{"id":348860,"date":"2025-06-30T14:58:10","date_gmt":"2025-06-30T14:58:10","guid":{"rendered":"https:\/\/publicsector.ch\/?p=348860"},"modified":"2025-07-22T09:22:07","modified_gmt":"2025-07-22T09:22:07","slug":"neues-informationssicherheitsrecht-des-bundes-teil-1","status":"publish","type":"post","link":"https:\/\/publicsector.ch\/en\/neues-informationssicherheitsrecht-des-bundes-teil-1\/","title":{"rendered":"Neues Informationssicherheitsrecht des Bundes &#8211; Teil 1"},"content":{"rendered":"<p><strong>Teil 1: (Wieso) braucht es das ISG und f\u00fcr wen gilt es?<\/strong><\/p>\n<p><strong>Auf den 1. Januar 2024 traten das neue Informationssicherheitsgesetz des Bundes und seine diversen (revidierten) Ausf\u00fchrungsverordnungen in Kraft. Die neuen Pflichten m\u00fcssen gestaffelt umgesetzt werden. Doch auf wen sind die neuen Rechtsgrundlagen anwendbar? Welche Pflichten gilt es zu beachten und bis wann sind sie umzusetzen? Diese Blogpost-Serie bringt Licht ins Dunkle. Teil 1 startet mit dem Gesetzeszweck und dem pers\u00f6nlichen Geltungsbereich.<\/strong><\/p>\n<p>von <strong>Anna Kuhn<\/strong><\/p>\n<p>&nbsp;<\/p>\n<h4>Weshalb braucht es ein neues Informationssicherheitsrecht?<\/h4>\n<p>Es d\u00fcrfte unbestritten sein, dass der Bund seine Daten und Informationssysteme vor Angriffen sch\u00fctzen muss. Die Liste der Sicherheitsvorf\u00e4lle ist lang: Der j\u00fcngste <a href=\"https:\/\/www.ncsc.admin.ch\/ncsc\/de\/home\/aktuell\/im-fokus\/2025\/radix.html\">Cyberangriff<\/a> auf die Stiftung Radix, die <a href=\"https:\/\/www.news.admin.ch\/de\/nsb?id=100890\">Ransomware-Angriffe<\/a> auf die IT-Lieferantin des Bundes Xplain AG und die zahlreichen <a href=\"https:\/\/www.netzwoche.ch\/news\/2025-03-20\/ddos-angriffe-stoeren-bundesverwaltung\">DDoS-Attacken<\/a> prorussischer Hackerangriffe auf die Bundesverwaltung sind nur wenige Beispiele daraus.<\/p>\n<p>Die bisherigen Rechtsgrundlagen zum Schutz vor Angriffen beim Bund weisen L\u00fccken und Widerspr\u00fcche auf und finden sich verstreut in einer Vielzahl von oftmals sektoriellen Erlassen (z.B. RVOG, ParlG, StGB, B\u00d6B, DSG, BG\u00d6). Gem\u00e4ss Bundesrat ist ein Zusammenhang dieses Gesetzes-Flickenteppichs mit den zunehmenden Angriffen nicht auszuschliessen. Der daraus resultierende ungen\u00fcgende Schutzstandard wird durch die zunehmende Vernetzung der Informatiksysteme und die gemeinsamen Schnittstellen der Bundesbeh\u00f6rden verst\u00e4rkt. Also Grund genug, eine zentrale, beh\u00f6rden\u00fcbergreifende Rechtsgrundlage zu schaffen, um damit ein gen\u00fcgendes und einheitliches Sicherheitsniveau zu erreichen.<\/p>\n<p>&nbsp;<\/p>\n<h4>Wie ist das neue Informationssicherheitsrecht aufgebaut?<\/h4>\n<p>Auf den 1. Januar 2024 trat entsprechend das <a href=\"https:\/\/www.fedlex.admin.ch\/eli\/cc\/2022\/232\/de\">Informationssicherheitsgesetz<\/a> des Bundes (nachfolgend ISG) in Kraft (siehe <a href=\"https:\/\/www.news.admin.ch\/de\/nsb?id=98497\">Medienmitteilung vom 8.11.2023<\/a>). Das Ziel ist die St\u00e4rkung der Sicherheit bei der Bearbeitung von Daten des Bundes und beim Einsatz von Informatikmitteln des Bundes. Auch soll die Widerstandsf\u00e4higkeit der Schweiz gegen\u00fcber Cyberbedrohungen erh\u00f6ht werden.