FINMA setzt bei Outsourcing auf mehr Selbstverantwortung

Von Gabriel Gabriel am 28. März 2018

Neues_FINMA_Rundschreiben_750x250

Ab dem 1. April 2018 gelten in der Schweiz für alle Banken, Effektenhändler und Versicherungen neue aufsichtsrechtliche Anforderungen beim Umgang mit der Auslagerung von Dienstleistungen. Die Eidgenössische Finanzmarktaufsicht FINMA hat dazu ein neues Rundschreiben (2018/3 Outsourcing – Banken und Versicherer) veröffentlicht, welches die Bestimmungen aus dem Jahr 2008 ersetzt. In den fast zehn Jahren hat sich schliesslich einiges verändert, insbesondere haben sich die Risiken hinsichtlich der Cyberkriminalität massiv verstärkt.

Was ist neu?

Neben Neuerungen wie beispielsweise einer Präzisierung zur Auslagerung von Risikomanagement- und Compliance-Funktionen, zu Inventarisierung oder zur Auslagerung ins Ausland fällt insbesondere auf, dass in der neuen Verordnung die Frage der Wesentlichkeit von Outsourcing-Vorhaben grundsätzlich prinzipienorientierter und technologieneutraler formuliert ist. So wurde der Paragraph zum Thema Sicherheit wesentlich kürzer, entfallen doch detaillierte Anforderungen, die im letzten Rundschreiben noch enthalten waren.

Weniger ist mehr

Die Bundesbehörde stärkt somit die eigenverantwortliche Selbsteinschätzung der Banken und Versicherungsunternehmen. Sie verlangt nämlich, dass die Institute und ihre Lieferanten Sicherheitsdispositive aufbauen oder ihre Sicherheitsanforderungen vertraglich festlegen. Auch wenn die FINMA jetzt mehr auf Eigenverantwortung setzt, heisst dies noch lange nicht, dass sie die Kontrolle aus der Hand gibt. Das vollumfängliche und ungehinderte Einsichts- und Prüfrecht bleibt nämlich bestehen. Das bedeutet wiederum, dass Dienstleister bei Bedarf seitens der FINMA jederzeit die nötigen Auskünfte und Unterhalten bereitstellen können müssen.

Unabhängige Audits

Aus diesem Grund hat Brainloop bereits im letzten Jahr durch die Firma BDO eine den Anforderungen entsprechende Überprüfung der Vorkehrungen zur Sicherstellung einer maximalen Datensicherheit ihrer Kunden vornehmen lassen. Die von der eidgenössischen Finanzmarktaufsicht anerkannte Prüfstelle bestätigte denn auch, dass Brainloop die Regularien der FINMA für Schweizer Banken beim Outsourcing erfüllt. Sie basiert auf den Vorgaben des internationalen ISAE-3402-Standards (Typ II), für welchen Brainloop Dienste ebenfalls im letzten Jahr erfolgreich zertifiziert wurden.

Unsere Schweizer Niederlassung erfüllt gemäss einem externen Audit-Report die Anforderungen der Eidgenössischen Finanzaufsicht Finma. Dies bestätigt der Bericht zum neuesten Audit, welches die unabhängige, von der Finma anerkannte Prüfstelle BDO bei Brainloop Schweiz im März 2018 durchgeführt hat.

Brainloop war erstmals im letzten Jahr auf Basis des Rundschreibens 2008/7 Outsourcing – Banken auditiert worden. Für die Umsetzung der Anforderungen aus dem aktuellsten Rundschreiben gilt eine Übergangsfrist von fünf Jahren.

Relevanz in der Praxis

Diverse Finanzinstitute und Bankendienstleister sowie deren Kunden, darunter beispielsweise die Firmen Finanz-Logistik (CH) und Erste Financial Services (D), bestätigen die Relevanz der Zertifizierungen im Zusammenhang mit der Auslagerung vertraulicher Dokumente.

Cybersecurity Top Thema Bei Banken

Die Anforderungen an die Sicherheit bei der Auslagerung von Dienstleistungen sind in den 10 Jahren seit dem letzten Rundschreiben enorm gestiegen. Dazu beigetragen hat die zunehmende Digitalisierung, welche auch bei den Banken die IT-Sicherheit verwundbarer macht. Zurecht steht denn auch gemäss einer von EY bei Schweizer Banken durchgeführten Studie das Thema Cybersecurity in diesem Jahr an allererster Stelle der Fokusthemen.

Fazit

Die Eidgenössische Finanzmarktaufsicht überträgt nun die Verantwortung für die Einhaltung der Sicherheit zwar den Instituten selbst, hält sich aber jederzeit vor, die Einrichtungen und Vorkehrungen zur Datensicherheit zu prüfen. Die neuen Vorschriften verlangen deshalb auch, dass Daten für eine Sanierung oder Abwicklung einer solchen Prüfung in der Schweiz verfügbar sein müssen.

Weil Brainloop in jedem Land über separate Datencenter verfügt, lagern die Daten von Schweizer Finanzinstituten hochsicher in unseren hiesigen Rechenzentren.

Compliance, Schweiz
Kostenlose Brainloop Demo: Jetzt Demo vereinbaren!

Das könnte Sie auch interessieren:

Alles ISO: Brainloop erneuert Zertifizierung nach ISO/IEC 27001
Alles ISO: Brainloop erneuert Zertifizierung nach ISO/IEC 27001

Die Experten vom TÜV Süd haben bestätigt: Brainloop erfüllt alle Anforderungen nach ISO/IEC 27001 und 27018.

Weiterlesen
BAIT: BaFin veröffentlicht bankaufsichtliche Anforderungen an die IT
BAIT: BaFin veröffentlicht bankaufsichtliche Anforderungen an die IT

Mit BAIT konkretisiert die BaFin Anforderungen an die Banken-IT und ergänzt die Mindestanforderungen an das Risikomanagement sowie die Regelungen im KWG.

Weiterlesen
Mit Brief und Siegel: Brainloop ist datenschutzkonform
Mit Brief und Siegel: Brainloop ist datenschutzkonform

Die DSGVO kann kommen: Brainloops Cloud-Dienste sind TCDP-zertifiziert und erfüllen nachweislich datenschutzrechtliche Anforderungen.

Weiterlesen
Brainloop erfüllt neueste Finma-Anforderungen
Brainloop erfüllt neueste Finma-Anforderungen

Unabhängige Prüfstelle der Schweizer Finanzmarktaufsicht Finma bestätigt: Brainloop erfüllt Compliance für Banken und Versicherer gemäß dem Rundschreiben RS..

Weiterlesen

Ihre Meinung zum Thema:

Brainloop Blog: Jetzt abonnieren
New call-to-action