Auf den 1. Januar 2024 traten das neue Informationssicherheitsgesetz des Bundes und seine Ausführungsverordnungen in Kraft. In Teil 1 dieser Blogpost-Serie haben wir aufgezeigt, auf wen das neue Informationssicherheitsrecht anwendbar ist. Nach diesem Warm-up geht es in Teil 2 nun um das Eingemachte. Wir schauen die Pflichten an, welche die unterstellten Organisationen zum Schutz ihrer Daten umsetzen müssen.
von Anna Kuhn
«Captain Cook» und was in der Blogpost-Serie bisher geschah
Beim kürzlichen Trump-Putin-Gipfel in Alaska wurde ein geheimes Schriftstück der US-Regierung im Drucker des Hotel «Captain Cook» liegen gelassen. Zur Verhinderung eines solchen Sicherheitsdebakels braucht es keine Expertise in Informationssicherheit, aber etwas Sensibilisierung würde nicht schaden. Und so gehen wir – ganz im Sinne dieser Sensibilisierung – in dieser Blogpost-Serie etwas mehr in die Tiefe.
In Teil 1 haben wir aufgezeigt, dass das neue Informationssicherheitsrecht beabsichtigt, die Widerstandsfähigkeit der Schweiz gegenüber Cyberangriffen zu stärken (Art. 1 ISG). Dazu sollen Informationen des Bundes sicher bearbeitet und Informatikmittel sicher eingesetzt werden. Weiter wurden die Ausführungsverordnungen vorgestellt, die parallel zum ISG in Kraft traten. Für ein klareres Verständnis des neuen Informationssicherheitsrechts wurde sodann erläutert, was unter «Bund» verstanden wird und an wen sich das ISG denn alles richtet. Wem das nicht mehr ganz präsent ist, kann hier nochmals spicken.
Jetzt geht es ans Eingemachte
Nun geht es aber wie besprochen ans Eingemachte: Welche Pflichten müssen die Organisationen denn einhalten, um – nichts Geringeres als – die Schweiz vor Cyberangriffen zu schützen? Folgende Massnahmen sieht das neue Recht für die unterstellten Behörden und Organisationen vor:
- Grundsätze: Es bedarf einer Beurteilung des Schutzbedarfs der bearbeiteten Informationen und die Informationen müssen gemäss diesem Schutzbedarf bearbeitet werden (Art. 6 Abs. 1 und 2 ISG). Im Wesentlichen sind dazu die Grundsätze der Informationssicherheit einzuhalten, sprich die Vertraulichkeit, Verfügbarkeit und Integrität der Informationen sowie die Nachvollziehbarkeit ihrer Bearbeitung. Soweit Personendaten bearbeitet werden, ergeben sich diese Schutzziele bereits aus dem Datenschutzgesetz (z.B. Art. 2 Datenschutzverordnung des Bundes).
- Oberste Führungsverantwortung: Die verpflichteten Behörden müssen in ihrem Zuständigkeitsbereich dafür sorgen, dass die Informationssicherheit nach dem Stand von Wissenschaft und Technik organisiert, umgesetzt und überprüft wird. Dazu sind Verantwortlichkeiten und Ziele für die Informationssicherheit zu definieren, die Eckwerte zum Umgang mit Risiken sowie die Folgen bei Missachtung der Pflichten festzulegen (Art. 7 Abs. 1 und 2 ISG).
- Risikomanagement: Es bedarf klarer Prozesse und Zuständigkeiten, um Risiken laufend zu beurteilen und bei Bedarf risikomitigierende Massnahmen treffen zu können. Soll ein Risiko getragen werden, so muss es nachweislich akzeptiert werden (z.B. durch schriftliche Bestätigung der verantwortlichen Rolle; Art. 8 ISG).
- Zusammenarbeit mit Dritten: Bei einer Auslagerung von (klassifizierten) Informationen an Dritte müssen die Pflichten des ISG vertraglich überbunden werden (Art. 9 ISG). Gewisse Musterverträge der Bundesverwaltung sehen dazu bereits Klauseln vor, so z.B. der Rahmenvertrag für Dienstleistungen der Koordinationskonferenz der Bau- und Liegenschaftsorgane der öffentlichen Bauherren (KBOB) (siehe hier unter Ziff. 12 «Schutz der Informatikmittel vor Cyberangriffen und Meldepflicht im Ereignisfall»).
- Verletzungen der Informationssicherheit: Es muss ein Prozess implementiert werden, um Verletzungen rasch erkennen, analysieren und beheben zu können (Art. 10 ISG). Vergleichbarer Massnahmen bedarf es auch gemäss Datenschutzrecht, um Verletzungen der Datensicherheit aufzuarbeiten bzw. in gewissen Fällen zu melden (vgl. Art. 5 lit. h und Art. 24 DSG).
