Informationssicherheit ISG Informationssicherheit

Das neue Informationssicherheitsgesetz im Fokus!


Das Informationssicherheitsgesetz soll Risiken in kritischen Infrastrukturen minimieren

In seiner Nationalen Strategie zum Schutz der Schweiz vor Cyberrisiken vom 27. Juni 2012 beschreibt der Bundesrat die neuen Bedrohungen, die mit der Entwicklung der Informations- und Kommunikationstechnologien entstehen. Darin erläutert er auch, wie er in Zusammenarbeit mit Behörden, Wirtschaft und den Betreibern von Infrastrukturen, die für das Funktionieren von Gesellschaft, Wirtschaft und Staat unerlässlich sind (sogenannte kritische Infrastrukturen), die entsprechenden Risiken minimieren will.

 

In Umsetzung dieses Vorhabens hat er ein "Bundesgesetz über die Informationssicherheit beim Bund" (Informationssicherheitsgesetz, ISG) ausarbeiten lassen. Am 22. Februar 2017 hat er die Botschaft dazu verabschiedet und den Entwurf dem Parlament vorgelegt.

 

Die Informationssicherheit wird im Informationssicherheitsgesetz (ISG) verankert und dadurch bundesweit gestärkt

Mehrere Angriffe auf Informationssysteme des Bundes haben aufgezeigt, dass die Informationssicherheit beim Bund Lücken aufweist. Diese Lücken sind auch auf unzeitgemässe Rechtsgrundlagen zurückzuführen. Diese Lücken sollen durch das Bundesgesetz über die Informationssicherheit beim Bund (Informationssicherheitsgesetz, ISG) geschlossen werden.

 

Der vorliegende Entwurf des Gesetzes basiert auf international anerkannten Standards, insbesondere ISO 27001. Um die Informationssicherheit beim Bund nachhaltig und wirtschaftlich zu verbessern und um ein möglichst einheitliches Sicherheitsniveau zwischen den Bundesbehörden zu erreichen, legt das Gesetz den Fokus auf die kritischsten Informationen und Systeme sowie auf die Standardisierung der Massnahmen. Nicht zuletzt aufgrund der raschen technologischen Entwicklungen legt das Informationssicherheitsgesetz keine detaillierten Massnahmen fest. Es schafft lediglich einen formell-gesetzlichen Rahmen, auf dessen Grundlage die Bundesbehörden auf Verordnungs- und Weisungsebene die Informationssicherheit möglichst einheitlich konkretisieren werden.

 

Im Entwurf zum neuen Bundesgesetz werden folgende Themen adressiert:

  • Risikomanagement
  • Klassifizierung von Informationen
  • Informatiksicherheit
  • Personensicherheitsprüfungen
  • Sicherheit bei sensitiven Beschaffungen
  • Unterstützung der Betreiber von kritischen Infrastrukturen im Bereich der Informationssicherheit durch den Bund.

 

Das Gesetz soll nach Inkrafttreten nicht ausschliesslich die Bundesbehörden verpflichten, sondern auch weite Teile der Wirtschaft: Alle Organisationen des öffentlichen und privaten Rechts, die kritische Infrastrukturen betreiben, werden sich nach der neuen Rechtsnorm zu richten haben.

Konkret betrifft die neue Gesetzgebung folgende Bereiche:

  • Behörden (diplomatische Vertretungen und Sitze internationaler Organisationen, Forschung und Lehre, Kulturgüter, Parlament, Regierung, Justiz, Verwaltung)
  • Energie (Erdgasversorgung, Erdölversorgung, Stromversorgung, Entsorgung, Abfälle, Abwasser)
  • Finanzen (Banken)
  • Gesundheit (ärztliche Betreuung und Spitäler, Labors)
  • Industrie (Chemie- und Heilmittelindustrie, Maschinen-, Elektro- und Metallindustrie)
  • Information und Kommunikation (Informationstechnologien, Medien, Postverkehr, Telekommunikation
  • Nahrung (Lebensmittelversorgung, Wasserversorgung)
  • Öffentliche Sicherheit (Armee, Blaulichtorganisationen, Zivilschutz)
  • Verkehr (Luftverkehr, Schienenverkehr, Schiffsverkehr, Strassenverkehr)
  • kantonale Behörden, die im Rahmen der Zusammenarbeit mit dem Bund oder beim Vollzug von Bundesrecht klassifizierte Informationen des Bundes bearbeiten oder auf Informatikmittel des Bundes zugreifen.

 

Der Gesetzgebungsprozess verzögert sich

Während im Dezember 2017 der Ständerat das ISG ohne Gegenstimmen verabschiedet hat, nahm der Nationalrat im März 2018 eine ganz andere Haltung ein: Der Rat folgte dem Antrag seiner Sicherheitspolitischen Kommission und beschloss Nichteintreten. Als Argumente wurden unter anderem angeführt, dass mit dem Gesetz ein zu grosser und komplexer Informationsschutzapparat aufgebaut würde, der eine Eigendynamik entfalten und sich zunehmend der Kontrolle des Parlaments entziehen könnte. Somit liegt das Geschäft wieder beim Ständerat.

 

Informationssicherheitsgesetz: Beratung und Unterstützung

Ist Ihr Unternehmen vom Informationssicherheitsgesetz betroffen, wenn dieses in Kraft getreten ist?

Um unsere Kunden optimal beraten zu können, verfolgen wir den Werdegang des neuen Informationssicherheitsgesetzes weiterhin aufmerksam. Gerne beraten wir Sie in der Frage, ob und in welcher Form das ISG, auch Ihr Unternehmen oder Ihre Organisation betreffen könnte.

Kontaktieren Sie uns unter +41 41 984 12 12 oder infosec@infosec.ch, um ein kostenloses Erstgespräch zu vereinbaren.

 

 

 

 

 

Reto Zbinden

E-Mail
Schnellanfrage
Natürlich 100% vertraulich, kostenfrei und unverbindlich!

Informationssicherheit aus einer Hand