infoguard-cyber-security-blog-revision-isg

Revision ISG: Folgen & Pflichten für Betreiber kritischer Infrastrukturen [Teil 1]

Auf Gesetzesebene werden 2023 sowohl die Informationssicherheit als auch die Cyber-Sicherheit gestärkt. Das Bundesgesetz über die Informationssicherheit (Informationssicherheitsgesetz, ISG) und dessen Revision verpflichten verschiedenste Akteure, regeln deren Pflichten sowie Rollen und beinhalten Richtlinien. Unternehmen – insbesondere Betreiber kritischer Infrastrukturen – sollten sich deshalb frühzeitig informieren und darauf vorbereiten. In einem zweiteiligen Blogartikel, in Zusammenarbeit mit MME, helfen wir Ihnen dabei.

Zum einen werden dieses Jahr die restlichen Artikel des Informationssicherheitsgesetzes (ISG) in Kraft treten (voraussichtlich am 1. September 2023). Das Gesetz zielt darauf ab, die Sicherheit von Informationen sowie Informatikmittel des Bundes einheitlich für alle Behörden und Organisationen des Bundes zu regeln, um die Informationssicherheit gesamthaft zu stärken. Der Fokus wird hierbei auf die kritischen Informationen und Systeme sowie auf die Standardisierung der Massnahmen gelegt.

Zum anderen durchläuft das ISG einige Änderungen in Bezug auf die Cyber-Sicherheit. Die Revision des ISG – provisorische Fassung – soll ebenfalls noch dieses Jahr in Kraft treten. Hierbei wird eine Meldepflicht für Cyber-Angriffe eingeführt, die aufgrund der breiten Begriffsdefinition insbesondere die Betreiber kritischer Infrastrukturen verpflichtet. Diese Pflicht trifft die Betreiber kritischer Infrastrukturen selbst, aber bspw. auch die Entwickler der von den kritischen Infrastrukturen genutzten Systeme. 

Neue Anforderungen und Pflichten aufgrund des ISG und dessen Revision

Das ISG enthält für verpflichtete Organisationen und Behörden (Definition Art. 2 ISG) eine ganze Reihe an Anforderungen (Art. 6-26 ISG) in Bezug auf die Informationssicherheit. Diese umfassen unter anderem:

  • Informationssicherheits-Management-System (ISMS): Verpflichtete Behörden und Organisationen müssen ein ISMS erstellen und umsetzen, welches die Anforderungen des ISG erfüllt. Dies beinhaltet die Beurteilung des Schutzbedarfs der Informationen (Art. 6 ISG) und ggf. deren Klassifizierung (Art. 11-15 ISG), die Identifizierung und laufende Beurteilung von Risiken (Art. 8 ISG), die Festlegung eines Sicherheitsverfahrens sowie Sicherheitsmassnahmen im Zusammenhang mit Informatikmitteln (Art. 16-19 ISG) und die Gewährleistung eines personellen sowie physischen Schutzes (Art. 20-23 ISG) sowie Identitätsverwaltungssysteme (Art, 24-26 ISG).
  • Informationen: Verpflichtete Behörden und Organisationen müssen Informationen, die sie verarbeiten, identifizieren, ihren Schutzbedarf beurteilen (Art. 6 ISG) und die Informationen klassifizieren (Art. 11-15 ISG). Ausserdem muss sichergestellt sein, dass angemessene Schutzmassnahmen ergriffen werden, um diese Informationen vor unbefugtem Zugriff, Verlust, Störung oder Missbrauch zu schützen (Art. 6-10 ISG).
  • Risikomanagement: Verpflichtete Behörden und Organisationen müssen in ihrem eigenen Zuständigkeitsbereich wie auch bei der Zusammenarbeit mit Dritten die Risiken unter Kontrolle haben. Hierbei sollen die geeignetsten Massnahmen zur Risikovermeidung und -reduktion getroffen werden. Restrisiken sind klar auszuweisen, nachweisbar zu akzeptieren und entsprechend zu tragen (Art. 8 ISG).
  • Informatikmittel: Verpflichtete Behörden und Organisationen legen beim Einsatz von Informatikmitteln ein Sicherheitsverfahren zur Gewährleistung der Informationssicherheit fest. Den Informatikmitteln ist eine Sicherheitsstufe zuzuordnen, die mit Mindestanforderungen und Sicherheitsmassnahmen einhergehen (Art. 16-19 ISG).
  • Personal: Verpflichtete Behörden und Organisationen müssen sicherstellen, dass Personen, die Zugang zu Informationen, Informatikmitteln, Räumlichkeiten und anderen Infrastrukturen des Bundes haben, sorgfältig ausgewählt und risikogerecht identifiziert werden. Sie müssen über die Anforderungen des ISG und die relevanten Sicherheitsmassnahmen informiert und stufengerecht aus- sowie weitergebildet werden (Art. 20 ISG).
  • Räumlichkeiten und Bereiche: Verpflichtete Behörden und Organisationen müssen jene Risiken reduzieren, die von physischen Bedrohungen (menschliche Handlungen, Elementarschäden) ausgehen. Räumlichkeiten und Bereiche können Sicherheitszonen zugeordnet werden, welche mit entsprechenden Kontrollen (z.B. Taschenkontrollen usw.) verbunden sein können (Art. 22-23 ISG).    
  • Zusammenarbeit mit Dritten: Bei der Zusammenarbeit mit Dritten, die nicht dem ISG unterstehen, haben die verpflichteten Behörden und Organisationen dafür zu sorgen, dass bei der Auftragserteilung und -ausführung die gesetzlichen Massnahmen eingehalten werden. Die Sicherheitsmassnahmen sind vertraglich zu regeln (Art. 9 ISG).