- Klassifizierung: Eine Klassifizierung ist immer dann erforderlich, falls es sich um Informationen der Stufe «intern», «vertraulich» oder «geheim» handelt (Art. 11 und 13 ISG). Für die Klassifizierung von Informationen des Bundes sind weiter klare Zuständigkeiten festzuhalten (Art. 12 ISG).
- Zugangsbeschränkung: Der Zugang zu klassifizierten Informationen ist Personen vorbehalten, die Gewähr bieten, dass sie sachgerecht damit umgehen können, die Informationen zur Erfüllung einer öffentlichen oder einer übertragenen Aufgabe benötigen (Art. 14 ISG).
- Einsatz von Informatikmittel: Beim Zugriff auf Informatikmittel des Bundes muss ein Sicherheitsverfahren durchlaufen und es müssen Sicherheitsstufen sowie -massnahmen implementiert werden (Art. 16 – 19 ISG). Dabei wird zwischen den Sicherheitsstufen «Grundschutz», «hoher Schutz» und «sehr hoher Schutz» unterschieden (was auch immer das bedeuten mag…). Die Einstufung hängt auf jeden Fall davon ab, welche Konsequenzen eine Kompromittierung dieser Informatikmittel bedeuten würde.
- Personelle Massnahmen: Personen, die Zugang zu Informationen und Informatikmittel des Bundes haben, unterliegen einer Reihe von Auflagen. Zu beachten sind z.B. die sorgfältige Auswahl, die risikogerechte Identifikation, die geeignete Ausbildung, ggf. die Verpflichtung zur Geheimhaltung sowie die Erteilung restriktiver Berechtigungen (Art. 20 – 21 ISG).
- Physische Schutzmassnahmen: In Bezug auf die bearbeiteten Informationen und eingesetzten IKT-Mittel müssen physische Schutzmassnahmen implementiert werden, so sind z.B. Sicherheitszonen zu bezeichnen (Art. 22 – 23 ISG).
- Personensicherheitsprüfungen: Falls sicherheitsrelevante Tätigkeiten durchgeführt werden, müssen Personensicherheitsprüfungen (PSP) durchgeführt werden. Eine sicherheitsrelevante Tätigkeit setzt voraus, dass man a) vertrauliche oder geheime Daten bearbeitet oder b) mit Informatikmitteln der Schutzstufe hoch oder sehr hoch umgeht oder c) Zugang zu Sicherheitszonen der Schutzzone 2 und 3 oder d) Zugang zu militärischen Anlagen hat. Die Pflichten für PSP sind umfangreich und in Art. 27 – 48 ISG sowie den Ausführungsbestimmungen in der Verordnung über die Personensicherheitsprüfungen geregelt. Die Verordnung regelt auch Datenschutzrestriktionen bei der Datenerhebung zur Durchführung einer PSP.
- Betriebssicherheit: Es muss ein Betriebssicherheitsverfahren zur Gewährleistung der Informationssicherheit durchgeführt werden, falls öffentliche Aufträge durch Unternehmen und Subunternehmen erfüllt werden und diese die Ausübung sicherheitsempfindlicher Tätigkeiten (siehe dazu oben) einschliessen. Auch diesbezüglich sind umfassende Pflichten im Gesetz (Art. 49 – 73 ISG) sowie der Verordnung über das Betriebssicherheitsverfahren geregelt.
Der Umfang der soeben aufgelisteten Pflichten hängt davon ab, um welchen Typ es sich bei der unterstellten Organisation handelt, d.h. um eine verpflichtete Behörde, eine verpflichtete Organisation oder eine weitere Organisation, die Verwaltungsaufgaben ausübt (erneute Auffrischung gefällig? Siehe dazu Teil 1 der Blogpost-Serie).
Wichtig in Bezug auf die Organisationen mit Verwaltungsaufgaben ist sodann, dass diese die Pflichten nur in Bezug auf die Bearbeitung von Informationen des Bundes oder den Zugriff auf Informatikmittel des Bundes umsetzen müssen. Eine unternehmensweite Implementation der Massnahmen gemäss ISG wird nicht verlangt.
Cliffhanger für Teil 3
Da war doch noch die Meldepflicht für Cyberangriffe auf kritische Infrastrukturen? Genau, diese trat auch erst kürzlich per 1. April 2025 in Kraft. Was es damit auf sich hat, wer als kritische Infrastruktur gilt und welche Konsequenzen bei Missachtung drohen, erfahren Sie in Teil 3 diese Blogpost-Serie. Zudem versuchen wir übersichtlich darzustellen, auf wann die verschiedenen Pflichten für wen in Kraft treten (was einfacher tönt, als es ist!).
Bleiben Sie also dran!
Blogposts direkt in die Inbox erhalten? HIER können Sie sich für unseren Newsletter anmelden.
Bild: vidaxl.de Marmeladengläser
