Wie swissblawg berichtet hat, hat die FINMA hat die Anforderungen an die Corporate Governance von Banken überarbeitet und dazu die bisher im RS 2008/24 “Überwachung und interne Kontrollen Banken” und in anderen RS enthaltene Bestimmungen im neuen RS 2017/01 “Corporate Governance – Banken” zusammengefasst. Zudem hat die FINMA die Rundschreiben 2008/21 “Operationelle Risiken Banken” und 2010/1 “Vergütungssysteme” revidiert. Die Änderungen treten am 1. Juli 2017 in Kraft (dazu Medienmitteilung vom 1.11.16).
Das RS Operationelle Risiken wird neu in Rz 132.1 – 132.3, 135.1 – 135.12, 136.1 – 136.5 im Rahmen des bestehenden Grundsatzes zur Technologieinfrastruktur neu Bestimmungen zu IT- und Cyberrisiken enthalten:
- Die Geschäftsleitung hat ein IT-Risikomanagement-Konzept in Übereinstimmung mit der IT- Strategie und der definierten Risikotoleranz sowie unter Berücksichtigung von für das jeweilige Institut relevanten Aspekte gemäss international anerkannten Standards zu implementieren. Das RS legt dafür Mindestinhalte fest.
- Ferner ist ein Risikomanagement-Konzept für den Umgang mit Cyber-Risiken zu implementieren, ebenfalls mit Mindestinhalten (Rz 135.6 ff.).
Das RS Operationelle Risiken enthält im Anhang 3 besondere Bestimmungen zum Umgang mit elektronischen Kundendaten. Teile des heutigen FAQ-Dokuments werden in den Anhang integriert, und andere Rz in den Grundsätzen 3 (Datenspeicherort und –zugriff), 5 (Auswahl, Überwachung und Schulung von Mitarbeitenden, die auf CID Zugriff haben) und 7 (Risikominderung in Bezug auf die CID- Vertraulichkeit) werden präzisiert.
Weitere Informationen finden sich im ursprünglichen Erläuterungsbericht und im späteren Anhörungsbericht.