Kiteworks | Your Private Data Network

Secure File Sharing and Governance Platfform

Kostenlos testen ERKUNDEN KITEWORKS
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > Was Schweizer Banken über das NIS-2-Management von Drittparteienrisiken wissen müssen

Was Schweizer Banken über das NIS-2-Management von Drittparteienrisiken wissen müssen

von Danielle Barbour updated Februar 17, 2026 Third-Party-Risiko
Lesezeit: 14 Minuten

Der Schweizer Finanzsektor unterliegt einigen der weltweit strengsten Anforderungen an Datenschutz und operative Resilienz. Mit Inkrafttreten der NIS-2-Richtlinie in den Nachbarländern der Europäischen Union stehen Schweizer Banken jedoch vor einer strategischen Entscheidung: Sollen sie NIS 2 als rein ausländische Regulierung betrachten oder dessen Prinzipien des Drittparteien-Risikomanagements als Wettbewerbsvorteil nutzen? Letzteres steht im Einklang mit den bestehenden FINMA-Vorgaben der Schweiz und stärkt zugleich die Abwehr gegen Supply-Chain-Angriffe, die Finanzinstitute bereits Milliarden an Schadensbehebung, Reputationsverlust und verlorenem Kundenvertrauen gekostet haben.

NIS 2 erweitert den Geltungsbereich erfasster Unternehmen, erhöht die Managementverantwortung und schreibt explizite Anforderungen zur Identifizierung, Bewertung und Minderung von Risiken durch Drittparteien vor. Für Schweizer Banken mit EU-Kunden, im grenzüberschreitenden Zahlungsverkehr oder mit Cloud-Infrastruktur und Softwareanbietern mit EU-Präsenz reicht der Einfluss von NIS 2 über die formale Zuständigkeit hinaus. Dieser Artikel erläutert, wie Schweizer Banken die NIS-2-Anforderungen an das Drittparteien-Risikomanagement operationalisieren, in bestehende FINMA-Compliance-Frameworks integrieren und vertrauliche Daten in komplexen Lieferantenökosystemen schützen können.

Executive Summary

NIS 2 verpflichtet Betreiber kritischer Infrastrukturen in der EU, Cybersecurity-Risiken durch Drittparteien, Lieferanten und Dienstleister aktiv zu steuern. Auch wenn die Schweiz außerhalb des EU-Regulierungsrahmens liegt, müssen Schweizer Banken mit grenzüberschreitenden Dienstleistungen, EU-Tochtergesellschaften oder Lieferanten, die NIS 2 unterliegen, die Richtlinie als operativ bindend betrachten. Die Richtlinie verlangt, Lieferantenabhängigkeiten zu erfassen, Sicherheitskontrollen entlang der Lieferkette zu bewerten, vertragliche Sicherheitsvorgaben durchzusetzen und Audit-Trails zur kontinuierlichen Überwachung zu führen. Schweizer Banken, die ihre Drittparteien-Risikoprogramme proaktiv an NIS 2 ausrichten, reduzieren ihre Angriffsfläche für Supply-Chain-Attacken, erfüllen FINMA-Anforderungen an operative Resilienz und stärken ihre Wettbewerbsposition auf EU-Märkten.

wichtige Erkenntnisse

  • Takeaway 1: NIS 2 verpflichtet betroffene Unternehmen zur kontinuierlichen Überwachung von Cybersecurity-Risiken durch Drittparteien – einschließlich Subunternehmern und Cloud Service Providern. Schweizer Banken müssen Risikobewertungen über direkte Lieferanten hinaus auf transitive Abhängigkeiten ausweiten und Sicherheitsanforderungen vertraglich entlang der gesamten Kette durchsetzen.

  • Takeaway 2: Die Managementverantwortung macht Bankvorstände persönlich haftbar für Versäumnisse beim Drittparteien-Risikomanagement. Schweizer Banken müssen Risikobeschlüsse dokumentieren, unveränderliche Audit-Trails führen und nachweisen, dass Cybersecurity-Governance auch Lieferantenbeziehungen umfasst – im Einklang mit FINMA-Rundschreiben 2023/1 zur operativen Resilienz.

  • Takeaway 3: NIS 2 verlangt eine Incident-Response-Benachrichtigung innerhalb von 24 Stunden nach Erkennen eines schwerwiegenden Cybersecurity-Vorfalls mit Auswirkungen auf die Servicekontinuität. Schweizer Banken müssen automatisierte Alarmierungsmechanismen etablieren, die Vorfälle bei Lieferanten erfassen und mit interner Sicherheitstelemetrie korrelieren, um die engen Meldefristen einzuhalten.

  • Takeaway 4: Die Richtlinie schreibt Security-by-Design-Prinzipien für von Drittparteien bezogene Software und Services vor. Schweizer Banken müssen Sicherheitsbewertungen vor Vertragsabschluss durchführen, die Einhaltung anerkannter Standards durch Lieferanten validieren und laufendes Monitoring über Service-Level-Agreements mit messbaren Sicherheitskennzahlen durchsetzen.

