Ihre IT ist ausgelagert. Ihre Verantwortung nicht.
Sie vertrauen Ihre IT einem Dienstleister an. Die Verantwortung gegenüber der FINMA bleibt bei Ihnen. Wir sorgen dafür, dass beides zusammenpasst.
Frist für die Erstmeldung eines schweren Cyber-Vorfalls an die FINMA, ab dem Zeitpunkt der Feststellung.
FINMA-Aufsichtsmitteilung 03/2024
Die Ausgangslage
Funktionierende IT ist nicht dasselbe wie regulatorisch belastbare IT.
Cybersecurity im Alltag
Schutz, der im Betrieb funktioniert, hält einem szenariobasierten Ernstfall nicht automatisch stand.
KI ohne Governance
ChatGPT, Copilot & Co. sind längst im Alltag, ohne Inventar, Klassifizierung und Verantwortlichkeiten.
Fehlende Auditfähigkeit
Was nicht dokumentiert und nachweisbar ist, existiert im Prüfungsfall nicht.
Lücken in Outsourcing-Verträgen
Audit-Rechte, RTO/RPO, Exit-Szenarien und Sub-Dienstleister sind selten sauber geregelt.
Reputationsrisiko bei vermögenden Kunden
Ein Vorfall trifft nicht nur die Systeme, sondern das Vertrauen Ihrer anspruchsvollsten Kunden.
Punktueller, historisch gewachsener Schutz
Über Jahre zusammengesetzte Einzellösungen ergeben kein belastbares Gesamtsystem.
Keine 24/7-Überwachung
Angriffe richten sich nicht nach Bürozeiten. Ihre Überwachung sollte es auch nicht tun.
Unklare Reaktionswege im Ernstfall
Wer meldet was, an wen, in welcher Frist? Ohne geprobten Ablauf verstreichen die entscheidenden Stunden.
Aus IT-Sicht interpretiert
Drei Aufsichtstexte, klar aus IT-Sicht eingeordnet.
FINMA-AM 08/2024 Künstliche Intelligenz
Die FINMA erwartet einen beherrschten Umgang mit KI, auch dann, wenn ChatGPT oder Copilot «nur» im Alltag genutzt werden.
- KI-Inventar über alle eingesetzten Anwendungen
- Risikoklassifizierung und klare Verantwortlichkeiten
- Datenqualität, Tests und laufende Überwachung
- Dokumentation und Erklärbarkeit der Ergebnisse
FINMA-AM 03/2024 Meldepflicht bei Cyber-Vorfällen
Gilt für alle Beaufsichtigten, ausdrücklich auch für Vermögensverwalter und Trustees.
- Erstmeldung innert 24 Stunden nach Feststellung
- Formelle Meldung innert 72 Stunden über die EHP
- Szenariobasierte Übungen zur Vorbereitung
- Definierte Reaktions- und Eskalationswege
FINMA-RS 2018/3 Outsourcing
Hier liegt die Nuance, die den Unterschied macht, und der Kompetenzbeweis.
- Beherrschung von Drittparteirisiken über die gesamte Kette
- Audit- und Zugriffsrechte, vertraglich abgesichert
- Exit- und Notfallszenarien inklusive Sub-Dienstleister
FINMA-RS 2023/1 Operationelle Risiken & Resilienz
Seit 1. Januar 2024 in Kraft. Das Rundschreiben verschärft die Anforderungen an IKT-Risiken, Geschäftskontinuität und verankert die Verantwortung ausdrücklich beim Verwaltungsrat.
- Management von IKT- und Cyberrisiken über den gesamten Lebenszyklus
- Geschäftskontinuität und nachweisbare Wiederherstellbarkeit (BCM)
- Kritische Funktionen identifiziert, Toleranzen für Ausfälle definiert
- Verantwortung explizit auf Stufe Verwaltungsrat
Sie vs. IT-Anbieter
Wer trägt was? Die Verantwortung lässt sich aufteilen. Abgeben lässt sie sich nicht.
So lesen Sie die Tabelle: Das Institut legt die Vorgaben fest und bleibt dafür gegenüber der FINMA verantwortlich; der IT-Anbieter setzt sie um. RTO (Recovery Time Objective) = maximal tolerierbare Ausfalldauer bis zur Wiederherstellung. RPO (Recovery Point Objective) = maximal tolerierbarer Datenverlust.
der regulatorischen Verantwortung bleiben beim Institut, auch bei vollständigem Outsourcing der IT.
Grundsatz der FINMA-Aufsicht
Die Verschiebung 2026
Die Frage ist nicht mehr, ob Cloud. Sondern welche. Und wie souverän.
Cloud ist in der Schweizer Finanzbranche längst kein regulatorisches Problem mehr, sondern eine Frage der nachweisbaren Kontrolle. Die Adoption steigt, doch der Massstab hat sich verschoben: von «ob» zu «wie souverän».
der beaufsichtigten Institute lagern wesentliche Bereiche aus, allen voran IT, Cloud-Computing und Cybersecurity.
FINMA-RisikomonitorErbringen einzelne Dienstleister kritische Funktionen für zahlreiche Institute, entsteht ein systemisches Klumpenrisiko. Souveränität heisst auch, diese Abhängigkeit bewusst zu steuern, statt sie zu vererben.
Quellen: FINMA-Risikomonitor · FINMA-RS 2023/1 · US CLOUD Act
Die Lösung
FINMA-taugliche IT. Nicht als Projekt. Sondern als System.
Ein integriertes, 7×24 überwachtes Sicherheitsmodell. Der Managed Workplace.
Werkzeuge
Verschaffen Sie sich in Minuten Klarheit.
FINMA-Readiness-Check
«Wie sicher ist Ihre IT?»
Rund 12 Fragen, ein Sofort-Score und ein detaillierter Report, direkt in Ihr Postfach.
Cyber-Kostenrechner
«Was kostet Sie ein Vorfall?»
Eine transparente Modellrechnung zeigt das finanzielle Ausmass eines Ernstfalls für Ihr Institut.
An der Schnittstelle
IT, Regulatorik und KI gehören zusammen gedacht. Genau dort berate ich Vermögensverwalter, nicht in Folien, sondern in belastbaren Systemen.