Informationen des RVK
Ressourcen MELDEPFLICHT BEI CYBERATTACKEN
In der heutigen vernetzten Welt nimmt die Gefahr von Cyberattacken immer mehr zu. Der RVK ist einerseits mit seinem durch die Tochtergesellschaft RVK Rück AG betriebenen Rückversicherungsgeschäft der Finma (Finanzmarktaufsicht) unterstellt. Andererseits bearbeitet der RVK als Dienstleister Kundendaten im Bereich des VVG. So befassen wir uns aktuell intensiv mit der Thematik und mit der Implementierung eines Prozesses gemäss den Vorgaben der Finma-Aufsichtsmitteilung 05/2020 «Meldepflicht bei Cyberattacken». Vorkommnisse melden
Sicherstellung des Informationsflusses
Die Aufsichtsmeldung erinnert die beaufsichtigten Institute daran, dass gemäss Art. 29 Abs. 2 FINMAG die geltende Anforderung besagt, dass Vorkommnisse unverzüglich zu melden sind, die für die Aufsicht von wesentlicher Bedeutung sind.
Um im Falle eines Vorfalles schnell und zielgerichtet informieren und handeln zu können, haben wir nun von unseren Geschäftspartnern die Kontaktdaten der verantwortlichen Personen und Stellvertretungen eingeholt. Für die Meldung wird ein Standardformular eingesetzt, welches alle von der Aufsicht geforderten Informationen beinhaltet.
Wesentlichkeit Wesentliche Vorkommnisse sind gegeben, wenn erfolgreiche oder teilweise erfolgreiche Cyberattacken stattfanden und der Individualschutz, d.h. der Schutz der Versicherten, und andererseits die Funktionsfähigkeit der Organisation direkt oder indirekt beeinträchtigt werden.
Prozess
Aus Transparenzgründen und um den Anforderungen des neuen Datenschutzgesetzes gerecht zu werden, hat sich der RVK dafür entschieden, diesen Prozess bereits heute für alle, also auch für nicht unter Finma-Aufsicht stehende Kunden, zu implementieren.
Um die geforderten Deadlines (Erstmeldung innerhalb von 24 Stunden, Detailmeldung innerhalb von 72 Stunden) im Falle einer Attacke einhalten zu können, haben wir den Ablauf-Prozess «Meldepflicht bei Cyberattacken» bei uns und bei den für die Überwachung der Systeme verantwortlichen Stellen unserer IT-Partner integriert.
Präventiver Schutz
Speicherung
Bei Detailfragen zur Thematik und zum Prozess helfen wir Ihnen gerne weiter.
Im schlechtesten Fall muss davon ausgegangen werden, dass die Systeme nicht mehr zur Verfügung stehen und es daher fast unmöglich wäre, alle involvierten Parteien zu informieren. So steht einerseits eine ausserhalb unserer Serversysteme gehostete E-Mail-Adresse (meldung@rvk.swiss) zur Verfügung und andererseits werden alle wichtigen Unterlagen in einer externen Schweizer Cloud gespeichert, welche die rechtlichen Voraussetzungen für ein Back-up gemäss Schweizer Gesetzgebung vollumfänglich erfüllt.
28
Datenschutzgesetz
Information April 2021
Wir sind überzeugt, dass wir mit diesen Massnahmen gut vorbereitet sind «im Falle eines Falles», der aber hoffentlich nie eintreten wird. Um dem vorzubeugen, investiert der RVK laufend in die Aufrechterhaltung und Erhöhung der Sicherheit der IT-Systeme.
Michael Achermann, Finanzcontroller 041 417 05 71, meldung@rvk.swiss.ch