  • Takeaway 5: Die extraterritoriale Wirkung von NIS 2 entsteht durch vertragliche Kaskaden und Anforderungen an den Marktzugang. Schweizer Banken mit EU-Kunden oder Partnerschaften mit regulierten EU-Unternehmen unterliegen indirektem Compliance-Druck – proaktive Ausrichtung ist strategisch vorteilhaft gegenüber reaktiver Nachbesserung bei Vertragsverlängerungen.

Warum NIS 2 für Schweizer Banken außerhalb der EU relevant ist

Schweizer Banken agieren in einem von der FINMA geprägten Regulierungsumfeld, das bereits operative Resilienz, Datenschutz und Risikomanagement betont. Das FINMA-Rundschreiben 2023/1 zur operativen Resilienz verlangt, kritische Geschäftsprozesse zu identifizieren, Abhängigkeiten von Drittparteien zu bewerten und Notfallpläne zu führen, die auch Lieferantenausfälle berücksichtigen. Die Anforderungen von NIS 2 an das Drittparteien-Risikomanagement ähneln diesen Vorgaben, gehen aber mit spezifischen technischen Kontrollen, Meldefristen für Vorfälle und Verpflichtungen zur Lieferkettenkartierung über die Schweizer Mindestanforderungen hinaus.

Die praktische Relevanz ergibt sich aus der grenzüberschreitenden Vernetzung der Finanzmärkte. Schweizer Banken wickeln Zahlungen über SWIFT- und TARGET2-Systeme ab, die EU-Infrastruktur berühren. Sie nutzen Cloud Service Provider mit Rechenzentren in mehreren Ländern. Kommt es bei einem Lieferanten zu einem Cybervorfall, wirken sich die Störungen über diese Abhängigkeiten aus – unabhängig vom Hauptsitz der Bank. Ein Ransomware-Angriff auf die EU-Region eines Cloud-Anbieters kann Schweizer Banken von kritischen Anwendungen ausschließen.

EU-Geschäftspartner nehmen zunehmend NIS2-Compliance-Klauseln in Verträge mit Nicht-EU-Partnern auf. Banken, die Servicevereinbarungen mit EU-Korrespondenzbanken, Verwahrstellen und Technologielieferanten abschließen, sehen sich Anforderungen zur Einhaltung der NIS-2-Drittparteienstandards gegenüber. Wer keine gleichwertigen Kontrollen nachweisen kann, riskiert Vertragsverluste und eingeschränkten Marktzugang. Wer NIS 2 als reine Checkliste behandelt, verpasst die Chance, die Resilienz gegenüber realen Bedrohungen durch Lieferantenbeziehungen zu stärken.

Wie Drittparteien-Vorfälle Finanznetzwerke beeinflussen

Supply-Chain-Angriffe nutzen Vertrauensbeziehungen zwischen Unternehmen aus. Angreifer kompromittieren einen Lieferanten mit schwächeren Sicherheitskontrollen und bewegen sich dann seitlich in Kundenumgebungen. Der SolarWinds-Hack zeigte, wie Software-Updates Malware an Tausende von Kunden ausliefern können. Die MOVEit-Sicherheitslücke führte zum Abfluss von Daten bei Finanzinstituten, die einem File-Transfer-Tool vertrauten, ohne dessen Sicherheitslage zu prüfen.

Schweizer Banken tragen ein konzentriertes Risiko, da Finanzdienstleistungen auf wenige spezialisierte Anbieter für Kernfunktionen angewiesen sind. Ein Zahlungsdienstleister kann Transaktionen für Dutzende Banken abwickeln. Wird ein solcher kritischer Anbieter kompromittiert, multipliziert sich der Schaden über die gesamte Kundenbasis. NIS 2 adressiert diese systemische Schwachstelle, indem Banken Lieferantenabhängigkeiten erfassen, Sicherheitskontrollen vor Vertragsabschluss bewerten und die Performance der Lieferanten während der gesamten Zusammenarbeit kontinuierlich überwachen müssen.

Die operative Herausforderung besteht darin, die Überwachung über ein Portfolio von teils Hunderten Drittparteien zu skalieren. Große Schweizer Banken arbeiten mit Softwareanbietern, Infrastrukturprovidern, Beratern, ausgelagerten Servicezentren und spezialisierten Fintech-Partnern. Die Lieferkettenkartierung nach NIS 2 verlangt, diese Beziehungen zu katalogisieren, nach Kritikalität zu klassifizieren und Überwachungsressourcen risikobasiert zuzuweisen. Hochrisiko-Lieferanten mit Zugang zu sensiblen Kundendaten oder kritischen Geschäftsprozessen werden intensiv geprüft – inklusive Vor-Ort-Audits und vertraglicher Sicherheitsverpflichtungen. Niedrigrisiko-Lieferanten unterliegen einer Basisprüfung, die sich am Zugriff und Einfluss orientiert.

