Der Bundesrat hat am 8. November 2023 das Informationssicherheitsgesetz (ISG) und seine vier Ausführungsverordnungen per 1. Januar 2024 in Kraft gesetzt. Die vier Verordnungen sind:
- Informationssicherheitsverordnung (ISV)
- Verordnung über die Personensicherheitsprüfungen (VPSP)
- Verordnung über das Betriebssicherheitsverfahren (VBSV)
- Verordnung über Identitätsverwaltungs-Systeme und Verzeichnisdienste des Bundes (IAMV)
Mit dem Informationssicherheitsgesetz (ISG) werden folgende Verordnungen ersetzt:
- Cyberrisikenverordnung (CyRV vom 27. Mai 2020)
- Informationsschutzverordnung (ISchV vom 4. Juli 2007)
Meldepflicht für Cyberangriffe bei kritischen Infrastrukturen (Quelle VBS)
Das Parlament hat am 29. September 2023 eine Änderung des Informationssicherheitsgesetz (ISG) verabschiedet, mit der eine Meldepflicht für Cyberangriffe bei kritischen Infrastrukturen eingeführt wird.
Diese Meldepflicht ist noch nicht in Kraft, da zur Umsetzung dieser Neuerung Ausführungsbestimmungen erarbeitet werden müssen. Voraussichtlich im 1. Halbjahr 2024 wird der Bundesrat dazu eine Vernehmlassung durchführen. Die Planungen sind zurzeit darauf ausgerichtet, dass die Meldepflicht ab 1. Januar 2025 in Kraft tritt.
Das Informationssicherheitsgesetz (ISG) im Überblick
Ziel des Gesetzes ist einerseits die sichere Bearbeitung von Informationen, für die der Bund zuständig ist, anderseits der sichere Einsatz der Informatikmittel des Bundes. Das ISG verpflichtet nicht nur die Bundesbehörden, sondern auch kantonale Behörden und privatrechtliche Unternehmen, die den Bund bei der Wahrnehmung seiner Aufgaben unterstützen.
Infografik Informationssicherheitsgesetz ISG
Kernbereiche des neuen ISG
Nicht zuletzt aufgrund der raschen technologischen Entwicklung legt das ISG keine detaillierten Massnahmen fest. Es schafft lediglich einen formell-gesetzlichen Rahmen, auf dessen Grundlage die Bundesbehörden auf Verordnungs- und Weisungsebene die Informationssicherheit möglichst einheitlich konkretisieren. Im ISG werden insbesondere folgende Themen adressiert:
- Informationssicherheit
- Risikomanagement
- Zusammenarbeit mit Dritten
- Verletzungen der Informationssicherheit (Vorfallmanagement)
- Klassifizierung von Informationen
- IT-Sicherheit (inkl. OT-Sicherheit)
- Personelle Massnahmen
- Physischer Schutz
- Identitätsverwaltungssysteme (Identity and Access Management IAM)
- Personensicherheitsprüfung
- Betriebssicherheitsverfahren (Vergabe sicherheitsempfindlicher Aufträge an externe Partner)
- Betrieb kritischer Infrastrukturen
Bedeutung für Betreiber kritischer Infrastrukturen
Eine besondere Rolle spielen dabei die Betreiber von kritischen Infrastrukturen, d.h. von Infrastrukturen, die für das Funktionieren von Gesellschaft, Wirtschaft und Staat unerlässlich sind. Neben den Bundes- und kantonalen Behörden sowie den staatlichen Sicherheitsorganisationen betrifft dies die Sektoren
- Energie- und Trinkwasserversorgung
- Entsorgung
- Finanzen
- Gesundheit
- Information und Kommunikation
- Nahrung
- Verkehr
- Sicherheit
und somit weite Teile der Privatwirtschaft unseres Landes.