Die Revision des ISG sieht Neuregelungen in Bezug auf die Cyber-Sicherheit (Art. 73a-79 revISG) vor:

  • Freiwillige Meldung bei Cyber-Vorfällen und Schwachstellen: Meldungen zu Cyber-Vorfällen (inkl. Cyber-Bedrohungen) und Schwachstellen in Informatikmitteln können weiterhin freiwillig dem Nationalen Zentrum für Cybersicherheit (National Cyber Security Centre, NCSC) mitgeteilt werden. Diese Möglichkeit ist nicht auf Betreiber kritischer Infrastrukturen beschränkt, sondern steht jeder Person – auch anonym – offen (Art. 73b revISG).
  • Behebung von Schwachstelle: Das NCSC informiert die Hersteller der betroffenen Soft- oder Hardware über gemeldete Schwachstellen und setzt ihnen eine angemessene Frist für dessen Behebung an. Die nicht fristgerechte Behebung bzw. Missachtung kann beschaffungsrechtlich sanktioniert werden (Art. 73b revISG).
  • Meldepflicht bei Cyber-Angriffen: Betreiber kritischer Infrastrukturen bzw. meldepflichtige Behörden und Organisationen müssen Cyber-Angriffe innerhalb von 24 Stunden seit deren Entdeckung dem NCSC mitteilen, sofern sie schwerwiegende Auswirkungen haben (Art. 74a-e revISG).
  • Verletzung der Meldepflicht: Kommt eine meldepflichtige Behörde oder Organisation ihrer Pflicht nicht nach, kann sie – nach zweimaliger Fristansetzung – mit einer Busse von bis zu CHF 100 000.– bestraft werden (Art. 74g-74h revISG).

Vertrauensverhältnis zwischen NCSC und Meldenden

Das Öffentlichkeitsgesetz (BGÖ) geht dem ISG vor (Art. 4 Abs. 1 ISG). Das heisst grundsätzlich, dass alle Personen Zugang zu amtlichen Dokumenten und Informationen des Bundes haben, sofern keine Ausnahmen oder Interessenabwägungen vorliegen. Durch die Revision des ISG wird von dieser Regelung insofern eine Ausnahme gemacht, als dass Informationen Dritter, von denen das NCSC durch die Entgegennahme und Analyse von Meldungen zu Cyber-Vorfällen Kenntnis erhält, vom Zugangsrecht nach BGÖ ausgenommen sind (Art. 4 Abs. 1bis revISG).

