Newsletter Anmeldung

Bleiben Sie mit dem Newsletter immer up to date.

Zur Anmeldung
Anfrage
arrow-to-top

Kategorie: Risikomanagement

KI-Governance im ISMS: ISO 42001 pragmatisch integrieren

06/2026 – Fachartikel Swiss Infosec AG

Generative KI, automatisierte Entscheidungsmodelle, datenbasierte Prognosen – KI verändert Arbeitsweisen und Geschäftsmodelle fundamental. Doch mit den Chancen wachsen auch die Risiken, etwa unzuverlässige oder falsche Ergebnisse von KI-Modellen, Verzerrungen durch ungeeignete Trainingsdaten sowie eine unkontrollierte Nutzung externer KI-Dienste.

Für CISO, Risk Officer und Geschäftsleitungen stellt sich die Frage: Wie lässt sich KI verantwortungsvoll steuern – ohne eine neue Governance-Bürokratie aufzubauen?

Die ISO/IEC 42001:2023 ist der erste internationale Standard für KI-Managementsysteme (AIMS). Für Unternehmen mit bestehendem ISO 27001-ISMS ist die Ausgangslage günstig: Die zentralen Governance-Strukturen existieren bereits – sie müssen lediglich um KI-spezifische Anforderungen erweitert werden.

Der Schlüssel: Integration statt Parallelstruktur. Wer KI-Governance ins bestehende ISMS einbettet, hält den Aufwand minimal und schafft dennoch einen robusten Rahmen für den sicheren KI-Einsatz.

Von ISO 27001 zu ISO 42001: ein logischer Schritt

Beide Standards basieren auf der High-Level-Structure der ISO-Managementsystemnormen – mit Governance, Risikomanagement, operativen Prozessen, Monitoring und kontinuierlicher Verbesserung als gemeinsamen Kernelementen. Wer ein ISMS betreibt, hat Management-Commitment, Risikoanalysen, interne Audits und Governance-Gremien bereits etabliert.

ISO 42001 erweitert diese Struktur um spezifische Anforderungen für künstliche Intelligenz. Während ISO 27001 primär den Schutz von Informationen und IT-Systemen adressiert, richtet sich ISO 42001 auf die besonderen Herausforderungen von KI-Systemen. Dazu gehören unter anderem Fragen der Transparenz von Algorithmen, der Kontrolle von Trainingsdaten, der Vermeidung von Bias sowie der kontinuierlichen Überwachung der Modellleistung.

Der entscheidende Vorteil für Organisationen mit einem bestehenden ISMS besteht darin, dass viele dieser Anforderungen auf bereits vorhandene Prozesse aufbauen können. Risikomanagement, Governance-Strukturen oder Dokumentationsprozesse müssen nicht neu erfunden werden. Stattdessen werden sie um KI-spezifische Aspekte ergänzt.

KI-Governance als Erweiterung bestehender Richtlinien

Wer KI ins ISMS integriert, braucht zunächst klare Richtlinien: Was darf wie eingesetzt werden und wer trägt die Verantwortung?

Eine KI-Governance-Weisung definiert die grundlegenden Prinzipien für den Umgang mit KI im Unternehmen. Sie beschreibt, welche ethischen und rechtlichen Anforderungen eingehalten werden müssen und welche Verantwortlichkeiten innerhalb der Organisation bestehen. Dabei geht es nicht nur um technische Sicherheit, sondern auch um Fragen der Fairness, Transparenz und Nachvollziehbarkeit automatisierter Entscheidungen.

Eine solche Weisung sollte sich nahtlos in bestehende Regelwerke integrieren. Informationssicherheitsrichtlinien, Datenschutzvorgaben, Data Governance-Richtlinien oder Compliance-Regelungen bilden bereits einen Teil des Governance-Rahmens des ISMS. Die KI-Governance ergänzt diese Strukturen und stellt sicher, dass neue KI-basierte Technologien und Systeme innerhalb des bestehenden Kontrollsystems eingesetzt werden.

Neben dieser KI-Governance-Weisung benötigen alle Mitarbeitenden eine verbindliche KI-Benutzerweisung. Sie legt klare Verhaltensregeln für den Alltag fest: welche KI-Systeme genutzt werden dürfen, welche Daten nicht in externe Systeme fliessen dürfen und wie mit KI-generierten Ergebnissen kritisch umzugehen ist. Neue Mitarbeitende werden im Onboarding entsprechend geschult.