Operationalisierung von Lieferantenrisikobewertung und kontinuierlichem Monitoring

NIS 2 verlangt, dass Organisationen nicht nur ihre direkten Drittparteien, sondern auch deren Subunternehmer und Dienstleister kennen. Diese transitive Risikobelastung schafft blinde Flecken, wenn Banken keinen Einblick in die Lieferketten ihrer Anbieter haben. Eine Schweizer Bank kann die Sicherheitskontrollen eines Cloud-Anbieters gründlich prüfen, dessen Abhängigkeit von einem Subunternehmer für Rechenzentrumsbetrieb bleibt jedoch ein unbeachtetes Risiko.

Das Mapping von Supply-Chain-Risiken beginnt mit der Inventarisierung aller Lieferanten, die auf sensible Daten zugreifen, kritische Geschäftsprozesse unterstützen oder mit Kernbankensystemen integriert sind. Banken klassifizieren Lieferanten nach Kritikalität anhand von Kriterien wie Sensibilität der Daten, Auswirkungen auf die Servicekontinuität bei Ausfall und Zugang zu Produktionsumgebungen. Kritische Lieferanten werden einer erweiterten Due Diligence unterzogen, einschließlich Anfragen zu deren eigenen Drittparteien.

Statische Lieferantenbewertungen zum Zeitpunkt des Vertragsabschlusses liefern nur Momentaufnahmen, die mit der Entwicklung der Anbieterumgebungen schnell veralten. Die Anforderung an kontinuierliche Überwachung nach NIS 2 zwingt Banken, das Lieferantenrisiko dynamisch zu beobachten – durch automatisierte Kontrollen, die Veränderungen im Sicherheitsstatus und neue Schwachstellen erkennen. Kontinuierliches Monitoring integriert Plattformen für Lieferantenrisikomanagement mit Threat-Intelligence-Feeds, Security-Rating-Services und automatisierten Fragebögen, die Bewertungen regelmäßig aktualisieren.

Automatisierung skaliert die Überwachung großer Lieferantenportfolios, indem sie Prüfungen nach Risikosignalen priorisiert. Security-Rating-Services aggregieren öffentlich sichtbare Indikatoren wie exponierte Zugangsdaten, offene Ports und bekannte Vorfälle zu Risikobewertungen für jeden Lieferanten. Banken definieren Schwellenwerte, bei deren Unterschreitung eine Überprüfung ausgelöst wird. Die Integration mit Vertragsmanagementsystemen stellt sicher, dass Audit-Rechte rechtzeitig genutzt und Sicherheitsverpflichtungen während der gesamten Vertragslaufzeit durchgesetzt werden.

Vertragliche Sicherheitsanforderungen und deren Durchsetzung

NIS 2 verlangt, dass Organisationen ihren Drittparteien vertragliche Sicherheitsverpflichtungen auferlegen, die dem jeweiligen Risikoprofil entsprechen. Für Schweizer Banken bedeutet dies Service-Level-Agreements mit Vorgaben zu Sicherheitskontrollen, Meldefristen für Vorfälle, Audit-Rechten und Haftungsregelungen bei Sicherheitsverletzungen im Lieferantenumfeld. Verträge müssen die Umsetzung von Verschlüsselungs-Best Practices für Daten während der Übertragung und im ruhenden Zustand fordern, Zugriffskontrollen nach dem Least-Privilege-Prinzip, regelmäßige Schwachstellenanalysen und die Meldung von Sicherheitsvorfällen innerhalb festgelegter Fristen vorschreiben.

Die Durchsetzung erfordert, dass Banken die Compliance der Lieferanten validieren, statt sich auf Vertragsformulierungen zu verlassen. Vor Vertragsabschluss prüfen sie, ob Lieferanten Sicherheitsprogramme nach anerkannten Standards wie ISO 27001, SOC2 oder NIST CSF betreiben. Banken fordern Nachweise wie aktuelle Audit-Berichte, Penetrationstests und Incident-Response-Pläne an. Während der Vertragslaufzeit überwachen sie die Leistung der Lieferanten durch Fragebögen, regelmäßige Audits und die Integration von Lieferantenrisikomanagement-Plattformen, die Kontrollvalidierung automatisieren.

Der Audit-Trail wird im Vorfall entscheidend. Schweizer Banken müssen nachweisen, dass sie vor der Beauftragung angemessene Due Diligence durchgeführt, die Sicherheitslage während der Zusammenarbeit überwacht und bei Lücken gehandelt haben. Die Managementverantwortung nach NIS 2 macht Führungskräfte persönlich haftbar für Versäumnisse. Damit wird das Drittparteien-Risikomanagement zur Governance-Aufgabe auf Vorstandsebene, die dokumentierte Risikobeschlüsse und die Integration in das Enterprise-Risk-Management erfordert.

