Inhalt

Die Bedeutung der neuen
FINMA-Aufsichtsmitteilung 03/2024 in Sachen Cyber-Risiken für Vermögensverwalter

Die Finanzmarktaufsicht FINMA hat im Juni 2024 ihre neue Aufsichtsmitteilung 03/2024 veröffentlicht, die sich explizit mit dem Thema Cyber-Risiken befasst. Diese Veröffentlichung stellt eine weitere regulatorische Massnahme dar, um mit der steigenden Bedrohung durch Cyber-Angriffe umzugehen. Obwohl sie sich insbesondere an grössere und höher regulierte Institute wie Banken richtet, sind die in der Mitteilung formulierten Grundsätze in abgeschwächter Form auch für kleinere und mittlere Vermögensverwalter gemäss Art. 17 des Finanzinstitutsgesetzes (FINIG) anwendbar. Was sind die zentralen Aspekte dieser neuen Aufsichtsmitteilung und was bedeuten diese für Vermögensverwalter?

 

Dr. Fabian Schmid
Partner – Regulatory & Compliance financial services
Grant Thornton AG

 

Hintergrund und Bezug zur Vorgänger-Aufsichtsmitteilung

Die neue Aufsichtsmitteilung folgt auf die frühere Mitteilung 05/2020, welche bereits grundlegende Anforderungen und Erwartungen hinsichtlich des Cyber-Risikomanagements formulierte. Während die Mitteilung 05/2020 den Grundstein für die regulatorischen Anforderungen legte, geht die aktuelle Mitteilung 03/2024 einen Schritt weiter und spezifiziert die Erwartungen an die Umsetzung dieser Anforderungen.

Die FINMA stützt sich dabei auf Art. 29 Abs. 2 des Finanzmarktaufsichtsgesetzes (FINMAG), welcher im Kontext der Meldepflicht von Cyber-Attacken die Grundlage für diese detaillierten regulatorischen Vorgaben im Bereich der Cyber-Sicherheit bildet. Dies bedeutet, dass grundsätzlich alle finanzmarktrechtlich beaufsichtigten Institute, einschliesslich kleinerer und mittlerer Vermögensverwalter, von diesen Vorgaben betroffen sind.

Die FINMA beschreibt in der Aufsichtsmitteilung zunächst verschiedenste Mängel im Umgang mit Cyber-Risiken, die sie im Rahmen ihrer Aufsichtstätigkeit festgestellt hat und die mit den Präzisierungen der neuen Mitteilung adressiert werden. Viele Cyber-Attacken betreffen generell ausgelagerte IT-Services. Sodann waren folgende Fakten für die Cyber-Sicherheit ein Problem: Betroffene Institute hatten oft kein vollständiges Inventar ihrer Dienstleister und Unterakkordanten. Weiter stellte die FINMA fest, dass Cyber-Risiken gegenüber den Führungsgremien der Institute oft als reines Technologie-Problem dargestellt wurden und dadurch nicht die notwendige Priorität in der Geschäftsleitung und im Verwaltungsrat hatten. Auch wurde oft keine Risikotoleranz zu den Cyber-Risiken festgelegt und es fehlte im internen Kontrollsystem (IKS) an angemessenen Kontrollen dazu. Im Bereich des Schutzpositivs sah die FINMA insbesondere bei der Ausbildung und Sensibilisierung der Mitarbeitenden für Cyber-Risiken Verbesserungsbedarf.
 

Kernpunkte der neuen Aufsichtsmitteilung 03/2024

Die Aufsichtsmitteilung 03/2024 legt besonderes Augenmerk auf die nachfolgenden Aspekte des Cyber-Risikomanagements, welche auch Vermögensverwalter nicht ausser Acht lassen sollten:

  • Verstärkte Anforderungen an die IT-Sicherheit: Vermögensverwalter müssen sicherstellen, dass ihre IT-Infrastrukturen Gewähr für einwandfreie Geschäftstätigkeit bieten. Obwohl sich die konkreten Anforderungen dazu je nach Geschäftsmodell, Grösse und Komplexität eines Instituts stark unterscheiden können, bedeutet dies im Grundsatz, dass die IT eines Vermögensverwalters aktuellen Sicherheitsstandards entsprechen muss. Dies beinhaltet sowohl technische Massnahmen wie Verschlüsselungen oder Intrusion-Detection-Systeme als auch organisatorische Massnahmen wie interne Berichterstattung an die Führungsgremien oder die Durchführung regelmässiger Schulungen der Mitarbeitenden.
  • Risikobewertungen und Überwachung: Institute sind verpflichtet, ihre Cyber-Risiken regelmässig zu bewerten und angemessene Sicherheitsmassnahmen zu implementieren. Dies soll gewährleisten, dass potenzielle Schwachstellen frühzeitig identifiziert und behoben werden. Besonders wichtig ist hier die Integration von Schlüsselkontrollen in das interne Kontrollsystem (IKS).
  • Meldung wesentlicher Cyber-Angriffe: Ein zentraler Punkt der neuen Mitteilung ist die Präzisierung der Pflicht zur Meldung wesentlicher Cyber-Angriffe an die FINMA. Hierbei ist jedoch zu beachten, dass weiterhin nur Vorfälle mit einem gewissen Schweregrad gemeldet werden müssen, welche die Funktionsfähigkeit des Instituts oder die Sicherheit der Kundendaten erheblich beeinträchtigen könnten. Ab dem Zeitpunkt der Entdeckung einer wesentlichen Cyber-Attacke hat das Institut nur gerade 24 Stunden Zeit, um diese der FINMA zu melden. Diese Erstmeldung kann formlos per E-Mail, Telefon etc. erfolgen. Nach 72 Stunden ist eine formelle Meldung via Erhebungs- und Gesuchsplattform (EHP) erforderlich.
     