Richtig umgesetzt schaffen solche Weisungen Orientierung und Sicherheit – ohne die Innovation zu bremsen.

KI-Risiken systematisch in das Risikomanagement integrieren

Das Herzstück jedes ISMS ist das Risikomanagement – und genau hier setzt die KI-Integration an. Die bestehende Risikoanalyse nach ISO 27001 wird um KI-spezifische Risiken erweitert.

Der erste Schritt besteht darin, Transparenz über eingesetzte KI-Systeme zu schaffen. Ein strukturierteres KI-Inventar dokumentiert alle eingesetzten oder entwickelten KI-Anwendungen, beispielsweise Chatbots, automatisierte Entscheidungs- und Empfehlungssysteme, Machine-Learning-Modelle zur Analyse von Daten sowie KI-gestützte Funktionen in Fachapplikationen oder Cloud-Diensten. Es beschreibt deren Zweck, die zugrunde liegenden Datenquellen sowie die verantwortlichen Organisationseinheiten. Dieses Inventar bildet die Grundlage für eine fundierte Risikoanalyse.

Im nächsten Schritt werden die identifizierten KI-Systeme einer Bewertung unterzogen. Dabei treten Risiken in den Fokus, die über klassische IT-Risiken hinausgehen. Beispielsweise können Trainingsdaten systematische Verzerrungen enthalten, wodurch diskriminierende Ergebnisse entstehen. Generative Modelle können plausible, aber falsche Informationen erzeugen. Zudem können Modelle im Laufe der Zeit an Genauigkeit verlieren oder durch gezielte Manipulation von Eingabedaten beeinflusst werden.

Solche Risiken müssen im bestehenden Risk Assessment berücksichtigt werden. Die Bewertung erfolgt dabei ähnlich wie bei klassischen Informationssicherheitsrisiken, indem Auswirkungen auf Geschäftsprozesse, Kunden oder Reputation analysiert werden. Auf dieser Grundlage lassen sich geeignete Kontrollmassnahmen definieren, etwa die regelmässige Validierung von Modellen oder die Überprüfung von Trainingsdaten.

Wenn KI-Systeme personenbezogene Daten verarbeiten, spielt zudem der Datenschutz eine zentrale Rolle. In solchen Fällen kann eine Datenschutz-Folgenabschätzung erforderlich sein. Auch unabhängig von gesetzlichen Anforderungen ist es empfehlenswert, die Auswirkungen von KI auf Privatsphäre und Persönlichkeitsrechte systematisch zu analysieren.

Für Schweizer Unternehmen greift dabei das Datenschutzgesetz (DSG) mit konkreten Pflichten: Transparenz gegenüber Betroffenen, Auftragsbearbeitungsverträge mit KI-Anbietern und eine Datenschutz-Folgenabschätzung (DSFA) bei hohem Risikopotenzial – etwa bei automatisierten Entscheiden mit erheblicher Wirkung auf Personen.

Entwicklungs- und Betriebsprozesse für KI erweitern

Organisationen, die KI entwickeln oder produktiv einsetzen, müssen auch ihre Entwicklungs- und Betriebsprozesse anpassen. Bestehende Softwareentwicklungsprozesse können dabei um KI-spezifische Anforderungen ergänzt werden.

Bereits in der Planungsphase eines Projekts sollte geprüft werden, welche Risiken mit dem Einsatz von KI verbunden sind. Während der Entwicklung spielt insbesondere die Qualität der Trainingsdaten eine zentrale Rolle. Daten müssen auf mögliche Verzerrungen überprüft werden, und die verwendeten Modelle sollten nachvollziehbar dokumentiert sein.

Auch Test- und Validierungsprozesse benötigen zusätzliche Dimensionen. Neben funktionalen Tests müssen Kriterien wie Fairness, Robustheit und Sicherheit berücksichtigt werden. Beispielsweise kann überprüft werden, ob ein Modell für bestimmte Nutzergruppen systematisch schlechtere Ergebnisse liefert oder ob es auf manipulierte Eingaben besonders anfällig reagiert.

