Das Matterhorn bei Dämmerung, gespiegelt im Riffelsee, unter Sternenhimmel

Ihre IT ist ausgelagert. Ihre Verantwortung nicht.

Sie vertrauen Ihre IT einem Dienstleister an. Die Verantwortung gegenüber der FINMA bleibt bei Ihnen. Wir sorgen dafür, dass beides zusammenpasst.

24h

Frist für die Erstmeldung eines schweren Cyber-Vorfalls an die FINMA, ab dem Zeitpunkt der Feststellung.

FINMA-Aufsichtsmitteilung 03/2024

Die Ausgangslage

Funktionierende IT ist nicht dasselbe wie regulatorisch belastbare IT.

01

Cybersecurity im Alltag

Schutz, der im Betrieb funktioniert, hält einem szenariobasierten Ernstfall nicht automatisch stand.

02

KI ohne Governance

ChatGPT, Copilot & Co. sind längst im Alltag, ohne Inventar, Klassifizierung und Verantwortlichkeiten.

03

Fehlende Auditfähigkeit

Was nicht dokumentiert und nachweisbar ist, existiert im Prüfungsfall nicht.

04

Lücken in Outsourcing-Verträgen

Audit-Rechte, RTO/RPO, Exit-Szenarien und Sub-Dienstleister sind selten sauber geregelt.

05

Reputationsrisiko bei vermögenden Kunden

Ein Vorfall trifft nicht nur die Systeme, sondern das Vertrauen Ihrer anspruchsvollsten Kunden.

06

Punktueller, historisch gewachsener Schutz

Über Jahre zusammengesetzte Einzellösungen ergeben kein belastbares Gesamtsystem.

07

Keine 24/7-Überwachung

Angriffe richten sich nicht nach Bürozeiten. Ihre Überwachung sollte es auch nicht tun.

08

Unklare Reaktionswege im Ernstfall

Wer meldet was, an wen, in welcher Frist? Ohne geprobten Ablauf verstreichen die entscheidenden Stunden.

Aus IT-Sicht interpretiert

Drei Aufsichtstexte, klar aus IT-Sicht eingeordnet.

FINMA-AM 08/2024 Künstliche Intelligenz

Die FINMA erwartet einen beherrschten Umgang mit KI, auch dann, wenn ChatGPT oder Copilot «nur» im Alltag genutzt werden.

  • KI-Inventar über alle eingesetzten Anwendungen
  • Risikoklassifizierung und klare Verantwortlichkeiten
  • Datenqualität, Tests und laufende Überwachung
  • Dokumentation und Erklärbarkeit der Ergebnisse
FINMA-AM 03/2024 Meldepflicht bei Cyber-Vorfällen

Gilt für alle Beaufsichtigten, ausdrücklich auch für Vermögensverwalter und Trustees.

  • Erstmeldung innert 24 Stunden nach Feststellung
  • Formelle Meldung innert 72 Stunden über die EHP
  • Szenariobasierte Übungen zur Vorbereitung
  • Definierte Reaktions- und Eskalationswege
FINMA-RS 2018/3 Outsourcing

Hier liegt die Nuance, die den Unterschied macht, und der Kompetenzbeweis.

  • Beherrschung von Drittparteirisiken über die gesamte Kette
  • Audit- und Zugriffsrechte, vertraglich abgesichert
  • Exit- und Notfallszenarien inklusive Sub-Dienstleister
Wichtig: Das Rundschreiben gilt für FINIG-Vermögensverwalter nicht direkt. Die FINMA erwartet dennoch beherrschte Drittparteirisiken. Die Verantwortung bleibt in jedem Fall beim Institut, auch bei vollständigem Outsourcing.
FINMA-RS 2023/1 Operationelle Risiken & Resilienz

Seit 1. Januar 2024 in Kraft. Das Rundschreiben verschärft die Anforderungen an IKT-Risiken, Geschäftskontinuität und verankert die Verantwortung ausdrücklich beim Verwaltungsrat.

  • Management von IKT- und Cyberrisiken über den gesamten Lebenszyklus
  • Geschäftskontinuität und nachweisbare Wiederherstellbarkeit (BCM)
  • Kritische Funktionen identifiziert, Toleranzen für Ausfälle definiert
  • Verantwortung explizit auf Stufe Verwaltungsrat

Sie vs. IT-Anbieter

Wer trägt was? Die Verantwortung lässt sich aufteilen. Abgeben lässt sie sich nicht.

