Das neue Informationssicherheitsgesetz (ISG) der Schweiz

Sarah Linke
Rechtsanwältin

Das Bundesgesetz über die Informationssicherheit beim Bund (Informationssicherheitsgesetz – ISG) und dessen Revisionen sind ein bedeutender Schritt zur Stärkung der Informationssicherheit in der Schweiz. Das ISG wurde entwickelt, um den Schutz sensibler Daten vor Cyberangriffen und anderen Bedrohungen zu verbessern. Es bringt eine Reihe von Anforderungen und Pflichten mit sich, die betroffene Behörden und Organisationen erfüllen müssen.

Hintergrund des ISG und seiner Revisionen

Das ISG und dessen Revisionen wurden als Reaktion auf die wachsende Zahl von Cyberangriffen und die zunehmende Abhängigkeit von digitalen Systemen in der Schweiz entwickelt. Das Gesetz basiert auf internationalen Standards der Informationssicherheit, insbesondere der ISO 27001, und hat zum Ziel, die schweizerische Informationsinfrastruktur zu stärken.

Das Hauptziel des ISG ist es damit, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen in der Schweiz zu gewährleisten. Das ISG legt die grundlegenden Anforderungen an den Schutz von Informationen fest und schafft einen Rahmen für die Zusammenarbeit zwischen Behörden, Unternehmen und der Bevölkerung bei der Bekämpfung von Cyberbedrohungen.

Das ISG wurde bereits 2020 verabschiedet. Um auf dem neuesten Stand der Cyber-Sicherheit zu sein, erhielt des ISG deswegen bereits eine Revision und wurde nun erneut geändert.

Am 1. Januar 2024 sind das ISG und vier Ausführungsbestimmungen in Kraft getreten.

Die vier Ausführungsbestimmungen sind:

  • Informationssicherheitsverordnung (ISV)
  • Verordnung über die Personensicherheitsprüfungen (VPSP)
  • Verordnung über das Betriebssicherheitsverfahren (VBSV)
  • Verordnung über Identitätsverwaltungs-Systeme und Verzeichnisdienste des Bundes (IAMV)

Durch das Inkrafttreten des Informationssicherheitsgesetzes (ISG) wurden folgende Verordnungen ersetzt:

  • Cyberrisikenverordnung (CyRV vom 27. Mai 2020)
  • Informationsschutzverordnung (ISchV vom 4. Juli 2007)

Geltungsbereich des ISG

Eine enge Zusammenarbeit mit den Kantonen und der Privatwirtschaft wird angestrebt, um den aktuellen, wachsenden Cybergefahren entgegenzuwirken. Nicht nur die Bundesbehörden, sondern auch kantonale Behörden und privatrechtliche Unternehmen, die den Bund bei der Erfüllung seiner Verpflichtungen unterstützen, sind durch das ISG verpflichtet. Die Betreiber von kritischen Infrastrukturen, also Infrastrukturen, die für das Funktionieren von Gesellschaft, Wirtschaft und Staat von Bedeutung sind, fallen ebenfalls unter den Anwendungsbereich. Dies umfasst die Bereiche:

  • Energie,
  • Entsorgung,
  • Finanzen,
  • Gesundheit,
  • Information und Kommunikation,
  • Nahrung und Verkehr.

Die verpflichteten Behörden und Organisationen müssen zudem sicherstellen, dass Dritte und Dienstleister, mit denen sie zusammenarbeiten, vertraglich verpflichtet sind, Massnahmen nach dem ISG umzusetzen und ein sicheres Betriebsumfeld zu gewährleisten (Art. 9 ISG).

Schlüsselbestimmungen des ISG

Das ISG umfasst verschiedene Bestimmungen (Art. 6-23 ISG) zum Aufbau eines Informationssicherheits-Managementsystems (ISMS):