Im Betrieb von KI-Systemen ist kontinuierliches Monitoring entscheidend. Modelle können sich im Laufe der Zeit verändern, insbesondere wenn sie auf dynamischen Daten basieren. Deshalb sollten Kennzahlen definiert werden, die die Leistung eines Modells überwachen. Sinkt die Genauigkeit oder treten unerwartete Ergebnisse auf, müssen entsprechende Korrekturmassnahmen eingeleitet werden.

Incident Response und Notfallplanung für KI

Ein oft unterschätzter Bereich der KI-Governance ist der Umgang mit Vorfällen. Der bestehende Incident Response-Prozess sollte daher um KI-bezogene Szenarien erweitert werden. Dazu gehören etwa Situationen, in denen ein KI-System falsche Entscheidungen trifft, manipuliert wird oder komplett ausfällt.

Auch Business Continuity-Pläne sollten KI berücksichtigen. Fällt ein kritisches KI-System aus, muss klar sein, wie der betroffene Geschäftsprozess weitergeführt wird. In manchen Fällen kann ein manueller Entscheidungsprozess als Backup dienen. Wichtig ist, solche Szenarien im Voraus zu definieren, damit im Ernstfall klare Verantwortlichkeiten bestehen.

Dokumentation als Grundlage für Transparenz und Nachweisbarkeit

Neben Governance-Strukturen und Prozessen spielt auch Dokumentation eine wichtige Rolle. Organisationen müssen nachvollziehbar darlegen können, wie KI-Systeme eingesetzt werden und welche Risiken bewertet wurden.

Für zentrale KI-Anwendungen sollte daher eine strukturierte Dokumentation existieren, die Zweck, Funktionsweise und eingesetzte Datenquellen beschreibt. Ebenso sollten Risikoanalysen, Datenschutzbewertungen und abgeleitete Massnahmen dokumentiert werden. Diese Unterlagen schaffen Transparenz und dienen gleichzeitig als Nachweis gegenüber Auditoren, Aufsichtsbehörden oder Geschäftspartnern.

Ein weiterer wichtiger Aspekt ist die Schulung von Mitarbeitenden. Awareness-Massnahmen und Trainingsprogramme stellen sicher, dass Mitarbeitende KI-Systeme sicher und verantwortungsvoll nutzen können. Entsprechende Schulungsnachweise sind zudem ein wichtiger Bestandteil eines funktionierenden Managementsystems.

Pragmatismus für KMU: Integration statt Bürokratie

Für KMU gilt: KI-Governance muss proportional zum tatsächlichen KI-Einsatz sein. Risikobasiertes Vorgehen und die konsequente Nutzung bestehender Strukturen sind der Schlüssel.

Organisationen sollten sich zunächst auf die KI-Anwendungen konzentrieren, die tatsächlich geschäftskritisch sind oder hohe Risiken bergen. Gleichzeitig lohnt es sich, bestehende Gremien und Prozesse zu nutzen, anstatt neue Strukturen zu schaffen. Empfehlenswert ist die Einrichtung einer interdisziplinären KI-Fachgruppe, die als zentrale Anlaufstelle für alle KI-Aktivitäten fungiert – sie kann am bestehenden ISMS Steering Committee oder einem äquivalenten Gremium angedockt werden.

Ebenso ist es sinnvoll, die Integration von KI-Governance in das bestehende ISMS schrittweise umzusetzen. Viele Organisationen starten mit einer KI-Benutzerweisung, einem schlanken Freigabe- und Betriebsprozess für neue KI-Systeme sowie einem KI-Inventar. Weitere Governance-Elemente werden schrittweise eingerichtet, sobald der KI-Einsatz wächst.

Auf diese Weise bleibt das Managementsystem schlank und flexibel, während gleichzeitig die notwendigen Governance-Strukturen entstehen.

Fazit: KI-Governance als natürliche Erweiterung des ISMS

Organisationen mit einem etablierten ISMS verfügen bereits über eine solide Governance-Basis. Die Integration von ISO 42001 bedeutet daher nicht, ein neues Managementsystem aufzubauen, sondern bestehende Strukturen gezielt zu erweitern.

Durch die Ergänzung von Richtlinien, die Integration von KI-Risiken in das Risikomanagement sowie die Anpassung von Entwicklungs- und Betriebsprozessen entsteht ein erweitertes Managementsystem, das sowohl Informationssicherheit als auch KI-Governance abdeckt. Damit können Unternehmen KI verantwortungsvoll einsetzen, Risiken kontrollieren und regulatorische Anforderungen erfüllen – als entscheidenden Bestandteil moderner Unternehmensführung.