Erkennung und Meldung von Vorfällen im Lieferantenökosystem

NIS 2 verpflichtet betroffene Unternehmen, innerhalb von 24 Stunden nach Erkennen eines schwerwiegenden Cybersecurity-Vorfalls die zuständigen Behörden zu informieren. Für Schweizer Banken mit komplexen Lieferantenökosystemen ist die Erkennung besonders herausfordernd, da Vorfälle im Umfeld der Drittparteien entstehen und sich als Servicebeeinträchtigungen oder Datenabfluss in den eigenen Systemen manifestieren können. Traditionelles Security-Monitoring fokussiert auf bankeigene Infrastruktur und schafft blinde Flecken, wenn Lieferanten kompromittiert werden und Bankdaten oder kritische Services betroffen sind.

Effektive Vorfallerkennung erweitert die Sammlung von Sicherheitstelemetrie über die Bankgrenzen hinaus, um Ereignisse aus Lieferantenumgebungen zu erfassen. Banken vereinbaren vertraglich, dass Lieferanten Sicherheitsprotokolle, Vorfallmeldungen und Threat-Intelligence zeitnah bereitstellen. Große Anbieter bieten API-Zugänge zu SIEM-Systemen, sodass Banken Lieferantenlogs in zentrale Security Operations Center integrieren können. Kleinere Lieferanten verpflichten sich, Vorfallmeldungen per E-Mail innerhalb weniger Stunden nach Erkennung zu senden, sofern Bankdaten oder Services betroffen sein könnten.

Automatisierte Korrelation verkürzt die Erkennungszeit. SOAR-Plattformen verarbeiten Lieferanten-Feeds zusammen mit internen Alerts aus Endpoint Detection, Netzwerkmonitoring und Cloud-Security-Tools. Korrelationsregeln identifizieren Muster wie Authentifizierungsfehler von Lieferanten-IP-Adressen oder Serviceausfälle während Wartungsfenstern. Wird Lieferantenbeteiligung erkannt, leiten Playbooks die Vorfälle an das Lieferantenrisikoteam weiter, das den Anbieter direkt einbindet, den Umfang prüft und bei Datenabfluss oder Serviceausfall an das Incident-Response-Team eskaliert.

Die kurzen Meldefristen nach NIS 2 erfordern, dass Banken Vorfallinformationen von Lieferanten schneller erhalten als in traditionellen Verträgen vorgesehen. Schweizer Banken, die Verträge an NIS 2 anpassen, verhandeln Benachrichtigungsfenster von Stunden statt Tagen. Kritische Lieferanten mit Zugang zu sensiblen Kundendaten oder Echtzeit-Zahlungsverkehr verpflichten sich, innerhalb von vier Stunden nach Vorfall zu informieren. Niedrigrisiko-Lieferanten akzeptieren 24-Stunden-Fristen gemäß NIS 2.

Schutz sensibler Daten im Austausch mit Drittparteien

Schweizer Banken teilen sensible Kundendaten, Transaktionsinformationen und proprietäre Algorithmen mit Lieferanten, die für die Vertragserfüllung Zugriff benötigen. Jeder Datenaustausch birgt das Risiko, dass der Lieferant Daten falsch handhabt, einen Vorfall erleidet oder Informationen länger speichert als nötig.

Die Security-by-Design-Prinzipien von NIS 2 verlangen, die Datenweitergabe zu minimieren und Informationen über den gesamten Lebenszyklus zu schützen. Banken führen vor dem Teilen von Daten mit Lieferanten Data-Minimization-Assessments durch und identifizieren den minimal erforderlichen Datensatz. Zahlungsdienstleister erhalten Transaktionsbeträge und Kontonummern, aber keine Namen oder Kontaktdaten, sofern dies nicht für die Abwicklung nötig ist. Cloud-Anbieter erhalten verschlüsselte Applikationscontainer, aber keine Entschlüsselungsschlüssel.

Der Schutz geht über Verschlüsselung hinaus und umfasst Zugriffskontrollen, Aufbewahrungsrichtlinien und Löschbestätigungen. Banken verpflichten Lieferanten vertraglich, Daten nach Vertragsende zu löschen oder zurückzugeben, und fordern Nachweise oder Vor-Ort-Kontrollen. Verträge untersagen die Nutzung von Bankdaten für das Training von Machine-Learning-Modellen, die Entwicklung konkurrierender Produkte oder die Erfüllung von Verpflichtungen gegenüber anderen Kunden. Die Compliance wird durch regelmäßige Audits überprüft, die Nachweise zu Datenhandhabung und zur Trennung der Kundenumgebungen verlangen.

