Kiteworks | Your Private Data Network

Secure File Sharing and Governance Platfform

Kostenlos testen ERKUNDEN KITEWORKS
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > Was Schweizer Banken über das NIS-2-Drittparteien-Risikomanagement wissen müssen

Was Schweizer Banken über das NIS-2-Drittparteien-Risikomanagement wissen müssen

von Danielle Barbour updated Februar 17, 2026 Third-Party-Risiko
Lesezeit: 14 Minuten

Der Schweizer Finanzsektor unterliegt einigen der weltweit strengsten Anforderungen an Datenschutz und operative Resilienz. Mit Inkrafttreten der NIS 2-Richtlinie der Europäischen Union in den Nachbarländern stehen Schweizer Banken jedoch vor einer strategischen Entscheidung: Sollen sie NIS 2 als ausländische Regulierung betrachten oder die Prinzipien des Third-Party-Risk-Managements als Wettbewerbsvorteil nutzen? Letzteres steht im Einklang mit den bestehenden FINMA-Vorgaben und stärkt gleichzeitig die Abwehr gegen Supply-Chain-Angriffe, die Finanzinstitute bereits Milliarden an Schadensbehebung, Reputationsverlust und verlorenem Kundenvertrauen gekostet haben.

NIS 2 erweitert den Kreis der betroffenen Unternehmen, erhöht die Managementverantwortung und schreibt explizite Anforderungen zur Identifikation, Bewertung und Minderung von Risiken durch Drittanbieter vor. Für Schweizer Banken, die EU-Kunden betreuen, grenzüberschreitende Zahlungen abwickeln oder auf Cloud-Infrastrukturen und Softwareanbieter mit EU-Präsenz setzen, reicht der Einfluss von NIS 2 über die formale Zuständigkeit hinaus. Dieser Artikel erläutert, wie Schweizer Banken die NIS 2-Anforderungen an das Third-Party-Risk-Management umsetzen, sie in bestehende FINMA-Compliance-Frameworks integrieren und vertrauliche Daten in komplexen Anbieterökosystemen schützen können.

Executive Summary

NIS 2 verpflichtet Betreiber kritischer Infrastrukturen in der EU, Cybersecurity-Risiken durch Drittanbieter, Lieferanten und Dienstleister aktiv zu steuern. Auch wenn die Schweiz außerhalb des EU-Regulierungsrahmens liegt, müssen Schweizer Banken mit grenzüberschreitenden Dienstleistungen, EU-Tochtergesellschaften oder Verträgen mit NIS 2-pflichtigen Anbietern die Richtlinie als faktisch bindend betrachten. Die Richtlinie verlangt, dass Banken Abhängigkeiten von Anbietern erfassen, Sicherheitskontrollen entlang der Lieferkette bewerten, vertragliche Sicherheitsanforderungen durchsetzen und Audit-Trails führen, die eine kontinuierliche Kontrolle belegen. Schweizer Banken, die ihre Third-Party-Risk-Programme proaktiv an NIS 2 ausrichten, reduzieren die Angriffsfläche für Supply-Chain-Attacken, erfüllen die FINMA-Erwartungen an operative Resilienz und stärken ihre Wettbewerbsposition auf EU-Märkten.

wichtige Erkenntnisse

  • Erkenntnis 1: NIS 2 verpflichtet betroffene Unternehmen zur kontinuierlichen Überwachung von Cybersecurity-Risiken durch Drittparteien, einschließlich Subunternehmern und Cloud Service Providern. Schweizer Banken müssen Risikobewertungen über direkte Lieferanten hinaus ausdehnen, transitive Abhängigkeiten erfassen und Sicherheitsanforderungen vertraglich entlang der gesamten Kette durchsetzen.

  • Erkenntnis 2: Die Managementverantwortung macht Bankvorstände persönlich haftbar für Versäumnisse beim Third-Party-Risk-Management. Schweizer Banken müssen Risikobeschlüsse dokumentieren, unveränderbare Audit-Trails führen und nachweisen, dass Cybersecurity-Governance auch für Anbieterbeziehungen gilt – im Einklang mit FINMA-Rundschreiben 2023/1 zur operativen Resilienz.

  • Erkenntnis 3: NIS 2 verlangt eine Vorfallsmeldung innerhalb von 24 Stunden nach Entdeckung eines schwerwiegenden Cybersecurity-Vorfalls mit Auswirkungen auf die Servicekontinuität. Schweizer Banken müssen automatisierte Benachrichtigungsmechanismen etablieren, die Vorfälle von Anbietern erfassen und mit interner Security-Telemetrie korrelieren, um die engen Meldefristen einzuhalten.

  • Erkenntnis 4: Die Richtlinie fordert Security-by-Design-Prinzipien für von Drittparteien bezogene Software und Services. Schweizer Banken müssen vor Vertragsabschluss Sicherheitsbewertungen durchführen, die Einhaltung anerkannter Standards durch Anbieter prüfen und laufende Überwachung über Service Level Agreements mit messbaren Sicherheitskennzahlen sicherstellen.

