Die FINMA ver­öf­fent­licht jähr­lich einen Risi­ko­mo­ni­tor als Über­blick über die von der FINMA als aktu­ell beson­ders bedeu­tend ein­ge­stuf­ten Risi­ken für die Beauf­sich­tig­ten und den Fokus ihrer Auf­sichts­tä­tig­keit. Sie benennt dabei nicht nur die Haupt­ri­si­ken (die selbst­ver­ständ­lich auf den Bereich der Tech­no­lo­gie bzw. Daten beschränkt sind), son­dern for­mu­liert auch Auf­sichts­er­war­tun­gen. Sie hat heu­te den Risi­ko­mo­ni­tor 2025 ver­öf­fent­licht.

Out­sour­cing-Risi­ken

Die Out­sour­cing-Risi­ken stuft die FINMA als zum Vor­jahr gleich­blei­bend (also hoch) ein.

Risi­ko­trei­ber sind v.a.:

• zuneh­men­de Kon­zen­tra­ti­on auf weni­ge Dienst­lei­ster ins­be­son­de­re bei Cloud-Leistungen;
• Iden­ti­fi­ka­ti­on und Bewer­tung von Risi­ken ent­lang der Lie­fer­ket­te (auch wenn eine Aus­la­ge­rung nicht als wesent­lich gilt)
• geo­po­li­ti­sche Unsicherheiten

Auf­sichts­fo­kus: Die FINMA über­wacht das Out­sour­cing-Risi­ko unter ande­rem mit­tels spe­zi­fi­scher Vor-Ort-Kon­trol­len – bei Beauf­sich­tig­ten und deren Dienst­lei­stern – sowie durch die syste­ma­ti­sche Aus­wer­tung von Auf­sichts- und Prüf­da­ten. Sie erhebt das Inven­tar wesent­li­cher Aus­la­ge­run­gen, um Kon­zen­tra­tio­nen auf weni­ge Dienst­lei­ster zu iden­ti­fi­zie­ren. Im Fokus ste­hen Aus­la­ge­run­gen kri­ti­scher Funk­tio­nen, die für die ope­ra­tio­nel­le Resi­li­enz zen­tral sind.

Beson­de­re Sor­ge berei­tet der FINMA das Klum­pen­ri­si­ko bei weni­gen Anbietern:

Ein zen­tra­les Risi­ko ergibt sich wei­ter aus der zuneh­men­den Kon­zen­tra­ti­on auf weni­ge Dienst­lei­ster, ins­be­son­de­re im Bereich IKT-Infra­struk­tur und Cloud-Dienst­lei­stun­gen. Zahl­rei­che Insti­tu­te grei­fen auf die­sel­ben Anbie­ter zurück, was zu einer syste­mi­schen Abhän­gig­keit füh­ren kann. 

Cyber­ri­si­ken

Klar zuge­nom­men haben dage­gen die Cyber­ri­si­ken.

Risi­ko­trei­ber sind v.a.:

• Kon­zen­tra­ti­on auf weni­ge Dienstleister
• Angrif­fe auf die Lieferketten
• DDoS-Attacken
• E‑Mail-Ver­kehr
• Insi­der-Bedro­hun­gen
• Fehl­ver­sand sen­si­bler Informationen
• Manage­ment von Schwachstellen
• Kon­fi­gu­ra­ti­ons­ma­nage­ment
• Mel­de­we­sen

Auf­sichts­fo­kus: Die FINMA über­wacht das Cyber­ri­si­ko durch geziel­te Vor-Ort-Kon­trol­len und zusätz­li­che Prü­fungs­hand­lun­gen bei Ban­ken der Auf­sichts­ka­te­go­rien 1 und 2. Für Insti­tu­te der Kate­go­rien 3 bis 5 setzt sie ein Stan­dard­prüf­pro­gramm zum Manage­ment von Cyber­ri­si­ken ein und erhebt mit­tels Fra­ge­bö­gen die Matu­ri­tät der Cyber-Schutz­dis­po­si­ti­ve der Insti­tu­te. Für Fonds­lei­tun­gen und Ver­wal­ter von Kol­lek­tiv­ver­mö­gen hat sie dar­über hin­aus Prüf­punk­te zum Manage­ment von Cyber­ri­si­ken veröffentlicht.

IKT-Risi­ken

Eben­falls zuge­nom­men haben die IKT-Risi­ken. 

Risi­ko­trei­ber sind v.a.:

• zuneh­men­de Kom­ple­xi­tät durch ändern­de Anfor­de­run­gen, rasche tech­ni­sche Fort­schrit­te, Viel­zahl von Inte­gra­tio­nen mit ande­ren Systemen
• Abhän­gig­keit von IT-Systemen
• feh­ler­haf­ter Softwarekomponenten
• nicht sach­ge­rech­te War­tung bzw. mensch­li­che Fehler
• unzu­rei­chen­de Qua­li­tät von Daten aus exter­nen Quel­len (z.B. “nicht kon­for­me Formatierungen”)
• auto­ma­ti­sche Updates
• Fehl­kon­fi­gu­ra­ti­on beim Berechtigungsmanagement
• Lega­cy- und End-of-Life-Systeme

Auf­sichts­fo­kus: Die FINMA über­wacht das IKT-Risi­ko mit­tels spe­zi­fi­scher Vor-Ort-Kon­trol­len und der Aus­wer­tung von Auf­sichts- und Prüfdaten.