Der Fokus der Schweizer FINMA: Risikomanagement für kritische Daten

Im digitalen Zeitalter hat der Schutz kritischer Daten für Finanzinstitute weltweit höchste Priorität. Die Eidgenössische Finanzmarktaufsicht (FINMA) hat die Bedeutung eines robusten Datenrisikomanagements erkannt und die FINMA-Rundschreiben 2023/1 Darin wird das Management operationeller Risiken in Bezug auf Technologien, kritische Daten und Cyberrisiken detailliert beschrieben. Die Finanzregulierung tritt am 1. Januar 2024 in Kraft, um Datenrisiken und den allgemeinen Schutz kritischer Daten zu berücksichtigen.

Abschnitt D des Rundschreibens enthält Vorgaben zum Umgang der Finanzinstitute in der Schweiz mit Datenrisiken. Das Rundschreiben definiert klar Prozesse, Verfahren, Aufgaben und konkrete Verantwortlichkeiten für den Umgang mit als kritisch eingestuften Daten.

Was ist Risikomanagement für kritische Daten?

Risikomanagement für kritische Daten ist der Prozess der Identifizierung, Bewertung und Minderung von Risiken im Zusammenhang mit sensiblen und wichtigen Daten innerhalb Finanzinstitute. Es geht um die Sicherung der Datenintegrität, Vertraulichkeit und Verfügbarkeit sowie um die Bewältigung von Risiken im Zusammenhang mit Datenverletzungen, Cyber-Bedrohungen und unbefugter Zugriff.

FINMA-Anforderungen zur Risikominimierung kritischer Daten

Das jüngste Rundschreiben der FINMA zu operationellen Risiken und Resilienz ist ein wichtiger Meilenstein zur Stärkung der operativen Resilienz von Finanzinstituten in der Schweiz. Mit der Darstellung zentraler Bestimmungen und Anforderungen will die FINMA die Stabilität und Kontinuität von Finanzdienstleistungen verbessern und gleichzeitig operationelle Risiken minimieren. Finanzinstitute sollten die Empfehlungen des Rundschreibens proaktiv umsetzen:

• Datenermittlung:
  „Die Institution muss ihre kritischen Daten systematisch und umfassend identifizieren, sie anhand ihrer Kritikalität kategorisieren und klare Verantwortlichkeiten definieren.“
• Verwaltung des Lebenszyklus von Daten:
  „Die von der Institution definierten kritischen Daten müssen über ihren gesamten Lebenszyklus hinweg verwaltet werden.“
• Datenschutz:
  „Insbesondere beim Management kritischer Daten muss die Vertraulichkeit, Integrität und Verfügbarkeit der kritischen Daten durch entsprechende Prozesse, Verfahren und Kontrollen sichergestellt werden.“
• Datenzugriff:
  „Kritische Daten müssen im laufenden Betrieb sowie bei der Entwicklung, Veränderung und Migration von IKT ausreichend vor dem Zugriff und der Nutzung durch Unbefugte geschützt werden. Dies gilt auch für kritische Daten in Testumgebungen.“
• Grenzüberschreitende Datenübertragungen:
  „Werden kritische Daten ausserhalb der Schweiz gespeichert oder ist ein Zugriff aus dem Ausland möglich, müssen die damit verbundenen erhöhten Risiken durch geeignete Massnahmen angemessen gemindert und überwacht und die Daten besonders geschützt werden.“

Wie BigID bei der Erfüllung der FINMA-Anforderungen zum Datenrisikomanagement hilft

BigID ermöglicht es Unternehmen, die FINMA-Anforderungen an Datenrisiken zu erfüllen und zu verwalten. Mit einem automatisierten, skalierbaren Ansatz können kritische Informationen erkannt, klassifiziert und geschützt werden, um die Compliance zu gewährleisten. Mit BigID erhalten Unternehmen:

• Tiefe Datenentdeckung: BigID unterstützt Unternehmen bei der Ermittlung und Inventarisierung kritischer Daten, einschließlich der von der FINMA erfassten Finanzinformationen. So können Unternehmen nachvollziehen, welche Daten sie besitzen und wo diese gespeichert sind. Dies ist ein wichtiger erster Schritt zur Einhaltung der Compliance-Vorschriften.
• Genaue Klassifizierung: Mit exakter Werteübereinstimmung, Die auf BigID-Graphen basierende Technologie kann kritische Daten identifizieren und klassifizieren in jeder Umgebung wie E-Mail, freigegebenen Laufwerken, Datenbanken, Datenseen und vielem mehr.
• Effizientes Datenmapping: Automatisch zuordnen PII und PI zu Identitäten, Entitäten und Wohnsitzen, um die Punkte in Ihren Datenumgebungen zu verbinden.
• Optimiertes Datenlebenszyklusmanagement: Genau finden, klassifizieren, katalogisieren und Kennzeichnen Sie Ihre Daten und setzen Sie Governance und Kontrolle einfach durch – von der Aufbewahrung bis zur Löschung.
• ML-basiertes Datenzugriffsmanagement: Um die FINMA-Vorschriften vollständig einzuhalten, trägt BigID dazu bei, Risiken durch erhebliche Open-Access-Anforderungen zu minimieren. Beheben Sie Dateizugriffsverletzungen auf kritische Daten in allen Datenumgebungen.
• Validierte Datenübertragungen: Erstellen Sie Richtlinien und weisen Sie Daten einen Schweizer Wohnsitz zu, setzen Sie die Anforderungen an den Datenwohnsitz durch, überwachen Sie und melden Sie grenzüberschreitende Datenübertragungen.
• Wirksame Abhilfe: BigID hilft bei der Definition der Abhilfemaßnahmen im Zusammenhang mit kritischen Daten, um Prüfaufzeichnungen mit Integration in Ticketsysteme wie Jira für nahtlose Arbeitsabläufe bereitzustellen.

Erfahren Sie, wie BigID Unternehmen dabei hilft, kritische Daten zu finden, den Zugriff auf Daten zu begrenzen oder einzuschränken und Risiken zu minimieren, um die FINMA-Konformität zu wahren. Holen Sie sich eine 1:1-Demo mit unseren Datenschutzexperten.

Autor

Verrion Wright

Strategie und Entwicklung von Inhalten

Verrion Wright ist ein sehr erfahrener und ehrgeiziger Vermarkter mit mehr als 20 Jahren Erfahrung in den Bereichen Produktmarketing, Inhaltsentwicklung und digitale Strategie. Mit dem Schwerpunkt auf datengesteuerten Erkenntnissen und integriertem Marketing hatte er leitende Positionen in verschiedenen Branchen inne, darunter IT-Dienstleistungen, Datenschutz, Marketing und Werbung (Medienplanung). Bei BigID ist Verrion Director of Content Strategy and Development und trägt dazu bei, Inhalte über alle Säulen, Regionen und Käufer hinweg zu verbessern, indem er durchgängig überzeugende Inhalte über verschiedene Medien erstellt - darunter Videos, Artikel, Checklisten, Whitepaper und Leitfäden.