  • Erkenntnis 5: Die extraterritoriale Wirkung von NIS 2 entsteht durch vertragliche Kaskaden und Anforderungen an den Marktzugang. Schweizer Banken, die EU-Kunden bedienen oder mit EU-regulierten Unternehmen kooperieren, stehen unter indirektem Compliance-Druck. Eine proaktive Ausrichtung ist strategisch vorteilhafter als reaktive Nachbesserung bei Vertragsverlängerungen.

Warum NIS 2 für Schweizer Banken außerhalb der EU relevant ist

Schweizer Banken agieren in einem Regulierungsumfeld, das durch das umfassende FINMA-Aufsichtsregime geprägt ist und bereits operative Resilienz, Datenschutz und Risikomanagement betont. Das FINMA-Rundschreiben 2023/1 zur operativen Resilienz verlangt von Banken, kritische Geschäftsprozesse zu identifizieren, Abhängigkeiten von Drittanbietern zu bewerten und Notfallpläne zu unterhalten, die auch Anbieter-Ausfälle berücksichtigen. Die Anforderungen von NIS 2 an das Third-Party-Risk-Management sind diesen Erwartungen ähnlich, führen jedoch spezifische technische Kontrollen, Meldefristen und Verpflichtungen zur Lieferkettenkartierung ein, die über die Schweizer Mindestanforderungen hinausgehen.

Die praktische Relevanz ergibt sich aus der Vernetzung von Finanznetzwerken über Landesgrenzen hinweg. Schweizer Banken wickeln grenzüberschreitende Zahlungen über SWIFT- und TARGET2-Systeme ab, die EU-Infrastruktur berühren. Sie nutzen Cloud Service Provider mit Rechenzentren in mehreren Ländern. Kommt es bei einem Anbieter zu einem Cybersecurity-Vorfall, breiten sich die Auswirkungen über diese Abhängigkeiten aus – unabhängig vom Sitz der Bank. Ein Ransomware-Angriff auf die EU-Region eines Cloud-Anbieters kann Schweizer Banken von kritischen Anwendungen ausschließen.

EU-Geschäftspartner nehmen zunehmend NIS2-Compliance-Klauseln in Verträge mit Nicht-EU-Partnern auf. Banken, die Serviceverträge mit EU-Korrespondenzbanken, Depotbanken und Technologieanbietern abschließen, sehen sich mit Anforderungen zur Einhaltung der NIS 2-Standards für Third-Party-Risiken konfrontiert. Wer keine gleichwertigen Kontrollen nachweisen kann, riskiert Vertragsverluste und eingeschränkten Marktzugang. Wer NIS 2 nur als Checklistenübung betrachtet, verpasst die Chance, die Resilienz gegen reale Bedrohungen durch Anbieterbeziehungen zu stärken.

Wie sich Vorfälle bei Drittanbietern auf Finanznetzwerke auswirken

Supply-Chain-Angriffe nutzen Vertrauensbeziehungen zwischen Unternehmen aus. Angreifer kompromittieren einen Anbieter mit schwächeren Sicherheitskontrollen und bewegen sich dann seitlich in Kundenumgebungen. Der SolarWinds-Vorfall zeigte, wie Software-Updates Malware an Tausende von Kunden verteilen können. Die MOVEit-Schwachstelle führte dazu, dass Daten von Finanzinstituten kompromittiert wurden, die einem File-Transfer-Tool vertrauten, ohne dessen Sicherheitsniveau zu prüfen.

Schweizer Banken sind besonders exponiert, weil Finanzdienstleistungen auf wenige spezialisierte Anbieter für Kernfunktionen setzen. Ein einzelner Zahlungsdienstleister kann Transaktionen für Dutzende Banken abwickeln. Wird einer dieser kritischen Anbieter kompromittiert, multipliziert sich der Schaden über die gesamte Kundenbasis. NIS 2 begegnet dieser systemischen Schwachstelle, indem Banken Abhängigkeiten erfassen, Sicherheitskontrollen vor Vertragsabschluss bewerten und die Leistung der Anbieter während der gesamten Beziehung kontinuierlich überwachen müssen.

Die operative Herausforderung besteht darin, die Kontrolle über ein Portfolio von Hunderten Drittanbietern zu skalieren. Große Schweizer Banken arbeiten mit Softwareanbietern, Infrastrukturprovidern, Beratern, ausgelagerten Servicezentren und spezialisierten Fintech-Partnern. Die Anforderungen von NIS 2 an die Lieferkettenkartierung zwingen Banken, diese Beziehungen zu katalogisieren, Anbieter nach Kritikalität zu klassifizieren und Kontrollressourcen risikobasiert zuzuweisen. Hochrisiko-Anbieter mit Zugang zu sensiblen Kundendaten oder kritischen Geschäftsprozessen werden intensiv geprüft, einschließlich Vor-Ort-Audits und vertraglicher Sicherheitsverpflichtungen. Geringer eingestufte Anbieter erhalten eine dem Risiko angemessene Basisprüfung.

