{"id":348960,"date":"2025-08-20T06:31:21","date_gmt":"2025-08-20T06:31:21","guid":{"rendered":"https:\/\/publicsector.ch\/?p=348960"},"modified":"2025-08-20T06:41:34","modified_gmt":"2025-08-20T06:41:34","slug":"neues-informationssicherheitsrecht-des-bundes-teil-2","status":"publish","type":"post","link":"https:\/\/publicsector.ch\/en\/neues-informationssicherheitsrecht-des-bundes-teil-2\/","title":{"rendered":"Neues Informationssicherheitsrecht des Bundes &#8211; Teil 2"},"content":{"rendered":"<p><strong>Auf den 1. Januar 2024 traten das neue Informationssicherheitsgesetz des Bundes und seine Ausf\u00fchrungsverordnungen in Kraft. In Teil 1 dieser Blogpost-Serie haben wir aufgezeigt, auf wen das neue Informationssicherheitsrecht anwendbar ist. Nach diesem Warm-up geht es in Teil 2 nun um das Eingemachte. Wir schauen die Pflichten an, welche die unterstellten Organisationen zum Schutz ihrer Daten umsetzen m\u00fcssen.<\/strong><\/p>\n<p>von <strong>Anna Kuhn<\/strong><\/p>\n<h4>\u00abCaptain Cook\u00bb und was in der Blogpost-Serie bisher geschah<\/h4>\n<p>Beim k\u00fcrzlichen Trump-Putin-Gipfel in Alaska wurde ein geheimes Schriftst\u00fcck der US-Regierung im Drucker des Hotel \u00abCaptain Cook\u00bb liegen gelassen. Zur Verhinderung eines solchen <a href=\"https:\/\/www.zeit.de\/kultur\/2025-08\/unterlagen-alaska-gipfel-usa-hotel-drucker-vorabpapier\">Sicherheitsdebakels<\/a> braucht es keine Expertise in Informationssicherheit, aber etwas Sensibilisierung w\u00fcrde nicht schaden. Und so gehen wir &#8211; ganz im Sinne dieser Sensibilisierung &#8211; in dieser Blogpost-Serie etwas mehr in die Tiefe.<\/p>\n<p>In Teil 1 haben wir aufgezeigt, dass das neue Informationssicherheitsrecht beabsichtigt, die Widerstandsf\u00e4higkeit der Schweiz gegen\u00fcber Cyberangriffen zu st\u00e4rken (Art. 1 ISG). Dazu sollen Informationen des Bundes sicher bearbeitet und Informatikmittel sicher eingesetzt werden. Weiter wurden die Ausf\u00fchrungsverordnungen vorgestellt, die parallel zum ISG in Kraft traten. F\u00fcr ein klareres Verst\u00e4ndnis des neuen Informationssicherheitsrechts wurde sodann erl\u00e4utert, was unter \u00abBund\u00bb verstanden wird und an wen sich das ISG denn alles richtet. Wem das nicht mehr ganz pr\u00e4sent ist, kann <a href=\"https:\/\/publicsector.ch\/en\/neues-informationssicherheitsrecht-des-bundes-teil-1\/\">hier<\/a> nochmals spicken.<\/p>\n<h4>Jetzt geht es ans Eingemachte<\/h4>\n<p>Nun geht es aber wie besprochen ans Eingemachte: Welche Pflichten m\u00fcssen die Organisationen denn einhalten, um \u2013 nichts Geringeres als \u2013 die Schweiz vor Cyberangriffen zu sch\u00fctzen? Folgende Massnahmen sieht das neue Recht f\u00fcr die unterstellten Beh\u00f6rden und Organisationen vor:<\/p>\n<ul>\n<li><strong>Grunds\u00e4tze<\/strong>: Es bedarf einer Beurteilung des Schutzbedarfs der bearbeiteten Informationen und die Informationen m\u00fcssen gem\u00e4ss diesem Schutzbedarf bearbeitet werden (Art. 6 Abs. 1 und 2 ISG). Im Wesentlichen sind dazu die Grunds\u00e4tze der Informationssicherheit einzuhalten, sprich die Vertraulichkeit, Verf\u00fcgbarkeit und Integrit\u00e4t der Informationen sowie die Nachvollziehbarkeit ihrer Bearbeitung. Soweit Personendaten bearbeitet werden, ergeben sich diese Schutzziele bereits aus dem Datenschutzgesetz (z.B. Art. 2 Datenschutzverordnung des Bundes).<\/li>\n<li><strong>Oberste F\u00fchrungsverantwortung<\/strong>: Die verpflichteten Beh\u00f6rden m\u00fcssen in ihrem Zust\u00e4ndigkeitsbereich daf\u00fcr sorgen, dass die Informationssicherheit nach dem Stand von Wissenschaft und Technik organisiert, umgesetzt und \u00fcberpr\u00fcft wird. Dazu sind Verantwortlichkeiten und Ziele f\u00fcr die Informationssicherheit zu definieren, die Eckwerte zum Umgang mit Risiken sowie die Folgen bei Missachtung der Pflichten festzulegen (Art. 7 Abs. 1 und 2 ISG).