FMA Richtlinie 2021/3 zur IKT-Sicherheit veröffentlicht

Die FMA hat die Richtlinie 2021/3 zur Überwachung von Risiken beim Einsatz von Informations- und Kommunikationstechnologie (IKT-Risiken) publiziert. Mit der Richtlinie stärkt die FMA die Sicherheit des Finanzsektors und definiert entsprechend den internationalen Standards die Anforderungen, die Intermediäre im Umgang mit IKT-Risiken erfüllen müssen.

Zu den IKT-Risiken zählen IKT-Sicherheitsvorfälle wie beispielsweise Datenlecks oder Systemausfälle. Diese können sowohl aus internen Fehlern, als auch aus externen Ereignissen wie Cyber-Attacken resultieren. Die zunehmende Vernetzung vergrössert die potentielle Verwundbarkeit der IKT-Infrastrukturen von Finanzdienstleistern.

Durch klare Vorgaben soll das Risiko von IKT-Sicherheitsvorfällen minimiert und den Intermediären aufgezeigt werden, wie sie IKT-Risiken begegnen können. Die IKT-Richtlinie enthält unter anderem Anforderungen an die IKT-Strategie und -Governance der Intermediäre sowie an das Informationssicherheitsrisikomanagement und die damit verbundenen Strukturen und Prozesse.

Dabei wird auch die Verhältnismässigkeit berücksichtigt. Die Vorgaben richten sich nach der jeweiligen Risikostruktur, der Komplexität, der Grösse, dem Umfang sowie der Art des Geschäfts eines Finanzintermediärs.

Mit der IKT-Richtlinie werden die Stabilität und Sicherheit des Finanzplatzes und der Schutz der Kunden sichergestellt. Die Richtlinie tritt per 1. Januar 2022 in Kraft. Die ebenfalls veröffentlichte FMA-Wegleitung 2021/17 beschreibt die Möglichkeit einer abgestuften Umsetzung der Richtlinie IKT-Sicherheit unter bestimmten Voraussetzungen.