Operationalisierung von Anbieter-Risikobewertung und kontinuierlicher Überwachung

NIS 2 verlangt von Organisationen, nicht nur direkte Drittanbieterbeziehungen, sondern auch deren Subunternehmer und Dienstleister zu kennen. Diese transitive Risikobelastung schafft blinde Flecken, wenn Banken keine Transparenz über die Lieferketten ihrer Anbieter haben. Eine Schweizer Bank kann die Sicherheitskontrollen eines Cloud-Anbieters gründlich prüfen – doch dessen Abhängigkeit von einem Subunternehmer für den Rechenzentrumsbetrieb birgt ein nicht bewertetes Risiko.

Das Mapping von Supply-Chain-Risiken beginnt mit der Inventarisierung aller Anbieter, die auf sensible Daten zugreifen, kritische Geschäftsprozesse unterstützen oder mit Kernbankensystemen integriert sind. Banken klassifizieren Anbieter nach Kritikalität anhand von Kriterien wie Sensitivität der Daten, Auswirkungen auf die Servicekontinuität bei Ausfall und Zugang zu Produktionsumgebungen. Kritische Anbieter werden einer erweiterten Due Diligence unterzogen, einschließlich Anfragen zu deren eigenen Drittanbieterbeziehungen.

Statische Anbieterbewertungen bei Vertragsabschluss liefern nur Momentaufnahmen, die mit der Entwicklung der Anbieterumgebung schnell veralten. Die kontinuierliche Überwachung nach NIS 2 zwingt Banken, das Risiko dynamisch über automatisierte Kontrollen zu steuern, die Veränderungen im Sicherheitsstatus erkennen und neue Schwachstellen identifizieren. Kontinuierliches Monitoring integriert Anbieter-Risikomanagement-Plattformen mit Threat-Intelligence-Feeds, Security-Rating-Services und automatisierten Fragebögen, die Bewertungen nach festen Zeitplänen aktualisieren.

Automatisierung skaliert die Kontrolle über große Anbieterportfolios, indem sie Prüfungen nach Risikosignalen priorisiert. Security-Rating-Services aggregieren öffentlich sichtbare Indikatoren wie exponierte Zugangsdaten, offene Ports und bekannte Sicherheitsvorfälle zu Risikobewertungen für jeden Anbieter. Banken definieren Schwellenwerte, bei deren Überschreitung eine Überprüfung ausgelöst wird. Die Integration mit Vertragsmanagementsystemen stellt sicher, dass Audit-Rechte vor Ablauf genutzt und Sicherheitsanforderungen während der gesamten Vertragslaufzeit durchgesetzt werden.

Vertragliche Sicherheitsanforderungen und deren Durchsetzung

NIS 2 verlangt, dass Organisationen Drittanbietern vertragliche Sicherheitsverpflichtungen auferlegen, die dem jeweiligen Risiko entsprechen. Für Schweizer Banken bedeutet dies Service Level Agreements, die Sicherheitskontrollen festlegen, Meldefristen für Vorfälle definieren, Audit-Rechte gewähren und Haftungsregelungen für Verstöße aus dem Anbieterumfeld schaffen. Verträge müssen die Umsetzung von Verschlüsselungs-Best Practices für Daten während der Übertragung und im ruhenden Zustand verlangen, Zugriffskontrollen nach dem Least-Privilege-Prinzip vorschreiben, regelmäßige Schwachstellenanalysen fordern und Sicherheitsvorfälle innerhalb definierter Fristen melden lassen.

Die Durchsetzung erfordert, dass Banken die Einhaltung durch Anbieter validieren, statt sich auf Vertragsformulierungen zu verlassen. Vor Vertragsabschluss prüfen Banken, ob Anbieter Sicherheitsprogramme nach anerkannten Standards wie ISO 27001, SOC2 oder NIST CSF betreiben. Sie fordern Nachweise wie aktuelle Audit-Berichte, Penetrationstests und Notfallpläne an. Während der Vertragslaufzeit überwachen Banken die Leistung der Anbieter über Fragebögen, regelmäßige Audits und die Integration mit Anbieter-Risikomanagement-Plattformen, die die Validierung von Kontrollen automatisieren.

Der Audit-Trail wird im Ernstfall entscheidend. Schweizer Banken müssen nachweisen, dass sie vor der Beauftragung angemessene Due Diligence durchgeführt, die Sicherheitslage des Anbieters während der Beziehung überwacht und bei Lücken nachgesteuert haben. Die Managementverantwortung nach NIS 2 macht Führungskräfte persönlich haftbar für Versäumnisse. Damit wird das Third-Party-Risk-Management von einer Compliance-Aufgabe zu einem Governance-Thema auf Vorstandsebene, das dokumentierte Risikobeschlüsse und die Integration in das Enterprise Risk Management verlangt.

