EN
Die FINMA verschärft die Erwartungen an die operationelle Resilienz. Ab 2026 müssen Institute ihre kritischen Funktionen, Unterbrechungstoleranzen und Testverfahren nachweislich definiert und implementiert haben.
Mit der FINMA-Aufsichtsmitteilung 05/2025 rückt die Schweizer Finanzmarktaufsicht die operationelle Resilienz endgültig in den Mittelpunkt ihrer Aufsichtspraxis.
Ab 1. Januar 2026 müssen alle Institute – unabhängig von Grösse oder Aufsichtskategorie – konkrete Massnahmen umgesetzt haben, um ihre Widerstandsfähigkeit gegen Störungen zu gewährleisten. Die FINMA-Analyse von 267 Instituten zeigt jedoch: Der Reifegrad variiert stark, und insbesondere bei der Definition kritischer Funktionen, der Unterbrechungstoleranzen sowie der Integration bestehender Rahmenwerke besteht Handlungsbedarf.
Kritische Funktionen: Fokussierung statt Fragmentierung
Laut FINMA liegt die durchschnittliche Zahl identifizierter kritischer Funktionen bei 3,5. Während grössere Institute mehr definieren, überschreiten einige mit bis zu 36 kritischen Funktionen den sinnvollen Rahmen. Die FINMA mahnt zur Klarheit: Eine kritische Funktion ist nicht jeder Prozess, sondern eine Tätigkeit, deren Ausfall unmittelbare Auswirkungen auf Kundinnen, Kunden oder die Stabilität des Finanzmarktes hat.
Viele Institute verwechseln Prozesse (z. B. Backoffice, IT-Betrieb) oder Ressourcen (z. B. Kernbankensystem) mit kritischen Funktionen. Entscheidend ist eine Top-down-Sicht, die strategische Bedeutung und Abhängigkeiten innerhalb der Lieferkette berücksichtigt.
Praxisempfehlung:
Ein belastbares Inventar kritischer Funktionen bildet die Basis für eine ganzheitliche «Front-to-Back»-Sicht, wie sie die FINMA fordert. Dieses Inventar sollte Funktionen, Prozesse, Ressourcen und Interdependenzen transparent abbilden.
Unterbrechungstoleranzen: Von der Technik zur Toleranz des Verwaltungsrats
Die FINMA bemängelt, dass viele Institute ihre Unterbrechungstoleranzen «rückwärts» definieren – ausgehend von der technischen Wiederherstellungsfähigkeit («Reverse Engineering») statt von der Toleranzbereitschaft des obersten Leitungsorgans. Damit wird die Resilienzfrage zu stark operativ, statt strategisch betrachtet.
Die Mehrheit der Institute definiert Unterbrechungstoleranzen zwischen 24 und 72 Stunden. Zu niedrige Werte deuten auf eine Verwechslung mit BCM-Metriken (RTO/RPO) hin, zu hohe auf eine unkritische Funktionsdefinition.
Praxisempfehlung:
Ein durchdachter Governance-Prozess, gestützt auf nachvollziehbare Daten, Visualisierungen und Entscheidungslogik, hilft, Unterbrechungstoleranzen strategisch zu verankern. Die Kombination aus klarer Methodik, strukturierter Dokumentation und passenden Tools schafft Nachvollziehbarkeit und fördert die Einbindung der Geschäftsleitung.
Testing: Von der Cyberabwehr zur End-to-End-Resilienz
85 % der Institute der Aufsichtskategorien 1 bis 3 haben laut FINMA noch kein Testing durchgeführt. Häufig genannte Szenarien sind «erfolgreicher Cyberangriff» oder «Lieferkettenstörung» – doch gerade non-cyberbezogene Bedrohungen bleiben oft ungetestet.
Praxisempfehlung:
Regelmässige, szenariobasierte Tests bilden das Rückgrat einer lernenden Organisation. Der Einsatz strukturierter Testframeworks und geeigneter Plattformen erleichtert die Planung, Durchführung und Auswertung, sodass Ergebnisse direkt in Verbesserungsmassnahmen überführt werden können – ein entscheidender Schritt zur kontinuierlichen Weiterentwicklung.
