FINMA-Rundschreiben (Schweiz) — Operationelle Risiken

Eine Schweizer Privatbank verlässt sich für die Wertpapierabwicklung auf einen einzigen Cloud-Anbieter. Die Funktion „Wertpapierabwicklung” ist als kritisch klassifiziert, eine Toleranz für Unterbrechungen liegt aber nirgendwo schriftlich vor — und es existiert kein dokumentierter Wiederanlaufpfad bei Anbieter-Ausfall. Bei einer FINMA-Vor-Ort-Inspektion fragt die Aufsicht genau diese Punkte, in dieser Reihenfolge, mit Beweispflicht beim Institut. Wer die Resilienz-Anforderungen nicht durchdekliniert hat, riskiert Auflagen, Aufsichtsmaßnahmen oder im Extremfall Geschäftsuntersagung.

Das FINMA-Rundschreiben 2023/1 „Operationelle Risiken und Resilienz — Banken” (in Kraft seit 1. Januar 2024, mit Übergangsfristen für die Resilienz-Anforderungen bis Anfang 2026) hat die Schweizer Aufsicht im Bereich operationelle Risiken neu aufgestellt. Es ist als Verwaltungsverordnung kein formelles Gesetz, entfaltet aber für die beaufsichtigten Institute bindende Wirkung — vergleichbar mit BAIT/MaRisk in Deutschland.

Wer ist betroffen?

Alle Banken und Wertpapierhäuser mit FINMA-Bewilligung in der Schweiz. Der Adressatenkreis ist eindeutig, die Pflichten differenzieren sich aber nach Größe und Risikoprofil:

Banken nach BankG — Universalbanken, Privatbanken, Kantonalbanken, Raiffeisenbanken.
Wertpapierhäuser nach FINIG — die früheren Effektenhändler.
Systemrelevante Banken — verschärfte Anforderungen, vor allem im Bereich Drittparteienrisiken und Resilienz.
Filialen ausländischer Banken in der Schweiz — angepasste Anwendung im Rahmen des Aufsichtsrechts.
Versicherungen — analoge Anforderungen über das Rundschreiben 2017/02 zur Corporate Governance bei Versicherungen und über die laufende Aufsichtspraxis.

Die Anforderungen werden über das Aufsichtskategorien-Modell der FINMA (1 = systemrelevant bis 5 = sehr klein) proportional skaliert. Kleinere Institute der Kategorien 4 und 5 erhalten Erleichterungen, die Kernpflichten zu Cyber- und Drittparteienrisiken bleiben aber bestehen.

Was verlangt das Gesetz?

Das Rundschreiben strukturiert die Anforderungen in vier Kapitel — Governance, Spezifische Themen (vor allem Cyber und IKT), Operationelle Resilienz, Schlussbestimmungen. Für die Informationssicherheit relevant:

Governance (Rz 4–34) — Risikomanagementrahmen für operationelle Risiken, Verantwortung des Verwaltungsrats und der Geschäftsleitung, drei Verteidigungslinien (3LoD), Eigenmittelunterlegung.
Management der IKT-Risiken (Rz 35–60) — IT-Strategie, IT-Governance, Inventarisierung, Veränderungsmanagement, Datenintegrität, Datensicherung und Wiederherstellung.
Management der Cyber-Risiken (Rz 61–82) — Cyber-Strategie, Bedrohungsanalyse, Schutz, Erkennung, Reaktion, Wiederherstellung, Tests (inkl. „Red Teaming” bei großen Instituten), Meldepflicht für schwerwiegende Cyber-Angriffe.
Kritische Daten (Rz 83–95) — Identifikation, Klassifizierung, Schutz und Lokalisierung; verschärfte Anforderungen bei grenzüberschreitender Verarbeitung.
Geschäftsfortführung (Rz 96–119) — BCM-Konzept, Business Impact Analyse, Wiederanlaufpläne, Tests, Krisenmanagement.
Operationelle Resilienz (Rz 120–139) — Identifikation kritischer Funktionen, Toleranzen für Unterbrechungen, Mapping der unterstützenden Ressourcen (inkl. Drittparteien), Szenarioanalysen, kontinuierliche Verbesserung.
Drittparteien-Risiken — Lebenszyklus-Management von Auslagerungen und kritischen Dienstleistern; eigenständiges Rundschreiben 2018/3 „Outsourcing” bleibt anwendbar und wird durch 2023/1 ergänzt.

