Anfang Januar 2024 ist das FINMA-Rundschreiben 2023/1 «Operationelle Risiken und Resilienz – Banken» in Kraft getreten und die detaillierten Prüfpunkte wurden publiziert. Was bedeutet das für Finanzinstitute und ihre IKT-Anbieter?
Mehr Technologie, mehr Risiko?
Von Privatunternehmen, Universitäten und Medien hin zu Regierung und Verwaltung – sie allen waren im Jahr 2023 von Hackerangriffen betroffen; als Einfallstor dienten häufig externe Dienstleister und Drittparteien. Gemäss dem jüngsten Risikomonitor der Eidgenössischen Finanzmarktaufsicht (FINMA) ist die Auslagerung von IT-Dienstleistungen an Dritte ein wichtiger Treiber operationeller Risiken – und die FINMA hat die Anforderungen an die Cybersicherheit von Banken deutlich erhöht. Das bedeutet, dass auch ihre IT-Anbieter die notwendigen Sicherheitsmassnahmen in Bezug auf Cyberrisiken sicherstellen müssen.
Das Anfang Januar 2024 in Kraft getretene FINMA-Rundschreiben 2023/1 «Operationelle Risiken und Resilienz – Banken» baut auf früheren Rundschreiben auf und verlangt Anpassungen im Umgang mit Informations- und Kommunikationstechnologierisiken (IKT-Risiken). Neben den gesetzlichen Grundlagen wird auch auf die FINMA-Rundschreiben 2017/1 «Corporate Governance – Banken» und 2018/3 «Outsourcing» verwiesen.
Banken und andere Finanzinstitute lagern Geschäftsprozesse wie den Zahlungsverkehr (zwei Drittel der Banken), die Wertschriftenabwicklung oder die IT-Infrastruktur inklusive Cloud (80 Prozent der Banken, 60 Prozent der Versicherer) ganz oder teilweise aus (FINMA, Risk Monitor 2023, p. 21). Sie sind bei der Erbringung ihrer Dienstleistungen stark von externen (IT-)Anbietern abhängig und müssen sicherstellen, dass diese IT-Dienstleister geeignete und genügende Sicherheitsmassnahmen umsetzen. Die Tatsache, dass jeder dritte Cyberangriff auf Finanzunternehmen über diese externen Partner erfolgt, verleiht der Problematik zusätzliches Gewicht. Laut der FINMA werden die Risiken, die mit einem umfangreichen Outsourcing verbunden sind, oft nur ungenügend erkannt, überwacht und kontrolliert.
Vertrauen ist gut, Kontrolle ist besser
Die Banken stehen also in der Pflicht, die regulatorischen Anforderungen an die Cybersicherheit zu erfüllen und müssen dies im Rahmen der Regulatorischen Prüfungen aufzeigen. Infolge der Auslagerung von IT-Prozessen verfügen sie jedoch nicht immer über alle notwendigen Informationen – sie müssen sich auf die Kontrollberichte ihrer IT-Dienstleister verlassen und sind auf deren Unterstützung angewiesen. Somit hat das FINMA Rundschreiben auch einen direkten Einfluss auf das Pflichtenheft der IT-Dienstleiter. Zu den Themen bzw. Prüfpunkten, bei denen Banken auf die Unterstützung der externen Technologieanbietern angewiesen sind, gehören:
Vor dem Hintergrund des umfangreichen Anforderungskatalogs der FINMA an die Banken müssen die IT-Anbieter ihre Anstrengungen verstärken, um den Banken bei der regulatorischen Prüfung zu unterstützen. Allerdings verfügen noch nicht alle Technologieanbieter selbst über einen umfassenden Prüfbericht, der alle Punkte abdeckt. Dabei geht es nicht darum, für jeden Kunden individuelle Lösungen zu entwickeln, sondern vielmehr einen standardisierten Ansatz zu verfolgen, der für alle Bankkunden mit den gleichen Anforderungen eingesetzt werden kann und die Einhaltung der regulatorischen Vorgaben sicherstellt.
Wie PwC auch IT-Dienstleistern helfen kann
Die neuen Bestimmungen sind bereits in Kraft: Die Banken müssen wissen, ob ihre IT-Anbieter die regulatorischen Anforderungen erfüllen; die IT-Dienstleister müssen FINMA-Konformität ermöglichen.
PwC unterstützt Banken und IKT-Provider effektiv beim Umgang mit den Anforderungen des FINMA-Rundschreibens 2023/1 und verfügt über grosse Erfahrung, Marktpräsenz und ein multidisziplinäres Expertennetzwerk. Wir arbeiten bereits eng mit den wesentlichen IKT-Providern zusammen und verstehen die Komplexität, die mit der Auslagerung von IT- und Cloud-Dienstleistungen verbunden ist. Durch die Entwicklung spezifischer Lösungen und Assurance Berichten helfen wir, Cyberrisiken zu managen und die Compliance zu verbessern. Unsere standardisierten Ansätze für Prüfberichte ermöglichen es Technologiedienstleistern, einheitliche, effiziente und skalierbare Lösungen anzubieten, die dazu beitragen, die Gesamtkosten für die Einhaltung der Vorschriften zu senken. Dabei stellt die PwC durch entsprechende Prüfungen auch sicher, dass die definierten Prozesse und Kontrollen eingehalten und dies über Assurance Berichte durch die IKT-Provider an deren Kunden kommuniziert werden kann.
