05. April 2024

Update zum neuen Informationssicherheitsgesetz

  • Artikel
  • Legal
  • Banken / Versicherungen
  • Daten / Technologie / IP
  • Gesundheit / Life Sciences
  • Immobilien

Die Anzahl der Cyberangriffe auf staatliche Stellen und Privatpersonen ist in den letzten Jahren erheblich gestiegen. Das neue Informationssicherheitsgesetz zielt darauf ab, bestehende Schwachstellen in der Informationssicherheit zu beseitigen.

  • Dr. Martin Eckert

    Legal Partner
  • Noëlle Glaus

    Legal Associate

ISG – Ein neues Gesetz, das bereits in Revision ist

Das Informationssicherheitsgesetz (ISG) und die dazugehörige Verordnung über die Informationssicherheit bei der Bundesverwaltung und bei der Armee (Informationssicherheitsverordnung, ISV), die Verordnung über die Personensicherheitsprüfungen (VPSP) sowie die Verordnung über das Betriebssicherheitsverfahren (VBSV) sind am 1. Januar 2024 in Kraft getreten.

Eine Revision des ISG (Meldepflicht für Cyberangriffe auf kritische Infrastrukturen) ist beschlossen und soll gemäss Planung per 1. Januar 2025 in Kraft treten. Zudem wurde das bisherige Nationale Zentrum für Cybersicherheit (NCSC), das bisher beim Eidgenössischen Finanzdepartement (EFD) angesiedelt war, in das neue Bundesamt für Cybersicherheit (BACS) umgewandelt. Das BACS wurde neu in das Eidgenössische Departement für Verteidigung, Bevölkerungsschutz und Sport (VBS) eingegliedert.

Zielsetzung

Das ISG zielt darauf ab, die Sicherheit von Informationen und Informatikmittel des Bundes einheitlich für alle Behörden und Organisationen des Bundes zu regeln, um die Informationssicherheit (Cyber Security) des Bundes gesamthaft zu stärken. Der Fokus wird hierbei auf die kritischen Informationen und Systeme sowie auf die Standardisierung der Massnahmen gelegt. Im Rahmen der Revision des ISG wird ausserdem eine Meldepflicht für Cyberangriffe eingeführt, die aufgrund der breiten Begriffsdefinition insbesondere die Betreiber kritischer Infrastrukturen verpflichtet.

Wer untersteht dem Informationssicherheitsgesetz?

Dem ISG unterstehen die folgenden verpflichteten Behörden und Organisationen des Bundes (Art. 2 ISG): die Bundesversammlung, der Bundesrat, die eidgenössischen Gerichte, die Bundesanwaltschaft und deren Aufsichtsbehörde, die Schweizerische Nationalbank, die Parlamentsdienste, die Bundesverwaltung, die Verwaltung der eidgenössischen Gerichte, die Armee und die Organisationen nach Art. 2 Abs. 3 und 4 des Regierungs- und Verwaltungsorganisationsgesetzes (RVOG).

Arbeiten die verpflichteten Behörden und Organisationen mit Dritten zusammen, sorgen sie dafür, dass die gesetzlich vorgesehenen Anforderungen und Massnahmen in den entsprechenden Verträgen und Vereinbarungen festgehalten werden (Art. 9 ISG). Als Dritte gelten alle Behörden, Organisationen und Personen des öffentlichen und privaten Rechts, die keine verpflichteten Behörden und Organisationen sind und grundsätzlich unabhängig von diesen handeln.

Für die Betreiber von kritischen Infrastrukturen wird eine Meldepflicht bei Cyberangriffen eingeführt. Als kritische Infrastrukturen gelten jene Behörden und Organisationen, die lohnende Ziele für Cyberangriffe darstellen. Dies sind bspw. Hochschulen, Behörden, Organisationen der Sicherheit und Rettung, Trink- und Abwasserversorgung, Abfallentsorgung, Energieversorgung, Banken, Versicherungen, Gesundheitseinrichtungen, Sozialversicherungen, Schweizerische Radio- und Fernsehgesellschaft, Postdienste, öffentlicher Verkehr, Zivilluftfahrt, unentbehrliche Güter des täglichen Bedarfs, Fernmeldedienste, politische Rechte, digitale Dienste und Herstellerinnen von Hard- und Software (abschliessende Aufzählung in Art. 74b ISG)

Was sind die neuen Anforderungen und Pflichten?

