-
Audit Financial Services
Mehr Sicherheit, mehr Vertrauen: Wirtschaftsprüfung für Banken und andere Finanzunternehmen
-
Audit Industry, Services, Institutions
Mehr Sicherheit, mehr Vertrauen: Wirtschaftsprüfungen für nationale und internationale Geschäftskunden
-
Corporate Tax
Nationale und internationale Steuerberatung und -planung
-
Individual Tax
Individual Tax
-
Indirect Tax/VAT
Unsere Dienstleistungen im Bereich Mehrwertsteuer
-
Transfer Pricing
Verrechnungspreise
-
M&A Tax
Mergers & Acquisitions Steuern – Beratung über den gesamten Transaktionszyklus
-
Tax Financial Services
Tax Financial Services
-
Financial Services
Beratung Finanzindustrie
-
Advisory IT & Digitalisation
Vermittlung von Sicherheit aus der IT.
-
Forensic Services
Heutzutage geht es bei der Aufklärung von Straftaten in Unternehmen immer häufiger auch um digitale Daten und ganze IT-Systeme.
-
Regulatory & Compliance Financial Services
Beratungsdienstleistungen im Bereich Finanzmarktrecht.
-
Transaction Services / Mergers & Acquisitions
Gut beraten Transaktionen erfolgreich abwickeln.
-
Legal Services
Persönliche Beratung, die Ihnen Recht gibt.
-
Trust Services
Ihr zuverlässiger Partner in Sachen Vermögensplanung, Trusts und Stiftungen.
-
Business Risk Services
Nachhaltiges Wachstum für Ihr Unternehmen.
-
Abacus
Grant Thornton Schweiz Liechtenstein ist seit 2020 offizieller Vertriebspartner der Abacus Business Software.
-
Accounting Services
Buchführung ist für uns weit mehr als die Verarbeitung von Zahlen.
-
Payroll Services
Monat für Monat sparen Sie Zeit und Energie, wenn Sie wissen, dass Ihre komplette Lohnadministration sich in den besten Händen befindet.
-
Real Estate Management
Geben Sie Ihrem kompletten Immobilienmanagement ein sicheres Zuhause.
-
Lernende
Karriere mit Lehre?!
Einordnung der Neuerungen1
1 Es handelt sich um eine stark vereinfachte Darstellung, welche eine rasche erste Einordnung der Thematik ermöglichen soll. Jedes Institut sollte die Relevanz und den konkreten Handlungsbedarf individuell-konkret bestimmen.
Erkenntnisse aus Cyber-Risiko-Aufsichtstätigkeit der FINMA
Auslagerungen
Die Anzahl erfolgreicher Angriffe auf externe Dienstleister der beaufsichtigten Institute nimmt stetig zu. Die Gründe dafür liegen unter anderem in den unklaren Anforderungen an die Dienstleister hinsichtlich Cyber-Sicherheit und der kaum erfolgten Überprüfung. Aus dieser Erkenntnis wird folgender Handlungsbedarf abgeleitet:
- Sicherstellung, dass beim Abschluss von Verträgen mit externen Dienstleistern betreffend Cyber-Sicherheit die Anforderungen genügend klar festgehalten werden
- Regelmässige Überprüfung der Anforderungen an die Cyber-Sicherheit und deren Darstellung in den Kontrollberichten
- Klärung, wie schwerwiegende Sicherheitslücken durch die Dienstleister erkannt und vor Eintritt eines Schadens zügig geschlossen werden
- Klärung, ob und wie Dienstleister im Bereich Cyber-Sicherheit auf Cyber-Angriffe vorbereitet sind und welche Massnahmen im Falle eines Angriffs innert welcher Frist ergriffen werden können (Einhaltung Meldepflichten muss sichergestellt werden können); Definition von übergreifenden Prozessen zu Meldepflichten
- Sicherstellung, dass die Anforderungen an die Cyber-Sicherheit auch durch von den Dienstleistern beigezogene Dritten eingehalten werden
Bei einer Auslagerung an Dienstleister bleiben die Beaufsichtigten jederzeit selbst für die Einhaltung der aufsichtsrechtlichen Anforderungen verantwortlich.
