{"id":348997,"date":"2025-10-22T13:50:56","date_gmt":"2025-10-22T13:50:56","guid":{"rendered":"https:\/\/publicsector.ch\/?p=348997"},"modified":"2025-10-22T13:50:56","modified_gmt":"2025-10-22T13:50:56","slug":"neues-informationssicherheitsrecht-des-bundes-teil-3","status":"publish","type":"post","link":"https:\/\/publicsector.ch\/en\/neues-informationssicherheitsrecht-des-bundes-teil-3\/","title":{"rendered":"Neues Informationssicherheitsrecht des Bundes – Teil 3"},"content":{"rendered":"

In den bisherigen Folgen der Blogpost-Serie zum neuen Informationssicherheitsgesetz des Bundes (ISG) haben wir aufgezeigt, wer in den Anwendungsbereich der Bestimmungen f\u00e4llt und welche konkreten Pflichten umzusetzen sind. Wir beenden die Blogpost-Serie in diesem Beitrag mit etwas Beigem\u00fcse zum ISG: Einer Tagesaktualit\u00e4t, den Meldepflichten f\u00fcr kritische Infrastrukturen sowie einem \u00dcberblick zum gestaffelten Inkrafttreten der neuen Pflichten.<\/strong><\/p>\n

von Anna Kuhn<\/strong><\/p>\n

 <\/p>\n

Aus aktuellem Anlass: Der Xplain-Cyberangriff zeigt Folgen<\/h4>\n

Sie m\u00f6gen sich erinnern: Im Mai 2023 wurde die IT-Dienstleisterin f\u00fcr Beh\u00f6rdensoftware Xplain Opfer eines Ransomware-Angriffs (siehe hier<\/a>). Da Xplain in Absprache mit den Strafverfolgungsbeh\u00f6rden und dem Bund keine L\u00f6segeldzahlung an die Hacker leistete, wurde vermutlich das ganze gestohlene Datenpaket – inklusive operativer Daten der Bundesverwaltung – im Darknet ver\u00f6ffentlicht.<\/p>\n

Der Cyberangriff wurde detailliert aufgearbeitet. Als eine der daraus gezogenen Lehren beauftragte der Bundesrat das Staatssekretariat f\u00fcr Sicherheitspolitik (SEPOS) damit, Standardvertragsklauseln zur Gew\u00e4hrleistung der Informationssicherheit bei Beschaffungen des Bundes zu erarbeiten. Das SEPOS hat nun eine Sammlung solcher Standardbestimmungen ver\u00f6ffentlicht, die durch wirksame, wirtschaftliche und risikobasierte Instruktionen der Lieferanten Datenabfl\u00fcsse verhindern sollen. Die Vertragsklauseln treten per Januar 2026 in Kraft, haben jedoch lediglich den Status von Empfehlungen (siehe hier<\/a>).<\/p>\n

Meldepflicht f\u00fcr die kritischen Infrastrukturen<\/h4>\n

Nun aber nochmals zur\u00fcck zum ISG selbst. In Folge 1 der Blogpost-Serie haben wir aufgezeigt, dass das ISG prim\u00e4r auf Bundesbeh\u00f6rden (\u201cverpflichtete Beh\u00f6rden\u201d) sowie Organisationen, die Verwaltungsaufgaben wahrnehmen (\u201cverpflichtete Organisationen\u201d), anwendbar ist (hier zum Nachlesen<\/a>).<\/p>\n

Eine Ausnahme von diesem eingeschr\u00e4nkten Geltungsbereich sieht das Gesetz f\u00fcr Organisationen vor, die kritische Infrastrukturen betreiben. Als kritische Infrastruktur gelten Prozesse, Systeme und Einrichtungen, die essenziell f\u00fcr das Funktionieren der Wirtschaft bzw. das Wohlergehen der Bev\u00f6lkerung sind (Art. 5 lit. c ISG). Beispiele sind die Trinkwasser- und Energieversorgung, Informations-, Kommunikations- und Transportinfrastrukturen oder Hochschulen ab einer Anzahl von 2000 Studierenden (siehe Art. 12 Abs. 1 Cybersicherheitsverordnung<\/a>).<\/p>\n

Als Folge m\u00fcssen die Betreiberinnen kritischer Infrastrukturen Cyberangriffe innerhalb von 24 Stunden nach ihrer Entdeckung dem Bundesamt f\u00fcr Cybersicherheit (BACS) melden (freiwillige Meldungen sind aber ebenfalls willkommen!). Meldepflichtig sind Angriffe ab einer gewissen Schwere, so z.B.:<\/p>\n