Governance und Risikomanagement beim Einsatz

Künstlicher Intelligenz (Aufsichtsmitteilung 08/2024)

Eidgenössische Finanzmarktaufsicht FINMA

Das FINMA Rundschreiben 08/2024 behandelt die Governance und das Risikomanagement beim Einsatz von künstlicher Intelligenz (KI) im Finanzmarkt. Aufsichtsmitteilungen informieren beaufsichtigte Institutionen über wichtige Themen und aktuelle Risiken, um die praktische Anwendung von Vorschriften zu erleichtern. Im Gegensatz zu FINMA-Verordnungen und -Rundschreiben sind sie keine Regulierungsinstrumente.

Es hebt die Notwendigkeit hervor, die mit KI verbundenen Risiken angemessen zu identifizieren, zu begrenzen und zu kontrollieren. Obwohl es in der Schweiz keine spezifische Gesetzgebung für KI gibt, erwartet die FINMA, dass beaufsichtigte Institutionen die Auswirkungen der KI-Nutzung auf ihr Risikoprofil aktiv berücksichtigen und ihre Governance-, Risikomanagement- und Kontrollsysteme entsprechend anpassen. Das Rundschreiben geht auf verschiedene Risikobereiche ein, darunter operationelle Risiken, IT- und Cyberrisiken sowie rechtliche und Reputationsrisiken. 

Es werden Massnahmen zur Risikominderung und die Bedeutung einer unabhängigen Überprüfung betont.

Informationssicherheitsgesetz (ISG)

Schweizerische Eidgenossenschaft

Bundesbehörden, -ämter und -organisationen in der Schweiz müssen im Rahmen ihrer Datenbearbeitungstätigkeiten das neue Informationssicherheitsgesetz (ISG) einhalten. Über diese Stellen hinaus betrifft das ISG auch die Informationssicherheitspraxis von kantonalen Behörden, Betreibern kritischer Infrastrukturen, Drittunternehmern, Dienstleistern oder Geschäftspartnern, die Bundesdaten bearbeiten oder mit IT-Ressourcen des Bundes interagieren, sowie internationalen Partnern, die mit Schweizer Bundesbehörden zusammenarbeiten.

Das ISG und seine Verordnungen sind am 1. Januar 2024 in Kraft getreten. Für die Umsetzung seiner Bestimmungen wurden folgende Übergangsfristen angekündigt:

• IT-Klassifizierungskatalog: Die betroffenen Unternehmen müssen bis zum 31. Dezember 2024 eine robuste Informationsklassifizierung gemäss den neuen Vorschriften einrichten. 

• Risikoanalyse und IT-Klassifizierung: Bis zum 31. Dezember 2025 müssen Risikoanalysen durchgeführt und IT-Systeme gemäss ISG und seinen Verordnungen klassifiziert werden. 

• Informationssicherheits-Managementsysteme (ISMS): Die betroffenen Unternehmen müssen bis zum 31. Dezember 2026 ein ISMS einrichten. 

• Einhaltung der technischen Sicherheit: Alle IT-Ressourcen müssen bis zum
  31. Dezember 2029 den neuen technischen Sicherheitsvorschriften des ISG entsprechen.
  

Operationelle Risiken und Resilienz - Banken

(Rundschreiben 2023/01)

Eidgenössische Finanzmarktaufsicht FINMA

Die Eidgenössische Finanzmarktaufsicht (FINMA) hat ein vollständig überarbeitetes Rundschreiben 2023/01 mit dem Titel „Operationelle Risiken und Resilienz - Banken“ veröffentlicht. Dieses Rundschreiben befasst sich mit operationellen Risiken im Bankensektor, berücksichtigt den technologischen Fortschritt und integriert Grundsätze des Basler Ausschusses zur operationellen Resilienz.

• Das Rundschreiben ist seit dem 1. Januar 2024 in Kraft und verpflichtend anzuwenden. 

• Zusätzliche Übergangsbestimmungen zur Sicherstellung der Operational Resilience sind bis
  1. Januar 2026 einzuführen.
  

Digital Operational Resilience Act (DORA)

Europäische Union

Hauptziel ist die Verbesserung der IT-Sicherheit von Finanzinstituten wie Banken, Versicherungsunternehmen und Investmentfirmen. DORA stellt sicher, dass der europäische Finanzsektor auch bei schweren Betriebsstörungen widerstandsfähig bleibt. Zu den wichtigsten von DORA abgedeckten Aspekten gehören IKT-Risikomanagement, Drittparteien-Risikomanagement, digitale Betriebsstabilitätstests und die Meldung schwerwiegender IKT-bezogener Vorfälle an die zuständigen Behörden.

Schweizer Unternehmen, die im Finanzsektor tätig sind, sind indirekt von DORA betroffen, insbesondere wenn sie Geschäftsbeziehungen mit EU-Partnern unterhalten oder Tochter- und Gruppengesellschaften in der EU haben. 

• DORA ist eine EU-Verordnung, die am 16. Januar 2023 in Kraft getreten und ab dem
  17. Januar 2025 verpflichtend anzuwenden.
  

Mit Gesetzen und Vorschriften im Einklang.

Osmond bietet Gap-Analysen, Reifegradbewertungen, Vorbereitung für interne und externe Revisionen, Richtlinienentwicklung und operative Implementierungs-Unterstützung für neue Regulierungen an. Unser umfassender Ansatz gewährleistet die Einhaltung der neuen Gesetze und ermöglicht es Unternehmen, die mit ihrer digitalen Infrastruktur verbundenen Risiken effektiv zu verwalten und so eine robuste Business Continuity aufrechtzuerhalten.

Wir helfen Ihnen gerne!