Schweizer Banken können Lieferanten kartieren, Risikobewertungen dokumentieren und robuste Verträge verhandeln – diese Governance-Maßnahmen verhindern jedoch keine Datenpannen, wenn Lieferanten Informationen falsch handhaben. Aktiver Schutz erfordert, dass Banken die Kontrolle über sensible Daten auch nach der Weitergabe behalten. Dies geschieht durch technische Kontrollmechanismen, die die Identität des Lieferanten vor jedem Zugriff validieren, die Nutzungsmöglichkeiten einschränken und Zugriffsrechte bei Vertragsende oder verschlechterter Sicherheitslage sofort entziehen.

Wie das Kiteworks Private Data Network Lieferantenkontrollen durchsetzt

Das Private Data Network von Kiteworks bietet Schweizer Banken eine einheitliche Plattform für den sicheren Austausch sensibler Daten mit Drittparteien – bei gleichzeitiger Kontrolle und Transparenz. Anstatt Dateien per E-Mail zu versenden, Dokumente auf Lieferantenportale hochzuladen oder direkten Zugang zu Kernbankensystemen zu gewähren, nutzen Banken Kiteworks, um sichere Kanäle einzurichten, über die Lieferanten nur gezielt und zeitlich begrenzt auf benötigte Informationen zugreifen – gesteuert durch Richtlinien.

Kiteworks setzt zero trust-Prinzipien durch, indem die Identität des Lieferanten während jeder Sitzung kontinuierlich validiert wird. Lieferanten authentifizieren sich per MFA, integriert mit dem Identitätsprovider der Bank. Adaptive Zugriffsrichtlinien bewerten Risikosignale wie Gerätezustand, Netzwerkstandort und Verhaltensanomalien, um Zugriffe dynamisch zu gewähren oder zu verweigern. Banken legen Richtlinien fest, die den Zugriff der Lieferanten auf bestimmte Ordner, Dateitypen oder Zeitfenster gemäß Vertrag beschränken. Nach Vertragsende entziehen Administratoren den Zugriff sofort über alle Kommunikationskanäle hinweg.

Inhaltsbasierte Kontrollen prüfen Daten vor dem Zugriff durch Lieferanten, setzen DLP-Richtlinien durch und schwärzen sensible Felder automatisch. Banken definieren Richtlinien, die Lieferanten die Ansicht von Transaktionsübersichten erlauben, aber Downloads vollständiger Datensätze mit Kundenkennungen blockieren. Wasserzeichen mit eindeutigen IDs ermöglichen die Rückverfolgung von Datenlecks auf bestimmte Lieferantenkonten. Unveränderliche Audit-Logs erfassen jede Lieferantenaktion – von Login-Versuchen über Dateiansichten bis zu Downloads und Weitergaben – und liefern den von NIS 2 geforderten Nachweis kontinuierlicher Überwachung.

Die Integration mit Security-Integrationen wie SIEM-Systemen, SOAR-Plattformen und IT-Service-Management-Tools verankert Kiteworks in übergreifenden Sicherheitsprozessen. Anomalieerkennung benachrichtigt Security-Teams, wenn Lieferanten ungewöhnliche Dateimengen abrufen, gesperrte Inhalte herunterladen oder von unerwarteten Standorten aus zugreifen. Automatisierte Reaktionen sperren Lieferantenkonten bei verdächtigem Verhalten und leiten Incident-Response-Prozesse ein, wenn Richtlinienverstöße auf Kompromittierung hindeuten.

Stärkung der operativen Resilienz und FINMA-Konformität

Die Drittparteien-Anforderungen von NIS 2 stehen im engen Zusammenhang mit dem FINMA-Framework zur operativen Resilienz, das von Schweizer Banken verlangt, die Kontinuität kritischer Geschäftsprozesse auch bei Lieferantenausfällen sicherzustellen. Operative Resilienz geht über Incident Response hinaus und umfasst die proaktive Identifikation von Abhängigkeiten, die Entwicklung von Alternativen bei Ausfall von Lieferanten und eine schnelle Wiederherstellung mit minimalen Auswirkungen auf Kunden.

Notfallplanung identifiziert alternative Lieferanten oder interne Ressourcen, die kritische Drittparteien bei Ausfall ersetzen können. Banken verhandeln vertragliche Datenportabilitätsrechte, um einen schnellen Wechsel zu Alternativanbietern ohne Mitwirkung des Lieferanten zu ermöglichen. Sie halten Kopien kritischer Daten und Konfigurationen in lieferantenneutralen Formaten vor, die alternative Anbieter rasch übernehmen können. Sie dokumentieren Runbooks mit den Schritten zur Aktivierung von Backup-Lieferanten und Migration der Services.

Tests stellen sicher, dass Notfallpläne auch bei sich ändernden Technologiestacks und Lieferantenbeziehungen umsetzbar bleiben. Banken führen Tabletop-Übungen zu Lieferantenausfällen, Datenpannen und Servicebeeinträchtigungen durch, um Lücken in den Abläufen zu erkennen. Sie testen technische Failover-Prozesse, aktivieren Backup-Lieferanten, prüfen die Datensynchronisation und messen die Wiederherstellungszeiten. Die Erkenntnisse werden dokumentiert und der Geschäftsleitung sowie dem Vorstand als Nachweis für die Wirksamkeit des Resilienzprogramms berichtet.

