Die FINMA erachtet die Gefahr von Cyber-Attacken auf den Schweizer Finanzplatz weiterhin als sehr hoch. Dabei stehen beaufsichtigte Institute der FINMA im Visier von Cyber-Kriminellen, die es nebst monetären Interessen auch auf die Beeinträchtigung der Verfügbarkeit, Vertraulichkeit und Integrität von kritischer Technologieinfrastruktur und sensitiven Informationen abgesehen haben. Vor allem in besonderen Stress-Situationen, wie der aktuelle COVID-19 Pandemie, bestehe eine erhöhte Gefahr von Cyber-Attacken. Cyber-Kriminelle nutzen die Phase der Verunsicherung, passen Ihre Angriffsstrategien der aktuellen Situation an und belasten so die bereits geforderten Unternehmen zusätzlich.
Die FINMA erinnert mit der Aufsichtsmitteilung alle beaufsichtigten Institute an die gemäss Art. 29 Abs. 2 FINMAG geltenden gesetzlichen Anforderung einer unverzüglichen Meldung (innerhalb von 24 Stunden) von Vorkommnissen, die für die Aufsicht von wesentlicher Bedeutung sind. Die FINMA präzisiert, was unter wesentlichen Vorkommnissen zu verstehen ist. Die FINMA wird nach den weiteren Erfahrungen mit dem Meldewesen die Überführung der Präzisierungen in ein Rundschreiben zum späteren Zeitpunkt prüfen.
Die FINMA erwartet die Umsetzung der Konkretisierung aus der Aufsichtsmitteilung zur Meldung von Cyber-Attacken bis spätestens per 1. September 2020 oder auf Best-Effort-Basis bereits früher.
Das MME Cyber Risk Response Team steht bereit, Sie bei der Meldung von Cyber Risk Vorkommnissen gemäss FINMA und DSGVO Vorgaben zu unterstützen.
