Die Schweizer FinTech-Bewilligung erleichtert den Markteintritt, verpflichtet aber zu einer belastbaren Organisation und IT-Sicherheit. Wer EU-Bezug hat, fällt zusätzlich unter DORA (anwendbar seit 17. Januar 2025). Entscheidend sind eine klare Governance, ein wirksames Third-Party-Risk-Management (TPRM), einheitliches Logging/Monitoring, Incident-Readiness sowie prüfbare Nachweise über die Umsetzung. Darüber hinaus werden ein ganzheitliches Cyber Risk Management und ein robustes Business Continuity Management (BCM) gefordert, welches die Widerstandsfähigkeit kritischer Prozesse durch regelmässige Notfallübungen sicherstellt. Sehen Sie im Folgenden eine Übersichtsdarstellung und lesen, warum jetzt Handlungsbedarf besteht.

Was sich geändert hat und warum jetzt Handlungsbedarf besteht

Die FinTech-Bewilligung gemäss Art. 1b BankG erlaubt es, bis zu CHF 100 Millionen an Publikumseinlagen entgegenzunehmen, sofern diese nicht verzinst oder angelegt werden. Zugleich gelten Anforderungen an Rechtsform, Sitz und Aufsicht, die FinTechs organisatorisch und sicherheitstechnisch in die Pflicht nehmen.

• Mit dem FINMA-Rundschreiben 2018/3 zum Outsourcing sind für Banken, Versicherer und Finanzinstitute verbindliche Mindestanforderungen an Auslagerungen festgelegt. Dies schliesst Punkte ein wie Risikoanalysen, Kontrollrechten, Datenstandort und Exit-Strategien (potenzielle Wechsel).
• Das FINMA-Rundschreiben 2023/1 zu operationellen Risiken und Resilienz ist seit dem 1. Januar 2024 in Kraft und stärkt die Anforderungen an IKT-Risiken, Business Continuity und die Verantwortung des Verwaltungsrats.
• Parallel gilt in der Schweiz seit dem 1. September 2023 das revidierte Datenschutzgesetz (nDSG), das Transparenzpflichten, ein Verzeichnis der Bearbeitungstätigkeiten und, je nach Risiko, Datenschutz-Folgenabschätzungen (DSFAs) verlangt.
• Für EU-Tätigkeiten ist DORA seit dem 17. Januar 2025 anwendbar und regelt verbindlich IKT-Risiko-Management, Vorfallsmeldungen, Resilienztests sowie die Aufsicht über wesentliche ICT-Drittparteien.

Warum das für FinTechs besonders relevant ist

FinTechs kombinieren eine hohe Änderungsdynamik in Produkten und Technologien mit einer sehr hohen Nutzung von SaaS- und Cloud-Diensten. Regulatoren erwarten deshalb nicht nur «gute Praxis», sondern nachweisbare Kontrolle über IKT-Risiken, Lieferketten und die operative Resilienz. Für Schweizer FinTechs mit EU-Niederlassung gelten die DORA-Pflichten direkt. Ohne diese EU-Niederlassung können DORA-Anforderungen häufig vertraglich als Flow-down in die eigene Lieferkette «fliessen». Beispiele hierbei sind etwa Audit-, Reporting- und Outsourcing-Klauseln.

Was Schweizer FinTechs jetzt konkret tun sollten

• Klären Sie den Geltungsbereich und erstellen Sie ein Regulierungs-Mapping. Sie sollten präzise abgrenzen, welche Anforderungen aus dem aufsichtsrechtlichen Rahmen der Schweiz (BankG, FINMA-Rundschreiben) und welche aus der EU (DORA/GDPR) für Ihre rechtliche Struktur und Ihr Geschäftsmodell gelten.
• Stärken Sie Ihre Governance mit klaren Rollen und Verantwortlichkeiten. Sie sollten ein CISO-Mandat, ein Risk-Committee und eindeutige Owner für IKT-Risiken, Outsourcing und Datenschutz benennen und regelmässig an das Management berichten.
• Etablieren Sie ein ISMS, welches ISO 27001 kompatibel ist. Sie sollten Richtlinien, Risiko- und Kontrollrahmen sowie Evidenzen so aufbauen, dass Sie sowohl FINMA-Erwartungen als auch DORA und nDSG prüfungssicher abdecken.
• Implementieren Sie ein wirksames Third-Party-Risk-Management (TPRM). Sie sollten die Kritikalität und Risiken Ihrer Dienstleister bewerten, Vertragskontrollen (Audit-, Outsourcing-, Exit-Rechte, Datenstandort) verankern und die Leistung sowie Sicherheit kontinuierlich überwachen.
• Vereinheitlichen Sie Logging und Monitoring für eine schnelle Erkennung und Meldung von Vorfällen. Sie sollten eine zentrale Protokollierung (z. B. via SIEM), klare Schwellwerte und ein Meldeschema nutzen, das auch die DORA-Klassifizierung bestmöglich abdeckt, sofern EU-Niederlassungen betroffen sind.
• Sichern Sie Resilienz und Kontinuität mit realistischen Zielen und Übungen ab. Sie sollten RTO/RPO-Ziele definieren, Notfall- und Wiederanlauf-Szenarien testen und die Krisenkommunikation regelmässig in Tabletop-Übungen proben.
• Verankern Sie Datenschutz by Design und by Default. Sie sollten Verzeichnisse, Lösch- und Aufbewahrungskonzepte sowie wo erforderlich Datenschutz-Folgenabschätzungen betreiben und Ihre Auftragsbearbeitungs-Verhältnisse vertraglich robust ausgestalten.