Kontakt aufnehmen

Möchten Sie Ihr ISMS für ISO 42001 fit machen? Die Expertinnen und Experten der Swiss Infosec AG begleiten Sie mit praxiserprobten Frameworks und pragmatischen Templates.

Kontaktieren Sie uns für ein unverbindliches Beratungsgespräch: +41 41 984 12 12, infosec@infosec.ch

Swiss Infosec AG; 10.6.2026
Kompetenzzentrum Consulting

Kategorie: Fachartikel Swiss Infosec AG | Informationssicherheit | Künstliche Intelligenz | Risikomanagement
Michael Kuhn
Senior Consultant
Anfrage
Michael Kuhn
Senior Consultant
Anfrage

Operationelle Risiken und Resilienz – Banken (FINMA Rundschreiben 2023/1)

05/2026 – Fachartikel Swiss Infosec AG (aktualisiert, 7.5.2026)

Ausgangslage

Im totalrevidierten FINMA-Rundschreiben 2023/1 «Operationelle Risiken und Resilienz – Banken», in Kraft seit 1. Januar 2024, konkretisiert die FINMA ihre Aufsichtspraxis in Bezug auf das Management operationeller Risiken, insbesondere im Zusammenhang mit der Informations- und Kommunikationstechnologie, dem Umgang mit kritischen Daten und den Cyber-Risiken. Weiter finden Anforderungen zur operationellen Resilienz Eingang ins neue Rundschreiben.

Wesentliche Elemente der Empfehlungen für das Business Continuity Management (BCM) der Schweizerischen Bankiervereinigung (SBVg) wurden in das Rundschreiben aufgenommen. Das Rundschreiben übernimmt zudem die vom Basler Ausschuss für Bankenaufsicht (BCBS) im März 2021 veröffentlichten revidierten Prinzipien zum Umgang mit operationellen Risiken (PSMOR) und die neuen Prinzipien zur operationellen Resilienz (POR).

Für das gesamte Rundschreiben gilt das Proportionalitätsprinzip: Die Anforderungen sind abhängig von der Grösse, der Komplexität, der Struktur und des Risikoprofils des Instituts umzusetzen. Banken und Wertpapierhäuser der FINMA-Kategorien 4 und 5 sowie Institute im Kleinbankenregime können von Erleichterungen profitieren.

Unterstützung durch die Swiss Infosec AG

Die Swiss Infosec AG ist ein Beratungs- und Ausbildungsunternehmen mit über 35 Jahren Erfahrung in den Bereichen Risikomanagement, Informationssicherheit, Datenschutz, IT-Sicherheit, Business Continuity Management, Krisen- und Notfallmanagement, Physische Sicherheit und Personensicherheit.

Unsere mehr als 30 Spezialistinnen und Spezialisten können Sie bei der Umsetzung der Grundsätze des FINMA-Rundschreibens «Operationelle Risiken und Resilienz – Banken» unterstützen.

Grundsätze des neuen FINMA-Rundschreibens «Operationelle Risiken und Resilienz – Banken»

Grundsatz 1: Generelle Anforderungen an das Management der operationellen Risiken

Die Geschäftsleitung ist verantwortlich für die Implementierung und Dokumentation des Managements operationeller Risiken, welches alle für das Institut relevanten operationellen Risiken behandelt – insbesondere die IKT-Risiken, Cyber-Risiken und Risiken kritischer Daten.
Das Oberleitungsorgan (VR) soll das Management der operationellen Risiken regelmässig genehmigen und überwachen. Es entscheidet mindestens einmal jährlich über die Risikotoleranz für operationelle Risiken. Zusätzlich ist eine Berichterstattung der Risikokontrolle an den Verwaltungsrat (mindestens jährlich) und an die Geschäftsleitung (halbjährlich) vorgesehen. Regelmässige Kontroll- und Minderungsmassnahmen – auch mittels unabhängiger Kontrollinstanzen – sowie eine klare Trennung der Aufgaben, Kompetenzen und Verantwortlichkeiten zur Sicherstellung der Unabhängigkeit und Vermeidung von Interessenskonflikten sind explizit verankert.