Relevanz für kleinere und mittlere Vermögensverwalter

Die Anforderungen der FINMA richten sich, wie eingangs erwähnt, nicht ausschliesslich an Banken und grosse Finanzinstitute, sondern umfassen teilweise auch kleinere und mittlere Vermögensverwalter. Auch diese Institute müssen daher ihre bestehenden Cyber-Sicherheitsstrategien sorgfältig überprüfen und gegebenenfalls anpassen, um den neuen regulatorischen Anforderungen gerecht zu werden. Dies kann die Implementierung neuer Technologien oder die Zusammenarbeit mit externen Dienstleistern umfassen. Auch die Dokumentation und regelmässige Überprüfung der getroffenen Massnahmen spielen eine entscheidende Rolle.
 

Umsetzung der neuen Anforderungen

Die Umsetzung der in der Aufsichtsmitteilung 03/2024 beschriebenen Massnahmen erfolgt idealerweise nach einem strukturierten Ansatz. Folgende Schritte sind hierbei empfehlenswert:

  • Analyse des aktuellen Stands: Eine Bestandsaufnahme der bestehenden IT-Infrastruktur und Cyber-Sicherheitsmassnahmen und deren Abgleich mit den Kernpunkten der FINMA-Mitteilung sind sinnvoll. Hierbei sollten sowohl technische als auch organisatorische Aspekte berücksichtigt werden.
  • Identifikation von Schwachstellen: Basierend auf der Bestandsaufnahme müssen potenzielle Schwachstellen und Risiken identifiziert werden. Insbesondere dieser Teil kann sinnvollerweise mit Unterstützung von externen Spezialisten erfolgen.
  • Implementierung eines Massnahmenplans: Auf Grundlage der identifizierten Schwachstellen sollte ein detaillierter Massnahmenplan entwickelt werden, der sowohl kurzfristige als auch langfristige Verbesserungen vorsieht. Wichtige Bestandteile können hierbei die Aktualisierung der IT-Sicherheitsrichtlinien, die Implementierung neuer Sicherheitslösungen und die Schulung der Mitarbeiter sein.
  • Kontinuierliches Monitoring und Reporting: Ein fortlaufendes Monitoring der IT-Sicherheitsmassnahmen und regelmässige Berichterstattung sind entscheidend, um die Effektivität der Massnahmen sicherzustellen und auf neue Bedrohungen zeitnah reagieren zu können.
  • Meldung von Cyber-Angriffen: Ein klar definierter Prozess zur Meldung wesentlicher Cyber-Angriffe an die FINMA muss etabliert werden. Dies umfasst die Identifikation von meldepflichtigen Vorfällen, die Dokumentation der Vorfälle und die fristgerechte Meldung an die FINMA.
     

Schlussfolgerung und Handlungsbedarf

Die FINMA-Aufsichtsmitteilung 03/2024 stellt klar, dass Cyber-Risiken zunehmend eine ernsthafte Bedrohung für alle Finanzinstitute darstellen, unabhängig von ihrer Grösse. Nicht nur die grossen Banken sondern auch Vermögensverwalter sollten daher proaktiv Massnahmen ergreifen, um ihre IT-Infrastrukturen kritisch zu hinterfragen und gegebenenfalls anzupassen, um den regulatorischen Anforderungen gerecht zu werden.

 

Biografie

Fabian Schmid leitet den Geschäftsbereich Regulatory & Compliance Financial Services. Er verfügt über mehr als 15 Jahre Berufserfahrung im Finanzmarktrecht. Er unterstützt mit seinem Team das Audit in sämtlichen aufsichtsrechtlichen Themen und ist zugleich beratend als Experte im Bereich Regulatory & Compliance Financial Services tätig, insbesondere in den Themengebieten FINIG, FIDLEG, KAG, GwG und Corporate Governance. Einen besonderen Fokus bilden dabei Compliance-Dienstleistungen für kleinere und mittlere Banken sowie Vermögensverwalter. Neben dem Aufbau von dezidierten Outsourcing-Dienstleistungen in den Bereichen IKS, Compliance und Riskmanagement für Vermögensverwalter hat er in der Vergangenheit verschiedene FINMA-Untersuchungsmandate oder Spezialprüfungsmandate im Bankenbereich geleitet. Fabian Schmid erwarb seinen Doktortitel der Rechtswissenschaften (Dr. iur.) an der Universität Bern mit einer Dissertation im Bereich Finanzmarktrecht / Vermögensverwaltungsrecht.

 

Diesen Artikel drucken
Cookies

Wir setzen Cookies (eigene und von Drittanbietern) ein, um Ihnen die Nutzung unserer Webseiten zu erleichtern. Mit der weiteren Nutzung unserer Webseiten sind Sie mit dem Einsatz der Cookies einverstanden. Weitere Informationen zu Cookies entnehmen Sie bitte unserer

Datenschutzerklärung