Die Informationssicherheitsverordnung (ISV) im Überblick
Die Informationssicherheitsverordnung (ISV) regelt die Aufgaben, Verantwortlichkeiten und Kompetenzen zur Gewährleistung der Informationssicherheit. Sie definiert, basierend auf dem ISG, eine Sicherheitsorganisation für den Bundesrat, die Departemente und die Verwaltungseinheiten. Dabei wird unterschieden zwischen verantwortlichen und beauftragten Rollen hinsichtlich Informationssicherheit des Bundesrates, der Departemente und der Verwaltungseinheiten sowie der Fachstelle des Bundes für Informationssicherheit, die im neuen Staatsekretariat für Sicherheitspolitik (Sepos) des VBS angegliedert ist. Zusätzlich startet ab 1.1.2024 das Bundesamt für Cybersicherheit (BACS), ehemals Nationales Zentrum für Cybersicherheit (NCSC), welches ebenfalls im VBS angesiedelt wird.
Die ISV regelt die oben definierten Kernbereiche des ISG detailliert. Dabei wurde ein besonderer Fokus auf das Management der Informationssicherheit gelegt und minimale Anforderungen in folgenden Themen definiert:
- Aufbau und Betrieb eines Informationssicherheitsmanagementsystems (ISMS)
- Pflege der Rechtsgrundlagen und vertraglichen Verpflichtungen
- Inventarisierung der Schutzobjekte
- Risikomanagement
- Zusammenarbeit mit Dritten
- Schulung und Sensibilisierung
- Vorfallmanagement
- Kontrollen und Audits
- Berichterstattung
Der gewichtigste Punkt ist der Aufbau eines Informationssicherheitsmanagementsystems (ISMS). Wenn der Aufbau des ISMS nach dem international anerkannten Standard ISO 27001:2022 erfolgt, werden die weiteren, oben genannten Themen direkt in der Umsetzung des Standards angesprochen.
Übergangsfristen
Das ISV definiert folgende Übergangsfristen:
- Bis 31. Dezember 2024: Erstellung des Klassifizierungskatalogs
- Bis 31. Dezember 2025: Durchführung Schutzbedarfsanalyse und Einstufung Informatik gemäss neuem Recht
- Bis 31. Dezember 2026: Aufbau ISMS
Informationssicherheitsgesetz: Beratung und Unterstützung
Wenn Sie sich fragen, ob Ihr Unternehmen von den Bestimmungen des neuen ISG betroffen ist, sind Sie bei uns richtig.
Unsere Leistungen im Überblick:
- Beratung rund um das ISG: Wir verfolgen die Entwicklungen des ISG aufmerksam, um Sie optimal beraten zu können.
- Aufbau eines Informationssicherheitsmanagementsystems (ISMS): Wir verfügen über umfassende Erfahrung im Aufbau und Betrieb von ISMS nach ISO 27001:2022, dies auch auf Bundesebene. Dabei unterstützen wir Sie in der Funktion als Projektleiter, mit einem ganzen Projektteam oder als Berater und Coach.
- Aufbau und Schulung von Sicherheitsorganisationen: Wir bilden die Rollenträger der Sicherheitsorganisationen aus, so dass sie ihre Aufgaben wahrnehmen können.
- Meldepflichten: Wir helfen Ihnen bei der Erarbeitung eines Systems zur Erkennung von Vorfällen und klären, welchen Meldepflichten Sie unterliegen. Dies immer in Abstimmung mit den weiteren gesetzlichen Anforderungen wie z. B. dem Datenschutzgesetz.
- Vertragsmanagement: Beratung und Unterstützung bei der Ausarbeitung von Verträgen mit Dritten, die Informationssicherheitsaspekte berücksichtigen.
- Synergien und Prozessoptimierung: Wir schaffen Nahtstellen zu anderen Vorschriften oder Bereichen der Integralen Sicherheit (Datenschutz, IT-Sicherheit, Business Continuity und Krisenmanagement, physische Sicherheit). Unser Ziel: Prozesse vereinheitlichen und optimieren sowie Synergien zu nutzen.
Kontaktieren Sie uns!
Für alle Fragen rund um das ISG stehen wir Ihnen zur Verfügung. Richten Sie Ihre Anfragen einfach direkt an uns – wir beraten Sie umfassend und kompetent.