Revision ISG: Folgen & Pflichten für Betreiber kritischer Infrastrukturen [Teil 1]

Auf Gesetzesebene werden 2023 sowohl die Informationssicherheit als auch die Cyber-Sicherheit gestärkt. Das Bundesgesetz über die Informationssicherheit (Informationssicherheitsgesetz, ISG) und dessen Revision verpflichten verschiedenste Akteure, regeln deren Pflichten sowie Rollen und beinhalten Richtlinien. Unternehmen – insbesondere Betreiber kritischer Infrastrukturen – sollten sich deshalb frühzeitig informieren und darauf vorbereiten. In einem zweiteiligen Blogartikel, in Zusammenarbeit mit MME, helfen wir Ihnen dabei.

Zum einen werden im Jahr 2023 die restlichen Artikel des Informationssicherheitsgesetzes (ISG) in Kraft treten. Das Gesetz zielt darauf ab, die Sicherheit von Informationen sowie Informatikmittel des Bundes einheitlich für alle Behörden und Organisationen des Bundes zu regeln, um die Informationssicherheit gesamthaft zu stärken. Der Fokus wird hierbei auf die kritischen Informationen und Systeme sowie auf die Standardisierung der Massnahmen gelegt.

Zum anderen durchläuft das ISG einige Änderungen in Bezug auf die Cyber-Sicherheit. Die Revision des ISG – provisorische Fassung – soll ebenfalls noch dieses Jahr in Kraft treten. Hierbei wird eine Meldepflicht für Cyber-Angriffe eingeführt, die aufgrund der breiten Begriffsdefinition insbesondere die Betreiber kritischer Infrastrukturen verpflichtet. Diese Pflicht trifft die Betreiber kritischer Infrastrukturen selbst, aber bspw. auch die Entwickler der von den kritischen Infrastrukturen genutzten Systeme. 

--- Update per April 2024 ---

Das Informationssicherheitsgesetz (ISG) und die dazugehörige Verordnung über die Informationssicherheit bei der Bundesverwaltung und bei der Armee (ISV), die Verordnung über die Personensicherheitsprüfungen (VPSP) sowie die Verordnung über das Betriebssicherheitsverfahren (VBSV) sind am 1. Januar 2024 in Kraft getreten.

Eine Revision des ISG (Meldepflicht für Cyber-Angriffe auf kritische Infrastrukturen) ist beschlossen und soll gemäss Planung per 1. Januar 2025 in Kraft treten. Zudem wurde das bisherige Nationale Zentrum für Cybersicherheit (NCSC), das bisher beim Eidgenössischen Finanzdepartement (EFD) angesiedelt war, in das neue Bundesamt für Cybersicherheit (BACS) umgewandelt. Das BACS wurde neu in das Eidgenössische Departement für Verteidigung, Bevölkerungsschutz und Sport (VBS) eingegliedert.

Neue Anforderungen und Pflichten aufgrund des ISG und dessen Revision

Das ISG enthält für verpflichtete Organisationen und Behörden (Definition Art. 2 ISG) eine ganze Reihe an Anforderungen (Art. 6-26 ISG) in Bezug auf die Informationssicherheit. Diese umfassen unter anderem:

• Informationssicherheits-Management-System (ISMS): Verpflichtete Behörden und Organisationen müssen ein ISMS erstellen und umsetzen, welches die Anforderungen des ISG erfüllt. Dies beinhaltet die Beurteilung des Schutzbedarfs der Informationen (Art. 6 ISG) und ggf. deren Klassifizierung (Art. 11-15 ISG), die Identifizierung und laufende Beurteilung von Risiken (Art. 8 ISG), die Festlegung eines Sicherheitsverfahrens sowie Sicherheitsmassnahmen im Zusammenhang mit Informatikmitteln (Art. 16-19 ISG) und die Gewährleistung eines personellen sowie physischen Schutzes (Art. 20-23 ISG) sowie Identitätsverwaltungssysteme (Art, 24-26 ISG).
• Informationen: Verpflichtete Behörden und Organisationen müssen Informationen, die sie verarbeiten, identifizieren, ihren Schutzbedarf beurteilen (Art. 6 ISG) und die Informationen klassifizieren (Art. 11-15 ISG). Ausserdem muss sichergestellt sein, dass angemessene Schutzmassnahmen ergriffen werden, um diese Informationen vor unbefugtem Zugriff, Verlust, Störung oder Missbrauch zu schützen (Art. 6-10 ISG).
• Risikomanagement: Verpflichtete Behörden und Organisationen müssen in ihrem eigenen Zuständigkeitsbereich wie auch bei der Zusammenarbeit mit Dritten die Risiken unter Kontrolle haben. Hierbei sollen die geeignetsten Massnahmen zur Risikovermeidung und -reduktion getroffen werden. Restrisiken sind klar auszuweisen, nachweisbar zu akzeptieren und entsprechend zu tragen (Art. 8 ISG).
• Informatikmittel: Verpflichtete Behörden und Organisationen legen beim Einsatz von Informatikmitteln ein Sicherheitsverfahren zur Gewährleistung der Informationssicherheit fest. Den Informatikmitteln ist eine Sicherheitsstufe zuzuordnen, die mit Mindestanforderungen und Sicherheitsmassnahmen einhergehen (Art. 16-19 ISG).
• Personal: Verpflichtete Behörden und Organisationen müssen sicherstellen, dass Personen, die Zugang zu Informationen, Informatikmitteln, Räumlichkeiten und anderen Infrastrukturen des Bundes haben, sorgfältig ausgewählt und risikogerecht identifiziert werden. Sie müssen über die Anforderungen des ISG und die relevanten Sicherheitsmassnahmen informiert und stufengerecht aus- sowie weitergebildet werden (Art. 20 ISG).
• Räumlichkeiten und Bereiche: Verpflichtete Behörden und Organisationen müssen jene Risiken reduzieren, die von physischen Bedrohungen (menschliche Handlungen, Elementarschäden) ausgehen. Räumlichkeiten und Bereiche können Sicherheitszonen zugeordnet werden, welche mit entsprechenden Kontrollen (z.B. Taschenkontrollen usw.) verbunden sein können (Art. 22-23 ISG).    
• Zusammenarbeit mit Dritten: Bei der Zusammenarbeit mit Dritten, die nicht dem ISG unterstehen, haben die verpflichteten Behörden und Organisationen dafür zu sorgen, dass bei der Auftragserteilung und -ausführung die gesetzlichen Massnahmen eingehalten werden. Die Sicherheitsmassnahmen sind vertraglich zu regeln (Art. 9 ISG).
  

Die Revision des ISG (BBI 2023 84 – Botschaft zur Änderung des Informationssicherheitsgesetzes – Einführung einer Meldepflicht für Cyber-Angriffe auf kritische Infrastrukturen) sieht Neuregelungen in Bezug auf die Cyber-Sicherheit (Art. 73a-79 revISG) vor:

• Freiwillige Meldung bei Cyber-Vorfällen und Schwachstellen: Meldungen zu Cyber-Vorfällen (inkl. Cyber-Bedrohungen) und Schwachstellen in Informatikmitteln können weiterhin freiwillig dem Bundesamt für Cybersicherheit (BACS; bisher: National Cyber Security Centre, NCSC) mitgeteilt werden. Diese Möglichkeit ist nicht auf Betreiber kritischer Infrastrukturen beschränkt, sondern steht jeder Person – auch anonym – offen (Art. 73b revISG).
• Behebung von Schwachstellen: Das BACS informiert die Hersteller der betroffenen Soft- oder Hardware über gemeldete Schwachstellen und setzt ihnen eine angemessene Frist für dessen Behebung an. Die nicht fristgerechte Behebung bzw. Missachtung kann beschaffungsrechtlich sanktioniert werden (Art. 73b revISG).
• Meldepflicht bei Cyber-Angriffen: Betreiber kritischer Infrastrukturen bzw. meldepflichtige Behörden und Organisationen müssen Cyber-Angriffe innerhalb von 24 Stunden seit deren Entdeckung dem BACS mitteilen, sofern sie schwerwiegende Auswirkungen haben (Art. 74a-e revISG).
• Verletzung der Meldepflicht: Kommt eine meldepflichtige Behörde oder Organisation ihrer Pflicht nicht nach, kann sie – nach zweimaliger Fristansetzung – mit einer Busse von bis zu CHF 100 000.– bestraft werden (Art. 74g-74h revISG).
  