Erkennung und Meldung von Vorfällen im Anbieter-Ökosystem

NIS 2 verpflichtet betroffene Unternehmen, erhebliche Cybersecurity-Vorfälle innerhalb von 24 Stunden an die zuständigen Behörden zu melden. Für Schweizer Banken mit komplexen Anbieterökosystemen steigt die Herausforderung, da Vorfälle im Umfeld der Anbieter entstehen und sich als Serviceausfälle oder Datenabflüsse in den eigenen Systemen manifestieren können. Herkömmliche Security-Monitoring-Ansätze fokussieren auf bankeigene Infrastruktur und schaffen blinde Flecken, wenn Anbieter Sicherheitsvorfälle erleben, die Bankdaten offenlegen oder kritische Services beeinträchtigen.

Effektive Vorfallerkennung erweitert die Security-Telemetrie über die Bankgrenzen hinaus, um auch von Anbietern ausgehende Ereignisse zu erfassen. Banken verhandeln vertragliche Regelungen, die Anbieter verpflichten, Sicherheitsprotokolle, Vorfallsmeldungen und Threat Intelligence zeitnah zu teilen. Große Anbieter stellen API-Zugänge zu SIEM-Systemen bereit, damit Banken Anbieter-Logs in zentrale Security Operations Center integrieren können. Kleinere Anbieter verpflichten sich zu E-Mail-Benachrichtigungen innerhalb weniger Stunden nach Feststellung eines relevanten Vorfalls.

Automatisierte Korrelation verkürzt die Erkennungszeit. SOAR-Plattformen verarbeiten Anbieter-Vorfallsmeldungen zusammen mit internen Alerts aus Endpoint Detection, Netzwerküberwachung und Cloud-Security-Tools. Korrelationsregeln identifizieren Muster, die auf Anbieter-Vorfälle hindeuten – etwa Authentifizierungsfehler von Anbieter-IP-Adressen oder Serviceunterbrechungen während Anbieter-Wartungsfenstern. Bei Verdacht auf Anbieterbeteiligung leiten Playbooks den Vorfall an das Vendor-Risk-Team weiter, das den Anbieter kontaktiert, den Umfang prüft und bei Risiken für Kundendaten oder Servicekontinuität das Incident-Response-Team einbindet.

Die kurzen Meldefristen von NIS 2 verlangen, dass Banken Vorfallinformationen von Anbietern schneller erhalten als in klassischen Verträgen üblich. Schweizer Banken, die Verträge an NIS 2 anpassen, verhandeln Benachrichtigungsfristen im Stundenbereich statt Tagen. Kritische Anbieter mit Zugang zu sensiblen Kundendaten oder Echtzeit-Zahlungsabwicklung verpflichten sich, Banken innerhalb von vier Stunden über Vorfälle zu informieren, die Daten gefährden oder Services beeinträchtigen könnten. Geringer eingestufte Anbieter akzeptieren 24-Stunden-Fristen im Einklang mit NIS 2.

Schutz sensibler Daten bei Drittanbietern

Schweizer Banken teilen sensible Kundendaten, Transaktionsinformationen und proprietäre Algorithmen mit Anbietern, die für die Vertragserfüllung Zugriff benötigen. Jeder Datenaustausch birgt das Risiko, dass der Anbieter Daten missbraucht, Opfer eines Vorfalls wird oder Daten länger speichert als nötig.

Die Security-by-Design-Prinzipien von NIS 2 verlangen, dass Banken Datenteilung minimieren und Informationen über den gesamten Lebenszyklus schützen. Vor der Weitergabe führen Banken Data-Minimization-Assessments durch, um das für die Vertragserfüllung erforderliche Mindestmaß an Daten zu bestimmen. Zahlungsdienstleister erhalten Transaktionsbeträge und Kontonummern, aber keine Namen oder Kontaktdaten, sofern dies nicht für die Abwicklung notwendig ist. Cloud-Anbieter erhalten verschlüsselte Applikationscontainer, aber keine Entschlüsselungsschlüssel.

Der Schutz geht über Verschlüsselung hinaus und umfasst Zugriffskontrollen, Aufbewahrungsrichtlinien und Löschbestätigungen. Banken schreiben vertraglich vor, dass Anbieter Daten nach Vertragsende löschen oder zurückgeben und lassen sich dies durch Atteste oder Vor-Ort-Prüfungen bestätigen. Verträge untersagen Anbietern, Bankdaten für das Training von Machine-Learning-Modellen, die Entwicklung konkurrierender Produkte oder die Erfüllung anderer Kundenaufträge zu nutzen. Die Einhaltung wird durch regelmäßige Audits überprüft, bei denen Nachweise über Datenhandling und die Trennung von Kundenumgebungen eingefordert werden.

