31. März 2025

20.03.2025, Enrico Giacoletto

Dieser Beitrag soll einen kurzen Überblick über die wichtigsten Änderungen und neuen Vorschriften in der Schweiz geben, die zu Beginn des Jahres 2025 Auswirkungen auf Banken und Finanzinstitute haben.

Zur Information: Das ISFB organisiert im Mai und Juni 2025 ein Seminar zur Aktualisierung der Vorschriften, das in sechs Module unterteilt ist (Link zur Anmeldung). Im ersten Modul werde ich einen Überblick über die wichtigsten aktuellen Änderungen der Vorschriften geben.

1. Einige Hinweise zu den wichtigen Terminen im Januar 2025

Zu Beginn dieses Beitrags sei auf einige wichtige Änderungen hingewiesen, die am 1. Januar 2025 in Kraft getreten sind: die sechs neuen Verordnungen zur Umsetzung von Basel III Final, die aktualisierte Eigenmittelverordnung (ERV) und das neue FINMA-Rundschreiben 25/02 «Verhaltensregeln nach dem FinSA und der FinSAV». Weitere Informationen zu diesen bereits behandelten Themen finden Sie in den Beiträgen, die Ende 2024 gemeinsam mit dem ISFB veröffentlicht wurden (Link zu Basel III Final und Link zum FINMA-Rundschreiben 25/02).

2. Operative Widerstandsfähigkeit

Ein wichtiges Thema für Banken zu Beginn dieses Jahres ist die Regulierungsinitiative FINMA-Rundschreiben 23/01, die darauf abzielt, die operative Widerstandsfähigkeit der Banken in der Schweiz zu stärken. Die ersten Anforderungen sind im Januar 2024 in Kraft getreten, und diese Vorschriften werden ab dem 1. Januar 2026 vollständig gelten: Das Ende der Übergangsbestimmungen rückt näher.

2.1 Definition

Was versteht man unter operativer Resilienz? Was bezeichnet dieser Begriff? Was beinhaltet er? Die FINMA gibt folgende Definition (FINMA-Rundschreiben 23/01, Randziffer, Rz, 18):

• „Operative Resilienz bezeichnet die Fähigkeit eines Instituts, seine kritischen Funktionen im Falle von Unterbrechungen innerhalb der Grenzen der Unterbrechungstoleranz wiederherzustellen, d. h. die Fähigkeit des Instituts, potenzielle Bedrohungen und Ausfälle zu erkennen, sich davor zu schützen und darauf zu reagieren, den normalen Geschäftsbetrieb im Falle von Unterbrechungen wiederherzustellen und daraus zu lernen, um die Auswirkungen auf die Ausführung kritischer Funktionen zu minimieren […]”

2.2 Hauptziele

Aus dieser regulatorischen Definition des Begriffs der operativen Resilienz leiten sich die von der FINMA festgelegten Erwartungen ab. Zu beachten sind insbesondere die wichtigsten Ziele und Verantwortlichkeiten, die der obersten Geschäftsleitung von Schweizer Finanzinstituten im Bereich der Resilienz obliegen:

• «Das Institut identifiziert seine kritischen Funktionen und deren Toleranz gegenüber Unterbrechungen. Diese werden vom für die oberste Geschäftsleitung zuständigen Organ genehmigt. Darüber hinaus genehmigt und überwacht das für die oberste Geschäftsleitung zuständige Organ regelmässig das Verfahren zur Gewährleistung der operativen Widerstandsfähigkeit. » (FINMA-Rundschreiben 23/01 Rz 101, in Kraft getreten am 1. Januar 2024).
• «Das Institut trifft Massnahmen zur Gewährleistung der operativen Widerstandsfähigkeit unter Berücksichtigung schwerwiegender, aber plausibler Szenarien.» (FINMA-Rundschreiben 23/01 Ziff. 102, tritt am 1. Januar 2026 in Kraft).

Aus diesen Zielen geht hervor, dass eine neue Art von Ereignissen und Situationen berücksichtigt werden muss, deren Art und Dauer kritische Funktionen der Bank gefährden können.

2.3 Bestimmungen und Zeitplan für die Umsetzung

Das Regelwerk zur operationellen Resilienz tritt am 1. Januar 2024 in Kraft, weitere Fristen sind für Januar 2025 und 2026 vorgesehen. Es sei darauf hingewiesen, dass das FINMA-Rundschreiben 23/01 «Operationelle Risiken und Resilienz – Banken» Vereinfachungen und Erleichterungen für kleine Institute vorsieht (Rz 20).

Was die bereits am 1. Januar 2024 in Kraft getretenen Bestimmungen betrifft, wird auf die Bestimmungen der Ziffern 101, 103 und 105 des Rundschreibens verwiesen. So muss die Geschäftsleitung der Bank jedes Jahr das Verfahren zur Gewährleistung der operationellen Widerstandsfähigkeit (cm 101) überprüfen und validieren, aber auch die Berichte über die operationelle Widerstandsfähigkeit des Instituts, insbesondere:

• Die aktuelle Liste der identifizierten kritischen Funktionen (cm 101),
• Die Toleranzschwellen für relevante Unterbrechungen sind zu beachten (cm 103, Anforderung unterliegt der Verhältnismäßigkeit),
• Die jährlichen Berichte zur operativen Widerstandsfähigkeit enthalten (cm 105):
  o wesentliche Kontrollschwächen oder
  o Vorfälle, die die operative Widerstandsfähigkeit beeinträchtigen könnten.