Das Parlament hat am 29. September 2023 die Änderungen des ISG verabschiedet. Die Ausführungsbestimmungen sind noch nicht erlassen. Die Planungen sind derzeit darauf ausgerichtet, dass die Meldepflicht ab 1. Januar 2025 in Kraft tritt.

Vertrauensverhältnis zwischen BACS und Meldenden

Das Öffentlichkeitsgesetz (BGÖ) geht dem ISG vor (Art. 4 Abs. 1 ISG). Das heisst grundsätzlich, dass alle Personen Zugang zu amtlichen Dokumenten und Informationen des Bundes haben, sofern keine Ausnahmen oder Interessenabwägungen vorliegen. Durch die Revision des ISG wird von dieser Regelung insofern eine Ausnahme gemacht, als dass Informationen Dritter, von denen das BACS durch die Entgegennahme und Analyse von Meldungen zu Cyber-Vorfällen Kenntnis erhält, vom Zugangsrecht nach BGÖ ausgenommen sind (Art. 4 Abs. 1^bis revISG).

Dies bedeutet, dass das BACS grundsätzlich keine Informationen zu Cyber-Vorfällen veröffentlichen oder weiterleiten darf, die Personendaten oder Daten juristischer Personen enthalten, sofern dafür keine Einwilligung vorliegt (Art. 73c revISG). Lediglich in zwei Ausnahmefällen darf das BACS Informationen, welche Rückschlüsse auf die Meldenden oder Betroffenen erlauben, ohne Einwilligung weiterleiten (Art. 73d revISG): 

• Eine Weiterleitung an den Nachrichtendienst des Bundes (NDB) ist zulässig, wenn die Informationen für die Beurteilung der Bedrohungslage oder für die Frühwarnung von kritischen Infrastrukturen relevant sind.
• Eine Weiterleitung an die Strafbehörde ist erlaubt, wenn die Meldung Informationen zu schweren Straftaten enthält. Die Weiterleitung liegt jedoch einzig im Ermessen der Leitungsperson des BACS, da für Mitarbeitende des BACS die Anzeigepflicht für Straftaten wegbedungen wurde.
  

Um das Vertrauensverhältnis weiter zu untermauern, wird auf Gesetzesstufe darauf hingewiesen, dass meldepflichtige Behörden und Organisationen keine Angaben machen müssen, die sie oder ihn strafrechtlich belasten (Art. 74e revISG).

Das ISG und dessen Revision – Fortsetzung in Teil 2

Fassen wir zusammen: Das ISG und dessen Revision beinhalten für verpflichtete Akteure, insbesondere für Betreiber kritischer Infrastrukturen, eine ganze Reihe an Anforderungen und sieht auch Neuregelungen in Bezug auf die Cyber-Sicherheit vor. Ebenso soll das Vertrauensverhältnis zwischen dem BACS und den Meldenden gestärkt werden. Mehr hierzu, welche weiteren Folgen und Pflichten auf die Akteure zukommen und welches für Sie konkret die nächsten Schritte sind, erfahren Sie im zweiten Teil. Sie wollen den Blogartikel nicht verpassen? Dann abonnieren Sie unsere Blog-Updates, um über die neusten Artikel per E-Mail benachrichtigt zu werden.  

Dieser Blogartikel entstand in Zusammenarbeit mit MME Legal | Tax | Compliance. Herzlichen Dank an Dr. Martin Eckert (Legal Partner) und Noëlle Glaus (Legal Associate) für ihren fachlichen Beitrag. Auf dem Blog von MME finden Sie ebenfalls einen Artikel zum neuen Informationssicherheitsgesetz.