Schweizer Banken können Anbieter kartieren, Risikobewertungen dokumentieren und robuste Verträge verhandeln – doch diese Governance-Maßnahmen verhindern keine Datenpannen, wenn Anbieter Informationen falsch handhaben. Aktiver Schutz bedeutet, dass Banken auch nach der Weitergabe die Kontrolle über sensible Daten behalten. Dies geschieht durch technische Durchsetzungsmechanismen, die die Identität des Anbieters vor jedem Zugriff prüfen, die Nutzungsmöglichkeiten einschränken und den Zugriff sofort entziehen, wenn Verträge enden oder die Sicherheitslage des Anbieters sich verschlechtert.

Wie das Kiteworks Private Data Network Datenkontrolle bei Drittanbietern durchsetzt

Das Private Data Network von Kiteworks bietet Schweizer Banken eine zentrale Plattform, um sensible Daten mit Drittanbietern zu teilen und dabei kontinuierliche Kontrolle und Transparenz zu behalten. Anstatt Dateien per E-Mail zu versenden, Dokumente auf Anbieterportale hochzuladen oder direkten Zugang zu Kernbankensystemen zu gewähren, nutzen Banken Kiteworks, um sichere Kanäle einzurichten. Anbieter erhalten nur die spezifischen Informationen, die sie benötigen – über zeitlich begrenzte, richtlinienbasierte Zugänge.

Kiteworks setzt zero trust-Prinzipien um, indem die Identität des Anbieters während jeder Sitzung kontinuierlich validiert wird. Anbieter authentifizieren sich über MFA-Mechanismen, die mit den Identitätsprovidern der Bank integriert sind. Adaptive Zugriffspolicies bewerten Risikosignale wie Gerätestatus, Netzwerkstandort und Verhaltensanomalien, um Zugriffe dynamisch zu gewähren oder zu verweigern. Banken legen Richtlinien fest, die Anbieterzugriff auf bestimmte Ordner, Dateitypen oder Zeitfenster gemäß Vertragsbedingungen beschränken. Bei Vertragsende entziehen Administratoren den Zugriff sofort auf allen Kommunikationskanälen.

Content-Aware-Controls prüfen Daten vor dem Zugriff durch Anbieter, setzen DLP-Richtlinien durch, blockieren unautorisierte Transfers und schwärzen sensible Felder automatisch. Banken können Richtlinien definieren, die Anbietern nur die Ansicht von Transaktionsübersichten erlauben, aber den Download vollständiger Datensätze mit Kundenkennungen verhindern. Watermarking versieht Dokumente mit eindeutigen Kennungen, sodass Banken Datenlecks auf bestimmte Anbieter zurückverfolgen können. Unveränderbare Audit-Logs erfassen jede Anbieteraktion – von Login-Versuchen über Dateiansichten bis zu Downloads und Weitergaben an Dritte – und liefern so den von NIS 2 geforderten Nachweis kontinuierlicher Kontrolle.

Die Integration mit Security-Lösungen wie SIEM-Systemen, SOAR-Plattformen und IT-Service-Management-Tools verankert Kiteworks in übergreifende Security-Workflows. Anomalie-Erkennung alarmiert Security-Teams, wenn Anbieter ungewöhnlich viele Dateien abrufen, gesperrte Inhalte herunterladen oder sich von unerwarteten Standorten anmelden. Automatisierte Reaktionen sperren Anbieteraccounts bei verdächtigem Verhalten und leiten Incident-Response-Prozesse ein, wenn Policy-Verstöße auf Kompromittierung hindeuten.

Stärkung der operativen Resilienz und FINMA-Konformität

Die Third-Party-Risk-Anforderungen von NIS 2 stehen im engen Zusammenhang mit dem FINMA-Framework zur operativen Resilienz, das von Schweizer Banken verlangt, die Kontinuität kritischer Geschäftsprozesse auch bei Ausfällen von Anbietern sicherzustellen. Operative Resilienz geht über Incident-Response hinaus und umfasst die proaktive Identifikation von Abhängigkeiten, die Entwicklung von Alternativen bei Ausfall von Anbietern und die schnelle Wiederherstellung mit minimalen Auswirkungen für Kunden.

Notfallplanung identifiziert alternative Anbieter oder interne Ressourcen, die kritische Drittparteien bei Ausfall ersetzen können. Banken verhandeln vertragliche Datenportabilitätsrechte, um einen schnellen Wechsel zu Alternativanbietern ohne Mitwirkung des bisherigen Anbieters zu ermöglichen. Sie halten Kopien kritischer Daten und Konfigurationen in anbieterneutralen Formaten vor, die von Alternativanbietern rasch übernommen werden können. Runbooks dokumentieren die Schritte zur Aktivierung von Backup-Anbietern und Migration der Services.

