Informationssicherheitsgesetz

Das neue Informationssicherheitsgesetz des Bundes betrifft (fast) alle

Das Informationssicherheitsgesetz soll insbesondere die Risiken kritischer Infrastrukturen minimieren

Im Dezember 2020 haben der National- und der Ständerat das neue Bundesgesetz über die Informationssicherheit beim Bund (Informationssicherheitsgesetz, ISG) verabschiedet. Unter dem Vorbehalt eines erfolgreichen Referendums wird das neue Gesetz wahrscheinlich im Lauf des Jahres 2021 in Kraft treten.

Ziel des Gesetzes ist einerseits die sichere Bearbeitung von Informationen, für die der Bund zuständig ist, anderseits der sichere Einsatz der Informatikmittel des Bundes. Das ISG verpflichtet nicht nur die Bundesbehörden, sondern auch kantonale Behörden und privatrechtliche Unternehmen, die den Bund bei der Wahrnehmung seiner Aufgaben unterstützen. Der Bund sucht somit die enge Zusammenarbeit mit den Kantonen und der Privatwirtschaft, um den aktuellen, ständig zunehmenden Cybergefahren zu begegnen.

Eine besondere Rolle spielen dabei die Betreiber von kritischen Infrastrukturen, d.h. von Infrastrukturen, die für das Funktionieren von Gesellschaft, Wirtschaft und Staat unerlässlich sind. Neben den Bundes- und kantonalen Behörden sowie den staatlichen Sicherheitsorganisationen betrifft dies die Sektoren

  • Energie
  • Entsorgung
  • Finanzen
  • Gesundheit
  • Information und Kommunikation
  • Nahrung
  • Verkehr

somit weite Teile der Privatwirtschaft unseres Landes.

Das neue ISG basiert auf international anerkannten Standards, insbesondere ISO 27001. Um die Informationssicherheit beim Bund nachhaltig und wirtschaftlich zu verbessern und um ein möglichst einheitliches Sicherheitsniveau zwischen den Bundesbehörden zu erreichen, legt das Gesetz den Fokus auf die kritischsten Informationen und Systeme sowie auf die Standardisierung der Sicherheitsmassnahmen.

Nicht zuletzt aufgrund der raschen technologischen Entwicklung legt das ISG keine detaillierten Massnahmen fest. Es schafft lediglich einen formell-gesetzlichen Rahmen, auf dessen Grundlage die Bundesbehörden auf Verordnungs- und Weisungsebene die Informationssicherheit möglichst einheitlich konkretisieren. Im ISG werden insbesondere folgende Themen adressiert:

  • Risikomanagement
  • Klassifizierung von Informationen
  • Informatiksicherheit
  • Personelle Massnahmen
  • Physischer Schutz
  • Identitätsverwaltungs-Systeme (Identity and Access Management; IAM)
  • Personensicherheitsprüfung
  • Betriebssicherheitsverfahren (Vergabe sicherheitsempfindlicher Aufträge an externe Partner)
  • Betrieb kritischer Infrastrukturen

 

Alle Bundes- und kantonalen Behörden, aber auch die privatwirtschaftlichen Unternehmen, die dem Gesetz unterworfen sind, müssen die Vorgaben grundsätzlich bis zum Inkrafttreten des Gesetzes umsetzen. Übergangsfristen sind nur für einzelne Vorgaben vorgesehen. 

 

Informationssicherheitsgesetz: Beratung und Unterstützung

Ist Ihr Unternehmen vom Informationssicherheitsgesetz betroffen, wenn dieses in Kraft getreten ist?

Um unsere Kunden optimal beraten zu können, verfolgen wir den Werdegang des neuen Informationssicherheitsgesetzes weiterhin aufmerksam. Gerne beraten wir Sie in der Frage, ob und in welcher Form das ISG, auch Ihr Unternehmen oder Ihre Organisation betreffen könnte.

Reto-Zbinden

Reto Zbinden
Chief Executive Officer

Anfrage

 

Unverbindliche Anfrage

 

Natürlich 100% vertraulich, kostenfrei und unverbindlich!