Newsletter Anmeldung

Bleiben Sie mit dem Newsletter immer up to date.

Zur Anmeldung
Anfrage
arrow-to-top
HomeBeratungInformationssicherheitInformationssicherheitsgesetz
Reto Steinmann
Head of Consulting
Anfrage

Das neue Informationssicherheitsgesetz des Bundes betrifft (fast) alle

Meldepflicht für Cyberangriffe bei kritischen Infrastrukturen seit 1. April 2025

Lesen Sie hier mehr über: Das neue Informationssicherheitsgesetz im Überblick, die neue Meldepflicht für Cyberangriffe seit 1. April 2025, die Bedeutung für Betreiber kritischer Infrastrukturen, Übergangsfristen, den Aufbau eines ISMS und wie wir Sie unterstützen können.

Keine News verpassen? Anmeldung zu unseren Informationssicherheits-News

Der Bundesrat hat am 8. November 2023 das Informationssicherheitsgesetz (ISG) und seine vier Ausführungsverordnungen per 1. Januar 2024 in Kraft gesetzt. Die vier Verordnungen sind:

  • Informationssicherheitsverordnung (ISV)
  • Verordnung über die Personensicherheitsprüfungen (VPSP)
  • Verordnung über das Betriebssicherheitsverfahren (VBSV)
  • Verordnung über Identitätsverwaltungs-Systeme und Verzeichnisdienste des Bundes (IAMV)

Mit dem Informationssicherheitsgesetz (ISG) werden folgende Verordnungen ersetzt:

  • Cyberrisikenverordnung (CyRV vom 27. Mai 2020)
  • Informationsschutzverordnung (ISchV vom 4. Juli 2007)

Meldepflicht für Cyberangriffe bei kritischen Infrastrukturen

Seit dem 1. April 2025 müssen Betreiberinnen und Betreiber kritischer Infrastrukturen Cyberangriffe innerhalb von 24 Stunden nach deren Entdeckung dem Bundesamt für Cybersicherheit (BACS) melden.

Dank der Meldepflicht für Cyberangriffe bei kritischen Infrastrukturen erhält das Bundesamt für Cybersicherheit (BACS) eine bessere Übersicht über die in der Schweiz erfolgten Cyberangriffe und die Vorgehensweisen der Angreifer. Die Umsetzung der Meldepflicht ist in der Cybersicherheitsverordnung (CSV) festgelegt, die ebenfalls per 1. April 2025 in Kraft getreten ist.

Die Meldung an das BACS kann auf deren Online-Plattform «Cyber Security Hub» (CSH) durchgeführt werden oder alternativ per E-Mail.

Das Informationssicherheitsgesetz (ISG) im Überblick

Ziel des Gesetzes ist einerseits die sichere Bearbeitung von Informationen, für die der Bund zuständig ist, anderseits der sichere Einsatz der Informatikmittel des Bundes. Das ISG verpflichtet nicht nur die Bundesbehörden, sondern auch kantonale Behörden und privatrechtliche Unternehmen, die den Bund bei der Wahrnehmung seiner Aufgaben unterstützen.

Infografik Informationssicherheitsgesetz ISG

Kernbereiche des neuen ISG

Nicht zuletzt aufgrund der raschen technologischen Entwicklung legt das ISG keine detaillierten Massnahmen fest. Es schafft lediglich einen formell-gesetzlichen Rahmen, auf dessen Grundlage die Bundesbehörden auf Verordnungs- und Weisungsebene die Informationssicherheit möglichst einheitlich konkretisieren. Im ISG werden insbesondere folgende Themen adressiert:

  • Informationssicherheit
  • Risikomanagement
  • Zusammenarbeit mit Dritten
  • Verletzungen der Informationssicherheit (Vorfallmanagement)
  • Klassifizierung von Informationen
  • IT-Sicherheit (inkl. OT-Sicherheit)
  • Personelle Massnahmen
  • Physischer Schutz
  • Identitätsverwaltungssysteme (Identity and Access Management IAM)
  • Personensicherheitsprüfung
  • Betriebssicherheitsverfahren (Vergabe sicherheitsempfindlicher Aufträge an externe Partner)
  • Betrieb kritischer Infrastrukturen

Bedeutung für Betreiber kritischer Infrastrukturen

Eine besondere Rolle spielen dabei die Betreiber von kritischen Infrastrukturen, d.h. von Infrastrukturen, die für das Funktionieren von Gesellschaft, Wirtschaft und Staat unerlässlich sind. Neben den Bundes- und kantonalen Behörden sowie den staatlichen Sicherheitsorganisationen betrifft dies die Sektoren

  • Energie- und Trinkwasserversorgung
  • Entsorgung
  • Finanzen
  • Gesundheit
  • Information und Kommunikation
  • Nahrung
  • Verkehr
  • Sicherheit

und somit weite Teile der Privatwirtschaft unseres Landes.