Vorfallmeldungen erfolgen über das FINMA-Portal nach den Vorgaben aus Art. 29 Abs. 2 FINMAG und der Aufsichtsmitteilung 05/2020 zur Meldepflicht von Cyber-Angriffen.

In der Praxis

Kritische Funktionen sauber identifizieren — und nichts darüber hinaus. Eine Liste mit 80 „kritischen Funktionen” verfehlt den Zweck. Praxisbewährt: 5–15 wirklich geschäftskritische Funktionen mit klar formulierten Toleranzen für Unterbrechungen (Recovery Time, Recovery Point, akzeptierter Datenverlust). Diese Toleranzen werden vom Verwaltungsrat verabschiedet und mindestens jährlich überprüft.

Drittparteienrisiken über den Lebenszyklus steuern. Onboarding, laufende Überwachung, Konzentrationsanalyse, Exit-Strategie — alle vier Phasen brauchen dokumentierte Prozesse. Cloud-Anbieter mit Verarbeitung außerhalb der Schweiz benötigen besondere Aufmerksamkeit, weil die FINMA bei kritischen Daten eine Lokalisierungs-Begründung erwartet (Rz 88 ff.).

Szenarioanalysen jenseits des Ransomware-Standards. Die FINMA erwartet realistische Szenarien, die mehrere Ressourcen gleichzeitig betreffen (z. B. Personal-Ausfall plus IT-Ausfall) und die Toleranzgrenzen testen. Tabletop-Übungen mit dem Verwaltungsrat sind ein etabliertes Format. Die Ergebnisse fließen in die Verbesserung des Resilienz-Konzepts.

Mapping zu ISO 27001

Das FINMA-Rundschreiben überlappt strukturell stark mit ISO 27001, ISO 22301 (BCM) und ISO 27005 (Risikomanagement). Wer ein zertifiziertes ISMS und BCMS betreibt, hat einen erheblichen Teil der Anforderungen technisch abgedeckt — die FINMA-spezifische Resilienz-Sicht und die Berichtswege bleiben separat zu erfüllen.

Direkt relevante Kontrollen:

A.5.7 — Bedrohungsinformationen: Grundlage für die Cyber-Risikoanalyse.
A.5.19 — Informationssicherheit in Lieferantenbeziehungen: Drittparteien-Lebenszyklus.
A.5.20 — Behandlung der Informationssicherheit in Lieferantenvereinbarungen: vertragliche Mindestinhalte.
A.5.21 — Verwaltung der Informationssicherheit in der IKT-Lieferkette: Subdienstleister-Transparenz.
A.5.22 — Überwachung, Überprüfung und Änderungsmanagement von Lieferantendiensten: laufende Aufsicht.
A.5.23 — Informationssicherheit für die Nutzung von Cloud-Diensten: Cloud-spezifische Anforderungen.
A.5.24 — Planung der Informationssicherheitsvorfallreaktion: Voraussetzung für die FINMA-Meldepflicht.
A.5.25 — Bewertung und Entscheidung über Informationssicherheitsereignisse: Klassifizierung schwerwiegender Cyber-Angriffe.
A.5.29 — Informationssicherheit bei Störungen: operationelle Resilienz im Krisenfall.
A.5.30 — IKT-Bereitschaft für die Geschäftskontinuität: zentraler Brückenpunkt zur Resilienzpflicht aus Kap. III.
A.5.36 — Einhaltung von Richtlinien: Compliance-Prüfung gegen das Rundschreiben.
A.8.6 — Kapazitätsmanagement: Voraussetzung stabiler IKT-Dienste.
A.8.8 — Handhabung technischer Schwachstellen: Schwachstellenmanagement als Cyber-Schutz.
A.8.14 — Redundanz von informationsverarbeitenden Einrichtungen: technische Resilienz.
A.8.15 — Protokollierung: Nachweis für Vorfallmeldungen.
A.8.16 — Überwachung von Aktivitäten: Cyber-Angriffe früh erkennen.

