InfoGuard Cyber Security & Cyber Defence Blog

Revision ISG: Folgen & Pflichten für Betreiber kritischer Infrastrukturen [Teil 2]

Geschrieben von Markus Limacher | 18. Apr 2023

Wenn Sie den ersten Teil dieses Blogartikels gelesen haben, wissen Sie sicherlich bereits, dass auf Gesetzesebene per 2024 sowohl die Informationssicherheit als auch die Cyber-Sicherheit gestärkt werden. Vom Informationssicherheitsgesetz (ISG) und dessen Revision betroffen sind verschiedenste Akteure – insbesondere Betreiber kritischer Infrastrukturen. Sind auch Sie betroffen? Im zweiten Blogartikel, in Zusammenarbeit mit MME, gehen wir näher auf die Thematik ein. 

--- Update per April 2024 ---

Im ersten Blogbeitrag zum ISG und dessen Revision haben wir festgehalten, dass für verpflichtete Organisationen und Behörden eine ganze Reihe an Anforderungen in Bezug auf die Informationssicherheit anfallen. Diese umfassen u.a. das ISMS, das Risikomanagement oder auch die Zusammenarbeit mit Dritten. Ebenso sieht das revidierte ISG beispielsweise eine freiwillige Meldung bei Cyber-Vorfällen und Schwachstellen vor und soll das Vertrauensverhältnis zwischen dem Bundesamt für Cybersicherheit BACS (ehemals NCSC - Nationale Zentrum für Cybersicherheit) stärken. Doch was heisst das genau – und was muss noch beachtet werden? 

Revision des ISG als «Safe Harbour»?

Cyber-Vorfälle und Cyber-Bedrohungen, insbesondere Schwachstellen, können dem BACS nicht nur durch Betroffene, sondern auch durch Dritte, und falls gewünscht anonym, angezeigt werden (Art. 73b revISG).

Die obige Regelung bildet keine Erlaubnisnorm im Sinne eines Whistleblower-Tatbestandes. So sind vertragliche und gesetzliche Geheimhaltungspflichten auch bei Meldungen an das BACS weiterhin zu beachten. Auch ist das Entdecken von Schwachstellen durch das unbefugte Eindringen in fremde Informatikmittel («Hacken») weiterhin strafbar. Hacker*innen sollen sich durch Meldungen an das BACS nicht von der Strafbarkeit ihres Handelns befreien können.

Umfassende Anforderungen des ISG – auch für Dritte und Provider

Die aus dem ISG resultierenden Anforderungen umfassen die Einhaltung von Sicherheitspraktiken und -richtlinien, eine strenge Kontrolle und Überwachung der Aktivitäten sowie eine regelmässige Überprüfung und Aktualisierung der Sicherheitssysteme. Darüber hinaus werden Dritte und Provider in der Regel vertraglich verpflichtet, Massnahmen zu ergreifen und ein sicheres Betriebsumfeld zu gewährleisten, sofern sie mit verpflichteten Behörden und Organisationen zusammenarbeiten. Sie müssen Sicherheitsmassnahmen ergreifen, um die Integrität, Sicherheit und Zuverlässigkeit ihrer Dienste zu gewährleisten sowie um die Daten und Informationen ihrer Kunden zu schützen und sicherzustellen, dass nur autorisierte Personen darauf zugreifen können.

Darüber hinaus können Cloud- und Service-Provider wie auch Hersteller von Hard- und Software, deren Produkte von kritischen Infrastrukturen genutzt werden, unter die in der Revision des ISG vorgesehene Meldepflicht bei Cyber-Angriffen fallen.

Cyber-Security-Einschätzung für eine proaktive Informationssicherheit

Das ISG fordert von verpflichteten Behörden und Organisationen sowie Betreiber kritischer Infrastrukturen eine umfassende und proaktive Informationssicherheit. Durch eine summarische externe Cyber-Security-Einschätzung kann die Umsetzung dieser Anforderungen beurteilt und festgestellt werden, ob das Unternehmen angemessene Massnahmen ergriffen hat, um seine Informationen und Informatikmittel zu schützen – auch vor allfälligen Cyber-Vorfällen. Diese Einschätzung sollte auch die Fähigkeit des Unternehmens bewerten, auf Störfälle und Notfälle zu reagieren und die Wirksamkeit der implementierten Schutzmassmechanismen zu überwachen sowie zu verbessern.

Es ist wichtig, dass die Einschätzung auch die Compliance mit branchenspezifischen und gesetzlichen Anforderungen (wie dem ISG) berücksichtigt. Eine regelmässige Überprüfung der Einschätzung ist ebenfalls zentral, um sicherzustellen, dass das Unternehmen immer auf dem neusten Stand der Technik bleibt. Dies ist Voraussetzung, um sich so gut wie möglich vor Bedrohungen schützen zu können. Nicht zuletzt sollten die Mitarbeitenden zu Informationssicherheit geschult werden, wobei diese insbesondere auch auf das Thema Cyber-Sicherheit sensibilisiert werden müssen (Stichwort Security Awareness). Mitarbeitende müssen verstehen, wie sie ihren Beitrag zum Schutz des Unternehmens leisten können.

Informationssicherheitsgesetz (ISG): die nächsten Schritte

Fassen wir zusammen: Das ISG und dessen Revision legen hohe Anforderungen an die Informationssicherheit, wobei insbesondere Betreiber kritischer Infrastrukturen im Bereich der Cyber-Sicherheit in die Pflicht genommen werden. Diese Anforderungen müssen erfüllt werden, um die Sicherheit von kritischen Informationen und Systemen für die Bevölkerung sowie die Wirtschaft sicherzustellen. Durch das ISG und dessen Revision wird sichergestellt, dass die verpflichteten Behörden und Organisationen sowie die Betreiber kritischer Infrastrukturen ihre Verantwortung erfüllen und dadurch potenzielle Risiken sowie Bedrohungen minimieren.

Die Notwendigkeit dieser Massnahme ist sicherlich für alle nachvollziehbar und längst fällig, wobei deren Umsetzung Unternehmen vor verschiedene, sehr individuelle Herausforderungen stellen kann. Wir von der InfoGuard und MME verfügen über langjährige Erfahrung sowie Expertise im Bereich Informationssicherheit und entsprechender Gesetzgebung.

Unsere Security Services sind hierbei ideal, um Sie in unterschiedlichen Phasen kompetent zu unterstützen – von der Planung und dem Design über die kontinuierliche Entwicklung und Optimierung bis hin zum Schutz kritischer Infrastrukturen.

Sie brauchen Unterstützung bei Rechtsfragen, insbesondere im Falle eines Incidents? MME Legal Tax Compliance unterstützt Sie kompetent.


 

Dieser Blogartikel entstand in Zusammenarbeit mit MME Legal | Tax | Compliance. Herzlichen Dank an Dr. Martin Eckert (Legal Partner) und Noëlle Glaus (Legal Associate) für ihren fachlichen Beitrag. Auf dem Blog von MME finden Sie ebenfalls einen Artikel zum neuen Informationssicherheitsgesetz.