Banken unterliegen im Rahmen des BRSA und des Bankengesetzes Nr. 5411 besonderen Cybersicherheitspflichten.
Grundverordnung
- Verordnung über Bankeninformationssysteme
- Entscheidung des BRSA-Verwaltungsrats: Penetrationstestpflicht
- ISO 27001-Zertifizierung (obligatorisch)
- Geschäftskontinuität Plan (BCP)
- Katastrophenplan (DRP)
Penetrationstests
- Müssen jährlich durchgeführt werden
- Meldet BRSA von einem unabhängigen Dritten
Benachrichtigung über Datenschutzverletzungen
Die Bank meldet die Datenschutzverletzung unverzüglich an BRSA und muss ihre Kunden und die KVKK-Behörde benachrichtigen (Art. 12/5).
Künstliche Intelligenz und Algorithmen-Governance
BRSA strebt danach, dass KI-Systeme wie Kreditwürdigkeitsprüfung und Betrugserkennung erklärbar und überprüfbar sind.
Sanktion
- BRSA-Verwaltungsstrafe
- Entzug der Betriebserlaubnis (schwer bei Verstößen)
- KVKK zusätzlich Bußgeld
Anwalt für Bank- und IT-Recht empfohlen.