Governance und Identifikation
In den Geschäftsleitungen und Verwaltungsräten der FINMA-beaufsichtigten Institute erhalten Cyber-Risiken laut den Analysen der FINMA bisher nicht die notwendige Priorität. Häufig würden diese zu Unrecht als reines Technologie-Problem behandelt. Zudem fehlt oftmals ein systematisches und umfassendes Cyber-Risiko-Management. Aus dieser Erkenntnis wird folgender Handlungsbedarf abgeleitet:
- Erfassung der Cyber-Risiken als eigenständiges Risiko
- Definition Risikoappetit und Risikotoleranz im Bereich der Cyber-Risiken
- Einführung von Schlüsselkontrollen im internen Kontrollsystem (IKS)
- Regelmässige Überprüfung der Wirksamkeit der Kontrollen
Schutzdispositiv
Hier besteht laut FINMA Verbesserungspotential bei regelmässigen Schulungen und Tests zu Cyber-Risiken für Mitarbeitende sämtlicher Hierarchiestufen. Darüber haben viele Institute zwar Richtlinien und Prozesse hinsichtlich Datensicherung (Back-up) sowie Wiederherstellungspläne, aber teilweise fehlen Tests dieser Prozesse für den Fall eines schwerwiegenden Cyber-Angriffs. Zudem beziehen sich Massnahmen zur Data Loss Prevention (DLP) oft nur auf einzelne Datenbestände. Aus dieser Erkenntnis wird folgender Handlungsbedarf abgeleitet:
- Durchführung regelmässiger Schulungen sämtlicher Mitarbeitenden hinsichtlich Cyber-Risiken (inkl. Tests), damit die gängigsten Angriffsmethoden erkannt und der richtige Umgang damit trainiert wird
- Prüfung, ob angemessene Massnahmen zur Data Loss Prevention (DLP) bestehen
- Durchführung regelmässiger Tests der erstellten Back-ups zur Sicherstellung, dass diese in der gewünschten Aktualität, Integrität und Vollständigkeit rasch wiederhergestellt werden können (insbesondere bei Komplett-Verschlüsselung inkl. der Datensicherung bei Ransomware-Angriffen)
Detektion, Reaktion und Wiederherstellung
Einige Institute verfügen laut FINMA über keine oder unvollständige Reaktionspläne für Cyber-Vorfälle oder diese wurden nicht auf ihre Effektivität hin überprüft. Oftmals fehlten auch spezifische Wiederherstellungsmassnahmen nach Cyber-Attacken. Eine risikoorientierte und szenariobasierte Vorbereitung auf Cyber-Vorfälle und -krisen sei daher zentral und ein wesentlicher Erfolgsfaktor, um solche Stresssituationen effektiv meistern zu können. Aus dieser Erkenntnis wird folgender Handlungsbedarf abgeleitet:
- Erarbeitung von Reaktionsplänen für Cyber-Vorfälle (Abläufe und Verantwortlichkeiten)
- Erarbeitung von Wiederherstellungsmassnahmen nach Cyber-Attacken
Meldepflichten
Die FINMA präzisiert ihre Aufsichtsmitteilung 05/2020 und stellt klar, dass innerhalb der ersten 24 Stunden nach Entdeckung der Cyber-Attacke eine Meldung an den Key Account Manager der FINMA erfolgen muss (formlos per E-Mail, Telefon oder ähnlich; inkl. Erstbeurteilung der Kritikalität und Umschreibung der Attacke). Eine solche Meldung kann jederzeit wieder zurückgezogen werden, falls die Wesentlichkeitsschwelle nicht erreicht wird. Die vollständige Meldung muss weiterhin innerhalb von 72 Stunden über die EHP eingegeben werden.
Für die Meldefristen von 24 bzw. 72 Stunden gelten die offiziellen Bankarbeitstage. Eine Ausnahme sind Cyber-Attacken mit dem Schweregrad «schwerwiegend», welche der FINMA auch ausserhalb von Bankarbeitstagen innert von 24 Stunden zu melden sind. Diesbezüglich sind organisatorische Massnahmen zu treffen, damit diese Fristen eingehalten werden können.
Bei Auslagerungen ist zu beachten, dass die beaufsichtigten Institute dieselbe Verantwortung trifft, wie wenn es die ausgelagerte Funktion selbst erbringen würde. Die Meldefristen beginnen daher bereits zu laufen, sobald das Institut selbst oder der Drittanbieter den Cyber-Vorfall entdeckt. Der Drittanbieter muss somit über die Meldepflichten informiert sein und diese in Zusammenarbeit mit dem Institut einhalten können.
Fazit
Die FINMA-Aufsichtsmitteilung 03/2024 vermittelt spezifische Hinweise zum Umgang mit Cyber-Risiken, die für alle von der FINMA beaufsichtigten Institute relevant sind. Auch kleinere Institute wie Vermögensverwalter müssen Cyber-Risiken regelmässig in der Geschäftsleitung und im Verwaltungsrat substanziell behandeln, in das Risiko-Management einbetten und Kontrollen im Rahmen des IKS durchführen. Zudem müssen organisatorische Massnahmen wie angemessene Backup-Strategien und Überprüfung der Outsourcing-Partner auf ihre Cyber-Sicherheit und Meldepflicht periodisch überprüft werden.