Die Swiss Infosec AG unterstützt Sie bei der notwendigen Anpassung der aufbau- und ablauforganisatorischen Aspekte des OpRisk-Managements und des Business Continuity- und Krisenmanagements, insbesondere für Risiken im Bereich der Informationssicherheit und der Cybersicherheit. Unsere Experten begleiten Sie kompetent bei der Risikoidentifikation, Risikoanalyse, der Risikobewertung und der Ausarbeitung von Risikobehandlungen. Wir beraten Sie beim Entscheid bezüglich der Implementierung risikobasierender Sicherheitsmassnahmen, bei der Überwachung der Risiken sowie beim Reporting ans oberste Management.

Sollten Sie noch kein entsprechendes Hilfsmittel für das Managen der Risiken, des IKS, des BCMS und des ISMS im Einsatz haben, unterstützen wir Sie gerne bei der Evaluation und Implementierung eines geeigneten Governance, Risk und Compliance Tools (GRC-Tool).

Grundsatz 2: IKT-Strategie und Governance

Das Oberleitungsorgan (VR) soll eine IKT-Strategie festzulegen, die mit der Geschäftsstrategie abgestimmt ist.
Die Geschäftsleitung soll das Management der IKT-Risiken implementieren und dokumentieren – dies soll eng mit der IKT-Strategie und der jeweiligen Risikotoleranz abgestimmt sein. Neu ist die explizite Verankerung der Meldepflicht bei wesentlichen Störungen gemäss FINMAG Art. 29 sowie die Konkretisierung des Vorfall-Managements in Abstimmung mit den Bereichen Disaster Recovery (DR) und Business Continuity Management (BCM) mit regelmässiger Berichterstattung.

Die Swiss Infosec AG unterstützt Sie im Aufbau der Governance-Strukturen und beim Management von IKT-Risiken, welche im Zusammenhang mit den kritischen Prozessen Ihres Instituts stehen. Die Vertraulichkeit, Integrität und Verfügbarkeit Ihrer Informationen stehen bei Veränderungen und beim IKT-Betrieb im Fokus. Deshalb ist es von besonderer Bedeutung, dass Informationsinventare zeitnah verfügbar sind und diese regelmässig überprüft werden. Dazu sind Verfahren, Prozesse und Kontrollen zu implementieren, welche die Vertraulichkeit, Integrität und Verfügbarkeit der IKT-Betriebsumgebungen sicherstellen.

Wenn es dann trotzdem zu einem Vorfall kommen sollte, ist es wichtig, dass Ihre Unternehmung über Verfahren, Prozesse und Kontrollen verfügt, welche in Abstimmung mit dem Business Continuity Management (BCM) und den Desaster Recovery-Plänen (DRP) eine zeitgerechte Rückführung in den Normalbetrieb ermöglichen. Auch für diese reaktive Phase können unsere Experten Ihre Organisation tatkräftig unterstützen.

Grundsatz 3: Management der Cyber-Risiken

Die Geschäftsleitung soll ein Management der Cyber-Risiken sicherstellen, dass die Identifikation, Beurteilung, Begrenzung und Überwachung unter Berücksichtigung der jeweiligen Risikotoleranz und in Übereinstimmung mit der Strategie im Umgang mit Cyber-Risiken umfasst. Das Management der Cyber-Risiken ist in das Management der operationellen Risiken zu integrieren und nachvollziehbar zu dokumentieren. Neu ist die Verankerung der Meldepflicht gemäss Aufsichtsmitteilung 05/2020.

Die Swiss Infosec AG unterstützt Sie bei der Integration und Dokumentation der Cyber-Risiken in die operationellen Risiken. Dabei werden institutsspezifische Risikoanalysen durchgeführt und aufgrund von festgestellten Schwachstellen Massnahmen vorgeschlagen, welche die Vertraulichkeit, Integrität und Verfügbarkeit im Hinblick auf kritische Daten und IT-Systeme sicherstellen. Diese Massnahmen sollen eine zeitnahe Erkennung, Überwachung und Wiederherstellung der IT-Systeme bei Cyberattacken ermöglichen.

