ISG & NIS2 mit ISMS nach ISO 27001 umsetzen: 6 Schlüsselbranchen im Fokus

Das Informationssicherheitsgesetz (ISG) ist ein wichtiger Schritt zur Stärkung der Cyberresilienz. Das ISG verpflichtet Bundesbehörden, Drittparteien und Betreiber kritischer Infrastrukturen, ein Informationssicherheits-Managementsystem (ISMS) zu etablieren und Cyberangriffe innert 24 Stunden zu melden, sofern diese die Funktionsfähigkeit der Organisation gefährdet und zu schwerwiegenden Auswirkungen führen.

Diese Regelungen betreffen kritische Infrastrukturen wie Spitäler, Energieversorger, Transportunternehmen, viele weitere Sektoren und Bundesbehörden. Die Einführung eines ISMS nach dem internationalen Standard ISO/IEC 27001:2022 wird als Best Practice empfohlen, um die gesetzlichen Anforderungen zu erfüllen und gleichzeitig das Vertrauen von Kunden und Partnern zu stärken.

Rail & Transportation –
Cybersicherheit im Schienenverkehr

Die CySec-Rail-Richtlinie des Bundesamts für Verkehr (BAV) verlangt von allen Eisenbahnunternehmen die Einführung eines ISMS. Die Richtlinie orientiert sich an ISO 27001 und legt den Fokus auf den Schutz von Steuerungs-, Signal- und Kommunikationssystemen.

Für Schweizer Unternehmen, die in der EU tätig sind oder mit EU-Partnern zusammenarbeiten, gilt zusätzlich die NIS2-Richtlinie der EU. Diese schreibt vor, dass Betreiber kritischer Transportinfrastrukturen ein ISMS einführen und Cybervorfälle innerhalb von 24 Stunden melden müssen.

Die Kernanforderungen:

• Risikomanagement zum Schutz von Stellwerken, Signalanlagen und Zugleitsystemen vor Cyberangriffen.
• Lieferketten-Sicherheit für Systematische Überprüfung der Cybersicherheit von Zulieferern und Dienstleistern.
• Nachweis der Compliance durch ISO 27001 oder IEC 62443.
• Notfallpläne! Entwicklung und regelmässige Überprüfung von Notfallplänen für den Cyberernstfall.

Gesundheitssektor –
Schutz von Patientendaten und Systemen

Das Informationssicherheitsgesetz (ISG) sieht vor, dass Spitäler, Apotheken und Pflegeheime ein ISMS einführen müssen. Cyberangriffe, welche die Funktionsfähigkeit gefährden oder zu Datenabfluss führen, müssen innerhalb von 24 Stunden an das Bundesamt für Cybersicherheit (BACS) gemeldet werden.

Die Kernanforderungen:

• Risikomanagement, Durchführung von Schutzbedarfsanalysen für Patientendaten, IT-Systeme und medizinische Geräte.
• Meldepflicht! Einrichtung klarer Prozesse für die 24-Stunden-Meldepflicht an das BACS.
• Einführung eines ISMS nach ISO 27001:2022 zur Erfüllung der Compliance-Anforderungen und Stärkung des Vertrauens von Patienten und Partnern.
• Schulungen und regelmässige Sensibilisierung der Mitarbeiter für Cybersicherheitsrisiken.

Operational Technology (OT) –
Sicherheit für industrielle Steuerungssysteme

Die NIS2-Richtlinie der EU und das schweizerische ISG verlangen die Einführung eines ISMS für Betreiber kritischer OT-Systeme, z.B. in der Energieversorgung, Wasseraufbereitung, etc. Es gilt eine 24-Stunden-Meldepflicht für Cyberangriffe.

Der internationale Standard IEC 62443 dient als Referenz für die Sicherheit industrieller Steuerungssysteme und wird in der Schweiz und der EU anerkannt.

Die Kernanforderungen:

• OT-Sicherheitsmassnahmen zum Schutz von Steuerungsnetzwerken durch Zugangskontrollen und regelmässige Sicherheitsaudits.
• Integration in ISMS der OT-Sicherheit in das übergeordnete ISMS (z.B. nach ISO 27001:2022).
• Meldepflicht! 24-Stunden-Meldepflicht von Cyberangriffen auf OT-Systeme.
• Dokumentation! Lückenlose Protokollierung aller Sicherheitsvorfälle und Massnahmen.

Kritische Infrastrukturen –
Energie, Wasser, Finanzen und digitale Infrastruktur

Die NIS2-Richtlinie der EU und das schweizerische ISG verpflichten Betreiber kritischer Infrastrukturen zur Einführung eines ISMS, zur Durchführung regelmässiger Audits und zur Meldung von Cybervorfällen innerhalb von 24 Stunden. Die Anforderungen gelten für 18 kritische Sektoren, darunter Energie, Wasser und digitale Infrastruktur.

Die Kernanforderungen:

• Risikomanagement, Identifikation und Bewertung von Risiken für Verfügbarkeit, Integrität und Vertraulichkeit.
• Zertifizierung nach ISO 27001:2022 oder Branchenstandards wie IEC 62443 für OT.
• Lieferketten-Sicherheit, Systematische Überprüfung der Cybersicherheit von Partnern und Zulieferern.
• Kontinuierliche Verbesserung und regelmässige Überprüfung und Anpassung der Sicherheitsmassnahmen.
  

Banken, Versicherungen und öffentliche Verwaltungen: Hohe Standards für sensible Daten

Die FINMA setzt für Banken und Versicherungen klare Risikomanagement-Richtlinien voraus. Das ISG verpflichtet alle Bundesbehörden zur Einführung eines ISMS und zur Meldung von Cyberangriffen.

Die Kernanforderungen:

• Risikomanagement zum Schutz von Kundendaten, Finanztransaktionen und behördlichen Informationen.
• Ein ISMS nach ISO 27001:2022 wird empfohlen, um Compliance mit FINMA und ISG nachzuweisen.
• 24-Stunden-Meldepflicht!
• Interne Richtlinien! Entwicklung und Umsetzung interner Sicherheitsrichtlinien.
  

ISMS nach ISO 27001:2022 als strategische Notwendigkeit

Die Anforderungen aus ISG und NIS2 wie auch die 24-Stunden-Meldepflicht sind nicht nur gesetzliche Pflichten, sondern zugleich der Schlüssel zu einer zukunftsfähigen Sicherheitsstrategie. Ein ISMS nach ISO 27001:2022 ist der Goldstandard und schafft Transparenz, stärkt das Vertrauen von Kunden wie auch Partnern und reduziert Lieferkettenrisiken nachhaltig. Wer Informationssicherheit (ISMS) und Datenschutz (DSMS) in einem integrierten Managementsystem kombiniert, profitiert von höherer Effizienz, klaren Abläufen und messbarer Compliance.

Mit InfoGuard als Partner gewinnen Sie beides: Rechtssicherheit und Resilienz. Kontaktieren Sie uns, unsere Spezialist*innen unterstützen Sie bei der erfolgreichen Umsetzung der Massnahmen zu den gesetzlichen Vorlagen und entwickeln Ihre Sicherheitsarchitektur gemeinsam mit Ihnen weiter. 

Bildlegende: mit KI generiertes Bild