<\/p>\n<p>Was f\u00fcr Zwillinge gilt, gilt auch f\u00fcr Gesetze: Ein Gesetz kommt selten allein und so wurden zum ISG gleich vier weitere Ausf\u00fchrungsverordnungen neu erlassen oder revidiert und gestaffelt in Kraft gesetzt:<\/p>\n<ul>\n<li><a href=\"https:\/\/www.fedlex.admin.ch\/eli\/cc\/2023\/735\/de\">Informationssicherheitsverordnung<\/a> (ISV): Die ISV regelt und konkretisiert die Aufgaben, Verantwortlichkeiten und Kompetenzen der vom ISG erfassten Organisationen. Sie ersetzt die bisherige Cyberrisiken- und Informationsschutzverordnung.<\/li>\n<li><a href=\"https:\/\/www.fedlex.admin.ch\/eli\/cc\/2023\/736\/de\">Verordnung \u00fcber die Personensicherheitspr\u00fcfungen<\/a> (VPSP): Falls Personen der vom Geltungsbereich des ISG erfassten Beh\u00f6rden und Organisationen sicherheitsempfindliche T\u00e4tigkeiten aus\u00fcben, ist in der Regel eine Personensicherheitspr\u00fcfung erforderlich. Die Rahmenbedingungen werden in der VPSP geregelt.<\/li>\n<li><a href=\"https:\/\/www.fedlex.admin.ch\/eli\/cc\/2023\/737\/de?version=20240101&amp;print=true\">Verordnung \u00fcber das Betriebssicherheitsverfahren<\/a> (VBSV): Die VBSV regelt das Betriebssicherheitsverfahren, falls Bundesbeh\u00f6rden sicherheitsempfindliche Auftr\u00e4ge vergeben.<\/li>\n<li><a href=\"https:\/\/www.fedlex.admin.ch\/eli\/cc\/2016\/610\/de\">Verordnung \u00fcber Identit\u00e4tsverwaltungs-Systeme und Verzeichnisdienste des Bundes<\/a> (IAMV): Die bereits zuvor geltende IAMV wird angepasst, um zuk\u00fcnftig einen einheitlichen Login-Dienst f\u00fcr den Zugang zu Online-Diensten der Verwaltung aller f\u00f6deralen Ebenen bereitzustellen.<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<h4>An wen richtet sich das neue Informationssicherheitsgesetz?<\/h4>\n<p>Das ISG unterscheidet beim pers\u00f6nlichen Geltungsbereich zwischen \u00abverpflichteten Beh\u00f6rden\u00bb und \u00abverpflichteten Organisationen\u00bb (siehe Art. 2 ISG). Unter die verpflichteten Beh\u00f6rden fallen<\/p>\n<ul>\n<li>die Bundesversammlung,<\/li>\n<li>der Bundesrat,<\/li>\n<li>die eidgen\u00f6ssischen Gerichte,<\/li>\n<li>die Bundesanwaltschaft und ihre Aufsichtsbeh\u00f6rde,<\/li>\n<li>die Schweizerische Nationalbank (siehe Art. 2 Abs. 1 ISG).<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<p>Als verpflichtete Organisationen gelten die<\/p>\n<ul>\n<li>Parlamentsdienste,<\/li>\n<li>die Bundesverwaltung,<\/li>\n<li>die Verwaltung der eidgen\u00f6ssischen Gerichte,<\/li>\n<li>die Armee,<\/li>\n<li>weitere Organisationen, sofern sie Verwaltungsaufgaben wahrnehmen.<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<p>F\u00fcr die Definition der weiteren Organisationen, die Verwaltungsaufgaben wahrnehmen, ist ein Blick ins <a href=\"https:\/\/www.fedlex.admin.ch\/eli\/cc\/1997\/2022_2022_2022\/de\">Regierungs- und Verwaltungsorganisationsgesetz des Bundes<\/a> (RVOG) notwendig (konkret Art. 2 Abs. 4 RVOG). Demnach handelt es sich dabei um Organisationen und Personen des \u00f6ffentlichen oder privaten Rechts ausserhalb der Bundesverwaltung, die mit Verwaltungsaufgaben betraut werden. Als Verwaltungsaufgaben gelten Aufgaben, die der Staat durch seine Verwaltung erf\u00fcllt. Sie sind enger zu verstehen als \u00f6ffentliche Aufgaben, die gem\u00e4ss der Verfassung und den Gesetzen dem Gemeinwesen \u00fcbertragen sind (siehe Art. 42 Abs. 1 der Bundesverfassung). Nicht von Verwaltungsaufgaben erfasst wird die Bedarfsverwaltung, also die Beschaffung der notwendigen Mittel durch die Verwaltung, um ihre Aufgaben erf\u00fcllen zu k\u00f6nnen (z.B. das Beschaffen von B\u00fcromaterial). Werden Verwaltungsaufgaben ausgelagert, erfordert dies stets eine gesetzliche Grundlage.