Grundsatz 4: Management der Risiken kritischer Daten

Die Geschäftsleitung soll ein Management der Risiken kritischer Daten sicherstellen, dass die Identifikation, Beurteilung, Begrenzung und Überwachung die Identifikation, Beurteilung, Begrenzung und Überwachung der Risiken hinsichtlich kritischer Daten sicherstellen. Dies soll in enger Abstimmung mit einer systematischen und vollständigen Datenstrategie und dem Management der operationellen Risiken (IKT- und Cyber-Risiken) erfolgen. Das Rundschreiben 2023/1 enthält neu eine präzisierte Definition des Begriffs «kritische Daten», die über Kundendaten hinausgeht und alle Daten umfasst, die für die Erfüllung kritischer Funktionen benötigt werden.

Die Swiss Infosec AG unterstützt Sie bei der Identifikation und Inventarisierung von kritischen Daten, welche durch die physische und logische IKT gespeichert oder verarbeitet werden. Dies umfasst die Zutritts-, Zugriffskontrollen und Kontrollen mit internem und externem Personal. Bei der Auswahl von Dienstleistern, welche Zugriff auf kritische Daten haben, sind geeignete Verträge zu definieren und deren Einhaltung ist zu überprüfen. Zudem sind Verfahren, Prozesse und Kontrollen zu implementieren, welche Auslagerungen risikoorientiert periodisch überwachen.

Grundsatz 5: Management der Risiken aus dem grenzüberschreitenden Dienstleistungsgeschäft

Sollten Sie grenzüberschreitende Dienstleistungen oder Finanzprodukte vertreiben, können JuristInnen der Swiss Infosec AG insbesondere im Bereich Datenschutz unterstützen.

Grundsatz 6: Business Continuity Management

Das Oberleitungsorgan (VR) soll in regelmässigen Abständen die BCM-Strategie auf deren Einhaltung überwachen. Die Geschäftsleitung ist für die Implementierung der Strategie verantwortlich.

Das FINMA-Rundschreiben 2023/1 übernimmt die bisherigen SBVg-Empfehlungen für das BCM in einer prinzipienbasierten, aktualisierten Form. Es verlangt für die für kritische Funktionen benötigten Ressourcen ein breiteres und detaillierteres Verständnis als bisher.

Die Swiss Infosec AG unterstützt Sie beim Ausbau des Business Continuity Managements als Baustein der operationellen Resilienz. Das heisst, dass die bestehenden Business Continuity- Pläne mit zusätzlichen Desaster Recovery-Plänen (DRP) ergänzt werden müssen. Wenn Teile der Technologieinfrastruktur ausgelagert sind, soll dieser DRP Auskunft über die externen Abhängigkeiten und vertraglichen Regelungen sowie alternative Lösungen geben. Der DRP ist mindestens jährlich oder im Falle wesentlicher Änderungen zu überprüfen.

Die Swiss Infosec AG unterstützt Sie beim Aufbau eines Führungssystems für den Krisenfall. Dabei wird die Krisenorganisation massgeschneidert auf die Geschäftstätigkeit ausgerichtet. Unsere krisenerprobten Schulungsexperten bilden die Mitglieder Ihrer Krisenorganisation rollenbasiert und als Team praxisorientiert aus. Im Vorfeld der ersten Ausbildungen werden die Aufgaben, Kompetenzen und Verantwortlichkeiten für jede einzelne Rolle definiert. Bei Krisenübungen und Business Continuity Tests sind die relevanten internen und externen Anspruchsgruppen – einschliesslich den Business- und Dienstleistungsfunktionen – einzubeziehen und mit den Wiederherstellungsprozessen vertraut zu machen. Die Tests sollen verschiedene schwerwiegende, aber plausible Szenarien einschliesslich der internen und externen Wiederherstellungsabhängigkeiten beinhalten.

Weiter unterstützen wir Sie bei der regelmässigen Berichterstattung über die durchgeführten Test- und Überprüfungsaktivitäten sowie deren Ergebnisse an das Oberleitungsorgan (VR) und die Geschäftsleitung. Die Berichterstattung soll vorgenommene Priorisierungen und erkannte Lücken in der Abdeckung kritischer Prozesse aufzeigen.