Das FINMA-Rundschreiben 2023/1 verlangt, kritische Geschäftsprozesse zu identifizieren, Abhängigkeiten zu bewerten und Kontrollen zur Aufrechterhaltung der Kontinuität auch bei operativen Vorfällen zu implementieren. Die Drittparteien-Anforderungen von NIS 2 operationalisieren diese Vorgaben, indem sie konkretisieren, wie Banken Lieferantenabhängigkeiten bewerten, welche vertraglichen Regelungen sie treffen und wie sie die Performance der Lieferanten kontinuierlich überwachen sollen. Schweizer Banken können NIS 2 als detaillierten Implementierungsleitfaden für die umfassenderen Resilienzprinzipien der FINMA nutzen.

Audit-Bereitschaft durch unveränderliche Nachweise

Die Managementverantwortung nach NIS 2 und die aufsichtsrechtlichen Erwartungen der FINMA verlangen von Schweizer Banken, dass sie Drittparteienrisiken systematisch und nicht nur reaktiv steuern. Prüfungen bewerten, ob Banken vollständige Lieferanteninventare führen, risikobasierte Due Diligence betreiben, die Performance der Lieferanten kontinuierlich überwachen und Risikobeschlüsse auf geeigneter Governance-Ebene dokumentieren. Audit-Bereitschaft erfordert, diese Aktivitäten in unveränderlichen Aufzeichnungen zu dokumentieren, die Prüfer zur Compliance-Validierung einsehen können.

Die Dokumentationspflichten erstrecken sich über den gesamten Lieferantenlebenszyklus – von der Risikobewertung über Vertragsverhandlung, laufendes Monitoring, Incident Response bis zur Vertragsbeendigung. Banken dokumentieren, wie sie Lieferanten nach Risiko klassifiziert, welche Due Diligence sie vor Vertragsabschluss durchgeführt, welche Sicherheitsverpflichtungen sie vertraglich vereinbart und wie sie die Compliance während der Zusammenarbeit überwacht haben. Bei Vorfällen dokumentieren sie Meldefristen, Impact-Analysen und Maßnahmen zur Behebung.

Unveränderliche Audit-Trails stellen sicher, dass Banken Aufzeichnungen nicht nachträglich manipulieren können, um bei Prüfungen entdeckte Mängel zu verbergen. Blockchain-basierte Protokollierung, Write-Once-Speicher und kryptografische Signaturen bieten technische Manipulationssicherheit. Zentrale Plattformen, die den Lieferantenzugriff auf sensible Daten steuern, erzeugen automatisch umfassende Logs aller Interaktionen – ohne manuellen Dokumentationsaufwand. Diese Logs belegen gegenüber Prüfern, dass Banken Transparenz über Lieferantenaktivitäten hatten, Zugriffskontrollen konsequent durchgesetzt und angemessen reagiert haben, wenn Lieferanten Richtlinien verletzt oder Sicherheitsvorfälle erlitten haben.

Schweizer Banken unterliegen mehreren Compliance-Frameworks, darunter FINMA-Regulierung, Schweizer Datenschutzgesetz, Basel-Committee-Vorgaben und Branchenstandards wie ISO 27001 und NIST Cybersecurity Framework. Statt NIS 2 als separates Compliance-Programm zu behandeln, mappen Banken dessen Anforderungen auf bestehende Kontrollen, identifizieren Lücken, bei denen NIS 2 über bestehende Standards hinausgeht, und priorisieren Nachbesserungen nach Risiko und regulatorischer Erwartung.

Control-Mapping-Übungen zeigen, welche bestehenden Kontrollen NIS-2-Anforderungen erfüllen und wo neue Fähigkeiten nötig sind. Banken vergleichen die Supply-Chain-Risikomanagement-Vorgaben von NIS 2 mit Basel-Committee-Richtlinien zum Outsourcing. Sie vergleichen die Security-by-Design-Prinzipien von NIS 2 mit den FINMA-Vorgaben zum Technologierisiko. Die Mappings werden in Compliance-Matrizen dokumentiert, die als Nachweis bei Prüfungen dienen und Investitionsentscheidungen steuern, wenn mehrere Frameworks ähnliche Kontrollen verlangen, die durch eine technische Umsetzung abgedeckt werden können.

Wettbewerbsvorteile durch proaktives Risikomanagement

Wer NIS 2 nur als Compliance-Bürde betrachtet, verkennt den strategischen Wert. Finanzinstitute konkurrieren um Vertrauen. Kunden wählen Banken in dem Glauben, dass ihre Vermögenswerte und Informationen trotz komplexer Cyberbedrohungen und Technologieabhängigkeiten sicher bleiben. Ein nachweislich robustes Drittparteien-Risikomanagement differenziert Banken in Märkten, in denen Kunden zunehmend die Cybersecurity-Reife vor Mandatsvergabe, Einlagen oder Transaktionen prüfen.

