Meldepflicht von Cyber-Attacken für von der FINMA beaufsichtigte Institute

FINMA veröffentlicht Aufsichtsmitteilung zur Meldepflicht von Cyber-Attacken

Im Rahmen ihrer Aufsichtstätigkeit hat die FINMA die Möglichkeit sog. Aufsichtsmitteilungen zu veröffentlichen. Solche Aufsichtsmitteilungen richten sich jeweils an eine bestimmte Gruppe von Bewilligungsträgern (z.B. Banken, Versicherungen, Pfandbriefzentralen, Finanzinstitute, etc.) oder sämtliche der FINMA unterstellten Institute. Aufsichtsmitteilungen enthalten wichtige und dringende Informationen oder Erläuterungen zu relevanten Fragen für die beaufsichtigten Institute sowie Hinweise auf aktuelle Risiken.

Nachdem das Thema Cyber-Security bereits aufgrund der steigenden Anzahl von Angriffen stetig weiter an Bedeutung zunimmt (vgl. zum Ganzen MLL-News vom 13.5.2020 und MLL-News vom 27.4.2020), versuchen Kriminelle gerade auch in Krisensituationen und Zeiten der Unsicherheit, wie z.B. der COVID-19 Pandemie, die Gunst der Stunde auszunutzen und von der bestehenden Unsicherheit zu profitieren. Vor diesem Hintergrund veröffentlichte die FINMA Anfang Mai eine Aufsichtsmitteilung zur Meldepflicht von Cyber-Attacken für von ihr beaufsichtigte Institute. Diese Pflicht ergibt sich aus dem Bundesgesetz über die Finanzmarktaufsicht (FINMAG) und ist nicht spezifisch auf Cyber-Angriffe zugeschnitten. Vielmehr betrifft die Meldepflicht sämtliche Vorkommnisse, welche für die Aufsichtstätigkeit der FINMA wesentlich sind (vgl. Art. 29 Abs. 2 FINMAG).

Mit der Aufsichtsmitteilung, welche zu einem späteren Zeitpunkt in ein Rundschreiben überführt werden soll, will die FINMA an diese gesetzliche Pflicht erinnern und zugleich konkretisieren, welche Cyber-Vorfälle, wann und wie gemeldet werden müssen. Die beaufsichtigten Institute haben die Konkretisierung aus der Aufsichtsmitteilung bis spätestens am 1. September 2020 umzusetzen. Eine frühere Umsetzung auf einer Best-Effort-Basis kann (und soll) bereits vorher erfolgen.

Wesentlichkeit von Cyber-Attacken

Gemeldet werden müssen nur, aber immerhin, «Cyber-Attacken», die «wesentlich» sind. Die FINMA definiert Cyber-Attacken als:

«Angriffe aus dem Internet oder vergleichbaren Netzen, auf die Integrität, die Verfügbarkeit und die Vertraulichkeit der Technologieinfrastruktur, insbesondere in Bezug auf kritische und/oder sensitive Daten und IT-Systeme.»

Wesentlich im Sinne der Aufsichtsmitteilung der FINMA ist eine Cyber-Attacke dann, wenn sie den Individualschutz (d.h. den Schutz der Gläubiger, Anleger oder Versicherten) und entweder direkt oder indirekt die Funktionsfähigkeit der Finanzmärkte gefährdet (sog. Schutzziele). Im Fokus der Aufsicht stehen insbesondere kritische Funktionen. Dazu zählen u.a. der Zahlungsverkehr, die Bargeldversorgung, der Börsenhandel oder die Erstellung und Verwaltung von Versicherungsverträgen. Allen kritischen Funktionen ist gemeinsam, dass deren Ausfall oder Fehlfunktion zu erheblichen Folgen für den Individualschutz sowie die Finanzmärkte führen können und die Integrität, Verfügbarkeit und Vertraulichkeit von Informationen gefährden.

In der Regel zielen Cyber-Attacken gerade darauf ab, einen Ausfall bzw. eine Fehlfunktion eines Systems herbeizuführen oder Daten zu manipulieren. In diesem Zusammenhang auferlegt die FINMA den beaufsichtigten Instituten im Einklang mit der Nationalen Strategie zum Schutz der Schweiz vor Cyberrisiken 2018-2022 (vgl. dazu MLL-News vom 13.5.2020) eine gewisse Selbstverantwortung unter Berücksichtigung eines risikobasierten Ansatzes. Denn sie müssen kritische Funktionen, Geschäftsprozesse und unterstützende kritische Aktivitäten (z.B. in den Bereichen Personal, Technologieinfrastruktur, Gebäude und Informationen) in Eigenverantwortung identifizieren. Sobald eine Cyber-Attacke auf identifizierte Funktionen oder Geschäftsprozesse erfolgen und die Schutzziele gefährdet sind, muss das betroffene Institut den Vorfall unverzüglich an die FINMA melden.