  • Betroffene Behörden und Organisationen müssen Informationen, die sie verarbeiten, identifizieren, ihren Schutzbedarf beurteilen (Art. 6 ISG) und klassifizieren (Art. 11-15 ISG).
  • Es muss sichergestellt sein, dass angemessene Schutzmassnahmen ergriffen werden, um diese Informationen vor unbefugtem Zugriff, Verlust, Störung oder Missbrauch zu schützen (Art. 6-10 ISG).
  • Die verpflichteten Behörden und Organisationen müssen dafür sorgen, dass Risiken für die Informationssicherheit laufend beurteilt werden (Art. 8 ISG).
  • Beim Einsatz von Informatikmitteln (das sind laut Art. 5 ISG Anwendungen, Informationssysteme und Datensammlungen sowie Einrichtungen, Produkte und Dienste, die zur elektronischen Verarbeitung von Informationen dienen) muss ein Sicherheitsverfahren zur Gewährleistung der Informationssicherheit vorhanden sein. Informatikmitteln ist eine Sicherheitsstufe (Grundschutz, hoher Schutz, sehr hoher Schutz) zuzuordnen. Diese Sicherheitsstufen definieren jeweils die Mindestanforderungen und Sicherheitsmassnahmen (Art. 16-19 ISG).
  • Es muss sichergestellt werden, dass Personen, die Zugang zu Informationen, Informatikmitteln, Räumlichkeiten und anderen Infrastrukturen des Bundes haben, sorgfältig ausgewählt und risikogerecht identifiziert werden und (Art. 20 ISG). Personal muss stufengerecht aus- und weitergebildet werden und gegebenenfalls zur Geheimhaltung verpflichtet werden.
  • Die verpflichteten Behörden und Organisationen müssen für einen angemessenen physischen Schutz der Informationen und Informatikmittel sorgen. Räumlichkeiten und Bereiche können Sicherheitszonen zugeordnet werden, welche mit Kontrollen (z.B. Taschenkontrollen usw.) verbunden sein können (Art. 22-23 ISG).

Die Änderungen des ISG enthalten weitere Reglungen in Bezug auf die Cybersicherheit:

  • Es ist weiterhin möglich, freiwillig Cybervorfälle und Schwachstellen dem Nationalen Zentrum für Cybersicherheit (National Cyber Security Centre – NCSC) mitzuteilen. Die Meldung kann von jedermann auch anonym vorgenommen werden (Art. 73b ISG).
  • Bei gemeldeten Schwachstellen informiert das NCSC den betroffenen Betreiber der Soft- oder Hardware und setzt eine Frist, um die Schwachstellen zu beheben. Bei Nichtbeachtung können Sanktionen drohen. (Art. 73b ISG).
  • Für meldepflichtige Behörden und Organisationen gilt eine Frist von 24 Stunden seit der Entdeckung eines Cyberangriffs, sofern dieser schwerwiegende Auswirkungen haben kann (Art. 74a-e ISG).
  • Ein Cyberangriff muss gemeldet werden, wenn er:
    • die Funktionsfähigkeit der betroffenen kritischen Infrastruktur gefährdet;
    • zu einer Manipulation oder zu einem Abfluss von Informationen geführt hat;
    • über einen längeren Zeitraum unentdeckt blieb, insbesondere wenn Anzeichen dafür bestehen, dass er zur Vorbereitung weiterer Cyberangriffe ausgeführt wurde; oder
    • mit Erpressung, Drohung oder Nötigung verbunden ist.
  • Bei Nichtbeachtung der Meldepflicht droht eine Busse in Höhe von 100.000 CHF (Art. 74g-74h ISG).

Diese Meldepflicht ist noch nicht in Kraft, da zur Umsetzung dieser Neuerung Ausführungsbestimmungen erlassen werden müssen. Voraussichtlich im 1. Halbjahr 2024 wird der Bundesrat dazu eine Vernehmlassung durchführen, so dass die Meldepflicht ab 1. Januar 2025 in Kraft treten kann.

Fazit

Das überarbeitete Informationssicherheitsgesetz stellt neue Anforderungen, insbesondere in Bezug auf das Risikomanagement und die Meldepflicht für Sicherheitsvorfälle. Informationssicherheitsmassnahmen müssen überprüft und gegebenenfalls angepasst werden, um den Anforderungen des Gesetzes zu entsprechen. Dies kann Investitionen in Technologie, Schulungen und Personal erfordern.

Das ISG hat auch Auswirkungen auf die Bevölkerung, da es darauf abzielt, die Sicherheit und den Schutz von Personendaten zu gewährleisten. Meldungen zu Sicherheitsvorfällen können auch von Bürgern vorgenommen werden.

Das schweizerische Informationssicherheitsgesetz ist damit ein bedeutender Schritt zur Stärkung der Informationssicherheit und des Datenschutzes in der Schweiz.

Betroffene Unternehmen sollten sich rechtzeitig mit den Anforderungen des ISG vertraut machen und Massnahmen ergreifen, um den gesetzlichen Vorgaben gerecht zu werden und potenzielle Risiken zu minimieren.