FMA definiert Standards im Umgang mit Cyber-Risiken

163
Konkret erwartet die FMA, dass Cyber-Risiken in ein umfassendes unternehmensinternes Risikomanagement einbezogen werden.

Finanzmarktaufsicht misst Thema
grosse Bedeutung zu 

Mit dem zunehmenden Einsatz neuer Technologien und IT-Systeme gehen zahlreiche Vorteile, aber auch Gefahren bezüglich der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen einher. Aufgrund des enormen Schadenpotentials misst die FMA dem Thema Cyber-Security grosse Bedeutung bei. Mit der Mitteilung 2018/3 hält die FMA ihre Erwartungen an die Finanzintermediäre im Umgang mit diesen Gefahren fest.

Cyber-Risiken bezeichnen die Gefährdung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen im virtuellen Raum durch Cyber-Attacken. Dazu zählen beispielsweise DDoS-Attacken, Social Engineering oder Schadsoftware in E-Mails. Durch die zunehmende Verbreitung neuer Technologien und IT-Systeme weisen Cyber-Attacken ein enormes Schadenpotential auf. Es gilt, diesen und anderen Bedrohungen mithilfe eines adäquaten IT-Risikomanagements entgegenzuwirken. Die FMA misst dem Thema hohe Bedeutung bei und hat ihre Erwartungen an die Finanzintermediäre deshalb in der Mitteilung 2018/3 definiert.

Konkret erwartet die FMA, dass Cyber-Risiken in ein umfassendes unternehmensinternes Risikomanagement einbezogen werden. Dies beinhaltet die fünf Elemente Identifikation, Schutz, Erkennung, Reaktion, und Wiederherstellung, welche es im Umgang mit Cyber-Risiken zu berücksichtigen gilt.

Finanzintermediäre müssen ein der Bedrohungslage angemessenes Sicherheitsniveau gewährleisten. Dazu gehören regelmässige Verwundbarkeitsanalysen und Penetration-Tests zur Identifikation von Sicherheitslücken. Zudem muss ein Notfallmanagement bestehen, um nach einem Angriff schnellstmöglich den normalen Geschäftsbetrieb wieder aufnehmen zu können. Die Mitteilung orientiert sich an global etablierten Standards.