<\/p>\n<p>Da das ISG aber \u00abnur\u00bb beabsichtigt, die Sicherheit und den Schutz vor Cyberangriffen beim Bund sicherzustellen, wird eine Einschr\u00e4nkung des Geltungsbereichs f\u00fcr die dezentrale Bundesverwaltung und Organisationen mit Verwaltungsaufgaben vorgesehen. Sie m\u00fcssen einzelne Bestimmungen aus ISG und ISV nur in folgenden F\u00e4llen beachten:<\/p>\n<ul>\n<li>wenn sie klassifizierte Informationen des Bundes bearbeiten,<\/li>\n<li>wenn sie auf Informatikmittel der internen IKT-Leistungserbringer zugreifen oder ihre eigenen Informatikmittel durch diese Leistungserbringer betreiben lassen<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<p>Als klassifizierte Informationen gelten Informationen der im ISG definierten Klassifizierungsstufe \u00abintern\u00bb, \u00abvertraulich\u00bb oder \u00abgeheim\u00bb (Art. 11 i.V.m. 13 ISG). Und als Informatikmittel gelten Mittel der Informations- und Kommunikationstechnik, wie z.B. Informationssysteme, Datensammlungen sowie Einrichtungen, Produkte und Dienste, die zur elektronischen Verarbeitung von Informationen dienen (Art. 5 lit. a ISG).<\/p>\n<p>Bearbeiten die dezentrale Bundesverwaltung oder Organisationen mit Verwaltungsaufgaben eigene Daten oder setzen eigene Informatikmittel egal welcher Schutzstufe ein, so ist das ISG nicht anwendbar.<\/p>\n<p>&nbsp;<\/p>\n<h4>Was gilt f\u00fcr Betreiberinnen kritischer Infrastrukturen, Kantone und Vertragspartner?<\/h4>\n<p>Eine Ausnahme von der Ausnahme gilt f\u00fcr Organisationen, die kritische Infrastrukturen betreiben. Kritische Infrastruktur sind z.B. die Trinkwasser- und Energieversorgung, die Informations-, Kommunikations- und Transportinfrastrukturen sowie weitere Prozesse, Systeme und Einrichtungen, die essenziell f\u00fcr das Funktionieren der Wirtschaft und das Wohlergehen der Bev\u00f6lkerung sind.<\/p>\n<p>Sie werden unabh\u00e4ngig der Bearbeitung klassifizierter Informationen und dem Einsatz von Informatikmitteln des Bundes gewissen Pflichten des ISG unterstellt (Art. 2 Abs. 5 ISG). Sie unterliegen insbesondere Meldepflichten im Falle eines Sicherheitsvorfalls (mehr dazu in einem n\u00e4chsten Blogpost).<\/p>\n<p>Auch die Kantone wurden im ISG mitber\u00fccksichtigt. Diese m\u00fcssen das ISG ebenfalls anwenden, sofern sie klassifizierte Informationen des Bundes bearbeiten oder auf Informatikmittel des Bundes zugreifen. Nicht notwendig ist dies, falls die Kantone eine mindestens gleichwertige Informationssicherheit gew\u00e4hrleisten (siehe Art. 2 Abs. 5 ISG).<\/p>\n<p>Zuletzt ist zu beachten, dass Pflichten des neuen Informationssicherheitsrechts nicht nur von Gesetzes wegen, sondern auch aufgrund vertraglicher Zusammenarbeit mit dem Bund gelten k\u00f6nnen. Das ISG schreibt vor, dass die verpflichteten Beh\u00f6rden und Organisationen diesen Dritten die Anforderungen und Massnahmen des ISG vertraglich \u00fcberbinden m\u00fcssen. Die Umsetzung der Massnahmen muss zudem angemessen \u00fcberpr\u00fcft werden (siehe Art. 9 ISG). Um den Kreis zu schliessen: Zieht der Bund einen IT-Dienstleister bei, wie es im eingangs erw\u00e4hnten Beispiel mit der Explain AG der Fall war, m\u00fcsste er diesem nach dem neuen Recht eine Reihe von Pflichten \u00fcberbinden.<\/p>\n<p>&nbsp;<\/p>\n<h4>Zusammengefasst: Wer f\u00e4llt unter das ISG?