Häufige Fallstricke – und wie Sie diese vermeiden können

• Vorausschauend handeln und heutige Empfehlungen als künftige Standards verstehen. Betrachten Sie «Advisory»-Hinweise von Regulatoren nicht als optional, sondern als Vorboten kommender Pflichten. Wer Empfehlungen, wie die zu den technischen DORA-Standards, frühzeitig in die eigene Planung einbezieht, sichert sich einen strategischen Vorteil und vermeidet späteren Druck bei der Umsetzung.
• Nachweisbarkeit sicherstellen von der Kontrolle zur prüffähigen Evidenz. Eine starke technische Umsetzung allein genügt nicht, sie muss auch belegbar sein. Etablieren Sie von Anfang an Prozesse, um für jede Sicherheitskontrolle prüffähige Evidenzen (Reports, Protokolle, KPIs) zu generieren. So stellen Sie sicher, dass Ihre Investitionen in Audits auch anerkannt werden.
• Cloud-Souveränität wahren, indem Sie Transparenz und Kontrolle aktiv einfordern. Behandeln Sie Cloud-Dienste nicht als Black-Box. Ein wirksames Management von Drittparteien bedeutet, vertraglich auf Transparenz zu bestehen. Verankern Sie klare Audit-Rechte, Vorgaben zum Datenstandort und durchdachte Exit-Strategien, um einen Lock-in-Effekt zu vermeiden und die Kontrolle zu behalten.
• Verantwortung verankern durch klare Definition von Rollen und Zuständigkeiten. Klarheit bei den Zuständigkeiten ist ein Grundpfeiler guter Governance. Definieren Sie verbindliche Rollen wie einen CISO und benennen Sie klare «Owner» für zentrale Risikobereiche. Dies schafft eine lückenlose Verantwortungskette, die bis zum Verwaltungsrat reicht und in Audits überzeugt.

Von der Strategie zur Umsetzung: Ein pragmatischer 6-Monats-Fahrplan zur Compliance und Resilienz

Phase 1 (Monat 1–2): Standortbestimmung und Governance

Das Ziel dieser Phase ist es, Transparenz zu schaffen und ein klares Mandat für die Umsetzung zu erhalten.

• Analyse und Handlungsfelder: Schaffen Sie Transparenz durch eine detaillierte Regulierungs-, Risiko- und Lückenanalyse. Leiten Sie daraus die zentralen Handlungsfelder für Ihr Unternehmen ab.
• Governance und Roadmap: Verankern Sie die Governance, indem Sie klare Rollen (z. B. CISO) definieren und die darauf basierende Roadmap vom Verwaltungsrat absegnen lassen.

Phase 2 (Monat 3–4): Umsetzung der Kernmassnahmen

In dieser Phase setzen Sie die wichtigsten technischen, prozessualen und vertraglichen Grundlagen um.

• Interne Kontrollen und Nachweise: Setzen Sie priorisierte technische Kontrollen um (z. B. MFA, Logging) und bauen Sie parallel einen zentralen Nachweis-Katalog auf, um die Audit-Fähigkeit sicherzustellen.
• Third-Party-Risk-Management: Etablieren Sie ein wirksames Management von Drittparteien, indem Sie kritische Dienstleister bewerten und deren Verträge systematisch nachbessern (z. B. Audit- und Exit-Klauseln).

Phase 3 (Monat 5–6): Resilienz testen und verankern

Das Ziel dieser Phase ist es, die umgesetzten Massnahmen zu überprüfen und eine Kultur der kontinuierlichen Verbesserung zu etablieren.

• Notfallpläne und Praxistest: Schärfen Sie Ihre Notfallpläne (BCM) mit klaren Zielen (RTO/RPO) und überprüfen Sie deren Wirksamkeit in einer ersten Tabletop-Übung (z. B. Simulation eines Cloud-Ausfalls).
• Reporting und kontinuierliche Verbesserung: Verankern Sie die Prozesse im Regelbetrieb, indem Sie ein KPI-basiertes Reporting an das Management etablieren und die Lehren aus der Übung in einen Verbesserungszyklus überführen.

Wie wir Sie unterstützen

Redguard begleitet Sie von der Standortbestimmung bis zur Umsetzung – pragmatisch, prüfungssicher und mit Fokus auf Resilienz. Leistungen können sein:

• Regulatory-Readiness Snapshot: Wir grenzen anwendbare Anforderungen ab, liefern ein Gap-Bild und priorisieren Quick Wins.
• FINMA/DORA-Gap-Analyse und Umsetzung: Wir definieren Kontrollen, Evidenzen und Meldeprozesse, stellen nach Verfügbarkeit Templates (Cloud/TPRM) bereit und etablieren Resilienz-KPIs.
• ISO 27001 zertifizierbares ISMS: Unterstützung des Aufbaus eines ISMS und Vorbereitung auf eine erfolgreiche Zertifizierung.
• Tabletop-Übungen: Wir simulieren realistische Szenarien (z. B. Cloud-Störung oder Credential-Missbrauch), leiten Massnahmen ab und dokumentieren auditfähig.
• CSIRT: Wir erhöhen Ihre Incident-Readiness und unterstützen Sie im Ernstfall, wenn gewünscht vor-Ort und 24/7.
• Penetration Testing: Wir testen Ihre IT auf Schwachstellen und geben Ihnen eine ausführliche Dokumentation der einzelnen Risiken für eine rasche und zielgerichtete Bearbeitung

Wenn Sie mehr über unsere Services für Finanzdienstleister erfahren wollen, finden Sie auf unserer Seite Finance Security weitere Informationen. Nehmen Sie mit uns Kontakt auf.