© 2019

Cybersicherheit ist Chefsache. Das ist nicht Rhetorik, es ist die Randziffer 23 im FINMA-Rundschreiben 23/1.

16 April 2026

Mit dem Inkrafttreten von FINMA RS 23/1 hat sich bereits seit zwei Jahren grundlegendes verändert. Cyberrisiken sind keine Angelegenheit der IT-Abteilung mehr. Sie sind explizit Führungsaufgabe und verankert auf Stufe Verwaltungsrat und Geschäftsleitung.

Randziffer 23 des Rundschreibens lässt keinen Interpretationsspielraum. Das Oberleitungsorgan genehmigt die Grundzüge des Managements der operationellen Risiken, überwacht deren Einhaltung und genehmigt mindestens jährlich die Risikotoleranz für operationelle Risiken. Darunter fallen explizit IKT-Risiken, Cyber-Risiken und Risiken hinsichtlich kritischer Daten.

Dies ist kein Schweizer Sonderweg. Der europäische Gesetzgeber zieht mit derselben Botschaft nach.

DORA (Digital Operational Resilience Act) gilt seit Januar 2025 für alle Finanzunternehmen im EU-Raum und verlangt explizit, dass das Leitungsorgan Risiken aktiv steuert und dafür persönlich verantwortlich ist. NIS2, die überarbeitete EU-Richtlinie zur Netz- und Informationssicherheit, geht noch einen Schritt weiter in dem Leitungsorgane bei Vernachlässigung der Cybersicherheitspflichten persönlich haftbar gemacht werden können. Eine Konsequenz, die das Thema endgültig aus dem IT-Keller in den Sitzungssaal sollte.

In der Praxis heisst das konkret:

Cyberstrategie formell genehmigen:
Eine dedizierte Cyberstrategie muss existieren, vom VR beschlossen sein und regelmässig aktualisiert werden.

Risikotoleranz jährlich festlegen:
Der VR genehmigt, welche Cyberrisiken das Institut bereit ist einzugehen und welche nicht. Das erfordert eine verständliche Aufbereitung der Risikolage, nicht eine technische Tabelle aus der IT.

Qualifiziertes Reporting einfordern:
Ein Report muss Informationen enthalten, auf deren Basis tatsächlich entschieden werden kann. Nicht: «Wir haben 347 Sicherheitsereignisse diesen Monat gehabt.» Sondern: «Unser kritischstes Risiko ist X, die Eintrittswahrscheinlichkeit ist hoch, die aktuelle Massnahme reicht nicht.»

Rechenschaft über kritische Daten:
RS 23/1 hat den Schutz kritischer Daten auf alle Daten ausgeweitet, die bezüglich Vertraulichkeit, Integrität oder Verfügbarkeit kritisch sind. Ein Institut muss verstehen, welche das sind und wie sie geschützt werden.

Die FINMA prüft nicht, ob eine Cyberstrategie existiert. Sie prüft, ob sie gelebt, überprüft und weiterentwickelt wird. Die FINMA prüft die Wirksamkeit.

Vorherige
Beratung jetzt vereinbaren

GoodIT GmbH
Allmendstrasse 22
6373 Ennetbürgen
info@goodit.ch

GoodIT GmbH | Allmendstrasse 22 | 6373 Ennetbürgen | info@goodit.ch

Datenschutz