Proaktive Ausrichtung an NIS 2 positioniert Schweizer Banken vorteilhaft bei Verhandlungen mit EU-Geschäftspartnern. Korrespondenzbanken, Verwahrstellen und Zahlungsnetzwerke verlangen gleichwertige Sicherheitsstandards. Schweizer Banken, die umfassende Lieferantenrisikoprogramme dokumentieren, unveränderliche Audit-Trails führen und vertragliche Sicherheitsverpflichtungen durchsetzen, beschleunigen Vertragsverhandlungen, reduzieren Due-Diligence-Aufwand und signalisieren, dass sie operative Risiken systematisch steuern.

Die Kommunikation mit Kunden macht aus dem Drittparteien-Risikomanagement einen Wettbewerbsvorteil statt einer reinen Compliance-Pflicht. Banken erläutern, wie sie Kundendaten bei der Zusammenarbeit mit Lieferanten schützen, welche Kontrollen sie gegen Supply-Chain-Angriffe durchsetzen und wie sie bei Vorfällen reagieren. Sie stellen Kunden Transparenzberichte zu Lieferantenrisikoaktivitäten und Sicherheitskennzahlen zur Verfügung, die kontinuierliche Verbesserungen belegen. Diese Transparenz schafft Vertrauen, dass die Bank Cybersecurity ebenso ernst nimmt wie Kredit- und Marktrisiken.

Fazit

Schweizer Banken mit Aktivitäten in der EU oder EU-Kunden können die NIS-2-Anforderungen an das Drittparteien-Risikomanagement nicht ignorieren. Die extraterritoriale Wirkung der Richtlinie durch vertragliche Kaskaden und Marktzugang macht Compliance strategisch vorteilhaft, auch wenn Schweizer Banken nicht direkt der EU-Aufsicht unterliegen. Wer Lieferantenabhängigkeiten kartiert, vertragliche Sicherheitsverpflichtungen durchsetzt, die Performance der Lieferanten kontinuierlich überwacht und unveränderliche Audit-Trails führt, erfüllt sowohl die FINMA-Vorgaben zur operativen Resilienz als auch die NIS-2-Anforderungen von EU-Geschäftspartnern.

Kiteworks stärkt die Drittparteien-Risikoposition von Banken, indem es den Austausch sensibler Daten in einer gehärteten virtuellen Appliance zentralisiert, in der Banken die Kontrolle behalten. Anstatt Daten in Lieferantensysteme zu kopieren, wo die Transparenz endet, teilen Banken Informationen über Kiteworks-Kanäle, die zero-trust-Zugriff durchsetzen, Inhalte auf Richtlinienverstöße prüfen, unveränderliche Audit-Nachweise erfassen und sich in übergreifende Sicherheitsprozesse integrieren. Diese Architektur reduziert die durch Lieferanten entstehende Angriffsfläche und liefert die Compliance-Dokumentation, die NIS 2 und FINMA verlangen.

Die inhaltsbasierten Kontrollen des Private Data Network setzen Data-Minimization durch, indem sie Lieferanten auf bestimmte Ordner, Dateitypen und Zeitfenster gemäß Vertrag beschränken. Die Integration mit Identitätsprovidern validiert die Lieferantenidentität während jeder Sitzung. Automatisiertes Compliance-Reporting mappt Lieferantenaktivitäten auf regulatorische Anforderungen mehrerer Frameworks gleichzeitig. Bei Vorfällen oder Richtlinienverstößen alarmiert Kiteworks das Security-Team sofort, sperrt den Zugriff automatisch und liefert forensische Nachweise zur Untersuchung und Behebung.

Schweizer Banken, die NIS-2-Prinzipien mit Kiteworks umsetzen, erzielen messbare Ergebnisse: geringere Angriffsfläche durch Lieferanten, schnellere Erkennung und Reaktion auf Vorfälle, Audit-Bereitschaft durch unveränderliche Nachweise und operative Effizienz durch Automatisierung, die das Monitoring großer Lieferantenportfolios skaliert. Diese Fähigkeiten führen direkt zu geringerem regulatorischem Risiko, besserer Wettbewerbsposition und gestärktem Kundenvertrauen – trotz wachsender Bedrohungslage für Supply Chains im Finanzsektor.

Vereinbaren Sie eine individuelle Demo und erleben Sie, wie Kiteworks das Drittparteien-Risikomanagement von Schweizer Banken stärkt

Erfahren Sie mehr und vereinbaren Sie eine individuelle Demo, um zu sehen, wie Kiteworks Schweizer Banken beim sicheren Drittparteien-Datenaustausch, der Durchsetzung NIS-2-konformer Lieferantenkontrollen und dem Nachweis von Audit-Readiness in komplexen Lieferantenökosystemen unterstützt.

