Neuer Ansatz und Leitfaden für die Cyberaufsicht
Die Abhängigkeit von Informations- und Kommunikationstechnologien hat im Jahr 2020 weiter zugenommen. Getrieben wurde dies durch die Digitalisierungsstrategien der beaufsichtigten Institute und wurde durch die pandemiebedingten umfangreichen Verlagerungen in Richtung Homeoffice noch verstärkt. Diese Abhängigkeit hat Finanzinstitute zunehmend anfällig für Cyberangriffe gemacht. Daher schätzte die SFMA dieses Risiko sogar noch höher ein als im Vorjahr. Sie erachtet es als eines der sieben größten Risiken für den Schweizer Finanzplatz.
Deshalb hat die SFMA ihre Ressourcen in diesem Bereich im Jahr 2020 weiter verstärkt. Der Einsatz erfolgt auf Basis eines Aufsichtsansatzes, bei dem die Institute in drei Bereichen überwacht werden: Bedrohungsanalyse, laufende Aufsicht und Vorfallmanagement bzw. Krisenmanagement. Dieser Ansatz wurde zu Beginn des Berichtsjahres eingeführt und ermöglicht eine konsistente SFMA-weite Überwachung der Cyberrisiken aller beaufsichtigten Unternehmen. Bei der operativen Umsetzung des Aufsichtsansatzes lag der Schwerpunkt auf der Gefährdungsermittlung, der Begutachtung der Konzessionsanträge – insbesondere im Bereich Fin-Tech – sowie der Vor-Ort-Prüfung von Finanzinstituten. Für die SFMA ist es von zentraler Bedeutung, so früh wie möglich über kritische Cybervorfälle bei beaufsichtigten Unternehmen informiert zu werden. Dies ermöglicht es, die beaufsichtigten Unternehmen in Krisensituationen zu unterstützen und bei Bedarf Maßnahmen zu ergreifen, um sicherzustellen, dass andere Institute vor gleichen oder ähnlichen Angriffen gewarnt werden. Dementsprechend sind beaufsichtigte Unternehmen verpflichtet, der SFMA alle größeren Cyberangriffe auf ihre kritischen Funktionen zu melden. Die Anforderungen im Zusammenhang mit dieser Meldepflicht gemäß § 29 Abs. 2 des Finanzmarktaufsichtsgesetzes (SFMA-Gesetz) wurden in enger Abstimmung mit den beaufsichtigten Unternehmen konkretisiert und in der SFMA-Wegleitung 05/2020 bekannt gegeben. (Aus dem Jahresbericht 2020)