Neues Cyber-Aufsichtskonzept sowie Aufsichtsmitteilung
Dementsprechend verstärkte die FINMA auch im Berichtsjahr ihre Ressourcen in diesem Bereich. Das dabei massgebende Konzept sieht die Beaufsichtigung der Finanzinstitute entlang von drei Bereichen vor: der Analyse der Bedrohungslage, der laufenden Aufsicht und der Vorfallbewältigung beziehungsweise dem Krisenmanagement. Das Konzept trat zu Beginn des Berichtsjahres in Kraft und erlaubt die FINMA-weite konsistente Überwachung des Cyber-Risikos bei sämtlichen Beaufsichtigten.
In Bezug auf die operative Umsetzung des Aufsichtskonzepts richtete sich der Fokus auf die Etablierung der Bedrohungslage, die fachliche Beurteilung von Bewilligungsgesuchen – insbesondere im Fintech-Bereich – sowie die Durchführung von Vor-Ort-Kontrollen bei Finanzinstituten.
Für die FINMA ist es zentral, frühzeitig über kritische Cyber-Vorfälle bei Beaufsichtigten orientiert zu werden. Nur dann kann sie die Beaufsichtigten in Krisensituationen zeitnah unterstützen und gegebenenfalls darauf hinwirken, dass andere Institute vor gleichen oder ähnlichen Angriffen gewarnt werden. Entsprechend müssen wesentliche Cyber-Angriffe auf kritische Funktionen der Beaufsichtigten der FINMA gemeldet werden. Die Anforderungen an diese Meldepflicht gemäss Art. 29 Abs. 2 des Finanzmarktaufsichtsgesetzes (FINMAG) wurden im engen Austausch mit den Beaufsichtigten präzisiert und mit der Aufsichtsmitteilung 05/2020 bekannt gemacht.
(Aus dem Jahresbericht 2020)
