Die FINMA hat mit Datum vom 7. Mai 2020 die Aufsichtsmitteilung 05/2020 betr. Meldepflicht von Cyber-Attacken veröffentlicht. Sie steht vor dem Hintergrund der weiterhin – und besonders in Stress-Situation wie der aktuellen Pandemie – als “sehr hoch” beurteilten Gefahr von Cyber-Attacken auf den Schweizer Finanzplatz.
Aufsichtsmitteilung
Die Aufsichtsmitteilung soll alle beaufsichtigten Institute an die Meldepflicht nach Art. 29 Abs. 2 FINMAG erinnern:
2 Die Beaufsichtigten und die Prüfgesellschaften, die bei ihnen Prüfungen durchführen, müssen der FINMA zudem unverzüglich Vorkommnisse melden, die für die Aufsicht von wesentlicher Bedeutung sind.
Die Umsetzung der Aufsichtsmitteilung erwartet die FINMA bis spätestens per 1. September 2020 oder auf Best-Effort-Basis bereits früher.
Das Kriterium der “Wesentlichkeit” ist erreicht, wenn der Schutz der Gläubiger, der Anleger
und der Versicherten und/oder die Funktionsfähigkeit der Finanzmärkte beeinträchtigt wird. Das kann auch indirekt geschehen, z.B. bei Angriffen auf für die Institute kritische Infrastrukturen (ISPs, Stromerzeuger usw.).
Im Fall einer Meldepflicht muss die Meldung “unverzüglich” erfolgen, d.h.
- durch Vororientierung der FINMA über den zuständigen (Key-)Account Manager innerhalb von 24 Stunden nach Feststellung der Cyber-Attacke und einer Erstbeurteilung über dessen Kritikalität, und
- durch die eigentliche Meldung innerhalb von 72 Stunden über die Erhebungs- und Gesuchsplattform (EHP) der FINMA (ab dem 1.6.2020: www.finma.ch/de/finma/extranet/erhebungs – und-gesuchsplattform).
Der Inhalt der Meldung soll sich dabei an den folgenden Punkten orientieren:
- Name des Instituts
- Kontaktperson inkl. Kontaktdaten (Telefon & E‑Mail Adresse)
- Datum / Uhrzeit Meldung an FINMA
- Datum / Uhrzeit Feststellung Angriff
- Datum / Uhrzeit Angriffszeitpunkt (sofern bereits bekannt)
- Beschreibung der Cyber-Attacke und aktueller Status
- Erstbeurteilung Schweregrad der Cyber-Attacke (Siehe Anhang 1) (Einfachauswahl: mittel, hoch, schwerwiegend)
- Trend des Schweregrads (Einfachauswahl: abnehmend, stabil, erhöhend)
- Betroffene Entitäten (Betroffene Organisationseinheit(en) im Institut bzw. Dienstleister)
- Betroffene Schutzziele (Mehrfachauswahl: Vertraulichkeit, Integrität, Verfügbarkeit)
- Betroffene kritische Funktionen, Geschäftsprozesse bzw. Aktiven (Betroffene Informationen, Technologieinfrastruktur, Gebäude oder Personal)
- Betroffene Anzahl Kunden (aktueller Stand)
- Angriffsvektoren (Mehrfachauswahl: E‑Mail, Web-basierter Angriff, Brute-Force-Angriff, Identitätsdiebstahl, externe Wechselmedien, Verlust/Diebstahl von Geräten, Ausnutzung von Software-Schwachstelle,
Ausnutzung von Hardware-Schwachstelle, Andere [Bitte definieren]) - Typus des Angriffs (Beschreibung) (z.B. DDoS, Unautorisierter Zugriff, Schadsoftware, Missbrauch / unsachgemässe Benutzung von Technologieinfrastruktur usw.)
- Administrative, operative und/oder technische Gegenmassnahmen mit erwarteter Fristigkeit
- Kommunikationsmassnahmen (was, an wen, wann)
Bei neuen Entwicklungen oder Einschätzungen ist innerhalb von 72 Stunden eine erneute Meldung zu erstatten.
Nach Abschluss der Fallbearbeitung durch das Institut erwartet die FINMA folgendes:
- Schweregrad Hoch und Schwerwiegend: Ursachenbericht (Root-Cause-Analyse) inkl. einer Analyse, Grund für den Erfolg der Attacke, Auswirkungen der Attacke für die Einhaltung von regulatorischen Vorgaben, den Betrieb und die Kunden sowie mindernde Massnahmen, um die Konsequenzen der Attacke zu adressieren;
- Schweregrad Schwerwiegend; zudem Nachweise und Analysen zur Funktionsfähigkeit der Krisenorganisation;
- Schweregrad Mittel: nur abschliessender Ursachenbericht.
In den beiden Anhängen der Aufsichtsmitteilung finden sich
- Kriterien zur Ermittlung des Schweregrades einer Cyber-Attacke, und
- Beispiele für kritische Aktiven und Cyber-Attacken auf dessen Schutzziele.
Datenschutzrechtliche Meldepflicht
Die finanzmarktaufsichtsrechtliche Meldepflicht konkurriert mit einer etwaigen datenschutzrechtlichen Meldepflicht:
- Das heutige DSG kennt keine Meldepflicht gegenüber dem EDÖB (aber eine freiwillige Beratung durch den EDÖB, die ggf. vorsichtig einzuschätzen ist, und unter bestimmten Umständen ausnahmsweise eine Mitteilungspflicht gegenüber betroffenen Personen).
- Die DSGVO kennt bei Datensicherheitsverletzungen mit relevantem Risiko eine Meldepflicht gegenüber den zuständigen Datenschutzaufsichtsbehörden (oder, im Fall (i) einer EU-Vertretung oder (ii) bei Zuständigkeit einer Hauptniederlassung oder einzigen Niederlassung im EWR-Raum: gegenüber einer zuständigen Behörde). Bei voraussichtlich hohem Risiko für betroffene Personen ( (und auf Anweisung der Behörde) besteht zudem eine Mitteilungspflicht ggü. den betroffenen Personen.
- Im Entwurf des revididerten DSG (E‑DSG) ist ebenfalls eine Meldepflicht ggü. dem EDÖB vorgesehen, sofern die Verletzung voraussichtlich zu einem hohen Risiko führt. Die betroffenen Personen sind zu informieren, wenn es für ihren Schutz erforderlich ist (und auf Anweisung des EDÖB).
Sind die Tatbestände sowohl der Meldepflicht nach Art. 29 Abs. 2 FINMAG als auch einer datenschutzrechtliche Meldepflicht ggü. Behörden erfüllt, sind beide Meldungen verpflichtend.