Zeitpunkt der Meldung

Die Meldung einer wesentlichen Cyber-Attacke an die FINMA hat «unverzüglich» zu erfolgen. Dabei gibt die Aufsichtsmitteilung einen zweistufigen Meldeprozess vor und definiert dadurch, was unter dem Begriff der «Unverzüglichkeit» zu verstehen ist. Die Frist für die unverzügliche Meldung beginnt ab dem Zeitpunkt der Feststellung der Cyber-Attacke zu laufen. Innerhalb von 24 Stunden nach Feststellung muss das betroffene Institut den zuständigen FINMA-Mitarbeiter über den Vorfall vororientieren (inkl. einer ersten Beurteilung der Kritikalität des Vorfalls). Die definitive Meldung muss sodann innert 72 Stunden nach Feststellung des Vorfalls über die webbasierte Erhebungs- und Gesuchsplattform der FINMA online erfolgen.

Inhalt der Meldung

Innert der 72 Stunden-Frist muss das betroffene Institut eine möglichst ausführliche Meldung mit allen relevanten Informationen an die FINMA übermitteln. Gemäss der Aufsichtsmitteilung sollte die Meldung nach Möglichkeit mitunter folgende Angaben abdecken:

• Name des Instituts und Kontaktperson inkl. Kontaktdaten (Telefon und E-Mail)
• Datum und Uhrzeit Meldung
• Datum und Uhrzeit der Feststellung des Angriffs
• Datum und Uhrzeit des Angriffszeitpunkt, sofern bereits bekannt
• Beschreibung der Cyber-Attacke und aktueller Status
• Erstbeurteilung des Schweregrads der Cyber-Attacke (mittel, hoch, schwerwiegend)
• Trend des Schweregrads (abnehmend, stabil, erhöhend)
• Betroffene Entitäten
• Betroffene Schutzziele (Vertraulichkeit, Integrität, Verfügbarkeit)
• Betroffene kritische Funktionen, Geschäftsprozesse bzw. Aktiven (Betroffene Informationen, Technologieinfrastruktur, Gebäude oder Personal)
• Betroffene Anzahl Kunden (aktueller Stand)
• Angriffsvektoren (E-Mail, Web-basierter Angriff, Brute-Force-Angriff, Identitätsdiebstahl, externe Wechselmedien, Verlust und Diebstahl von Geräten, Ausnutzung von Software-Schwachstelle, Ausnutzung von Hardware-Schwachstelle, Andere)
• Beschreibung des Typus des Angriffs (z.B. DDoS, Unautorisierter Zugriff, Schadsoftware, Missbrauch oder unsachgemässe Benutzung von Technologieinfrastruktur, usw.)
• Administrative, operative und / oder technische Gegenmassnahmen mit erwarteter Fristigkeit
• Kommunikationsmassnahmen (was, an wen, wann)

… und nach der Meldung?

Mit der Einreichung der Meldung an die FINMA ist die Cyber-Attacke für das beaufsichtigte Institut selbstredend noch nicht erledigt. Einerseits muss es die nötigen praktischen Massnahmen umsetzen, damit die Cyber-Attacke eingedämmt bzw. ganz beseitigt wird (z.B. durch entsprechende technische und / oder organisatorische Massnahmen zur Schliessung der Sicherheitslücken). Andererseits müssen der FINMA neue Entwicklungen oder Einschätzungen zum gemeldeten Vorfall wiederum innert 72 Stunden gemeldet werden.

Abschliessender Ursachenbericht

Nach Abschluss der institutsinternen Bearbeitung der Cyber-Attacke müssen der FINMA je nach Schweregrad zusätzliche Unterlagen eingereicht werden. Die FINMA unterteilt die Schweregrade von Cyber-Attacken in folgende drei Kategorien:

• Schwerwiegend: Cyber-Attacken sind schwerwiegend, wenn sie umfangreiche und länger anhaltende Schäden an den Schutzzielen kritischer Aktiven verursachen oder solche zu erwarten sind.
• Hoch: Cyber-Attacken sind als hoch einzustufen, wenn die Schutzziele kritischer Aktiven erheblich geschädigt oder bedroht sind.
• Mittel: Cyber-Attacken sind bei unmittelbarer Schädigung bzw. Bedrohung der Schutzziele kritischer Aktiven als mittel einzustufen.