Tests stellen sicher, dass Notfallpläne auch bei sich wandelnden Technologien und Anbieterbeziehungen funktionieren. Banken führen Tabletop-Übungen zu Anbieter-Ausfällen, Datenpannen und Serviceverschlechterungen durch, um Lücken in den Abläufen zu erkennen. Sie testen technische Failover-Prozesse, aktivieren Backup-Anbieter, prüfen die Datensynchronisation und messen die Wiederherstellungsdauer. Erkenntnisse werden dokumentiert und an das Management und den Vorstand berichtet, um die Wirksamkeit des Resilienzprogramms gegenüber Drittparteirisiken zu belegen.

Das FINMA-Rundschreiben 2023/1 verlangt von Banken, kritische Geschäftsprozesse zu identifizieren, Abhängigkeiten zu bewerten und Kontrollen zu implementieren, die die Kontinuität auch bei operativen Vorfällen sichern. Die Anforderungen von NIS 2 operationalisieren diese Erwartungen, indem sie konkretisieren, wie Banken Anbieterabhängigkeiten bewerten, welche Vertragsklauseln sie verhandeln und wie sie die Leistung der Anbieter kontinuierlich überwachen sollen. Schweizer Banken können NIS 2 als detaillierten Implementierungsleitfaden für die übergeordneten Resilienzprinzipien der FINMA nutzen.

Audit-Readiness durch unveränderbare Nachweise

Die Managementverantwortung nach NIS 2 und die Aufsichtserwartungen der FINMA verlangen von Schweizer Banken, Third-Party-Risiken systematisch und nicht reaktiv zu steuern. Regulatorische Prüfungen bewerten, ob Banken vollständige Anbieterinventare führen, risikobasierte Due Diligence betreiben, die Leistung der Anbieter kontinuierlich überwachen und Risikobeschlüsse auf angemessener Governance-Ebene dokumentieren. Audit-Readiness erfordert, dass diese Aktivitäten in unveränderbaren Aufzeichnungen festgehalten werden, die Prüfer zur Validierung der Compliance einsehen können.

Die Dokumentationspflichten erstrecken sich über den gesamten Anbieterlebenszyklus – von der Risikobewertung über die Vertragsverhandlung, laufende Überwachung, Incident-Response bis zur Vertragsbeendigung. Banken dokumentieren, wie sie Anbieter nach Risiko klassifiziert, welche Due Diligence sie vor Vertragsabschluss durchgeführt, welche Sicherheitsanforderungen sie vertraglich vereinbart und wie sie die Einhaltung während der gesamten Beziehung überwacht haben. Bei Vorfällen dokumentieren sie Meldefristen, Auswirkungen und ergriffene Maßnahmen.

Unveränderbare Audit-Trails stellen sicher, dass Banken Aufzeichnungen nicht nachträglich verändern können, um bei Prüfungen Mängel zu verschleiern. Blockchain-basierte Protokollierung, Write-Once-Speicher und kryptografische Signaturen bieten technische Mechanismen gegen Manipulation. Zentrale Plattformen, die den Anbieterzugriff auf sensible Daten steuern, generieren automatisch umfassende Logs aller Interaktionen – ohne manuellen Aufwand. Diese Logs belegen gegenüber Prüfern, dass Banken Transparenz über Anbieteraktivitäten hatten, Zugriffskontrollen konsequent durchgesetzt und bei Policy-Verstößen oder Sicherheitsvorfällen angemessen reagiert haben.

Schweizer Banken unterliegen mehreren Compliance-Frameworks – darunter FINMA-Regeln, Schweizer Datenschutzgesetz, Basel-Committee-Leitlinien und Branchenstandards wie ISO 27001 und NIST Cybersecurity Framework. Statt NIS 2 als separates Compliance-Programm zu behandeln, mappen Banken die Anforderungen auf bestehende Kontrollen, identifizieren Lücken, wo NIS 2 über bestehende Standards hinausgeht, und priorisieren Nachbesserungen risikobasiert und gemäß regulatorischer Erwartungen.

Control-Mapping-Übungen zeigen, welche bestehenden Kontrollen NIS 2-Anforderungen erfüllen und wo neue Fähigkeiten notwendig sind. Banken vergleichen die Supply-Chain-Risk-Management-Vorgaben von NIS 2 mit den Outsourcing-Leitlinien des Basel Committee. Sie vergleichen die Security-by-Design-Prinzipien von NIS 2 mit den FINMA-Vorgaben zum Technologierisiko. Die Mapping-Dokumentation dient als Nachweis bei Prüfungen und als Entscheidungsgrundlage für Investitionen, wenn mehrere Frameworks ähnliche Kontrollen verlangen, die durch eine technische Umsetzung abgedeckt werden können.