Typische Audit-Befunde

Toleranzen für Unterbrechungen fehlen oder sind nicht vom Verwaltungsrat verabschiedet — die Resilienz-Anforderung wird formell, ohne aufsichtsrechtliche Verankerung umgesetzt.
Mapping kritischer Funktionen auf Ressourcen unvollständig — Personal, IT-Anwendungen, Daten, Räumlichkeiten und Drittparteien sind nicht durchgängig den kritischen Funktionen zugeordnet.
Drittparteien-Lebenszyklus lückenhaft — Onboarding-Prüfung läuft, laufende Überwachung und Exit-Strategie sind aber nicht operationalisiert.
Cyber-Tests zu schmal — die jährliche Penetrationsprüfung deckt nur ausgewählte Anwendungen ab, ein Threat-Led-Test (vergleichbar TIBER/TLPT) fehlt bei größeren Instituten.
Cloud-Lokalisierung nicht begründet — kritische Daten liegen in US-Regionen, ohne dass das Institut die Zugriffsrisiken adressiert hat.
Vorfallmeldung verspätet — die FINMA-Frist für schwerwiegende Cyber-Angriffe (24 Stunden Frühmeldung, 72 Stunden detailliert) wird verpasst, weil der interne Eskalationspfad nicht trainiert ist.

Quellen

FINMA — Rundschreiben — Übersicht aller geltenden Rundschreiben
FINMA-Rundschreiben 2023/1 „Operationelle Risiken und Resilienz — Banken” — vollständiger Text und Erläuterungsbericht
FINMA-Rundschreiben 2018/3 „Outsourcing — Banken und Versicherer” — ergänzende Vorgaben zur Auslagerungssteuerung
FINMA-Aufsichtsmitteilung 05/2020 — Meldepflicht von Cyber-Angriffen — Vorgaben zur Vorfallmeldung
FINMAG — Finanzmarktaufsichtsgesetz — gesetzliche Grundlage der FINMA-Aufsicht
Art. 29 FINMAG — Auskunfts- und Meldepflicht der Beaufsichtigten

Häufig gestellte Fragen

Wer fällt unter das FINMA-Rundschreiben 2023/1?

Banken, Wertpapierhäuser und Versicherungen mit FINMA-Bewilligung. Das Rundschreiben ersetzt das alte Rundschreiben 2008/21 zu operationellen Risiken bei Banken und erweitert den Adressatenkreis um Versicherungen sowie um die explizite Säule der operationellen Resilienz. Für die einzelnen Pflichten gilt ein institutsspezifischer Proportionalitätsansatz nach Aufsichtskategorien (1–5).

Was bedeutet operationelle Resilienz im FINMA-Sinn?

Die Fähigkeit eines Instituts, kritische Funktionen auch bei schweren Störungen aufrechtzuerhalten oder zeitnah wiederherzustellen — innerhalb vorher festgelegter Toleranzen für Unterbrechungen. Die Anforderungen umfassen die Identifikation kritischer Funktionen, die Festlegung von Wiederanlauf-Toleranzen, Szenarioanalysen, Test- und Verbesserungszyklen sowie die Steuerung wesentlicher Drittparteien. Das ist der zentrale neue Block gegenüber der Vorgängerversion.

Wie verhält sich das Rundschreiben zu DORA?

Inhaltlich gibt es starke Überschneidungen — beide Regelwerke adressieren operationelle Resilienz, IKT-Risikomanagement, Vorfallmeldung und Drittparteien. Die FINMA hat das Rundschreiben bewusst so kalibriert, dass eine konsistente Umsetzung mit DORA möglich bleibt; einzelne Konkretisierungen (z. B. zu Cloud-Dienstleistern und kritischen Drittparteien) unterscheiden sich aber. Schweizer Institute mit EU-Konzerntochter sollten DORA und Rundschreiben 2023/1 gemeinsam planen.