Bei Cyber-Attacken, die als mittel eingestuft werden, genügt es, wenn das betroffene Institute der FINMA einen abschliessenden Ursachenbericht einreicht. Bei einem Schweregrad, der als hoch bzw. schwerwiegend einzustufen ist, muss das betroffene Institut –zusätzlich zum Ursachenbericht – eine sog. Root-Cause-Analyse vornehmen. Diese Analyse umfasst den Grund für den Erfolg der Attacke, die Auswirkungen der Attacke für die Einhaltung regulatorischer Vorgaben, den Betrieb und die Kunden sowie getroffenen mindernden Massnahmen. Der FINMA sind bei schwerwiegenden Cyber-Attacken ferner Nachweise und Analysen vorzulegen, welche die Funktionsfähigkeit der Krisenorganisation aufzeigen.

Verhältnis zur (geplanten) Meldepflicht von Datenschutzverletzungen

Von der FINMA beaufsichtigte Institute müssen Cyber-Attacken melden, sofern sie für die Aufsichtstätigkeit wesentlich sind. Diese Meldepflicht von Cyber-Attacken konkurriert allerdings mit den bereits bestehenden bzw. geplanten datenschutzrechtlichen Meldepflichten. Neben kantonalen Datenschutzgesetzen (s. z.B. im Kanton Bern oder Aargau) sieht die EU-Datenschutzgrundverordnung (DSGVO) eine Meldepflicht für Verletzungen der Datensicherheit vor, sofern eine solche zu einem relevanten Risiko für die Rechte und Freiheiten natürlicher Personen führt. Die Meldung an die zuständige Datenschutzbehörde muss unverzüglich, spätestens aber 72 Stunden nach dem die Verletzung bekannt wurde, vorgenommen werden. Bei einem voraussichtlich hohen Risiko für die Betroffenen besteht zudem eine Mitteilungspflicht gegenüber allen betroffenen Personen (vgl. MLL-News vom 12.8.2019, MLL-News vom 10.8.2019 und MLL-News vom 30.7.2017).

Das Schweizer Datenschutzgesetz (DSG), welches zurzeit revidiert wird, kennt keine explizite Meldepflicht bei Datensicherheitsvorfällen. Allerdings besteht bereits heute die Möglichkeit, den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) auf freiwilliger Basis nach seiner Einschätzung bezüglich eines Datensicherheitsvorfalls anzufragen. Der Entwurf des revidierte DSG (E-DSG) sieht neu eine Meldepflicht für Datensicherheitsverletzungen vor (zur Revision des DSG vgl. MLL-News vom 13.2.2020). Die Meldepflicht besteht dann, wenn die Verletzung voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt. Die betroffenen Personen müssen gemäss dem E-DSG informiert werden, wenn es zu ihrem Schutz erforderlich ist oder der EDÖB es verlangt. Die Meldung an den EDÖB hat so rasch als möglich zu erfolgen. Eine Frist zur Meldung, wie dies z.B. die Aufsichtsmitteilung der FINMA vorgibt, ist im E-DSG zurzeit nicht vorgesehen (siehe dazu die gegenüberstellende Tabelle in MLL-News vom 13.2.2020).

Für Institute, welche der Aufsicht der FINMA unterstehen, bedeutet dies, dass regelmässig sowohl die aufsichtsrechtliche als auch die datenschutzrechtliche Meldepflicht zu beachten ist. Die entsprechenden Meldungen und internen Prozesse zu deren Erstellung müssen entsprechend aufeinander abgestimmt sein.

Weitere Informationen:

• Bundesgesetz über die Finanzmarktaufsicht (FINMAG)
• Bundesgesetz über den Datenschutz (DSG)
• EU-Datenschutzgrundverordnung (DSGVO)
• FINMA Aufsichtsmitteilung 05/2020 – Meldepflicht von Cyber-Attacken gemäss Art. 29 Abs. 2 FINMAG
• MLL-News vom 13.5.2020: «Cybersecurity: rechtliche Herausforderungen für Unternehmen»
• MLL-News vom 27.4.2020: «Cybersecurity in der Schweiz: Bund prüft Meldepflicht für kritische Infrastrukturen bei schwerwiegenden Sicherheitsvorfällen»
• MLL-News vom 13.2.2020: «DSG-Revision: Erste Eckpunkte des neuen Datenschutzgesetzes stehen fest»
• MLL-News vom 12.8.2019: «ICO will British Airways mit 204 Millionen Euro Busse wegen einer Datenschutzpanne belegen»
• MLL-News vom 10.8.2019: «Datenleck und DSGVO: 99 Millionen Pfund Bussgeld für Hotelkette Marriott?»
• MLL-News vom 30.7.2017: «Jetzt handeln: EU-DSGVO-Umsetzungsfrist läuft am 25. Mai 2018 ab»