Wettbewerbsvorteil durch proaktives Risikomanagement

Wer NIS 2 nur als Compliance-Bürde betrachtet, verkennt den strategischen Wert. Finanzinstitute konkurrieren um Vertrauen. Kunden wählen Banken, weil sie erwarten, dass ihre Vermögenswerte und Informationen trotz komplexer Technologieabhängigkeiten und Cyberbedrohungen sicher bleiben. Ein robustes Third-Party-Risk-Management differenziert Banken in Märkten, in denen Kunden die Cybersecurity-Reife vor Mandatsvergabe, Einlagen oder Transaktionen prüfen.

Die proaktive Ausrichtung an NIS 2-Prinzipien verschafft Schweizer Banken Vorteile bei Verhandlungen mit EU-Geschäftspartnern. Korrespondenzbanken, Depotbanken und Zahlungsnetzwerke verlangen von Partnern gleichwertige Sicherheitsstandards. Banken, die umfassende Anbieter-Risikoprogramme dokumentieren, unveränderbare Audit-Trails führen und vertragliche Sicherheitsverpflichtungen durchsetzen, beschleunigen Vertragsverhandlungen, reduzieren Due-Diligence-Aufwand und signalisieren, dass sie operationelle Risiken systematisch steuern.

Die Kommunikation mit Kunden macht aus dem Third-Party-Risk-Management einen Wettbewerbsvorteil statt einer defensiven Compliance-Aufgabe. Banken erklären, wie sie Kundendaten bei der Zusammenarbeit mit Anbietern schützen, welche Kontrollen sie zur Abwehr von Supply-Chain-Angriffen durchsetzen und wie sie auf Vorfälle bei Anbietern reagieren. Sie stellen Kunden Transparenzberichte zu Anbieter-Risikoaktivitäten und Sicherheitskennzahlen bereit, die kontinuierliche Verbesserungen belegen. Diese Transparenz stärkt das Vertrauen, dass die Bank Cybersecurity ernst nimmt und Third-Party-Risiken so sorgfältig steuert wie Kredit- und Marktrisiken.

Fazit

Schweizer Banken, die in der EU tätig sind oder EU-Kunden betreuen, können die Anforderungen von NIS 2 an das Third-Party-Risk-Management nicht ignorieren. Die extraterritoriale Wirkung der Richtlinie durch vertragliche Kaskaden und Marktzugang macht Compliance auch ohne direkte EU-Aufsicht strategisch vorteilhaft. Banken, die Anbieterabhängigkeiten erfassen, vertragliche Sicherheitsverpflichtungen durchsetzen, die Leistung der Anbieter kontinuierlich überwachen und unveränderbare Audit-Trails führen, erfüllen sowohl die FINMA-Erwartungen an operative Resilienz als auch die NIS 2-Anforderungen von EU-Geschäftspartnern.

Kiteworks stärkt die Third-Party-Risk-Position von Banken, indem der Austausch sensibler Daten in einer gehärteten virtuellen Appliance zentralisiert wird, in der Banken die Kontrolle behalten. Statt Daten in Anbieterumgebungen zu kopieren, in denen die Transparenz endet, teilen Banken Informationen über Kiteworks-Kanäle, die zero-trust-Zugriff durchsetzen, Inhalte auf Policy-Verstöße prüfen, unveränderbare Audit-Nachweise erfassen und sich in übergreifende Security-Workflows integrieren. Diese Architektur reduziert die durch Anbieter entstehende Angriffsfläche und liefert die Compliance-Dokumentation, die NIS 2 und FINMA verlangen.

Die Content-Aware-Controls des Private Data Network setzen Data-Minimization durch, indem sie Anbieter auf bestimmte Ordner, Dateitypen und Zeitfenster gemäß Vertragsbedingungen beschränken. Die Integration mit Identitätsprovidern validiert die Anbieteridentität während jeder Sitzung. Automatisiertes Compliance-Reporting mappt Anbieteraktivitäten auf regulatorische Anforderungen mehrerer Frameworks gleichzeitig. Bei Vorfällen oder Policy-Verstößen alarmiert Kiteworks Security-Teams sofort, sperrt den Zugriff automatisch und liefert forensische Nachweise für Untersuchung und Behebung.

Schweizer Banken, die NIS 2-Prinzipien mit Kiteworks umsetzen, erzielen messbare Ergebnisse: reduzierte Angriffsfläche durch Anbieter, schnellere Erkennung und Reaktion auf Vorfälle, Audit-Readiness durch unveränderbare Nachweise und operative Effizienz durch Automatisierung, die die Kontrolle über große Anbieterportfolios skaliert. Diese Fähigkeiten führen direkt zu geringerem regulatorischem Risiko, besserer Wettbewerbsposition und gestärktem Kundenvertrauen – trotz zunehmender Bedrohungen für die Lieferketten im Finanzsektor.