Häufig gestellte Fragen

NIS 2 reguliert Schweizer Banken außerhalb der EU zwar nicht direkt, betrifft sie aber durch EU-Tochtergesellschaften, grenzüberschreitende Dienstleistungen und vertragliche Anforderungen von EU-Geschäftspartnern. Schweizer Banken mit EU-Kunden oder Lieferanten, die der EU-Regulierung unterliegen, stehen unter indirektem Compliance-Druck. Proaktive Ausrichtung an NIS-2-Audit- und Drittparteien-Prinzipien erfüllt die FINMA-Anforderungen an operative Resilienz und stärkt zugleich Marktzugang und Wettbewerbsposition auf EU-Finanzmärkten.

NIS 2 führt konkrete Meldefristen von 24 Stunden für Vorfälle ein, verlangt explizite Lieferkettenkartierung inklusive Subunternehmerbewertung und macht das Management persönlich verantwortlich für die Überwachung von Drittparteienrisiken. Das FINMA-Rundschreiben 2023/1 adressiert operative Resilienz umfassend, ist aber weniger spezifisch bei Lieferantensicherheitskontrollen, Meldefristen und Transparenz in der Lieferkette. Schweizer Banken, die eine NIS-2-Gapanalyse durchführen, stärken ihre FINMA-Compliance und übertreffen die Mindestanforderungen.

Banken setzen Lieferantenrisikomanagement-Plattformen ein, die Kontrollvalidierung automatisieren, Security-Rating-Services für kontinuierliche Risikobewertung integrieren und automatisierte Fragebögen je nach Kritikalität skalieren. Hochrisiko-Lieferanten mit Zugang zu sensiblen Daten werden intensiv überwacht, inklusive Vor-Ort-Prüfungen. Niedrigrisiko-Lieferanten erhalten eine Basisprüfung. Zentrale Plattformen wie Kiteworks setzen konsistente Zugriffskontrollen und Audit-Logging unabhängig von der Lieferantenzahl durch und reduzieren so den manuellen Überwachungsaufwand.

Verträge müssen Sicherheitsverpflichtungen nach ISO 27001 oder gleichwertigen Standards, Meldefristen für Vorfälle von vier bis 24 Stunden je nach Kritikalität, Audit-Rechte zur Validierung der Lieferanten-Compliance, Datenportabilitätsklauseln für einen schnellen Anbieterwechsel und Haftungsregelungen für Sicherheitsverletzungen enthalten. Banken sollten verlangen, dass Lieferanten Subunternehmer offenlegen und an regelmäßigen Sicherheitsbewertungen während der Vertragslaufzeit teilnehmen.

Kiteworks zentralisiert den Datenaustausch mit Lieferanten auf einer gehärteten Plattform, die zero-trust-Zugriff, inhaltsbasierte Richtlinien und unveränderliches Audit-Logging durchsetzt. Banken behalten die Kontrolle über sensible Informationen durch zeitlich begrenzte Zugriffsrechte, automatisierte Data-Loss-Prevention und sofortigen Entzug bei Vertragsende. Die Integration mit SIEM-, SOAR- und ITSM-Tools verankert das Lieferantenrisikomanagement in übergreifenden Sicherheitsprozessen. Automatisiertes Compliance-Reporting belegt NIS-2- und FINMA-Konformität mit prüfbaren Nachweisen.

wichtige Erkenntnisse

  1. Extraterritoriale Wirkung von NIS 2. Auch wenn Schweizer Banken außerhalb der EU-Zuständigkeit liegen, betrifft NIS 2 sie durch grenzüberschreitende Dienstleistungen, EU-Tochtergesellschaften und vertragliche Verpflichtungen gegenüber regulierten EU-Unternehmen – Compliance ist daher strategisch wichtig.
  2. Drittparteien-Risikomanagement. NIS 2 verlangt die kontinuierliche Überwachung von Cybersecurity-Risiken durch Drittparteien. Schweizer Banken müssen Lieferantenabhängigkeiten erfassen und Sicherheitskontrollen entlang der gesamten Lieferkette durchsetzen.
  3. Managementverantwortung. Die Richtlinie macht Bankvorstände persönlich haftbar für Versäumnisse beim Drittparteien-Risikomanagement. Dies erfordert dokumentierte Risikobeschlüsse und Audit-Trails im Einklang mit den FINMA-Richtlinien zur operativen Resilienz.
  4. Meldefristen für Vorfälle. NIS 2 verlangt die Meldung von Vorfällen innerhalb von 24 Stunden. Schweizer Banken müssen automatisierte Alarmierung implementieren und Lieferanten-Vorfallmeldungen mit internen Sicherheitssystemen für eine schnelle Reaktion integrieren.

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks