Neues Informationssicherheitsrecht des Bundes – Teil 1

Teil 1: (Wieso) braucht es das ISG und für wen gilt es?

Auf den 1. Januar 2024 traten das neue Informationssicherheitsgesetz des Bundes und seine diversen (revidierten) Ausführungsverordnungen in Kraft. Die neuen Pflichten müssen gestaffelt umgesetzt werden. Doch auf wen sind die neuen Rechtsgrundlagen anwendbar? Welche Pflichten gilt es zu beachten und bis wann sind sie umzusetzen? Diese Blogpost-Serie bringt Licht ins Dunkle. Teil 1 startet mit dem Gesetzeszweck und dem persönlichen Geltungsbereich.

Anna Kuhn

 

Weshalb braucht es ein neues Informationssicherheitsrecht?

Es dürfte unbestritten sein, dass der Bund seine Daten und Informationssysteme vor Angriffen schützen muss. Die Liste der Sicherheitsvorfälle ist lang: Der jüngste Cyberangriff auf die Stiftung Radix, die Ransomware-Angriffe auf die IT-Lieferantin des Bundes Xplain AG und die zahlreichen DDoS-Attacken prorussischer Hackerangriffe auf die Bundesverwaltung sind nur wenige Beispiele daraus.

Die bisherigen Rechtsgrundlagen zum Schutz vor Angriffen beim Bund weisen Lücken und Widersprüche auf und finden sich verstreut in einer Vielzahl von oftmals sektoriellen Erlassen (z.B. RVOG, ParlG, StGB, BÖB, DSG, BGÖ). Gemäss Bundesrat ist ein Zusammenhang dieses Gesetzes-Flickenteppichs mit den zunehmenden Angriffen nicht auszuschliessen. Der daraus resultierende ungenügende Schutzstandard wird durch die zunehmende Vernetzung der Informatiksysteme und die gemeinsamen Schnittstellen der Bundesbehörden verstärkt. Also Grund genug, eine zentrale, behördenübergreifende Rechtsgrundlage zu schaffen, um damit ein genügendes und einheitliches Sicherheitsniveau zu erreichen.

 

Wie ist das neue Informationssicherheitsrecht aufgebaut?

Auf den 1. Januar 2024 trat entsprechend das Informationssicherheitsgesetz des Bundes (nachfolgend ISG) in Kraft (siehe Medienmitteilung vom 8.11.2023). Das Ziel ist die Stärkung der Sicherheit bei der Bearbeitung von Daten des Bundes und beim Einsatz von Informatikmitteln des Bundes. Auch soll die Widerstandsfähigkeit der Schweiz gegenüber Cyberbedrohungen erhöht werden.

Was für Zwillinge gilt, gilt auch für Gesetze: Ein Gesetz kommt selten allein und so wurden zum ISG gleich vier weitere Ausführungsverordnungen neu erlassen oder revidiert und gestaffelt in Kraft gesetzt:

• Informationssicherheitsverordnung (ISV): Die ISV regelt und konkretisiert die Aufgaben, Verantwortlichkeiten und Kompetenzen der vom ISG erfassten Organisationen. Sie ersetzt die bisherige Cyberrisiken- und Informationsschutzverordnung.
• Verordnung über die Personensicherheitsprüfungen (VPSP): Falls Personen der vom Geltungsbereich des ISG erfassten Behörden und Organisationen sicherheitsempfindliche Tätigkeiten ausüben, ist in der Regel eine Personensicherheitsprüfung erforderlich. Die Rahmenbedingungen werden in der VPSP geregelt.
• Verordnung über das Betriebssicherheitsverfahren (VBSV): Die VBSV regelt das Betriebssicherheitsverfahren, falls Bundesbehörden sicherheitsempfindliche Aufträge vergeben.
• Verordnung über Identitätsverwaltungs-Systeme und Verzeichnisdienste des Bundes (IAMV): Die bereits zuvor geltende IAMV wird angepasst, um zukünftig einen einheitlichen Login-Dienst für den Zugang zu Online-Diensten der Verwaltung aller föderalen Ebenen bereitzustellen.

 

An wen richtet sich das neue Informationssicherheitsgesetz?

Das ISG unterscheidet beim persönlichen Geltungsbereich zwischen «verpflichteten Behörden» und «verpflichteten Organisationen» (siehe Art. 2 ISG). Unter die verpflichteten Behörden fallen

• die Bundesversammlung,
• der Bundesrat,
• die eidgenössischen Gerichte,
• die Bundesanwaltschaft und ihre Aufsichtsbehörde,
• die Schweizerische Nationalbank (siehe Art. 2 Abs. 1 ISG).

 

Als verpflichtete Organisationen gelten die

• Parlamentsdienste,
• die Bundesverwaltung,
• die Verwaltung der eidgenössischen Gerichte,
• die Armee,
• weitere Organisationen, sofern sie Verwaltungsaufgaben wahrnehmen.

 

Für die Definition der weiteren Organisationen, die Verwaltungsaufgaben wahrnehmen, ist ein Blick ins Regierungs- und Verwaltungsorganisationsgesetz des Bundes (RVOG) notwendig (konkret Art. 2 Abs. 4 RVOG). Demnach handelt es sich dabei um Organisationen und Personen des öffentlichen oder privaten Rechts ausserhalb der Bundesverwaltung, die mit Verwaltungsaufgaben betraut werden. Als Verwaltungsaufgaben gelten Aufgaben, die der Staat durch seine Verwaltung erfüllt. Sie sind enger zu verstehen als öffentliche Aufgaben, die gemäss der Verfassung und den Gesetzen dem Gemeinwesen übertragen sind (siehe Art. 42 Abs. 1 der Bundesverfassung). Nicht von Verwaltungsaufgaben erfasst wird die Bedarfsverwaltung, also die Beschaffung der notwendigen Mittel durch die Verwaltung, um ihre Aufgaben erfüllen zu können (z.B. das Beschaffen von Büromaterial). Werden Verwaltungsaufgaben ausgelagert, erfordert dies stets eine gesetzliche Grundlage.