Vereinbaren Sie eine individuelle Demo und erfahren Sie, wie Kiteworks das Third-Party-Risk-Management von Schweizer Banken stärkt

Erfahren Sie mehr und vereinbaren Sie eine individuelle Demo, um zu sehen, wie Kiteworks Schweizer Banken beim sicheren Datenaustausch mit Drittanbietern unterstützt, NIS 2-konforme Anbietersteuerung ermöglicht und revisionssichere Compliance-Nachweise über komplexe Anbieterökosysteme hinweg bereitstellt.

Häufig gestellte Fragen

NIS 2 reguliert Schweizer Banken außerhalb der EU nicht direkt, wirkt sich aber über EU-Tochtergesellschaften, grenzüberschreitende Dienstleistungen und vertragliche Anforderungen von EU-Geschäftspartnern aus. Schweizer Banken, die EU-Kunden betreuen oder mit EU-regulierten Anbietern zusammenarbeiten, stehen unter indirektem Compliance-Druck. Die proaktive Ausrichtung auf NIS2-Audit- und Third-Party-Risk-Prinzipien erfüllt die FINMA-Erwartungen an operative Resilienz und stärkt gleichzeitig Marktzugang und Wettbewerbsposition im EU-Finanzmarkt.

NIS 2 führt spezifische Meldefristen von 24 Stunden, explizite Anforderungen an die Lieferkettenkartierung einschließlich Subunternehmerbewertung und persönliche Managementverantwortung für die Überwachung von Third-Party-Risiken ein. Das FINMA-Rundschreiben 2023/1 adressiert operative Resilienz umfassend, ist aber weniger konkret bei Anbietersicherheitskontrollen, Meldefristen und Transparenz in der Lieferkette. Schweizer Banken, die sich an NIS2-Gapanalysen orientieren, stärken ihre FINMA-Compliance und übertreffen die Mindestanforderungen.

Banken setzen Anbieter-Risikomanagement-Plattformen ein, die die Validierung von Kontrollen automatisieren, Security-Rating-Services für kontinuierliche Risikobewertung integrieren und automatisierte Fragebögen je nach Kritikalität des Anbieters konfigurieren. Hochrisiko-Anbieter mit Zugang zu sensiblen Daten werden intensiv überwacht, einschließlich Vor-Ort-Prüfungen. Geringer eingestufte Anbieter erhalten eine Basisprüfung. Zentrale Plattformen wie Kiteworks setzen einheitliche Zugriffskontrollen und Audit-Logging unabhängig von der Anbieteranzahl durch und reduzieren so den manuellen Kontrollaufwand.

Verträge müssen Sicherheitsanforderungen nach ISO 27001 oder gleichwertigen Standards, Meldefristen von vier bis 24 Stunden je nach Kritikalität, Audit-Rechte zur Validierung der Anbieter-Compliance, Datenportabilitätsklauseln für einen schnellen Anbieterwechsel und Haftungsregelungen für Verstöße enthalten. Banken sollten verlangen, dass Anbieter Subunternehmer offenlegen und an regelmäßigen Sicherheitsbewertungen während der Vertragslaufzeit teilnehmen.

Kiteworks zentralisiert den Datenaustausch mit Anbietern auf einer gehärteten Plattform, die zero-trust-Zugriff, Content-Aware-Policies und unveränderbares Audit-Logging durchsetzt. Banken behalten die Kontrolle über sensible Informationen durch zeitlich begrenzte Zugriffsrechte, automatisierte Data-Loss-Prevention und sofortigen Entzug bei Vertragsende. Die Integration mit SIEM-, SOAR- und ITSM-Tools verankert das Anbieter-Risikomanagement in übergreifenden Security-Workflows. Automatisiertes Compliance-Reporting belegt NIS 2- und FINMA-Konformität durch prüfbare Nachweise.

wichtige Erkenntnisse

  1. Extraterritoriale Wirkung von NIS 2. Obwohl Schweizer Banken außerhalb der EU liegen, betrifft NIS 2 sie durch grenzüberschreitende Dienstleistungen, EU-Tochtergesellschaften und vertragliche Verpflichtungen gegenüber EU-regulierten Anbietern – Compliance ist daher strategisch wichtig.
  2. Third-Party-Risk-Überwachung. NIS 2 verlangt die kontinuierliche Überwachung von Cybersecurity-Risiken durch Drittanbieter. Schweizer Banken müssen Anbieterabhängigkeiten erfassen und Sicherheitskontrollen entlang der gesamten Lieferkette durchsetzen.
  3. Managementverantwortung. Die Richtlinie macht Bankvorstände persönlich haftbar für Fehler im Third-Party-Risk-Management. Dies erfordert dokumentierte Risikobeschlüsse und Audit-Trails im Einklang mit den FINMA-Richtlinien zur operativen Resilienz.
  4. Vorfallsmeldefristen. NIS 2 fordert die Meldung von Vorfällen innerhalb von 24 Stunden und zwingt Schweizer Banken, automatisierte Benachrichtigungs- und Korrelationsmechanismen zu implementieren, um Anbieter-Vorfälle schnell zu erkennen und zu bearbeiten.

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks