Diese Analyse befasst sich mit der FINMA-Zirkular 2023/1 und dem DORA (Digital Operational Resilience Act), indem sie sie aus der Perspektive eines Schweizer Finanzinstituts betrachtet, das aktiv Maßnahmen zur Einhaltung der Zirkular umsetzt.
Das Ziel ist es, die verbleibenden Compliance-Lücken zur DORA zu identifizieren, einem bedeutenden europäischen Gesetz, das die Sicherheitsanforderungen für Netzwerke und Informationssysteme im Finanzsektor und bei kritischen Drittanbietern von IT-Diensten detailliert beschreibt.
Die wesentlichen Bereiche, die von beiden Regelungen geteilt werden, umfassen allgemeine Schutzmaßnahmen, Erkennung und Überwachung, Incident Management, Geschäftskontinuität und Notfallwiederherstellung, operationale Resilienz, Risikomanagement im Zusammenhang mit Dritten und spezifische Regelungen für kleinere Finanzinstitute.
Die allgemeinen Schutzmaßnahmen in beiden Rahmen betonen die Wichtigkeit, Daten während der Übertragung oder Speicherung zu sichern und unbefugten Zugriff, Änderungen oder Zerstörung zu verhindern.
Die DORA führt zusätzliche Anforderungen ein, wie die Implementierung von Mechanismen zur starken Authentifizierung, den Einsatz kryptographischer Schlüssel für sensible Informationen und die regelmäßige Anwendung von Software-Patches und Systemupdates.
Die Anforderungen an Erkennung und Überwachung in der DORA verlangen die Etablierung mehrschichtiger Kontrollmechanismen, regelmäßige Tests der Erkennungsprozesse und die Bereitstellung ausreichender Ressourcen zur Überwachung der Benutzeraktivitäten, der Anomalien in der IT und der Vorfälle, insbesondere solcher, die mit Cyber-Bedrohungen verbunden sind.
Die Anforderungen im Bereich Incident Management umfassen die Aufrechterhaltung eines Krisenmanagementplans, regelmäßige Tests und die Aufbewahrung zugänglicher Aufzeichnungen über Aktivitäten vor und während störender Ereignisse. Post-Incident-Reviews sind vorgeschrieben, um die Effektivität des Incident-Response-Plans zu bewerten, wobei der Schwerpunkt auf Schnelligkeit, forensischer Analyse, Eskalation von Vorfällen und Kommunikation sowie anderen Faktoren liegt.
Die Anforderungen an Geschäftskontinuität und Notfallwiederherstellung erfordern, dass ein Business Continuity Plan (BCP) regelmäßig überprüft und getestet wird. Die DORA schreibt außerdem die Aufrechterhaltung redundanter IT-Kapazitäten vor, um sicherzustellen, dass die geschäftlichen Bedürfnisse im Falle einer Störung erfüllt werden können.
Die operationale Resilienz verlangt jährliche Tests aller IT-Systeme, die kritische Funktionen unterstützen, gemäß der DORA. Darüber hinaus werden spezifische Anforderungen für zentrale Wertpapierverwahrer und zentrale Gegenparteien detailliert beschrieben, einschließlich Vulnerabilitätsbewertungen vor der Bereitstellung neuer Anwendungen oder Infrastrukturkomponenten.
Im Bereich des Risikomanagements im Zusammenhang mit Dritten gibt die DORA vertragliche Bestimmungen zu Kündigungsrechten, Service Level-Beschreibungen und Anforderungen an die Subvergabe vor.
Beide Regelungsrahmen bieten Flexibilität für kleinere Finanzinstitute. Das FINMA-Zirkular 2023/1 sieht Ausnahmen für bestimmte Banken und Wertpapiergesellschaften vor, während die DORA spezifische Organisationen ausnimmt, ihnen jedoch einen vereinfachten Rahmen für das IT-Risikomanagement auferlegt.
Abschließend lässt sich sagen, dass das FINMA-Zirkular 2023/1 einen hochrangigen Ansatz verfolgt, während die DORA detaillierte Spezifikationen bereitstellt. Institute, die mit dem Zirkular konform sind, könnten die meisten Aspekte der DORA bereits angesprochen haben, jedoch ist eine gründliche Überprüfung erforderlich, um eine vollständige Konformität sicherzustellen.
Möchten Sie mehr erfahren?
Kontaktieren Sie KP Genève und profitieren Sie von unserem Fachwissen sowie unserem Netzwerk.
