In den bisherigen Folgen der Blogpost-Serie zum neuen Informationssicherheitsgesetz des Bundes (ISG) haben wir aufgezeigt, wer in den Anwendungsbereich der Bestimmungen fällt und welche konkreten Pflichten umzusetzen sind. Wir beenden die Blogpost-Serie in diesem Beitrag mit etwas Beigemüse zum ISG: Einer Tagesaktualität, den Meldepflichten für kritische Infrastrukturen sowie einem Überblick zum gestaffelten Inkrafttreten der neuen Pflichten.
von Anna Kuhn
Aus aktuellem Anlass: Der Xplain-Cyberangriff zeigt Folgen
Sie mögen sich erinnern: Im Mai 2023 wurde die IT-Dienstleisterin für Behördensoftware Xplain Opfer eines Ransomware-Angriffs (siehe hier). Da Xplain in Absprache mit den Strafverfolgungsbehörden und dem Bund keine Lösegeldzahlung an die Hacker leistete, wurde vermutlich das ganze gestohlene Datenpaket – inklusive operativer Daten der Bundesverwaltung – im Darknet veröffentlicht.
Der Cyberangriff wurde detailliert aufgearbeitet. Als eine der daraus gezogenen Lehren beauftragte der Bundesrat das Staatssekretariat für Sicherheitspolitik (SEPOS) damit, Standardvertragsklauseln zur Gewährleistung der Informationssicherheit bei Beschaffungen des Bundes zu erarbeiten. Das SEPOS hat nun eine Sammlung solcher Standardbestimmungen veröffentlicht, die durch wirksame, wirtschaftliche und risikobasierte Instruktionen der Lieferanten Datenabflüsse verhindern sollen. Die Vertragsklauseln treten per Januar 2026 in Kraft, haben jedoch lediglich den Status von Empfehlungen (siehe hier).
Meldepflicht für die kritischen Infrastrukturen
Nun aber nochmals zurück zum ISG selbst. In Folge 1 der Blogpost-Serie haben wir aufgezeigt, dass das ISG primär auf Bundesbehörden (“verpflichtete Behörden”) sowie Organisationen, die Verwaltungsaufgaben wahrnehmen (“verpflichtete Organisationen”), anwendbar ist (hier zum Nachlesen).
Eine Ausnahme von diesem eingeschränkten Geltungsbereich sieht das Gesetz für Organisationen vor, die kritische Infrastrukturen betreiben. Als kritische Infrastruktur gelten Prozesse, Systeme und Einrichtungen, die essenziell für das Funktionieren der Wirtschaft bzw. das Wohlergehen der Bevölkerung sind (Art. 5 lit. c ISG). Beispiele sind die Trinkwasser- und Energieversorgung, Informations-, Kommunikations- und Transportinfrastrukturen oder Hochschulen ab einer Anzahl von 2000 Studierenden (siehe Art. 12 Abs. 1 Cybersicherheitsverordnung).
Als Folge müssen die Betreiberinnen kritischer Infrastrukturen Cyberangriffe innerhalb von 24 Stunden nach ihrer Entdeckung dem Bundesamt für Cybersicherheit (BACS) melden (freiwillige Meldungen sind aber ebenfalls willkommen!). Meldepflichtig sind Angriffe ab einer gewissen Schwere, so z.B.:
- Erfolgreich im System installierte Schadsoftware,
- Verschlüsselungstrojaner,
- Angriffe auf die Verfügbarkeit,
- unerlaubtes Eindringen in Datenverarbeitungssystem durch das Ausnutzen von Schwachstellen.
Diese Meldepflicht hat einerseits zum Ziel, dass die Betroffenen bei der Aufarbeitungen des Vorfalls Unterstützung des BACS erhalten. Andererseits erhofft man sich dadurch eine bessere Übersicht über die Cyberbedrohungslage und die Möglichkeit, weitere Behörden und Organisationen frühzeitig warnen zu können (siehe hier).
Bei der Meldung sind u.a. Angaben zur Art und Ausführung des Cyberangriffs, zu den Auswirkungen, zu ergriffenen Massnahmen und dem allfällig geplanten weiteren Vorgehen mitzuliefern. Das BACS stellt für die Meldung ein Formular auf seiner Plattform “Cyber Security Hub” (CSH) bereit (vgl. hier), alternativ tut es auch ein zur Verfügung gestelltes E-Mail-Formular. Zum Ablauf der Meldung existiert ein hilfreiches Erklärvideo “Wie melde ich einen Cyberangriff auf kritische Infrastrukturen” des NCSC. Diese 2:40 Min. investiert man idealerweise bereits vor einem allfälligen Vorfall.
