Bundesrat setzt das Informationssicherheitsgesetz in Kraft
Das Informationssicherheitsgesetz (ISG) und seine vier Ausführungsverordnungen treten per 1. Januar 2024 in Kraft.
Das hat der Bundesrat an der Sitzung vom 8. November 2023 entschieden. Damit verstärkt der Bundesrat den Schutz der Informationen und die Cybersicherheit des Bundes.
Das ISG führt die wichtigsten Rechtsgrundlagen für die Sicherheit von Informationen und Informatikmitteln des Bundes in einem einzigen Erlass zusammen. Das Gesetz und seine vier Ausführungsverordnungen legen für alle Behörden und Organisationen des Bundes einheitliche Mindestanforderungen an die Informationssicherheit basierend auf internationalen Standards fest.
Die Cybersicherheit des Bundes hört nicht bei der eigenen Informatikinfrastruktur auf. Auch bei Dritten, Kantonen und internationalen Partnern muss der Schutz der Informationen und Daten des Bundes gewährleistet sein. Das ISG und seine vier Ausführungsverordnungen bieten dazu wirksame und zeitgemässe Vorgaben.
Drei neue Verordnungen und eine Teilrevision
Zur Umsetzung des ISG wurden drei neue Verordnungen erarbeitet und eine weitere Verordnung teilrevidiert:
- Informationssicherheitsverordnung (ISV): Die neue ISV vereint, ergänzt und ersetzt mit der Cyberrisiken- und der Informationsschutzverordnung zwei bisherige Verordnungen. Die Verordnung regelt das Management der Informationssicherheit, den Schutz von klassifizierten Informationen, die Informatiksicherheit und die Massnahmen zur personellen und physischen Sicherheit. Die Bundesämter werden mit der ISV neu verpflichtet, ein Informationssicherheits-Managementsystem (ISMS) einzuführen. Ein ISMS umfasst die für die systematische Führung, Umsetzung, Überprüfung und Verbesserung der Informationssicherheit nötigen Vorschriften, Verfahren und Massnahmen. Bereits heute gilt ein ISMS sowohl in der Privatwirtschaft als auch in öffentlichen Verwaltungen als Standard.
Kantone sind von der ISV betroffen, wenn sie klassifizierte Informationen des Bundes bearbeiten oder auf Informatikmittel des Bundes zugreifen. Zumindest in diesen Fällen müssen sie die betreffenden Vorschriften einhalten oder eine mindestens gleichwertige Informationssicherheit gewährleisten. - Verordnung über die Personensicherheitsprüfungen (VPSP): Die VPSP regelt das Verfahren zu den verschiedenen Personensicherheitsprüfungen. Diese Prüfungen dienen der Beurteilung, ob ein Risiko für die Informationssicherheit besteht, wenn eine Person eine sicherheitsempfindliche Tätigkeit für den Bund ausübt. Dazu erhebt die zuständige Fachstelle Daten über die Lebensführung der betreffenden Person, insbesondere über ihre engen persönlichen Beziehungen und familiären Verhältnisse, ihre finanzielle Lage und ihre Beziehungen zum Ausland, und beurteilt sie hinsichtlich ihrer Relevanz für die Sicherheit der Schweiz. Das ISG selbst legt klare Schranken für die Bearbeitung dieser Daten fest, die nur dann erhoben und bewertet werden, wenn sie sicherheitsrelevant sind. Mit dem ISG hat der Gesetzgeber die Palette der Daten, welche die für die Durchführung der Personensicherheitsprüfungen zuständigen Fachstellen zur Beurteilung des Sicherheitsrisikos bearbeiten dürfen, erweitert. Dadurch wird die Wirksamkeit der Prüfungen erhöht. Mit dem neuen Recht wird die Prüfung für Personen vorbehalten, die tatsächlich aufgrund ihrer Funktion dem Bund einen erheblichen Schaden zufügen können. Es werden deshalb inskünftig weniger Prüfungen durchgeführt.
- Verordnung über das Betriebssicherheitsverfahren (VBSV): Die neue Verordnung regelt die Einzelheiten des durch das ISG neu eingeführten Betriebssicherheitsverfahrens und ersetzt die bisherige, auf militärisch klassifizierte Aufträge beschränkte Geheimschutzverordnung. Das Verfahren wird durchgeführt, wenn die Bundesbehörden sicherheitsempfindliche Aufträge an Firmen vergeben. Die Vertrauenswürdigkeit dieser Firmen wird in Zusammenarbeit mit dem Nachrichtendienst des Bundes geprüft. Es soll insbesondere verhindert werden, dass Firmen, die von ausländischen Nachrichtendiensten kontrolliert werden, Zugang zu hochklassifizierten Informationen oder zu kritischen Informatiksystemen des Bundes erhalten. Während der Auftragserfüllung kann die zuständige Fachstelle die Firma jederzeit und ohne Voranmeldung inspizieren, um die Umsetzung der Informationssicherheit zu verifizieren. Sie kann auch Audits durchführen.
- Verordnung über Identitätsverwaltungs-Systeme und Verzeichnisdienste des Bundes (IAMV): Zusätzlich zu den drei neuen Verordnungen erfordert die Inkraftsetzung des ISG diverse Anpassungen der IAMV. Im gleichen Zug wird auch der Rahmen gesetzt, um künftig einen einheitlichen Login-Dienst für den Zugang zu Online-Diensten der Verwaltung aller föderalen Ebenen (E-Government) zur Verfügung zu stellen. Diese Anpassungen treten per 1. Januar 2024 in Kraft, unter der Bedingung, dass der Bundesrat die Inkraftsetzung des Bundesgesetzes über den Einsatz elektronischer Mittel zur Erfüllung von Behördenaufgaben auf dieses Datum hin beschlossen hat.
Der Bundesrat hat an der Sitzung vom 8. November 2023 zudem das Ergebnis des Vernehmlassungsverfahrens zur Kenntnis genommen. Das Vernehmlassungsverfahren zu den Verordnungen dauerte von August bis Ende November 2022. Die Verordnungen wurden grossmehrheitlich begrüsst.
Meldepflicht für Cyberangriffe bei kritischen Infrastrukturen
Das Parlament hat am 29. September 2023 eine Änderung des ISG verabschiedet, mit welcher eine Meldepflicht für Cyberangriffe bei kritischen Infrastrukturen eingeführt wird. Da dies eine vollständige Überarbeitung des 5. Kapitels des ISG bedingt, erfolgt der Erlass der Ausführungsbestimmungen zu einem späteren Zeitpunkt. Die Vorlage schafft die gesetzlichen Grundlagen zur Meldepflicht für Betreiberinnen und Betreiber kritischer Infrastrukturen und definiert die Aufgaben des Nationalen Zentrums für Cybersicherheit (NCSC), welches als zentrale Meldestelle für Cyberangriffe vorgesehen ist.
Quelle: Der Bundesrat
Titelbild: Symbolbild © Larich – shutterstock.com