Verantwortungsbereich Sie (Institut) IT-Anbieter
Verantwortlichkeiten & Governance Verantwortlich Umsetzend
Audit- & Zugriffsrechte Sicherstellen Gewähren
Meldepflichten bei Cyber-Vorfällen Verantwortlich Zuliefernd
Datenschutz & Vertraulichkeit Verantwortlich Verarbeitend
RTO/RPO, Exit- & Notfallszenarien Definiert Erbringt

So lesen Sie die Tabelle: Das Institut legt die Vorgaben fest und bleibt dafür gegenüber der FINMA verantwortlich; der IT-Anbieter setzt sie um. RTO (Recovery Time Objective) = maximal tolerierbare Ausfalldauer bis zur Wiederherstellung. RPO (Recovery Point Objective) = maximal tolerierbarer Datenverlust.

100%

der regulatorischen Verantwortung bleiben beim Institut, auch bei vollständigem Outsourcing der IT.

Grundsatz der FINMA-Aufsicht

Die Verschiebung 2026

Die Frage ist nicht mehr, ob Cloud. Sondern welche. Und wie souverän.

Cloud ist in der Schweizer Finanzbranche längst kein regulatorisches Problem mehr, sondern eine Frage der nachweisbaren Kontrolle. Die Adoption steigt, doch der Massstab hat sich verschoben: von «ob» zu «wie souverän».

60%+

der beaufsichtigten Institute lagern wesentliche Bereiche aus, allen voran IT, Cloud-Computing und Cybersecurity.

FINMA-Risikomonitor
01 · Datenhaltung Rechtsraum statt nur Standort Der Speicherort allein schützt nicht vor ausländischen Zugriffsrechten. Entscheidend ist, welchem Recht ein Anbieter untersteht, wie sein Konzern aufgebaut ist, wen er als Subdienstleister einbindet und wer tatsächlich die Kontrolle über die Daten hat. Ein Anbieter unter Schweizer Recht ohne relevante US-Abhängigkeiten reduziert dieses Risiko deutlich.
02 · Schlüsselhoheit Schlüssel unter Ihrer Kontrolle Verschlüsselung mit Schlüsseln unter Ihrer alleinigen Kontrolle reduziert den Zugriff des Dienstleisters erheblich. Entscheidend ist eine Architektur, in der der Anbieter weder auf die Schlüssel noch auf unverschlüsselte Daten zugreifen kann.
03 · Hybrides Modell Sensibel geschützt, flexibel skalierbar Besonders sensible Daten und Workloads verbleiben in einer privaten oder national kontrollierten Umgebung. Für skalierbare, weniger kritische Anwendungen kann eine sorgfältig geprüfte Public Cloud eingesetzt werden.
Konzentrationsrisiko

Erbringen einzelne Dienstleister kritische Funktionen für zahlreiche Institute, entsteht ein systemisches Klumpenrisiko. Souveränität heisst auch, diese Abhängigkeit bewusst zu steuern, statt sie zu vererben.

Quellen: FINMA-Risikomonitor · FINMA-RS 2023/1 · US CLOUD Act

Die Lösung

FINMA-taugliche IT. Nicht als Projekt. Sondern als System.

01 · Identität Wer darf was Identitäten, Zugriffe und Rechte zentral verwaltet und kontrolliert.
02 · Endgeräte Geschützt & verwaltet Jedes Endgerät gehärtet, überwacht und im definierten Zustand gehalten.
03 · Cloud & Daten Souverän abgelegt Daten klassifiziert, verschlüsselt und nachvollziehbar in der Schweiz.

Ein integriertes, 7×24 überwachtes Sicherheitsmodell. Der Managed Workplace.

Nicht zusammengesucht Eine durchdachte Architektur statt über Jahre gewachsener Einzelteile.
Nicht interpretationsabhängig Standardisiert und nachweisbar, nicht abhängig von Tagesform oder Person.
Architektonisch verankert Sicherheit ist im Fundament angelegt, nicht nachträglich aufgesetzt.
7×24 überwacht dokumentiert auditfähig

Werkzeuge

Verschaffen Sie sich in Minuten Klarheit.

Demnächst

FINMA-Readiness-Check

«Wie sicher ist Ihre IT?»

Rund 12 Fragen, ein Sofort-Score und ein detaillierter Report, direkt in Ihr Postfach.

Bald verfügbar ≈ 4 Minuten
Demnächst

Cyber-Kostenrechner

«Was kostet Sie ein Vorfall?»

Eine transparente Modellrechnung zeigt das finanzielle Ausmass eines Ernstfalls für Ihr Institut.

Bald verfügbar Modellrechnung

An der Schnittstelle

IT, Regulatorik und KI gehören zusammen gedacht. Genau dort berate ich Vermögensverwalter, nicht in Folien, sondern in belastbaren Systemen.
Michael Freuler Berater · Swiss Wealth Cloud
IT-Architektur FINMA-Regulatorik KI-Governance

Kontakt

Beginnen wir mit einem Gespräch.

Ihre Angaben behandeln wir vertraulich und verwenden sie ausschliesslich zur Bearbeitung Ihrer Anfrage.