Das ISG enthält für verpflichtete Organisationen und Behörden Anforderungen in Bezug auf die Informationssicherheit (Art. 6-23 ISG). Diese umfassen unter anderem:

  • Informationssicherheits-Management-System (ISMS): Verpflichtete Behörden und Organisationen müssen ein ISMS erstellen und umsetzen, welches die Anforderungen des ISG erfüllt. Dies beinhaltet die Beurteilung des Schutzbedarfs der Informationen (Art. 6 ISG) und ggf. deren Klassifizierung (Art. 11-15 ISG), die Identifizierung und laufende Beurteilung von Risiken (Art. 8 ISG), die Festlegung eines Sicherheitsverfahrens sowie Sicherheitsmassnahmen im Zusammenhang mit Informatikmitteln (Art. 16-19 ISG) und die Gewährleistung eines personellen sowie physischen Schutzes (Art. 20-23 ISG).

  • Informationen: Verpflichtete Behörden und Organisationen müssen Informationen, die sie verarbeiten, identifizieren, ihren Schutzbedarf beurteilen (Art. 6 ISG) und klassifizieren (Art. 11-15 ISG). Ausserdem muss sichergestellt sein, dass angemessene Schutzmassnahmen ergriffen werden, um diese Informationen vor unbefugtem Zugriff, Verlust, Störung oder Missbrauch zu schützen (Art. 6-10 ISG).

  • Risikomanagement: Verpflichtete Behörden und Organisationen müssen in ihrem eigenen Zuständigkeitsbereich wie auch bei der Zusammenarbeit mit Dritten die Risiken unter Kontrolle haben. Hierbei sind die geeignetsten Massnahmen zur Risikovermeidung und -reduktion zu treffen. Restrisiken sind klar auszuweisen, nachweisbar zu akzeptieren und entsprechend zu tragen (Art. 8 ISG).

  • Informatikmittel: Verpflichtete Behörden und Organisationen legen beim Einsatz von Informatikmitteln ein Sicherheitsverfahren zur Gewährleistung der Informationssicherheit fest. Den Informatikmitteln ist eine Sicherheitsstufe zuzuordnen, die mit Mindestanforderungen und Sicherheitsmassnahmen einhergehen (Art. 16-19 ISG).

  • Personal: Verpflichtete Behörden und Organisationen müssen sicherstellen, dass Personen, die Zugang zu Informationen, Informatikmitteln, Räumlichkeiten und anderen Infrastrukturen des Bundes haben, sorgfältig ausgewählt und risikogerecht identifiziert werden. Sie müssen über die Anforderungen des ISG und die relevanten Sicherheitsmassnahmen informiert und stufengerecht aus- und weitergebildet werden (Art. 20 ISG).

  • Räumlichkeiten und Bereiche: Verpflichtete Behörden und Organisationen müssen jene Risiken reduzieren, die von physischen Bedrohungen (menschliche Handlungen, Elementarschäden) ausgehen. Räumlichkeiten und Bereiche können Sicherheitszonen zugeordnet werden, welche mit entsprechenden Kontrollen (z.B. Taschenkontrollen usw.) verbunden sein können (Art. 22-23 ISG).

  • Bei der Zusammenarbeit mit Dritten, die nicht dem ISG unterstehen, haben die verpflichteten Behörden und Organisationen dafür zu sorgen, dass bei der Auftragserteilung und -ausführung die gesetzlichen Massnahmen eingehalten werden. Die Sicherheitsmassnahmen sind vertraglich zu regeln (Art. 9 ISG).

Die Revision des ISG (BBI 2023 84 – Botschaft zur Änderung des Informationssicherheitsgesetzes – Einführung einer Meldepflicht für Cyberangriffe auf kritische Infrastrukturen) sieht Neuregelungen in Bezug auf die Cybersicherheit (Art. 73a-79 revISG) vor:

  • Freiwillige Meldung bei Cybervorfällen und Schwachstellen: Meldungen zu Cybervorfällen (inkl. Cyberbedrohungen) und Schwachstellen in Informatikmitteln können weiterhin freiwillig dem Bundesamt für Cybersicherheit (BACS; bisher: National Cyber Security Centre, NCSC) mitgeteilt werden. Diese Möglichkeit ist nicht auf Betreiber kritischer Infrastrukturen beschränkt, sondern steht jeder Person – auch anonym – offen (Art. 73b revISG).

