Das Jahr 2021 bringt für SWIFT-Nutzer zwei Änderungen. Erstens die Notwendigkeit eines Independent Self-Assessments und zweitens eine neue Version des Customer Security Controls Framework (CSCF) in der Version 2022. Während Letzteres eine kalkulierbare Neuerung darstellt, handelt es sich bei Ersterem um eine ernst zu nehmende Verschärfung.

Was sich für BIC-Nutzer im Jahr 2021 ändert

Der Wechsel vom reinen Self-Assessment hin zu einer unabhängigen, in vielen Fällen wahrscheinlich externen Prüfung bietet Potenzial für Überraschungen. Während es bisher möglich war, die Wirksamkeit von implementierten Massnahmen selbst abzuschätzen, ist nun eine unabhängige Sicht auf die vorhandene Risikolandschaft notwendig. Interessant und geradezu wegweisend ist der Ansatz von SWIFT: So wird von unabhängigen Prüfern nicht verlangt, die über 200 detaillierten Kontrollpunkte der Implementation Guidelines zu verifizieren, sondern sie werden dazu angehalten, die Wirksamkeit der gesamten Massnahmen in Bezug auf die Control Objectives zu beurteilen. Die Prüfer müssen sich somit von Checklisten verabschieden und bei der Beurteilung eine hohe Varianz der effektiv getroffenen Massnahmen akzeptieren.

Es steht ausser Frage, dass dieser Schritt wichtig und richtig ist. Unsere Umwelt verändert sich ständig – sei es im Hinblick auf Regulatorik, auf Akteure oder auf Technik. Ob diese Anpassung ausreichend ist, kann jeder BIC-Nutzer in einem Self-Assessment bewerten. Erst der Wechsel zu einem unabhängigen Assessment wird Klarheit schaffen, ob die getroffenen Massnahmen auch tatsächlich dem Risiko angemessen sind. Sollten sie es nicht sein, so stehen den SWIFT-Nutzern dieses Jahr eventuell kostspielige Änderungen bevor, die bisher aufgeschoben wurden. Dazu kommt der Zeitdruck: Bis 31.12.2021 müssen Nutzer ihre Compliance im KYC-SA attestieren, ansonsten werden sie ab 1.1.2022 den zuständigen Behörden gemeldet. Wer also sein Assessment in die zweite Jahreshälfte legt, kann unter Umständen seine Compliance riskieren. Im Falle einer ungenügenden Umsetzung des CSCF müssen Massnahmen projektiert, das Budget organisiert und wo notwendig Dienstleister gefunden werden, die dafür sorgen, dass ein zweites Gap-Assessment so schnell wie möglich durchgeführt werden kann. Dies stellt sowohl aus monetärer wie auch aus zeitlicher Sicht einen erheblichen Unsicherheitsfaktor dar. Zu den dadurch verursachten Kosten kommen noch die Aufwendungen für das Assessment selbst. Je umfangreicher die gewählte Architektur, desto grösser ist der Aufwand für die Durchführung eines Assessments. Wer eine Architektur vom Typ A einsetzt, hat sieben zusätzliche Mandatory Controls gegenüber einem Nutzer, der eine Architektur vom Typ B verwendet. Während bisher Kostenrechnungen manche Nutzer dazu veranlasst haben, den Betrieb in Eigenregie durchzuführen, könnte die Verschärfung dazu führen, dass die Inanspruchnahme eines Service-Büros oder ein Outsourcing an externe Partner attraktiver werden.

Unsere konkreten Handlungsempfehlungen sehen dementsprechend so aus:

  • Suchen Sie sich möglichst zeitnah einen Assessor, der eine ausgewogene Balance zwischen Risiko und Business schafft. Das SWIFT CSCF gibt keine abschliessenden Vorgaben, wie Risiken reduziert werden können. Es besteht also Interpretationsspielraum: Nicht jedes IAM muss erneuert, nicht jedes Rechenzentrum neu gebaut werden.
  • Um den Umfang des Assessments zu reduzieren, können teilweise bestehende Zertifizierungen berücksichtigt werden. Dies muss im Einzelfall geprüft werden.
  • Planen Sie ausreichend Budget ein für möglicherweise notwendige Massnahmen. Dazu gehören auch interne Ressourcen für die Umsetzung. Stellen Sie zudem sicher, dass Ihre Spezialisten verfügbar sind.