung von geeigneten Verfahren, Prozessen, Verantwortlichkeiten und Ressourcen:
    • zur Identifikation institutsspezifischer Bedrohungspotenziale (Threat Intelligence)
    • zum Schutz der inventarisierten IKT-Assets und den kritischen Daten
    • zur Aufzeichnung und Erkennung von Cyber-Attacken sowie der Reaktion und Sicherstellung einer zeitnahen Wiederherstellung (Restore) nach einer Cyber-Attacke
    • zur Durchführung regelmässiger Verwundbarkeitsanalysen, Penetrationstests und Notfall-Übungen (z. B. Table-Top-Exercise, Red-Teaming-Übungen usw.)
  • Sicherstellung der Meldepflicht nach FINMAG:
    • Erstbeurteilung und Vororientierung an die zuständige Stelle bei der FINMA übermitteln (innerhalb von 24 Stunden)
    • anschliessende Meldung gemäss Pflichtfeldern des Anforderungskatalogs der Erhebungsplattform EHP (innerhalb von 72 Stunden)

Grundsatz 4 - Management der Risiken kritischer Daten (Rz 71-82)

  • Sicherstellung von geeigneten Verfahren, Prozessen, Verantwortlichkeiten und Ressourcen zum Umgang und Schutz kritischer Daten
  • Beauftragung einer Einheit zur Sicherstellung der Vertraulichkeit, Verfügbarkeit und Integrität kritischer Daten
  • Durchführung von Sorgfaltsprüfungen (Due Diligence) bei der Auswahl von Dienstleistern, die kritische Daten bearbeiten

Grundsatz 5 - Business Continuity Management (BCM) (Rz 83-96)

  • Identifikation kritischer Business-Prozesse im Rahmen von Business Impact Analysen (BIA), die Definition von Recovery Time Objectives (RTO) sowie Recovery Point Objectives (RPO) und Erstellung von mindestens einem Business-Continuity-Plan (BCP) und Desaster-Recovery-Plan (DRP)
  • Änderung der BIA und BCP mindestens auf jährlicher Basis und bei grösseren Anpassungen
  • Sicherstellung eines Krisenstabes für die Krisenbewältigung und Definition einer Kommunikationsstrategie
  • Regelmässige Überprüfung der BCPs und DRPs sowie Berichterstattung an den Verwaltungsrat und die Geschäftsleitung über die durchgeführten Tätigkeiten und Ergebnisse
  • Regelmässige Schulung der Mitarbeitenden und Mitglieder des Krisenstabs in Bezug auf ihre Aufgaben, Kompetenzen und Verantwortlichkeiten (AKV)

Grundsatz 6 - Management der Risiken aus dem grenzüberschreitenden Dienstleistungsgeschäft (Rz 97-100)

  • Analyse der rechtlichen Rahmenbedingungen und der daraus resultierenden Risiken für grenzüberschreitendes Dienstleistungsgeschäft
  • Definition und Implementierung von strategischen und organisatorischen Massnahmen zur Risikominderung

Grundsatz 7 - Sicherstellung der operationellen Resilienz (Rz 101-111)

  • Identifikation kritischer Funktionen und deren Unterbrechungstoleranzen sowie Definition und Umsetzung von Massnahmen zur Sicherstellung der operationellen Resilienz
  • Berichterstattung an Verwaltungsrat und die Geschäftsleitung über die operationelle Resilienz (mindestens jährlich)
  • Inventarisierung kritischer Funktionen des Unternehmens und regelmässige (mindestens jährlich) Überprüfung und Aktualisierung
  • Regelmässiges Testen kritischer Funktionen innerhalb ihrer Unterbrechungstoleranzen mithilfe von Szenarien

Grundsatz 8 - Weiterführung von kritischen Dienstleistungen bei der Abwicklung und Sanierung von systemrelevanten Banken (Rz 112)

  • Systemrelevante Banken müssen im Rahmen ihrer Notfallplanung Massnahmen ergreifen, um die Weiterführung von systemrelevanten Funktionen zu gewährleisten
  • Die im Falle einer Abwicklung, Sanierung oder Restrukturierung notwendigen Dienstleistungen («kritische Dienstleistungen») müssen identifiziert werden

Umsetzung nach Proportionalitätsprinzip
Die obigen acht Grundsätze des Rundschreibens gelten für alle Adressaten dieses Rundschreibens – sind jedoch im Kontext der jeweiligen Bank umzusetzen, abhängig von der Grösse, der Komplexität, der Struktur und des Risikoprofils.

Gesamtfazit zum FINMA-Rundschreiben 2023/1

Es zeigt sich deutlich, dass mit dem aktualisierten Rundschreiben neue Herausforderungen auf betroffene Finanzinstitute zukommen. Neu gilt es nicht nur Kundendaten zu managen, sondern generell den Umgang mit kritischen und sensiblen Daten sowie Geschäftsprozessen zu steuern. Auch behandelt werden das Management von IKT-Risiken und Lieferanten, die Schaffung eines angemessenen Business Continuity Managements (BCM) sowie die Sicherstellung der operationellen Resilienz. Zudem wird die Verantwortung des Verwaltungsrats und der Geschäftsleitung konkretisiert.

Hot Topics: Diese Fragen sollten Sie sich stellen

  • Welche sind meine kritischen Daten, und wie identifiziere ich diese? Welche technischen Lösungen gibt es hier zur Unterstützung?
  • Wie lege ich die Sicherheitsanforderungen an Lieferanten fest und überwache die Umsetzung kontinuierlich?
  • Wie pflege/tracke ich meine kritischen Daten? Welche Informationen müssen im IT-Asset Management (Inventar) gepflegt werden?
  • Wie plane ich Penetration Tests/Red Teamings und in welchem Umfang führe ich diese durch?
  • Wie baue ich ein adressatengerechtes Reporting (CRO-/VR-Stelle) auf?
  • Wie führe ich Krisenstabsübungen und Notfalltests regelmässig durch?
  • Welche Angaben werden für eine Business Impact Analyse (BIA) und einen Business-Continuity-Plan (BCP) benötigt?

Wir unterstützen Sie bei der Umsetzung des FINMA-Rundschreibens 2023/1

Unsere Security Spezialisten beraten und begleiten Sie gerne bei der Umsetzung des neuen FINMA Rundschreibens 2023/1. Dies umfasst unter anderem:

  • Gap Analyse zur individuellen Standortbestimmung inkl. Priorisierung der identifizierten Handlungsfelder und ganzheitlicher Umsetzungsplanung
  • Identifizieren der kritischen Funktionen und Outsourcings
  • Monitoring der ausgelagerten Funktionen und Risiken
  • Identifizieren der Risiken für kritischen Daten und definieren adäquater Schutzmassnahmen
  • Definition von AKVs, Prozessen, Verfahren und Kontrollen im Umgang von kritischen Daten
  • Aufbau eines Management Reportings
  • Stärkung der Mitarbeiter-Awareness
  • Durchführung interner Audits
  • Aufbau und Testen des Krisenmanagements (BCM) sowie IT Service Continuity Managements (ITSCM) Planung
  • Durchführen von Attack Simulations oder gezielten Pen-Testings

Nehmen Sie Kontakt zu uns auf und lassen Sie sich unverbindlich beraten.


< zurück