  • Behebung von Schwachstellen: Das BACS informiert die Hersteller/innen der betroffenen Soft- oder Hardware über gemeldete Schwachstellen und setzte ihnen eine angemessene Frist zu dessen Behebung an. Die nicht fristgerechte Behebung bzw. Missachtung kann beschaffungsrechtlich sanktioniert werden (Art. 73b revISG).

  • Meldepflicht bei Cyberangriffen: Meldepflichtige Behörden und Organisationen müssen Cyberangriffe innerhalb von 24 Stunden seit deren Entdeckung dem BACS mitteilen, sofern sie schwerwiegende Auswirkungen haben (Art. 74a-e revISG).

  • Verletzung der Meldepflicht: Kommt eine meldepflichtige Behörde oder Organisation ihrer Pflicht nicht nach, kann sie – nach zweimaliger Fristansetzung – mit einer Busse bis zu CHF 100'000.– bestraft werden (Art. 74g-74h revISG).

Das Parlament hat am 29. September 2023 die Änderungen des ISG verabschiedet. Die Ausführungsbestimmungen sind noch nicht erlassen. Die Planungen sind, derzeit darauf ausgerichtet, dass die Meldepflicht ab 1. Januar 2025 in Kraft tritt.

Wie ist das Vertrauensverhältnis zwischen BACS und Meldenden sichergestellt?

Das Öffentlichkeitsgesetz (BGÖ) geht dem ISG vor (Art. 4 Abs. 1 ISG). Das heisst grundsätzlich, dass alle Personen Zugang zu amtlichen Dokumenten und Informationen des Bundes haben, sofern keine Ausnahmen oder Interessenabwägungen vorliegen. Durch die Revision des ISG wird von dieser Regelung insofern eine Ausnahme gemacht, als dass Informationen Dritter, von denen das BACS durch die Entgegennahme und Analyse von Meldungen zu Cybervorfällen Kenntnis erhält, vom Zugangsrecht nach BGÖ ausgenommen sind (Art. 4 Abs. 1bis revISG).

Dies bedeutet, dass das BACS grundsätzlich keine Informationen zu Cybervorfällen veröffentlichen oder weiterleiten darf, die Personendaten oder Daten juristischer Personen enthalten, sofern dafür keine Einwilligung vorliegt (Art. 73c revISG). Lediglich in zwei Ausnahmefällen darf das BACS Informationen, die Rückschlüsse auf die Meldenden oder Betroffenen erlauben, ohne Erlaubnis weiterleiten (Art. 73d revISG):

  • Eine Weiterleitung an den Nachrichtendienst des Bundes (NDB) ist zulässig, wenn die Informationen für die Beurteilung der Bedrohungslage oder die Frühwarnung von kritischen Infrastrukturen relevant ist.
  • Eine Weiterleitung an die Strafbehörde ist erlaubt, wenn die Meldung Informationen zu schweren Straftaten enthält. Die Weiterleitung liegt jedoch einzig im Ermessen der Leiter/in des BACS, da für Mitarbeitende des BACS die Anzeigepflicht für Straftaten wegbedungen wurde.

Um das Vertrauensverhältnis weiter zu untermauern, wird auf Gesetzesstufe darauf hingewiesen, dass meldepflichtige Behörden und Organisationen keine Angaben machen müssen, die sie oder ihn strafrechtlich belasten (Art. 74e revISG).

Achtung: Keine Privilegierung von meldenden Dritten

Cybervorfälle und Cyberbedrohungen, insbesondere Schwachstellen, können dem BACS nicht nur durch Betroffene, sondern auch durch Dritte, und falls gewünscht anonym, angezeigt werden (Art. 73b revISG).

Die obige Regelung bildet keinen Erlaubnisnorm im Sinne eines Whistleblower-Tatbestandes. So sind vertragliche und gesetzliche Geheimhaltungspflichten auch bei Meldungen an das BACS weiterhin zu beachten. Auch ist das Entdecken von Schwachstellen durch das unbefugte Eindringen in fremde Informatikmittel («Hacken») weiterhin strafbar. Hacker/innen sollen sich durch Meldungen an das BACS nicht von der Strafbarkeit ihres Handelns befreien können.