Rahmenwerk der operationellen Resilienz: Zeit für Integration
Nur 12–15 % der Institute haben laut FINMA bereits ein integriertes Rahmenwerk etabliert, das Risikomanagement, IKT- und Cyberrisiken, BCM, Notfallplanung und Third-Party-Management koordiniert. Damit fehlt in der Mehrheit der Institute noch die organisatorische Basis für einen durchgängigen «Resilience-by-Design»-Ansatz.
Mit Blick auf europäische Entwicklungen wie DORA und die NIS2-Richtlinie (EU) 2022/2555 ist diese Integration unerlässlich. Beide Regelwerke verlangen eine eng verzahnte Steuerung von Cyber-, IT- und operationellen Risiken – ein Paradigmenwechsel vom Silodenken hin zu einer risikobasierten End-to-End-Steuerung.
Praxisempfehlung:
Institute sollten ihr Rahmenwerk für operationelle Resilienz als übergreifendes Steuerungsinstrument verstehen. Dazu gehören:
- Definition geeigneter Kennzahlen (KPIs/KRIs)
- Integration von Risikomanagement, BCM, IKT- und Drittparteiensteuerung
- Automatisierte Überwachung von Abhängigkeiten und Schnittstellen
Von Compliance zu strategischer Resilienz
Operationelle Resilienz ist mehr als eine aufsichtsrechtliche Pflicht – sie ist ein strategischer Erfolgsfaktor. Sie schützt nicht nur vor Ausfällen, sondern erhöht die Fähigkeit, Krisen als Lern- und Anpassungsmöglichkeit zu nutzen. Mit der ab 2026 verbindlichen Umsetzung der FINMA-Vorgaben und der Harmonisierung mit europäischen Standards entsteht für Institute eine einmalige Chance: Resilienz kann zum Differenzierungsmerkmal werden.
Praxisempfehlung:
Eine datengestützte Sicht auf Risiken und Abhängigkeiten erlaubt es, Resilienz aktiv zu steuern. Dashboards, Kennzahlen und Analysen bilden dabei die Grundlage für faktenbasierte Entscheidungen – egal, ob sie mit internen Methoden oder unterstützenden Tools umgesetzt werden.
Wie Technologie helfen kann, ohne Kontrollverlust
Die Umsetzung der Anforderungen an Resilienz, kritische Funktionen und Toleranzdefinitionen ist komplex, besonders, wenn sie über Excel und manuelle Prozesse erfolgt. Viele Institute erkennen, dass Tool-gestützte Ansätze Transparenz, Automatisierung und Nachvollziehbarkeit schaffen. Die GRC Toolbox von Swiss GRC ermöglicht es, kritische Funktionen und Abhängigkeiten systematisch zu erfassen, Unterbrechungstoleranzen zu definieren, Tests zu planen und Ergebnisse zentral auszuwerten – eingebettet in ein übergreifendes Rahmenwerk für operationelle Resilienz.
Dabei steht nicht das Tool im Vordergrund, sondern der Mehrwert: eine End-to-End-Sicht, konsistente Governance und ein nachhaltiger Beitrag zur Resilience-by-Design-Kultur.
Fazit
Die FINMA-Aufsichtsmitteilung 05/2025 markiert einen Meilenstein für die Stärkung der Schweizer Finanzmarktinfrastruktur. Für Institute bedeutet das: Strukturen konsolidieren, Verantwortlichkeiten klären und Resilienz strategisch denken.
DORA, NIS2 und internationale Best Practices zeigen: Resilienz ist kein Projekt – sie ist ein Prinzip. Institute, die heute in eine integrierte, datengetriebene und governance-orientierte Umsetzung investieren, werden langfristig nicht nur regulatorisch konform, sondern auch geschäftlich widerstandsfähig und zukunftssicher aufgestellt sein.
Swiss GRC begleitet Institute bei der Umsetzung regulatorischer Anforderungen an die operationelle Resilienz – von der Identifikation kritischer Funktionen bis zur ganzheitlichen Steuerung. Unsere Expertinnen und Experten verbinden regulatorisches Know-how mit technologischer Umsetzungskompetenz für eine Resilience-by-Design-Kultur, die wirkt. Buchen Sie jetzt einen Termin: swissgrc.com/discoverycall.