<\/li>\n<li><strong>Risikomanagement<\/strong>: Es bedarf klarer Prozesse und Zust\u00e4ndigkeiten, um Risiken laufend zu beurteilen und bei Bedarf risikomitigierende Massnahmen treffen zu k\u00f6nnen. Soll ein Risiko getragen werden, so muss es nachweislich akzeptiert werden (z.B. durch schriftliche Best\u00e4tigung der verantwortlichen Rolle; Art. 8 ISG).<\/li>\n<li><strong>Zusammenarbeit mit Dritten<\/strong>: Bei einer Auslagerung von (klassifizierten) Informationen an Dritte m\u00fcssen die Pflichten des ISG vertraglich \u00fcberbunden werden (Art. 9 ISG). Gewisse Mustervertr\u00e4ge der Bundesverwaltung sehen dazu bereits Klauseln vor, so z.B. der Rahmenvertrag f\u00fcr Dienstleistungen der Koordinationskonferenz der Bau- und Liegenschaftsorgane der \u00f6ffentlichen Bauherren (KBOB) (siehe <a href=\"ttps:\/\/www.kbob.admin.ch\/de\/mustervertraege-und-publikationen\">hier<\/a> unter Ziff. 12 \u00abSchutz der Informatikmittel vor Cyberangriffen und Meldepflicht im Ereignisfall\u00bb).<\/li>\n<li><strong>Verletzungen der Informationssicherheit<\/strong>: Es muss ein Prozess implementiert werden, um Verletzungen rasch erkennen, analysieren und beheben zu k\u00f6nnen (Art. 10 ISG). Vergleichbarer Massnahmen bedarf es auch gem\u00e4ss Datenschutzrecht, um Verletzungen der Datensicherheit aufzuarbeiten bzw. in gewissen F\u00e4llen zu melden (vgl. Art. 5 lit. h und Art. 24 DSG).<\/li>\n<li><strong>Klassifizierung<\/strong>: Eine Klassifizierung ist immer dann erforderlich, falls es sich um Informationen der Stufe \u00abintern\u00bb, \u00abvertraulich\u00bb oder \u00abgeheim\u00bb handelt (Art. 11 und 13 ISG). F\u00fcr die Klassifizierung von Informationen des Bundes sind weiter klare Zust\u00e4ndigkeiten festzuhalten (Art. 12 ISG).<\/li>\n<li><strong>Zugangsbeschr\u00e4nkung<\/strong>: Der Zugang zu klassifizierten Informationen ist Personen vorbehalten, die Gew\u00e4hr bieten, dass sie sachgerecht damit umgehen k\u00f6nnen, die Informationen zur Erf\u00fcllung einer \u00f6ffentlichen oder einer \u00fcbertragenen Aufgabe ben\u00f6tigen (Art. 14 ISG).<\/li>\n<li><strong>Einsatz von Informatikmittel<\/strong>: Beim Zugriff auf Informatikmittel des Bundes muss ein Sicherheitsverfahren durchlaufen und es m\u00fcssen Sicherheitsstufen sowie -massnahmen implementiert werden (Art. 16 \u2013 19 ISG). Dabei wird zwischen den Sicherheitsstufen \u00abGrundschutz\u00bb, \u00abhoher Schutz\u00bb und \u00absehr hoher Schutz\u00bb unterschieden (was auch immer das bedeuten mag\u2026). Die Einstufung h\u00e4ngt auf jeden Fall davon ab, welche Konsequenzen eine Kompromittierung dieser Informatikmittel bedeuten w\u00fcrde.<\/li>\n<li><strong>Personelle Massnahmen<\/strong>: Personen, die Zugang zu Informationen und Informatikmittel des Bundes haben, unterliegen einer Reihe von Auflagen. Zu beachten sind z.B. die sorgf\u00e4ltige Auswahl, die risikogerechte Identifikation, die geeignete Ausbildung, ggf. die Verpflichtung zur Geheimhaltung sowie die Erteilung restriktiver Berechtigungen (Art. 20 \u2013 21 ISG).<\/li>\n<li><strong>Physische Schutzmassnahmen<\/strong>: In Bezug auf die bearbeiteten Informationen und eingesetzten IKT-Mittel m\u00fcssen physische Schutzmassnahmen implementiert werden, so sind z.B. Sicherheitszonen zu bezeichnen (Art. 22 \u2013 23 ISG).<\/li>\n<li><strong>Personensicherheitspr\u00fcfungen<\/strong>: Falls sicherheitsrelevante T\u00e4tigkeiten durchgef\u00fchrt werden, m\u00fcssen Personensicherheitspr\u00fcfungen (PSP) durchgef\u00fchrt werden. Eine sicherheitsrelevante T\u00e4tigkeit setzt voraus, dass man a) vertrauliche oder geheime Daten bearbeitet oder b) mit Informatikmitteln der Schutzstufe hoch oder sehr hoch umgeht oder c) Zugang zu Sicherheitszonen der Schutzzone 2 und 3 oder d) Zugang zu milit\u00e4rischen Anlagen hat. Die Pflichten f\u00fcr PSP sind umfangreich und in Art. 27 \u2013 48 ISG sowie den Ausf\u00fchrungsbestimmungen in der Verordnung \u00fcber die Personensicherheitspr\u00fcfungen geregelt. Die Verordnung regelt auch Datenschutzrestriktionen bei der Datenerhebung zur Durchf\u00fchrung einer PSP.