Die Informationssicherheitsverordnung (ISV) im Überblick

Die Informationssicherheitsverordnung (ISV) regelt die Aufgaben, Verantwortlichkeiten und Kompetenzen zur Gewährleistung der Informationssicherheit. Sie definiert, basierend auf dem ISG, eine Sicherheitsorganisation für den Bundesrat, die Departemente und die Verwaltungseinheiten. Dabei wird unterschieden zwischen verantwortlichen und beauftragten Rollen hinsichtlich Informationssicherheit des Bundesrates, der Departemente und der Verwaltungseinheiten sowie der Fachstelle des Bundes für Informationssicherheit, die im neuen Staatsekretariat für Sicherheitspolitik (Sepos) des VBS angegliedert ist.

Die ISV regelt die oben definierten Kernbereiche des ISG detailliert. Dabei wurde ein besonderer Fokus auf das Management der Informationssicherheit gelegt und minimale Anforderungen in folgenden Themen definiert:

  • Aufbau und Betrieb eines Informationssicherheitsmanagementsystems (ISMS)
  • Pflege der Rechtsgrundlagen und vertraglichen Verpflichtungen
  • Inventarisierung der Schutzobjekte
  • Risikomanagement
  • Zusammenarbeit mit Dritten
  • Schulung und Sensibilisierung
  • Vorfallmanagement
  • Kontrollen und Audits
  • Berichterstattung

Der gewichtigste Punkt ist der Aufbau eines Informationssicherheitsmanagementsystems (ISMS). Wenn der Aufbau des ISMS nach dem international anerkannten Standard ISO 27001:2022 erfolgt, werden die weiteren, oben genannten Themen direkt in der Umsetzung des Standards angesprochen.

Übergangsfristen

Das ISV definiert folgende Übergangsfristen:

  • Bis 31. Dezember 2024: Erstellung des Klassifizierungskatalogs
  • Bis 31. Dezember 2025: Durchführung Schutzbedarfsanalyse und Einstufung Informatik gemäss neuem Recht
  • Bis 31. Dezember 2026: Aufbau ISMS

Informationssicherheitsgesetz: Beratung und Unterstützung

Wenn Sie sich fragen, ob Ihr Unternehmen von den Bestimmungen des neuen ISG betroffen ist, sind Sie bei uns richtig.

Unsere Leistungen im Überblick:

  1. Beratung rund um das ISG: Wir verfolgen die Entwicklungen des ISG aufmerksam, um Sie optimal beraten zu können.
  2. Aufbau eines Informationssicherheitsmanagementsystems (ISMS): Wir verfügen über umfassende Erfahrung im Aufbau und Betrieb von ISMS nach ISO 27001:2022, dies auch auf Bundesebene. Dabei unterstützen wir Sie in der Funktion als Projektleiter, mit einem ganzen Projektteam oder als Berater und Coach.
  3. Aufbau und Schulung von Sicherheitsorganisationen: Wir bilden die Rollenträger der Sicherheitsorganisationen aus, so dass sie ihre Aufgaben wahrnehmen können.
  4. Meldepflichten: Wir helfen Ihnen bei der Erarbeitung eines Systems zur Erkennung von Vorfällen und klären, welchen Meldepflichten Sie unterliegen. Dies immer in Abstimmung mit den weiteren gesetzlichen Anforderungen wie z. B. dem Datenschutzgesetz.
  5. Vertragsmanagement: Beratung und Unterstützung bei der Ausarbeitung von Verträgen mit Dritten, die Informationssicherheitsaspekte berücksichtigen.
  6. Synergien und Prozessoptimierung: Wir schaffen Nahtstellen zu anderen Vorschriften oder Bereichen der Integralen Sicherheit (Datenschutz, IT-Sicherheit, Business Continuity und Krisenmanagement, physische Sicherheit). Unser Ziel: Prozesse vereinheitlichen und optimieren sowie Synergien zu nutzen.
Reto Steinmann
Head of Consulting
Anfrage

Kontaktieren Sie uns!

Für alle Fragen rund um das Informationssicherheitsgesetz ISG stehen wir Ihnen gerne zur Verfügung.

Unverbindliche Anfrage

© Swiss Infosec AG 2025