Blog

Informativ, aktuell und spannend – der Oneconsult Cybersecurity Blog.

Das Informationssicherheitsgesetz des Bundes im Überblick
David Prinz
|
11.12.2024
(aktualisiert am: 11.12.2024)

Mit dem Inkrafttreten des Informationssicherheitsgesetzes (ISG) am 1. Januar 2024 wurden in der Schweiz neue Standards für die Sicherung von Informationen und Infrastrukturen gesetzt. Das Gesetz bringt eine umfassende Neuerung im Bereich der Cybersicherheit und stärkt die Sicherheit von Informationen und Infrastrukturen auf verschiedenen Ebenen sowie die Cyberresilienz im Allgemeinen. Das ISG gilt sowohl für staatliche Behörden als auch für private Unternehmen, die für die Sicherheit des Bundes von Bedeutung sind. Ein besonderer Fokus liegt auf den Betreibern kritischer Infrastrukturen. Dieser Artikel gibt einen Überblick über die wichtigsten Änderungen und Anforderungen, die das ISG mit sich bringt.

Inhaltsverzeichnis

Ziel des Informationssicherheitsgesetzes

Das ISG zielt darauf ab, die Cybersicherheit in der Schweiz nachhaltig zu verbessern. Durch die Erhöhung der Sicherheitsstandards sollen insbesondere die Widerstandsfähigkeit gegen Cyberangriffe und die Reaktionsfähigkeit im Falle von Sicherheitsvorfällen gestärkt werden. Die Umsetzung spezifischer Sicherheitsvorgaben und die Einführung strenger Meldepflichten sollen zudem die Transparenz und Effizienz in der Cybersicherheit gewährleisten.

Wen betrifft das Informationssicherheitsgesetz?

Das Gesetz gilt nicht nur für alle Behörden und Organisationen des Bundes, sondern auch für Kantone, nationale und internationale Partner sowie privatrechtliche Unternehmen, die den Bund bei der Erfüllung seiner Verpflichtungen unterstützen.

Insbesondere sind aber auch die Betreiber von kritischen Infrastrukturen betroffen. Damit sind Betreiber von Infrastrukturen gemeint, deren Ausfall oder Beschädigung massive Auswirkungen auf die nationale Sicherheit oder die ökonomische und/oder soziale Wohlfahrt der Schweiz hat.

Kurz gefasst betrifft es:

  • Alle Bundesbehörden und -organisationen sowie kantonale Partner
  • Private Unternehmen, die im Auftrag des Bundes tätig sind oder dessen Sicherheitsanforderungen unterliegen
  • Betreiber kritischer Infrastrukturen in den Bereichen:
    • Energie
    • Versorgung
    • Entsorgung
    • Information und Kommunikation
    • Nahrung
    • Finanzen
    • Gesundheit
    • Verkehr

Verordnungen und Ersetzungen

Das ISG adressiert Bestimmungen zu Informationssicherheitsmanagementsystemen (ISMS), Meldepflichten und allgemeine Regelungen bezüglich Cybersicherheit. Neben den eigentlichen Ausführungsbestimmungen wird das ISG zudem durch vier Ausführungsverordnungen ergänzt, die spezifische Regelungen und Vorgaben festlegen:

  • Informationssicherheitsverordnung (ISV): Die ISV ersetzt frühere Verordnungen und verpflichtet Bundesämter, ein Informationssicherheitsmanagementsystem (ISMS) einzuführen, um den Schutz klassifizierter Informationen und die Informatiksicherheit zu gewährleisten; Kantone müssen gleichwertige Standards erfüllen, wenn sie auf Bundesdaten zugreifen.
  • Verordnung über die Personensicherheitsprüfungen (VPSP): Die VPSP regelt Personensicherheitsprüfungen zur Einschätzung sicherheitsrelevanter Risiken durch Personen in sicherheitsempfindlichen Funktionen und erweitert den Umfang der erhobenen Daten, wobei sie auf wirklich sicherheitskritische Tätigkeiten beschränkt bleibt.
  • Verordnung über das Betriebssicherheitsverfahren (VBSV): Die VBSV ersetzt die alte Geheimschutzverordnung und stellt sicher, dass sicherheitsempfindliche Aufträge nur an vertrauenswürdige Unternehmen vergeben werden, die während der Erfüllung des Auftrags überprüft werden können.
  • Verordnung über Identitätsverwaltungs-Systeme und Verzeichnisdienste des Bundes (IAMV): Die IAMV wird angepasst, um einen einheitlichen Login-Dienst für E-Government-Dienste auf allen föderalen Ebenen zu ermöglichen.