Grundsatz 7: Operationelle Resilienz (neu)

Das Institut soll seine kritischen Funktionen und deren Unterbrechungstoleranzen identifizieren und Massnahmen zur Sicherstellung der operationellen Resilienz unter Berücksichtigung schwerwiegender, aber plausibler Szenarien treffen. Das Oberleitungsorgan (VR) soll das Vorgehen zur Sicherstellung der operationellen Resilienz regelmässig genehmigen und überwachen. Die operationelle Resilienz wird im Rundschreiben definiert als «die Fähigkeit eines Instituts, seine kritischen Funktionen bei Unterbrechungen innerhalb der Unterbrechungstoleranz wiederherstellen zu können.» Für jede kritische Funktion ist ein Inventar zu führen, das mindestens jährlich zu überprüfen und zu aktualisieren ist. Das Vorgehen zur Sicherstellung der operationellen Resilienz ist mindestens jährlich an Verwaltungsrat und Geschäftsleitung zu berichten. Die operationelle Resilienz baut auf einem robusten Management der operationellen Risiken und dem BCM auf und ergänzt diese um die Perspektive der systemrelevanten Funktionen.

Die Swiss Infosec AG unterstützt Sie beim Managen der operationellen Risiken, beim Managen der Geschäftsfortführungsplanung und beim Managen der ausgelagerten Dienstleistungen dahingehend, dass diese zu einer Stärkung der operationellen Resilienz des Instituts beitragen. Dies umfasst die Berichterstattung an die Geschäftsleitung und das Oberleitungsorgan (VR) sowie die regelmässige Identifikation interner / externer Schwachstellen und Bedrohungen. Die daraus resultierenden operationellen Risiken können dann durch die Verantwortlichen der Organisation beurteilt, behandelt, kommuniziert und überwacht werden.

Zudem unterstützen unsere Experten Sie beim Aufbau eines risikobasierenden internen Kontrollsystems (IKS), in welchem die Schlüsselkontrollen bei den kritischen Funktionen, Prozessen und Ressourcen eine zentrale Bedeutung für die operationelle Resilienz der Organisation einnehmen.

Grundsatz 8: Weiterführung von kritischen Dienstleistungen bei der Abwicklung und Sanierung von systemrelevanten Banken

Systemrelevante Banken sollen im Rahmen ihrer Notfallplanung, die für die unterbruchsfreie Weiterführung von systemrelevanten Funktionen nötigen Massnahmen (Art. 9 Abs. 2 Bst. d BankG i.V.m. Art. 60 ff. BankV) treffen. Sie sollen die zur Fortführung der systemrelevanten Funktionen im Fall der Abwicklung, Sanierung oder Restrukturierung notwendigen Dienstleistungen („kritische Dienstleistungen“) identifizieren und sollen die für deren Weiterführung nötigen Massnahmen ergreifen. Dabei sollen sie die in diesem Zusammenhang von internationalen Standardsettern erlassenen Vorgaben berücksichtigen.

Die Swiss Infosec AG kann die systemrelevanten Banken bei der Notfallplanung, die für die unterbruchsfreie Weiterführung von systemrelevanten Funktionen notwendig ist, massgeschneidert unterstützen.

Übergangsbestimmung betreffend dem Grundsatz 7 «Operationelle Resilienz»

Da das Rundschreiben am 1. Januar 2024 in Kraft getreten ist, gelten folgende Fristen:

  • Ab Inkrafttreten (1. Januar 2024): Identifikation der kritischen Funktionen, Definition der Unterbrechungstoleranzen und erste Genehmigungen sowie erste Berichterstattung.
  • Innert 1 Jahr (bis 1. Januar 2025): Erfüllung der Inventar-Anforderungen sowie erste Tests der operationellen Resilienz.
  • Innert 2 Jahren (bis 1. Januar 2026): Sicherstellung der operationellen Resilienz.

Gerne unterstützen wir Sie bei der Umsetzung der Grundsätze zum Rundschreiben.

Kontaktieren Sie uns und erfahren Sie in einem unverbindlichen Beratungsgespräch, was unsere Spezialistinnen und Spezialisten für Sie tun können.

Swiss Infosec AG; aktualisiert 7.5.2026
Kompetenzzentrum Consulting, +41 41 984 12 12, infosec@infosec.ch

Kategorie: Fachartikel Swiss Infosec AG | Risikomanagement
Reto Steinmann
Head of Consulting
Anfrage
Reto Steinmann
Head of Consulting
Anfrage
© Swiss Infosec AG 2026