<\/li>\n<li><strong>Betriebssicherheit<\/strong>: Es muss ein Betriebssicherheitsverfahren zur Gew\u00e4hrleistung der Informationssicherheit durchgef\u00fchrt werden, falls \u00f6ffentliche Auftr\u00e4ge durch Unternehmen und Subunternehmen erf\u00fcllt werden und diese die Aus\u00fcbung sicherheitsempfindlicher T\u00e4tigkeiten (siehe dazu oben) einschliessen. Auch diesbez\u00fcglich sind umfassende Pflichten im Gesetz (Art. 49 \u2013 73 ISG) sowie der Verordnung \u00fcber das Betriebssicherheitsverfahren geregelt.<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<p>Der Umfang der soeben aufgelisteten Pflichten h\u00e4ngt davon ab, um welchen Typ es sich bei der unterstellten Organisation handelt, d.h. um eine verpflichtete Beh\u00f6rde, eine verpflichtete Organisation oder eine weitere Organisation, die Verwaltungsaufgaben aus\u00fcbt (erneute Auffrischung gef\u00e4llig? Siehe dazu <a href=\"https:\/\/publicsector.ch\/en\/neues-informationssicherheitsrecht-des-bundes-teil-1\/\">Teil 1 der Blogpost-Serie<\/a>).<\/p>\n<p>Wichtig in Bezug auf die Organisationen mit Verwaltungsaufgaben ist sodann, dass diese die Pflichten nur in Bezug auf die Bearbeitung von Informationen des Bundes oder den Zugriff auf Informatikmittel des Bundes umsetzen m\u00fcssen. Eine unternehmensweite Implementation der Massnahmen gem\u00e4ss ISG wird nicht verlangt.<\/p>\n<h4>Cliffhanger f\u00fcr Teil 3<\/h4>\n<p>Da war doch noch die Meldepflicht f\u00fcr Cyberangriffe auf kritische Infrastrukturen? Genau, diese trat auch erst k\u00fcrzlich per 1. April 2025 in Kraft. Was es damit auf sich hat, wer als kritische Infrastruktur gilt und welche Konsequenzen bei Missachtung drohen, erfahren Sie in Teil 3 diese Blogpost-Serie. Zudem versuchen wir \u00fcbersichtlich darzustellen, auf wann die verschiedenen Pflichten f\u00fcr wen in Kraft treten (was einfacher t\u00f6nt, als es ist!).<\/p>\n<p>Bleiben Sie also dran!<\/p>\n<p>&nbsp;<\/p>\n<p><em>Blogposts direkt in die Inbox erhalten? <a href=\"https:\/\/web.swissnewsletter.ch\/e\/8701c9de30ebc427\/de\/form\/ec3745ce-01ea-47b1-b7bc-e83ee5822084.html\">HIER<\/a> k\u00f6nnen Sie sich f\u00fcr unseren Newsletter anmelden.<\/em><\/p>\n<p>&nbsp;<\/p>\n<p><em>Bild: vidaxl.de Marmeladengl\u00e4ser<\/em><\/p>","protected":false},"excerpt":{"rendered":"<p>Auf den 1. Januar 2024 traten das neue Informationssicherheitsgesetz des Bundes und seine Ausf\u00fchrungsverordnungen in Kraft. In Teil 1 dieser Blogpost-Serie haben wir aufgezeigt, auf wen das neue Informationssicherheitsrecht anwendbar ist. Nach diesem Warm-up geht es in Teil 2 nun um das Eingemachte. Wir schauen die Pflichten an, welche die unterstellten Organisationen zum Schutz ihrer [&hellip;]<\/p>\n","protected":false},"author":11,"featured_media":348963,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1,21,125,24,126],"tags":[131,130,127,129,132],"class_list":["post-348960","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-andere","category-datenschutz","category-digitalisierung-verwaltung","category-egovernment","category-informationssicherheit","tag-bundesverwaltung","tag-cybersecurity","tag-informationssicherheit","tag-isg","tag-isms"],"_links":{"self":[{"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/posts\/348960","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/users\/11"}],"replies":[{"embeddable":true,"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/comments?post=348960"}],"version-history":[{"count":5,"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/posts\/348960\/revisions"}],"predecessor-version":[{"id":348971,"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/posts\/348960\/revisions\/348971"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/media\/348963"}],"wp:attachment":[{"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/media?parent=348960"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/categories?post=348960"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/publicsector.ch\/en\/wp-json\/wp\/v2\/tags?post=348960"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}