<\/h4>\n<p>Das Ziel des neuen Informationssicherheitsrechts ist die St\u00e4rkung der Sicherheit bei der Bearbeitung von Daten des Bundes und beim Einsatz von Informatikmitteln des Bundes. Man will eine einheitliche und beh\u00f6rden\u00fcbergreifende Cybersicherheit erreichen. Zu diesem Zweck enthalten das ISG und seine Ausf\u00fchrungsbestimmungen Pflichten f\u00fcr nachfolgende Beh\u00f6rden und Organisationen:<\/p>\n<ul>\n<li>Verpflichtete Beh\u00f6rden nach Art. 2 Abs. 1 ISG<\/li>\n<li>Verpflichte Organisationen nach Art. 2 Abs 2 ISG,<\/li>\n<li>Dezentrale Bundesverwaltung und Dritte mit Verwaltungsaufgaben (Art. 2 Abs. 3 ISG), sofern sie\n<ul>\n<li>klassifizierte Informationen des Bundes bearbeiten oder<\/li>\n<li>auf Informatikmittel des Bundes zugreifen oder solche von ihm betreiben lassen<\/li>\n<\/ul>\n<\/li>\n<li>Betreiberinnen kritischer Infrastrukturen (Art. 2 Abs. 4 ISG)<\/li>\n<li>Kantone (Art. 3 ISG), falls sie\n<ul>\n<li>klassifizierte Informationen des Bundes bearbeiten oder<\/li>\n<li>auf Informatikmittel des Bundes zugreifen und<\/li>\n<li>keine gleichwertige Informationssicherheit aufweisen<\/li>\n<\/ul>\n<\/li>\n<li>Vertragspartner des Bundes, falls\n<ul>\n<li>der Bund Massnahmen gem\u00e4ss ISG vertraglich \u00fcberbindet.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<p>Im n\u00e4chsten Teil der Blogpost-Serie schauen wir uns die inhaltlichen Pflichten des neuen Informationssicherheitsrechts an. Stay tuned!<\/p>\n<p>&nbsp;<\/p>\n<p><em>Blogposts direkt in die Inbox erhalten? <a href=\"https:\/\/web.swissnewsletter.ch\/e\/8701c9de30ebc427\/de\/form\/ec3745ce-01ea-47b1-b7bc-e83ee5822084.html\">HIER<\/a> k\u00f6nnen Sie sich f\u00fcr unseren Newsletter anmelden.<\/em><\/p>\n<p>&nbsp;<\/p>\n<p><em>Foto: <\/em><span data-offset-key=\"65ge2-0-0\"><em>Muhammad Zaqy Al Fattah by Unsplash<\/em>\u00a0<\/span><\/p>","protected":false},"excerpt":{"rendered":"<p>Teil 1: (Wieso) braucht es das ISG und f\u00fcr wen gilt es? Auf den 1. Januar 2024 traten das neue Informationssicherheitsgesetz des Bundes und seine diversen (revidierten) Ausf\u00fchrungsverordnungen in Kraft. Die neuen Pflichten m\u00fcssen gestaffelt umgesetzt werden. Doch auf wen sind die neuen Rechtsgrundlagen anwendbar? Welche Pflichten gilt es zu beachten und bis wann sind [&hellip;]<\/p>\n","protected":false},"author":11,"featured_media":348869,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1,21,125,126],"tags":[57,127,128,129],"class_list":["post-348860","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-andere","category-datenschutz","category-digitalisierung-verwaltung","category-informationssicherheit","tag-digitalisierung","tag-informationssicherheit","tag-informationssicherheitsgesetz","tag-isg"],"_links":{"self":[{"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/posts\/348860","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/users\/11"}],"replies":[{"embeddable":true,"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/comments?post=348860"}],"version-history":[{"count":11,"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/posts\/348860\/revisions"}],"predecessor-version":[{"id":348939,"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/posts\/348860\/revisions\/348939"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/media\/348869"}],"wp:attachment":[{"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/media?parent=348860"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/categories?post=348860"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/tags?post=348860"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}