Ihr Wegweiser für SWIFT CSP- und SIC EPS-Attestierungen im Jahr 2025

In einer immer komplexeren und sich weiterentwickelnden Cyber-Bedrohungslandschaft hat die Sicherheit von Finanztransaktionen für Finanzinstitute weltweit nach wie vor höchste Priorität. Die Society for Worldwide Interbank Financial Telecommunication (SWIFT) spielt eine entscheidende Rolle bei der Gewährleistung sicherer globaler Zahlungsdienste, und ihr Kundensicherheitsprogramm (SWIFT CSP) ist eine wichtige Maßnahme im Kampf gegen Cyberbedrohungen. In den letzten Jahren hat SWIFT seinen Sicherheitsrahmen kontinuierlich durch weitere obligatorische Kontrollen verstärkt und damit die Compliance-Anforderungen für SWIFT-Teilnehmer verschärft. Dies verlangt von den Finanzinstituten, dass sie ihre Cybersicherheitsmaßnahmen regelmäßig aktualisieren. 

In der Schweiz hat die Schweizerische Nationalbank (SNB) weitere Schritte unternommen, um die Cybersicherheit innerhalb des Swiss Interbank Clearing (SIC)-Systems zu erhöhen. Im Jahr 2022 führte die SNB das Endpoint Security Framework (EPS) ein, das darauf abzielt, einen Grundstock an Cybersicherheitskontrollen für alle Teilnehmer des SIC-Systems zu schaffen. Das Rahmenwerk stellt sicher, dass die in der Schweizer Zahlungsinfrastruktur tätigen Finanzinstitute die grundlegenden Sicherheitsanforderungen erfüllen, wodurch Schwachstellen verringert und die allgemeine Widerstandsfähigkeit des Finanzsystems erhöht werden. Im Rahmen dieser Initiative fand 2024 die erste unabhängige Zertifizierung der SIC-EPS-Konformität statt, was einen wichtigen Meilenstein bei der Einführung verbesserter Sicherheitsmaßnahmen darstellt.   

Welche Veränderungen sind für 2025 zu erwarten?  

Mit Blick auf den Bewertungszyklus 2025 bleibt die Vorbereitung der Schlüssel. Im Gegensatz zu den Vorjahren werden für das SWIFT CSP jedoch keine größeren Änderungen erwartet, da keine neuen obligatorischen Kontrollen angekündigt wurden. Dies bietet ein gewisses Maß an Stabilität für Institute, die sich bereits an die neuesten Sicherheitsanforderungen angepasst haben. Allerdings wurden einige Anpassungen in Bezug auf die Bewertung des SWIFT-Architekturtyps vorgenommen, insbesondere in Bezug auf den Architekturtyp B. Dies kann dazu führen, dass Institute ihren Typ neu bewerten und möglicherweise von Architekturtyp B zu Typ A4 wechseln müssen, was entsprechende Konsequenzen hat. 

In der Zwischenzeit hat die Schweizerische Nationalbank im November 2024 ihre Aktualisierungen des SIC EPS-Rahmenwerks für 2025 veröffentlicht. Am Anforderungskatalog von 2024 gibt es, abgesehen von Klarstellungen und Umstellungen, keine wesentlichen Änderungen. Die Institute sollten jedoch die Statusänderung der Kontrolle 7.3.2 "Risikomanagement für Dritte" von "empfohlen" auf "obligatorisch" mit allen damit verbundenen Konsequenzen zur Kenntnis nehmen. Die Institute sollten daher diese neuen Anforderungen sorgfältig prüfen und proaktiv Maßnahmen ergreifen, um die Einhaltung zu gewährleisten.  

Einhaltung der Vorschriften: Wie wir Sie unterstützen  

Die Anforderungen von SWIFT CSP und SIC EPS zu erfüllen, kann ein komplexer Prozess sein, zumal Finanzinstitute eine kontinuierliche Compliance sicherstellen und sich gleichzeitig an die sich entwickelnden Cybersecurity-Bedrohungen anpassen müssen. Seit 2019 unterstützen wir unsere Kunden als unabhängiger Prüfer für SWIFT CSP, und im Jahr 2024 haben wir unsere Dienstleistungen um SIC EPS-Bewertungen erweitert. Unsere Expertise erstreckt sich über verschiedene Branchen, mit einem starken Fokus auf den Finanzsektor, und stellt sicher, dass Organisationen die erforderlichen Sicherheitsstandards effizient und effektiv erfüllen.  

Zu unseren Dienstleistungen gehören ISAE 3000-Kontrollberichte, die Organisationen eine strukturierte und unabhängige Bewertung ihrer Sicherheitskontrollen bieten. Diese Berichte dienen als Grundlage für den Nachweis der Einhaltung der Anforderungen von SWIFT CSP und SIC EPS. Darüber hinaus stellen wir Abschlussbriefe aus, die direkt bei SWIFT und der SNB als offizieller Nachweis für die durchgeführten externen Bewertungen eingereicht werden können.   

Um den Konformitätsprozess weiter zu straffen, bieten sowohl SWIFT CSP als auch SIC EPS die Möglichkeit, jedes zweite Jahr ein Delta-Assessment durchzuführen. Dieser Ansatz ermöglicht es den Institutionen, auf den Bewertungsergebnissen des Vorjahres aufzubauen und so die Kosten und den Aufwand erheblich zu reduzieren, ohne die Sicherheitsstandards zu verletzen.  

Zeitplan für Bescheinigungen für 2025 und nächste Schritte 

Um einen reibungslosen Ablauf des Zertifizierungsprozesses zu gewährleisten, sollten sich die Unternehmen über die wichtigsten Schritte des Bewertungszeitplans im Klaren sein. Der Zertifizierungsprozess sowohl für SWIFT CSP als auch für SIC EPS beginnt in der Regel im Juli, wobei die ersten Bewertungsergebnisse Anfang September vorliegen. Obwohl das SIC EPS-Attest bereits zu Beginn des Jahres begonnen werden könnte, empfehlen wir dringend, beide Atteste gleichzeitig durchzuführen, um die bereits geleistete Attestierungsarbeit zu nutzen.

Die Einrichtungen haben dann die Möglichkeit, alle erforderlichen Abhilfemaßnahmen durchzuführen, bevor sie ihre endgültige Bescheinigung einreichen. Die endgültige Frist für die Fertigstellung läuft Ende Dezember ab, daher ist es von entscheidender Bedeutung, dass die Organisationen ihre Bewertungen rechtzeitig planen und durchführen.  

Angesichts der Bedeutung der Cybersicherheit und der Notwendigkeit, die SWIFT- und SIC-Anforderungen zu erfüllen, ist es wichtig, diesem Thema Priorität einzuräumen. Eine vertrauenswürdige Drittpartei kann einen nahtlosen und effektiven Bescheinigungsprozess sicherstellen, so dass sich die Unternehmen auf die Stärkung der Cybersicherheit konzentrieren können, anstatt sich in letzter Minute mit Compliance-Hürden herumzuschlagen. Dies verbessert die Sicherheit, das Benchmarking und die Gesamteffizienz bei der Einhaltung von Vorschriften und hilft Unternehmen, in einer zunehmend komplexen Cybersicherheitslandschaft die Nase vorn zu haben.