Umfassende Anforderungen des ISG – auch für Dritte und Provider

Die aus dem ISG resultierenden Anforderungen umfassen die Einhaltung von Sicherheitspraktiken und -richtlinien, eine strenge Kontrolle und Überwachung der Aktivitäten sowie eine regelmässige Überprüfung und Aktualisierung der Sicherheitssysteme. Die verpflichteten Behörden und Organisationen müssen dafür sorgen, dass Dritte und Provider, mit denen sie zusammenarbeiten, vertraglich verpflichtet werden, Massnahmen nach dem ISG zu ergreifen und ein sicheres Betriebsumfeld zu gewährleisten. Diese Dritten und Provider müssen Sicherheitsmassnahmen ergreifen, um die Integrität, Sicherheit und Zuverlässigkeit ihrer Dienste zu gewährleisten sowie um die Daten und Informationen ihrer Kunden zu schützen und sicherzustellen, dass nur autorisierte Personen darauf zugreifen können.

Darüber hinaus können Cloud- und Service-Provider wie auch Hersteller/innen von Hard- und Software, deren Produkte von kritischen Infrastrukturen genutzt werden, unter die in der Revision des ISG vorgesehene Meldepflicht bei Cyberangriffen fallen.

Cyber-Security-Einschätzung für eine proaktive Informationssicherheit

Das ISG fordert von verpflichteten Behörden und Organisationen sowie Betreibern kritischer Infrastrukturen eine umfassende und proaktive Informationssicherheit. Durch eine summarische, externe Cyber-Security-Einschätzung kann die Umsetzung dieser Anforderungen beurteilt und festgestellt werden, ob das Unternehmen angemessene Massnahmen ergriffen hat, um seine Informationen und Informatikmittel zu schützen, auch vor allfälligen Cybervorfällen. Diese Einschätzung sollte auch die Fähigkeit des Unternehmens bewerten, auf Stör- und Notfälle zu reagieren sowie die Wirksamkeit der implementierten Schutzmassmechanismen zu überwachen und zu verbessern.

Es ist wichtig, dass die Einschätzung auch die Compliance mit branchenspezifischen und gesetzlichen Anforderungen – wie dem ISG – berücksichtigt. Eine regelmässige Überprüfung der Einschätzung ist ebenfalls zentral, um sicherzustellen, dass das Unternehmen immer auf dem neuesten Stand der Technik bleibt. Dies ist Voraussetzung, um sich so gut wie möglich vor Bedrohungen schützen zu können. Nicht zuletzt sollten die Mitarbeitenden zu Informationssicherheit geschult werden, wobei diese insbesondere auch auf das Thema Cybersicherheit sensibilisiert werden müssen (Stichwort Security Awareness). Mitarbeitende müssen verstehen, wie sie ihren Beitrag zum Schutz des Unternehmens leisten können.

Summary

Das ISG und dessen Revision stellen hohe Anforderungen an die Informationssicherheit, wobei insbesondere Betreiber kritischer Infrastrukturen im Bereich der Cybersicherheit in die Pflicht genommen werden. Diese Anforderungen müssen erfüllt werden, um die Sicherheit von kritischen Informationen und Systemen für die Bevölkerung und die Wirtschaft sicherzustellen. Durch das ISG und dessen Revision wird sichergestellt, dass die verpflichteten Behörden und Organisationen sowie die Betreiber kritischer Infrastrukturen ihre Verantwortung erfüllen und dadurch potenzielle Risiken und Bedrohungen minimieren.

Die Notwendigkeit dieser Massnahmen ist nachvollziehbar und längst fällig, wobei deren Umsetzung Unternehmen vor verschiedene, sehr individuelle Herausforderungen stellen kann. MME und InfoGuard können sie bei den Anpassungen an die neuen gesetzlichen Anforderungen sowohl rechtlichen wie auch technisch unterstützen, insbesondere auch im Falle eines Incidents.

ISG: https://www.fedlex.admin.ch/eli/oc/2022/232/de

revISG: https://www.fedlex.admin.ch/eli/fga/2023/2296/de

Autoren: Dr. Martin Eckert (MME), Noëlle Glaus (MME), Markus Limacher (InfoGuard)