Landesrecht 9 Wirtschaft - Technische Zusammenarbeit 95 Kredit
Diritto nazionale 9 Economia - Cooperazione tecnica 95 Credito

951.131 Verordnung vom 18. März 2004 zum Bundesgesetz über die Schweizerische Nationalbank (Nationalbankverordnung, NBV)

951.131 Ordinanza del 18 marzo 2004 relativa alla legge federale sulla Banca nazionale svizzera (Ordinanza sulla Banca nazionale, OBN)

Index Inverser les langues Précédent Suivant
Index Inverser les langues

Art. 32a Informationssicherheit

1 Der Betreiber verfügt über einen unternehmensweiten Ansatz und eine geeignete Organisationsstruktur, um das Management der auf die Informationssicherheit ausgerichteten Aufgaben und Aktivitäten zu planen, durchzuführen, zu überwachen und zu verbessern (Informationssicherheitsmanagement).

2 Er legt angemessene Ziele fest hinsichtlich der Verfügbarkeit, Integrität, Vertraulichkeit, Nachvollziehbarkeit, Authentizität, Zurechenbarkeit und Nichtabstreitbarkeit von Informationen, insbesondere der Daten von Geschäften, die über die Finanzmarktinfrastruktur abgerechnet oder abgewickelt werden (Informationssicherheitsziele).

3 Der Betreiber trifft organisatorische und technische Massnahmen, um die Informationssicherheitsziele zu erfüllen, und zwar sowohl im Normalbetrieb als auch während Entwicklungs- und Unterhaltsarbeiten und bei erhöhten Transaktionsvolumen. Insbesondere trifft er Vorkehrungen, um:

a.
unternehmensinterne und externe Bedrohungen für die Informationssicherheit zu identifizieren, zu analysieren und zu bewerten sowie bei Bedarf Schutzmassnahmen umzusetzen;
b.
die physische Sicherheit der Einrichtungen der Informationsverarbeitung zu gewährleisten;
c.
den sicheren und kontinuierlichen Betrieb der Einrichtungen der Informationsverarbeitung zu gewährleisten;
d.
Zugriffe auf Informationen und Einrichtungen der Informationsverarbeitung zu regeln, zu protokollieren und auszuwerten;
e.
Daten vor Verlust, Abfluss, unautorisiertem Zugriff und anderen Verarbeitungsrisiken wie Unachtsamkeit, Betrug, mangelhafter Verwaltung und unangemessener Aufbewahrung zu schützen;
f.
die sichere Speicherung und Übermittlung von sensiblen Daten zu gewährleisten;
g.
die richtige und vollständige Bearbeitung der Geschäfte sicherzustellen;
h.
Geschäfte auf allen wesentlichen Bearbeitungsstufen, insbesondere bei der Eingabe in das Informationsverarbeitungssystem und bei der Ausgabe aus diesem, aufzuzeichnen und zu prüfen;
i.
Eingriffe in das Informationsverarbeitungssystem wie Softwareänderungen oder Änderungen der Parameter aufzuzeichnen und zu überwachen;
j.65
Fehler in der Verarbeitung und Störungen des Informationsverarbeitungssystems zeitnah und standardisiert aufzuzeichnen, auszuwerten, zu beheben und eine Wiederholung zu vermeiden.

4 Er überprüft regelmässig die Angemessenheit und die Einhaltung der Informationssicherheitsziele gemäss Absatz 2.

65 Fassung gemäss Ziff. I der V der SNB vom 26. Nov. 2015, in Kraft seit 1. Jan. 2016 (AS 2015 5307).

Art. 32a Sicurezza dell’informazione

1 L’esercente dispone di un approccio a livello aziendale e di una struttura organizzativa appropriata per pianificare, attuare, sorvegliare e migliorare la gestione delle funzioni e delle attività orientate alla sicurezza dell’informazione (gestione della sicurezza dell’informazione).

2 L’esercente fissa obiettivi adeguati concernenti disponibilità, integrità, confidenzialità, verificabilità, autenticità, tracciabilità e non ripudiabilità di informazioni, e in particolare dei dati relativi a operazioni computate o gestite attraverso l’infrastruttura del mercato finanziario (obiettivi di sicurezza dell’informazione)

3 L’esercente adotta provvedimenti organizzativi e tecnici per conseguire gli obiettivi di sicurezza dell’informazione sia in regime di esercizio normale sia nel corso di lavori di sviluppo e di manutenzione e in periodi di accresciuto volume di transazioni. In particolare esso adotta misure precauzionali al fine di:

a.
identificare, analizzare e valutare minacce interne ed esterne alla sicurezza dell’informazione e attuare, se necessario, opportune misure protettive;
b.
garantire la sicurezza fisica delle istallazioni per l’elaborazione dei dati;
c.
garantire il funzionamento sicuro e continuativo delle istallazioni per l’elaborazione dei dati;
d.
controllare, registrare e valutare l’accesso a informazioni e alle istallazioni per l’elaborazione dei dati;
e.
proteggere i dati dal pericolo di smarrimento, fuga, accesso non autorizzato, nonché da altri rischi connessi con l’elaborazione dei dati, come negligenza, frode, amministrazione carente e stoccaggio inadeguato;
f.
garantire la memorizzazione e la trasmissione sicura di dati sensibili;
g.
garantire il trattamento corretto e completo delle operazioni;
h.
registrare e verificare le operazioni in tutte le fasi importanti del trattamento, e in particolare all’ingresso nel sistema di elaborazione dei dati e all’uscita da quest’ultimo.
i.
registrare e sorvegliare gli interventi al sistema di elaborazione dei dati, come modifiche del software o dei parametri;
j.65
registrare, valutare prontamente e in forma standardizzata e correggere eventuali errori nel trattamento delle operazioni e disfunzioni nel sistema di elaborazione dei dati, nonché evitare che si ripresentino.

4 L’esercente verifica regolarmente l’appropriatezza e il conseguimento degli obiettivi di sicurezza dell’informazione di cui al capoverso 2.

65 Nuovo testo giusta il n. I dell’O della BNS del 26 nov. 2015, in vigore dal 1° gen. 2016 (RU 2015 5307).

 

Dies ist keine amtliche Veröffentlichung. Massgebend ist allein die Veröffentlichung durch die Bundeskanzlei.
Il presente documento non è una pubblicazione ufficiale. Fa unicamente fede la pubblicazione della Cancelleria federale. Ordinanza sulle pubblicazioni ufficiali, OPubl.