Interview: Der neue Swiss FS-CSC Leitfaden schafft Orientierung in der Praxis mit der Meldepflicht

Der am 4. Juni 2026 publizierte Leitfaden zur Meldepflicht bei Cyberangriffen des Swiss FS-CSC soll Finanzinstituten Orientierung bieten und sie bei der praktischen Umsetzung unterstützen. Im Interview geben Corinna Eschbach, Legal Counsel & Association Manager bei Swiss FS-CSC, und Sandra Dobler, Legal Advisor for IT Law bei der Banque Lombard Odier & Cie SA, als Leiterinnen des Chapter Regulation & Compliance Einblicke in dessen Entstehung sowie in die Zusammenarbeit im Chapter.

Wie entstand die Idee, einen Leitfaden zur Meldepflicht zu erstellen?

Corinna Eschbach: Auslöser war die Einführung der Meldepflicht im Rahmen der Cybersicherheitsverordnung im April 2025. Damit sind neue Anforderungen für Finanzinstitute in der Schweiz entstanden, die in der Praxis sehr konkret umgesetzt werden müssen. Uns war wichtig, unsere Mitglieder bei der vorhandenen Pluralität von Meldepflichten zu unterstützen und Orientierung zu geben.

Sandra Dobler: Genau, aufgrund der verschiedenen Meldepflichten gegenüber dem BACS, dem EDÖB und der FINMA standen viele Institute vor ähnlichen Fragen: Was ist konkret meldepflichtig? Welche Informationen müssen vorliegen? Wie läuft der Prozess ab? Der Leitfaden soll mehr Klarheit bieten und die Prozesse übersichtlich abbilden.

Wie seid ihr bei der Erarbeitung des Leitfadens vorgegangen?

Sandra Dobler: Wir haben das Thema im Chapter Regulation & Compliance aufgenommen und dann in einer kleineren Arbeitsgruppe gezielt weiterbearbeitet. Wichtig war uns, dass verschiedene Perspektiven aus dem Finanzsektor eingebracht werden.

Corinna Eschbach: Der Prozess war iterativ. Zunächst wurden die relevanten rechtlichen und regulatorischen Vorgaben systematisch zusammengestellt und dann strukturiert aufbereitet. Dabei war ein zentrales Ziel, die Komplexität in eine praxisnahe Form zu überführen – insbesondere in Form einer Übersichtstabelle sowie einer Checkliste als konkrete Arbeitshilfe.

Was waren die grössten Herausforderungen bei der Erstellung?

Corinna Eschbach: Eine zentrale Herausforderung war, die Balance zu finden zwischen einer praxisnahen, übersichtlichen Aufbereitung und der erforderlichen Genauigkeit, insbesondere vor dem Hintergrund unterschiedlicher rechtlicher und regulatorischer Vorgaben. Der Leitfaden soll Orientierung bieten, ohne eine Selbstregulierung zu begründen. Ziel ist es vielmehr, die bestehende rechtliche und regulatorische Praxis der Meldepflicht in der Schweiz transparent und strukturiert abzubilden.

Sandra Dobler: Dazu kam die Frage der Vereinheitlichung: Die Mitgliedsinstitute von Swiss FS-CSC sind unterschiedlich organisiert und arbeiten mit diversen Prozessen. Einen Leitfaden zu entwickeln, der für alle einen Mehrwert bietet, war entsprechend anspruchsvoll. Daher bestand die Herausforderung darin, eine ausgewogene und zugleich praxistaugliche Darstellung zu erarbeiten.

Was ist das übergeordnete Ziel des Leitfadens?

Sandra Dobler: Unser Ziel ist es, mehr Orientierung und Vergleichbarkeit zu schaffen. Dadurch sollen die unterschiedlichen Anforderungen transparenter dargestellt und für die Praxis besser handhabbar gemacht werden.

Corinna Eschbach: Und es geht auch um Effizienz: Gerade im Meldefall sind klare Strukturen entscheidend, um die Umsetzung der Meldepflicht effizient sicherzustellen.

Wie habt ihr die Zusammenarbeit im Chapter bzw. in der Arbeitsgruppe erlebt?

Corinna Eschbach: Sehr konstruktiv und engagiert. Die Mitglieder bringen viel Expertise und Bereitschaft mit, ihr Wissen zu teilen. Das ist eine grosse Stärke des Swiss FS-CSC.

Sandra Dobler: Ich habe die Arbeit als sehr praxisnah empfunden. Die Diskussionen waren konkret und eng an realen Fragestellungen orientiert. Genau das macht solche Formate wertvoll – gemeinsam kommen wir schneller zu umsetzbaren Ergebnissen.

Über das Chapter Regulation & Compliance

Das Chapter Regulation & Compliance ist eine interdisziplinäre Expertengruppe bestehend aus Juristen und Cybersecurityexperten, die einschlägigen Regulierungen im Cyberbereich im nationalen und internationalen Kontext überwacht und bewertet.