FINMA
Die Eidgenössische Finanzmarktaufsicht der Schweiz, die verbindliche Anforderungen an Cybersicherheit und Datenschutz für Banken, Versicherungen und Finanzintermediäre festlegt.
Die FINMA (Eidgenössische Finanzmarktaufsicht) ist die unabhängige Finanzmarktregulierungsbehörde der Schweiz. Sie beaufsichtigt Banken, Versicherungsgesellschaften, Finanzintermediäre und Fintech-Unternehmen. Ihre Cybersicherheitsanforderungen gehen über das nDSG hinaus und reflektieren das erhöhte Risikoprofil von Finanzdaten.
Zentrale Cybersicherheitsanforderungen
Die FINMA-Rundschreiben und -Richtlinien zu operationellen Risiken verlangen:
- Multi-Faktor-Authentifizierung: 2FA ist für den Zugang zu sensiblen Systemen vorgeschrieben, nicht nur empfohlen. Für privilegierte Konten werden Hardware-Token erwartet.
- Verschlüsselung: Daten müssen bei der Übertragung und im Ruhezustand verschlüsselt sein. Das Schlüsselmanagement muss dokumentierten Verfahren folgen.
- Netzwerksegmentierung: Kritische Systeme müssen vom allgemeinen Büronetzwerk isoliert sein, durchgesetzt durch Firewalls und Zugriffskontrollen.
- Drittparteien-Risikomanagement: Outsourcing an Cloud-Anbieter oder IT-Dienstleister überträgt nicht die regulatorische Verantwortung. Die FINMA erwartet Due Diligence und vertragliche Sicherheitsklauseln.
- Vorfallmanagement: Wesentliche Cybervorfälle müssen der FINMA gemeldet werden, zusätzlich zur BACS-24-Stunden-Meldepflicht für Betreiber kritischer Infrastrukturen.
- Business Continuity: Dokumentierte Disaster-Recovery- und Backup-Verfahren mit regelmässigen Tests.
FINMA vs. nDSG
| Aspekt | nDSG | FINMA |
|---|---|---|
| Geltungsbereich | Alle Organisationen, die Personendaten in der Schweiz verarbeiten | Von der FINMA regulierte Finanzinstitute |
| Behörde | EDÖB (Eidg. Datenschutzbeauftragter) | FINMA |
| Fokus | Schutz von Personendaten | Operationelle Resilienz und Finanzstabilität |
| Sanktionen | Bussen bis CHF 250’000 (gegen verantwortliche Personen) | Durchsetzungsmassnahmen, Lizenzentzug, Berufsverbote |
| Überschneidung | Meldung an den EDÖB bei Datenpannen | Meldung an FINMA + BACS bei kritischer Infrastruktur |
Beide gelten gleichzeitig für Finanzinstitute. Ein Vorfall, der Kundendaten offenlegt, löst Pflichten unter beiden Rahmenwerken aus.
Wer ist betroffen
Direkte FINMA-Aufsicht umfasst:
- Banken und Effektenhändler
- Versicherungsgesellschaften
- Fondsleitungen
- Fintech-Lizenznehmer (Sandbox und Volllizenz)
- Finanzintermediäre (SRO-beaufsichtigt)
Indirekte Auswirkungen erstrecken sich auf Technologieanbieter, Cloud-Provider und Berater, die Finanzinstitute bedienen, da die FINMA von ihren regulierten Einheiten erwartet, dass ihre Lieferkette gleichwertige Sicherheitsstandards erfüllt.
Praktische Implikationen
Für Schweizer Finanzdienstleister:
- Sicherheitstools (Endpoint Protection, VPN, Passwort-Manager) sind nicht optional, sondern regulatorische Grundlage
- Jährliche Sicherheitsbewertungen oder Penetrationstests werden erwartet
- Schulungen zum Sicherheitsbewusstsein der Mitarbeitenden müssen dokumentiert sein
- Cloud-Nutzung erfordert FINMA-konforme Verträge und Überlegungen zur Datenlokalisierung (besonders relevant für ausserhalb der Schweiz gespeicherte Daten)