Dies bedeutet, dass das NCSC grundsätzlich keine Informationen zu Cyber-Vorfällen veröffentlichen oder weiterleiten darf, die Personendaten oder Daten juristischer Personen enthalten, sofern dafür keine Einwilligung vorliegt (Art. 73c revISG). Lediglich in zwei Ausnahmefällen darf das NCSC Informationen, welche Rückschlüsse auf die Meldenden oder Betroffenen erlauben, ohne Einwilligung weiterleiten (Art. 73d revISG): 

  • Eine Weiterleitung an den Nachrichtendienst des Bundes (NDB) ist zulässig, wenn die Informationen für die Beurteilung der Bedrohungslage oder für die Frühwarnung von kritischen Infrastrukturen relevant sind.
  • Eine Weiterleitung an die Strafbehörde ist erlaubt, wenn die Meldung Informationen zu schweren Straftaten enthält. Die Weiterleitung liegt jedoch einzig im Ermessen der Leitungsperson des NCSC, da für Mitarbeitende des NCSC die Anzeigepflicht für Straftaten wegbedungen wurde.

Um das Vertrauensverhältnis weiter zu untermauern, wird auf Gesetzesstufe darauf hingewiesen, dass meldepflichtige Behörden und Organisationen keine Angaben machen müssen, die sie oder ihn strafrechtlich belasten (Art. 74e revISG).

Das ISG und dessen Revision – Fortsetzung in Teil 2

Fassen wir zusammen: Das ISG und dessen Revision beinhalten für verpflichtete Akteure, insbesondere für Betreiber kritischer Infrastrukturen, eine ganze Reihe an Anforderungen und sieht auch Neuregelungen in Bezug auf die Cyber-Sicherheit vor. Ebenso soll das Vertrauensverhältnis zwischen dem NCSC und den Meldenden gestärkt werden. Mehr hierzu, welche weiteren Folgen und Pflichten auf die Akteure zukommen und welches für Sie konkret die nächsten Schritte sind, erfahren Sie im zweiten Teil. Sie wollen den Blogartikel nicht verpassen? Dann abonnieren Sie unsere Blog-Updates, um über die neusten Artikel per E-Mail benachrichtigt zu werden.  

Jetzt Blog-Updates abonnieren

 

Dieser Blogartikel entstand in Zusammenarbeit mit MME Legal | Tax | Compliance. Herzlichen Dank an Dr. Martin Eckert (Legal Partner) und Noëlle Glaus (Legal Associate) für ihren fachlichen Beitrag. Auf dem Blog von MME finden Sie ebenfalls einen Artikel zum neuen Informationssicherheitsgesetz. 

<< >>

Data Governance

Markus Limacher
Über den Autor / Markus Limacher

InfoGuard AG - Markus Limacher, Head of Security Consultant, Mitglied des Kaders

Weitere Artikel von Markus Limacher


Ähnliche Artikel
Vom «Three Lines of Defence» Modell zum «Three Lines Model»
Vom «Three Lines of Defence» Modell zum «Three Lines Model»

Das weiterentwickelte «Three Lines Model» unterstützt Organisationen im Risikomanagement sowie zur Erreichung [...]
ISO 27001:2022 – was sich geändert hat und was Sie unternehmen müssen
ISO 27001:2022 – was sich geändert hat und was Sie unternehmen müssen

Im Oktober 2022 veröffentlichte das Internation Accreditation Forum (IAF) die neue Norm ISO/IEC 27001:2022 [...]
Sind Sie bereit für das neue FINMA-Rundschreiben 2023/1 «Operationellen Risiken und Resilienz – Banken»?
Sind Sie bereit für das neue FINMA-Rundschreiben 2023/1 «Operationellen Risiken und Resilienz – Banken»?

Per 1. Januar 2024 treten das totalrevidierte FINMA-Rundschreiben 2023/1 zum Management der Operationellen [...]

Spannende Artikel, aktuelle News sowie Tipps & Tricks von unseren Experten rund um Cyber Security & Defence.

Blog Updates abonnieren
Social Media
Neuer Call-to-Action