Was die Bestimmungen betrifft, die dieses Jahr am 1. Januar 2025 in Kraft getreten sind, werden hier die Bestimmungen der Ziffern 106 bis 109 des Rundschreibens behandelt. Diese Bestimmungen beziehen sich auf die Modalitäten zur Identifizierung und Bewertung kritischer Funktionen, hatten eine Übergangsfrist von einem Jahr und sind seit dem 1. Januar 2025 in vollem Umfang in Kraft.

Gemäß Artikel 106 müssen die betroffenen Einrichtungen die Risiken der identifizierten kritischen Funktionen bewerten und dabei insbesondere für jede dieser Funktionen Folgendes festlegen:

• interne und externe Bedrohungen und entsprechende ausnutzbare Schwachstellen,
• die daraus resultierenden operativen Risiken, deren Bewertung, die Grenzen und der festgelegte Überwachungsrahmen.

In diesem Zusammenhang verlangt cm 107, dass die Einrichtung ein Verzeichnis ihrer kritischen Funktionen erstellt, auf dem neuesten Stand hält und jährlich überprüft, insbesondere mit:

• die überarbeitete und aktualisierte Liste der kritischen Funktionen,
• die Toleranz gegenüber Unterbrechungen für jede dieser kritischen Funktionen,
• die Verbindungen und Abhängigkeiten zwischen den kritischen Prozessen und den Ressourcen (interne und externe Komponenten), die zur Ausführung jeder der kritischen Funktionen erforderlich sind.

In Ziffer 108 wird ebenfalls betont, dass das Institut die wesentlichen operationellen Risiken sowie die entsprechenden Kontrollen dokumentieren muss.

CM 109 präzisiert die Erwartungen hinsichtlich der Kontinuität kritischer Funktionen und Prozesse: Diese sowie die kritischen Ressourcen (IT-Komponenten, interne und/oder externe Mitarbeiter), die sie unterstützen, müssen Gegenstand von Business Continuity Plans (BCPs) sein. Je nach Größe der Einrichtung müssen regelmäßig Tests durchgeführt werden, um die Fähigkeit zur Ausführung kritischer Funktionen innerhalb der festgelegten Toleranzgrenzen für Unterbrechungen in schwerwiegenden, aber plausiblen Szenarien zu überprüfen.

Bestimmungen, die nächstes Jahr im Januar 2026 in Kraft treten werden

CM 102 legt fest, dass das Institut bei der Festlegung von Maßnahmen zur Gewährleistung der operativen Widerstandsfähigkeit schwerwiegende, aber plausible Szenarien berücksichtigen muss. Diese Anforderung gilt für alle Institute, im Gegensatz zu den folgenden Anforderungen, die der Verhältnismäßigkeit unterliegen.

Der CM 104 verlangt von den betroffenen Einrichtungen, dass sie alle für ein umfassendes Resilienzmanagement relevanten Komponenten gut und ganzheitlich „koordinieren”. Dazu gehören: das Management von IKT-Risiken, Cyberrisiken, Business Continuity Management, Outsourcing und Notfallplanung.

Die Ziffern 111 und 112 betreffen systemrelevante Banken und befassen sich mit der koordinierten Organisation des Notfallplans im Krisenfall (Ziff. 111) und der Aufrechterhaltung kritischer Dienstleistungen im Falle einer Liquidation und Sanierung (Ziff. 112).

3. Weitere wichtige Ankündigungen zu Beginn des Jahres 2025

Nachfolgend finden Sie weitere wichtige Ankündigungen zu Beginn des Jahres 2025. Einige dieser Ankündigungen werden in einem späteren Beitrag ausführlich analysiert werden. Dies gilt insbesondere für die regulatorischen Entwicklungen im Bereich der künstlichen Intelligenz und das Inkrafttreten des FINMA-Rundschreibens 25/04 zur «Konsolidierten Aufsicht über Finanzgruppen nach dem BankG und dem FinIG».

• Die FINMA setzt ihr neues Rundschreiben 25/04 per 1. Juli 2025 in Kraft. Damit legt die Behörde ihre Praxis im Bereich der konsolidierten Aufsicht dar, deren Inhalt bisher nur für Institute galt, die von Einzelentscheiden betroffen waren. Das Rundschreiben «Konsolidierte Aufsicht über Finanzgruppen nach dem BankG und dem FinIA» enthält nützliche Präzisierungen und Klarstellungen für Beaufsichtigte, die wissen möchten, unter welchen Voraussetzungen die Gesellschaften einer Gruppe in die konsolidierte Aufsicht einbezogen werden müssen. Mit diesem Rundschreiben will die FINMA ihre bereits etablierte Praxis im Bereich der konsolidierten Aufsicht über Finanzgruppen nach dem BankG und dem FinIA formalisieren.
• Der Bundesrat hat die Entwürfe für das FATCA-Modell-1-Gesetz und die FATCA-Modell-1-Verordnung in die Vernehmlassung gegeben. Damit sollen die im Juni 2024 mit den Vereinigten Staaten abgeschlossenen Vereinbarungen umgesetzt werden, damit die Schweiz vom FATCA-Meldemodell 2 zum Modell 1 übergehen kann.
• Parallel zur FATCA-Änderung überarbeitet der Rat das Gesetz über den automatischen Informationsaustausch (pLEAR).
• Die Mitteilung des Bundesrats zum Thema Künstliche Intelligenz (KI).

Dieser Beitrag ist das Ergebnis einer redaktionellen Entscheidung und basiert auf den Forschungs- und Regulierungsbeobachtungsarbeiten der Lösung e-Reg.

Enrico Giacoletto, CFA, FRM

easyReg GmbH