1 minute read
RESSOURCEN Meldepflicht bei Cyberattacken
Ressourcen
MELDEPFLICHT BEI CYBERATTACKEN
Advertisement
In der heutigen vernetzten Welt nimmt die Gefahr von Cyberattacken immer mehr zu. Der RVK ist einerseits mit seinem durch die Tochtergesellschaft RVK Rück AG betriebenen Rückversicherungsgeschäft der Finma (Finanzmarktaufsicht) unterstellt. Andererseits bearbeitet der RVK als Dienstleister Kundendaten im Bereich des VVG. So befassen wir uns aktuell intensiv mit der Thematik und mit der Implementierung eines Prozesses gemäss den Vorgaben der Finma-Aufsichtsmitteilung 05/2020 «Meldepflicht bei Cyberattacken».
Vorkommnisse melden
Die Aufsichtsmeldung erinnert die beaufsichtigten Institute daran, dass gemäss Art. 29 Abs. 2 FINMAG die geltende Anforderung besagt, dass Vorkommnisse unverzüglich zu melden sind, die für die Aufsicht von wesentlicher Bedeutung sind.
Wesentlichkeit
Wesentliche Vorkommnisse sind gegeben, wenn erfolgreiche oder teilweise erfolgreiche Cyberattacken stattfanden und der Individualschutz, d.h. der Schutz der Versicherten, und andererseits die Funktionsfähigkeit der Organisation direkt oder indirekt beeinträchtigt werden.
Prozess
Um die geforderten Deadlines (Erstmeldung innerhalb von 24 Stunden, Detailmeldung innerhalb von 72 Stunden) im Falle einer Attacke einhalten zu können, haben wir den Ablauf-Prozess «Meldepflicht bei Cyberattacken» bei uns und bei den für die Überwachung der Systeme verantwortlichen Stellen unserer IT-Partner integriert.
Speicherung
Im schlechtesten Fall muss davon ausgegangen werden, dass die Systeme nicht mehr zur Verfügung stehen und es daher fast unmöglich wäre, alle involvierten Parteien zu informieren. So steht einerseits eine ausserhalb unserer Serversysteme gehostete E-Mail-Adresse (meldung@rvk.swiss) zur Verfügung und andererseits werden alle wichtigen Unterlagen in einer externen Schweizer Cloud gespeichert, welche die rechtlichen Voraussetzungen für ein Back-up gemäss Schweizer Gesetzgebung vollumfänglich erfüllt.
Sicherstellung des Informationsflusses
Um im Falle eines Vorfalles schnell und zielgerichtet informieren und handeln zu können, haben wir nun von unseren Geschäftspartnern die Kontaktdaten der verantwortlichen Personen und Stellvertretungen eingeholt. Für die Meldung wird ein Standardformular eingesetzt, welches alle von der Aufsicht geforderten Informationen beinhaltet.
Datenschutzgesetz
Aus Transparenzgründen und um den Anforderungen des neuen Datenschutzgesetzes gerecht zu werden, hat sich der RVK dafür entschieden, diesen Prozess bereits heute für alle, also auch für nicht unter Finma-Aufsicht stehende Kunden, zu implementieren.
Präventiver Schutz
Wir sind überzeugt, dass wir mit diesen Massnahmen gut vorbereitet sind «im Falle eines Falles», der aber hoffentlich nie eintreten wird. Um dem vorzubeugen, investiert der RVK laufend in die Aufrechterhaltung und Erhöhung der Sicherheit der IT-Systeme.
Bei Detailfragen zur Thematik und zum Prozess helfen wir Ihnen gerne weiter.
Michael Achermann, Finanzcontroller 041 417 05 71, meldung@rvk.swiss.ch
