Ab dem 1. April 2018 gelten in der Schweiz für alle Banken, Effektenhändler und Versicherungen neue aufsichtsrechtliche Anforderungen beim Umgang mit der Auslagerung von Dienstleistungen. Die Eidgenössische Finanzmarktaufsicht FINMA hat dazu ein neues Rundschreiben (2018/3 Outsourcing – Banken und Versicherer) veröffentlicht, welches die Bestimmungen aus dem Jahr 2008 ersetzt. In den fast zehn Jahren hat sich schliesslich einiges verändert, insbesondere haben sich die Risiken hinsichtlich der Cyberkriminalität massiv verstärkt.
Was ist neu?
Neben Neuerungen wie beispielsweise einer Präzisierung zur Auslagerung von Risikomanagement- und Compliance-Funktionen, zu Inventarisierung oder zur Auslagerung ins Ausland fällt insbesondere auf, dass in der neuen Verordnung die Frage der Wesentlichkeit von Outsourcing-Vorhaben grundsätzlich prinzipienorientierter und technologieneutraler formuliert ist. So wurde der Paragraph zum Thema Sicherheit wesentlich kürzer, entfallen doch detaillierte Anforderungen, die im letzten Rundschreiben noch enthalten waren.
Weniger ist mehr
Die Bundesbehörde stärkt somit die eigenverantwortliche Selbsteinschätzung der Banken und Versicherungsunternehmen. Sie verlangt nämlich, dass die Institute und ihre Lieferanten Sicherheitsdispositive aufbauen oder ihre Sicherheitsanforderungen vertraglich festlegen. Auch wenn die FINMA jetzt mehr auf Eigenverantwortung setzt, heisst dies noch lange nicht, dass sie die Kontrolle aus der Hand gibt. Das vollumfängliche und ungehinderte Einsichts- und Prüfrecht bleibt nämlich bestehen. Das bedeutet wiederum, dass Dienstleister bei Bedarf seitens der FINMA jederzeit die nötigen Auskünfte und Unterhalten bereitstellen können müssen.
Unabhängige Audits
Aus diesem Grund hat Brainloop bereits im letzten Jahr durch die Firma BDO eine den Anforderungen entsprechende Überprüfung der Vorkehrungen zur Sicherstellung einer maximalen Datensicherheit ihrer Kunden vornehmen lassen. Die von der eidgenössischen Finanzmarktaufsicht anerkannte Prüfstelle bestätigte denn auch, dass Brainloop die Regularien der FINMA für Schweizer Banken beim Outsourcing erfüllt. Sie basiert auf den Vorgaben des internationalen ISAE-3402-Standards (Typ II), für welchen Brainloop Dienste ebenfalls im letzten Jahr erfolgreich zertifiziert wurden.
Unsere Schweizer Niederlassung erfüllt gemäss einem externen Audit-Report die Anforderungen der Eidgenössischen Finanzaufsicht Finma. Dies bestätigt der Bericht zum neuesten Audit, welches die unabhängige, von der Finma anerkannte Prüfstelle BDO bei Brainloop Schweiz im März 2018 durchgeführt hat.
Brainloop war erstmals im letzten Jahr auf Basis des Rundschreibens 2008/7 Outsourcing – Banken auditiert worden. Für die Umsetzung der Anforderungen aus dem aktuellsten Rundschreiben gilt eine Übergangsfrist von fünf Jahren.
Relevanz in der Praxis
Diverse Finanzinstitute und Bankendienstleister sowie deren Kunden, darunter beispielsweise die Firmen Finanz-Logistik (CH) und Erste Financial Services (D), bestätigen die Relevanz der Zertifizierungen im Zusammenhang mit der Auslagerung vertraulicher Dokumente.
Cybersecurity Top Thema Bei Banken
Die Anforderungen an die Sicherheit bei der Auslagerung von Dienstleistungen sind in den 10 Jahren seit dem letzten Rundschreiben enorm gestiegen. Dazu beigetragen hat die zunehmende Digitalisierung, welche auch bei den Banken die IT-Sicherheit verwundbarer macht. Zurecht steht denn auch gemäss einer von EY bei Schweizer Banken durchgeführten Studie das Thema Cybersecurity in diesem Jahr an allererster Stelle der Fokusthemen.
Fazit
Die Eidgenössische Finanzmarktaufsicht überträgt nun die Verantwortung für die Einhaltung der Sicherheit zwar den Instituten selbst, hält sich aber jederzeit vor, die Einrichtungen und Vorkehrungen zur Datensicherheit zu prüfen. Die neuen Vorschriften verlangen deshalb auch, dass Daten für eine Sanierung oder Abwicklung einer solchen Prüfung in der Schweiz verfügbar sein müssen.
Weil Brainloop in jedem Land über separate Datencenter verfügt, lagern die Daten von Schweizer Finanzinstituten hochsicher in unseren hiesigen Rechenzentren.
Geschrieben von Gabriel Gabriel