Carmen de la Cruz
Rolf H. Weber | Okan Yildiz
buch & netz, Zürich 2022, 151 + XXXVI Seiten, CHF 41.90, ISBN 978-3-03805-473-3
Besprochen von
Carmen de la Cruz
, Rechtsanwältin und Notarin, Edig. dipl. Wirtschaftsinformatikerin, Baar.
Im Rahmen der diversen Gesetzgebungsprojekte und Anforderungen an Cybersecurity und Cyber-Resilienz für die Finanzindustrie haben Prof. Dr. iur. Rolf Weber und Okan Yildiz die aktuelle Ausgangslage und notwendigen Massnahmen i.S. Cybersecurity und -Resilienz zum Thema ihrer neusten Publikation gemacht.
Unbestrittenermassen sind die gesetzlichen Anforderungen an Cybersecurity und Cyber-Resilienz für Institute, die der Finanzmarktregulierung unterstehen, weltweit gestiegen. Das Autorenteam hat die gesetzlichen Vorschriften der wichtigsten Finanzmärkte (Schweiz, USA, EU, Singapur, Hong Kong, UK, Japan und Indien) untersucht und zusammengefasst – ein für die Finanzindustrie wichtiges Arbeitsmittel. Die Auflistung der wichtigsten Fakten zeigt, dass in den erwähnten resp. beschriebenen Finanzmärkten generelle oder – wie in Europa oder den USA – sektorspezifische Regelungen in Kraft getreten sind und/oder verschärft wurden, um Cybersecurity und Cyber-Resilienz zu verbessern.
Cyber-Resilienz könnte diesbezüglich als Buzz-Word bezeichnet werden, wäre die Bedrohung nicht effektiv als hoch und das Risiko als signifikant zu bezeichnen.
Die Zusammenfassung der Regulierung in den verschiedenen Märkten zeigt auch – so das Autorenteam –, dass Europa und die USA zu einer sektorspezifischen Regulierung tendieren und in Asien eher eine übergreifende Regulierung bevorzugt wird.
In den vom Autorenteam erwähnten Ländern wird denn auch auf das Erfordernis von Zertifizierungen (z.B. ISO 27001 ff.), auf Anforderungen an die Sicherheits- und Notfallorganisation oder Penetrationtests abgestellt. Wie dies jedoch konkret umzusetzen ist, ist entsprechend in der Praxis festzulegen und genau dort liegt die Crux: Die erwähnten Regelungen schreiben – mehr oder weniger detailliert – vor, wie Cybersecurity auszusehen hat, sprich organisiert und technisch geregelt werden muss, um Cyber-Resilienz zu erhöhen. Welche Punkte jedoch schlussendlich umgesetzt werden müssen und in welcher Ausprägung, wird offengelassen. Ein Finanzinstitut – so auch das Autorenteam – ist damit in jedem Fall gezwungen, sich konkret mit den Vorgaben auseinanderzusetzen und zwar in denjenigen Märkten, in denen es tätig ist und tätig sein will. Massnahmen sind schlussendlich nur so gut, wie sie gewählt, implementiert, geschult und regelmässig geprüft werden.
In den Handlungsempfehlungen wird denn auch festgehalten, dass Governance- und Kontrollmechanismen implementiert werden müssen, cybersicherheitsbezogene Unternehmensfunktionen, Schutz und Prävention, Erkennung von potenziellen Cyberrisiken, Datensicherung etc. geprüft und regelmässig upgedatet werden müssen. Business Continuity Management ist regelmässig durchzuspielen anhand von Beispielen und auch die Meldeprozesse für Datenschutz- oder Sicherheitsvorfälle (kritische Infrastrukturen) sind regenlässig zu prüfen.
Klar ist auch, dass erst bei effektiver Bestimmung des Tiefegrads und der entsprechenden Ausgestaltung und Implementierung der Massnahmen die Cybersicherheit und -Resilienz erhöht werden können.