Seit dem 1. Oktober 2025 ist zudem ein dazugehöriges Bussenregime in Kraft. Entgegen der Mitteilung des Bundesrates ist jedoch nicht die unterlassene Meldung als solche strafbewehrt (vgl. hier). Mit Busse bis CHF 100’000.00 kann jedoch sanktioniert werden, wer einer rechtskräftigen Verfügung des BACS vorsätzlich nicht Folge leistet.
Für kritische Infrastrukturen können neben diesen erwähnten Pflichten weitere Teile des ISG anwendbar sein, sofern die anwendbare Spezialgesetzgebung dies vorsieht (siehe Art. 2 Abs. 5 ISG).
Wann gilt was und für wen?
Die Pflichten des ISG und seiner Ausführungsverordnungen treten gestaffelt in Kraft. Die Meldepflicht für Cyberangriffe auf kritische Infrastrukturen wurde zudem mit einer separaten Revision des ISG und mit gesondertem Regime zum Inkrafttreten eingeführt.
Die Bestimmungen zum Inkrafttreten und den Übergangsfristen finden sich verstreut in den verschiedenen Erlassen. Um Ihnen die – etwas mühsame – Sucharbeit zu ersparen, finden Sie nachfolgend eine chronologische Übersicht zum Inkrafttreten und den Übergangsfristen.
|
Inhalt Pflicht |
Inkrafttreten und Übergangsfrist | Datum Umsetzung (spätestens) |
| Klassifizierung Informationen | Sobald nach bisherigem Recht klassifizierte Informationen bearbeitet werden | 1. Januar 2024 bzw. erste Bearbeitung ab dann |
| Erstellen Klassifizierungskataloge | Spätestens ein Jahr nach Inkrafttreten | 31. Januar 2024 |
| Meldepflicht für Cyberangriffe auf kritische Infrastrukturen (Revision) | 1. April 2025, keine Übergangsfirst | 1. April 2025 |
| Bussen in Bezug auf die Meldepflicht | 1. Oktober 2025, keine Übergangsfrist | 1. Oktober 2025 |
| Sicherheitseinstufung der Informatikmittel | Innerhalb von zwei Jahren nach Inkrafttreten | 31. Dezember 2025 |
| Aufbau ISMS (gilt nur für die Bundeskanzlei [BK], die Generalsekretariate, die Gruppen und die Bundesämter) | Innerhalb drei Jahre nach Inkrafttreten | 31. Dezember 2026 |
| Aktualitätsprüfung der Funktionenliste durch Departemente und BK | Alle 3 Jahre bzw. bei Reorganisationen oder der Übernahme / Abgabe von Aufgaben | 31. Dezember 2026 |
| Technische Massnahmen zur Gewährleistung der Informationssicherheit in Bezug auf Informatikmittel | Innerhalb von sechs Jahren nach Inkrafttreten | 31. Dezember 2029 |
Einige abschliessende Worte
Die Bemühungen im Rahmen des neuen ISG sind zu begrüssen. Bei vielen der vorzukehrenden Massnahmen – z.B. die Klassifikation von Informationen oder die Schutzbedarfsanalyse eingesetzter Informatikmittel – handelt es sich aber um das Einmaleins einer funktionierenden Informationssicherheit. Die Übergangsfristen sind zudem grosszügig gewählt. Es ist gleichzeitig unbestritten, dass Cyberangriffe zunehmen und eine reelle Bedrohung für Behörden und Organisationen jeglicher Art und Grösse und jeder Branche darstellen. Es lohnt sich daher, die Informationssicherheit bereits jetzt in Angriff zu nehmen (falls noch nicht geschehen!). Da eine flächendeckende Absicherung aus Ressourcengründen oft nicht realistisch ist, können die sensitivsten Informationen und Informatikmittel a.k.a. “die Kronjuwelen” auch priorisiert werden. Also besser ein schrittweises anstatt ein verzögertes Vorgehen, denn wie man unter Expertinnen und Experten der Informationssicherheit so schön sagt: “Security is not a product, but a process”.
Blogposts direkt in die Inbox erhalten? HIER können Sie sich für unseren Newsletter anmelden.
Bild: Annie Spratt auf Unsplash