Da das ISG aber «nur» beabsichtigt, die Sicherheit und den Schutz vor Cyberangriffen beim Bund sicherzustellen, wird eine Einschränkung des Geltungsbereichs für die dezentrale Bundesverwaltung und Organisationen mit Verwaltungsaufgaben vorgesehen. Sie müssen einzelne Bestimmungen aus ISG und ISV nur in folgenden Fällen beachten:

• wenn sie klassifizierte Informationen des Bundes bearbeiten,
• wenn sie auf Informatikmittel der internen IKT-Leistungserbringer zugreifen oder ihre eigenen Informatikmittel durch diese Leistungserbringer betreiben lassen

 

Als klassifizierte Informationen gelten Informationen der im ISG definierten Klassifizierungsstufe «intern», «vertraulich» oder «geheim» (Art. 11 i.V.m. 13 ISG). Und als Informatikmittel gelten Mittel der Informations- und Kommunikationstechnik, wie z.B. Informationssysteme, Datensammlungen sowie Einrichtungen, Produkte und Dienste, die zur elektronischen Verarbeitung von Informationen dienen (Art. 5 lit. a ISG).

Bearbeiten die dezentrale Bundesverwaltung oder Organisationen mit Verwaltungsaufgaben eigene Daten oder setzen eigene Informatikmittel egal welcher Schutzstufe ein, so ist das ISG nicht anwendbar.

 

Was gilt für Betreiberinnen kritischer Infrastrukturen, Kantone und Vertragspartner?

Eine Ausnahme von der Ausnahme gilt für Organisationen, die kritische Infrastrukturen betreiben. Kritische Infrastruktur sind z.B. die Trinkwasser- und Energieversorgung, die Informations-, Kommunikations- und Transportinfrastrukturen sowie weitere Prozesse, Systeme und Einrichtungen, die essenziell für das Funktionieren der Wirtschaft und das Wohlergehen der Bevölkerung sind.

Sie werden unabhängig der Bearbeitung klassifizierter Informationen und dem Einsatz von Informatikmitteln des Bundes gewissen Pflichten des ISG unterstellt (Art. 2 Abs. 5 ISG). Sie unterliegen insbesondere Meldepflichten im Falle eines Sicherheitsvorfalls (mehr dazu in einem nächsten Blogpost).

Auch die Kantone wurden im ISG mitberücksichtigt. Diese müssen das ISG ebenfalls anwenden, sofern sie klassifizierte Informationen des Bundes bearbeiten oder auf Informatikmittel des Bundes zugreifen. Nicht notwendig ist dies, falls die Kantone eine mindestens gleichwertige Informationssicherheit gewährleisten (siehe Art. 2 Abs. 5 ISG).

Zuletzt ist zu beachten, dass Pflichten des neuen Informationssicherheitsrechts nicht nur von Gesetzes wegen, sondern auch aufgrund vertraglicher Zusammenarbeit mit dem Bund gelten können. Das ISG schreibt vor, dass die verpflichteten Behörden und Organisationen diesen Dritten die Anforderungen und Massnahmen des ISG vertraglich überbinden müssen. Die Umsetzung der Massnahmen muss zudem angemessen überprüft werden (siehe Art. 9 ISG). Um den Kreis zu schliessen: Zieht der Bund einen IT-Dienstleister bei, wie es im eingangs erwähnten Beispiel mit der Explain AG der Fall war, müsste er diesem nach dem neuen Recht eine Reihe von Pflichten überbinden.

 

Zusammengefasst: Wer fällt unter das ISG?

Das Ziel des neuen Informationssicherheitsrechts ist die Stärkung der Sicherheit bei der Bearbeitung von Daten des Bundes und beim Einsatz von Informatikmitteln des Bundes. Man will eine einheitliche und behördenübergreifende Cybersicherheit erreichen. Zu diesem Zweck enthalten das ISG und seine Ausführungsbestimmungen Pflichten für nachfolgende Behörden und Organisationen:

• Verpflichtete Behörden nach Art. 2 Abs. 1 ISG
• Verpflichte Organisationen nach Art. 2 Abs 2 ISG,
• Dezentrale Bundesverwaltung und Dritte mit Verwaltungsaufgaben (Art. 2 Abs. 3 ISG), sofern sie
  • klassifizierte Informationen des Bundes bearbeiten oder
  • auf Informatikmittel des Bundes zugreifen oder solche von ihm betreiben lassen
• Betreiberinnen kritischer Infrastrukturen (Art. 2 Abs. 4 ISG)
• Kantone (Art. 3 ISG), falls sie
  • klassifizierte Informationen des Bundes bearbeiten oder
  • auf Informatikmittel des Bundes zugreifen und
  • keine gleichwertige Informationssicherheit aufweisen
• Vertragspartner des Bundes, falls
  • der Bund Massnahmen gemäss ISG vertraglich überbindet.

 

Im nächsten Teil der Blogpost-Serie schauen wir uns die inhaltlichen Pflichten des neuen Informationssicherheitsrechts an. Stay tuned!

 

Foto: Muhammad Zaqy Al Fattah by Unsplash