Diese Verordnungen sind ein wichtiger Schritt, um das Informationssicherheitsgesetz in die Praxis umzusetzen. Sie schaffen einen klaren Rahmen für betroffene Organisationen, um sicherzustellen, dass sie sensible Informationen sicher verarbeiten und ihre IT-Infrastrukturen angemessen schützen.

Anforderungen für Betroffene

Alle Behörden, Organisationen und Unternehmen, die dem ISG unterliegen, müssen aufgrund des umfassenden Gesetzes und der Ausführungsverordnungen umfangreiche Anforderungen erfüllen. Die Vielzahl von Massnahmen und Bestimmungen macht es schwierig, den Überblick zu behalten. Im Folgenden sind einige der wesentlichen Punkte aufgeführt, die berücksichtigt werden müssen:

  • Informationssicherheitsmanagementsystem (ISMS): Betroffene Behörden, Organisationen und Unternehmen sind verpflichtet, ein ISMS einzuführen, umzusetzen und zu pflegen. Dieses System dient der systematischen Identifikation, Bewertung und Behandlung von Informationssicherheitsrisiken. Es stellt sicher, dass Sicherheitsmassnahmen regelmässig überprüft und verbessert werden. Das ISMS muss zudem alle drei Jahre überprüft werden.
  • Schriftlich festgehaltene Vorgaben: Betroffene Behörden, Organisationen und Unternehmen müssen über schriftlich dokumentierte Vorgaben zur Handhabung der Informationssicherheit und Risiken verfügen.
  • Sicherheitsverfahren zur Gewährleistung der Informationssicherheit: Für jedes eingesetzte und relevante Informatikmittel muss ein Sicherheitsverfahren zur Gewährleistung der Informationssicherheit vorhanden sein. Allen Informatikmitteln ist eine Sicherheitsstufe (Grundschutz, hoher Schutz, sehr hoher Schutz) zuzuweisen, welcher jeweils die Mindestanforderungen der Sicherheitsmassnahmen zugeordnet sind.
  • Inventar der Schutzobjekte: Es ist notwendig, ein vollständiges Inventar der Schutzobjekte zu führen, welches auf Basis von Schutzbedarfsanalysen erstellt wird. Dieses Inventar muss auch die Risikobeurteilung für jedes Schutzobjekt, die Verantwortlichkeiten sowie die Ergebnisse von periodischen Audits beinhalten.
  • Risikobeurteilung und Massnahmen: Eine laufende und nachweisbare Risikobeurteilung ist notwendig. Diese dient dazu, Bedrohungen und Schwachstellen zu identifizieren und zu bewerten, um Informationen vor unbefugtem Zugriff, Verlust, Störung oder Missbrauch zu schützen. Basierend auf dieser Beurteilung müssen Unternehmen geeignete Massnahmen treffen, um die identifizierten Risiken zu minimieren. Diese Massnahmen sollten regelmässig überprüft und bei Bedarf angepasst werden.
  • Regelmässige Schulung und Sensibilisierung: Mitarbeitende müssen regelmässig geschult und sensibilisiert werden, um ein Bewusstsein für Informationssicherheit zu schaffen. Diese Schulungen sollten Themen wie den sicheren Umgang mit sensiblen Informationen, das korrekte Verhalten bei Verdacht auf einen Sicherheitsvorfall und die Einhaltung von Sicherheitsrichtlinien umfassen.
  • Planung von Kontrollen und Audits: Betroffene Behörden, Organisationen und Unternehmen müssen regelmässige Kontrollen und Audits planen und durchführen, um die Einhaltung der Informationssicherheitsvorgaben zu überprüfen.

Die genannten Punkte sind nur ein Ausschnitt der Anforderungen, die durch das Informationssicherheitsgesetz und dessen Verordnungen für betroffene Behörden, Organisationen und Unternehmen verbindlich sind. Weiterführende Informationen sind in der Medienmitteilung und den verlinkten Dokumenten des Bundes zu finden.

Meldepflicht für Cyberangriffe bei kritischen Infrastrukturen

Das ISG verpflichtet Betreiber kritischer Infrastrukturen dazu, Cyberangriffe zu melden. Diese Meldepflicht ermöglicht es den Behörden, schneller auf Sicherheitsvorfälle zu reagieren und geeignete Massnahmen zu ergreifen. Für betroffene Unternehmen ergibt sich hieraus, dass sie ein effizientes Meldesystem einrichten und klare interne Kommunikationswege definieren müssen, um im Ernstfall schnell handeln zu können.

Zukünftige Entwicklungen und Ausblick

Das Informationssicherheitsgesetz wird sich in den kommenden Jahren voraussichtlich weiterentwickeln, um auf die wachsende Bedrohungslage im Cyberspace zu reagieren. Mögliche Anpassungen und zusätzliche Regelungen könnten auf die spezifischen Bedürfnisse der verschiedenen Branchen abgestimmt werden, um deren Sicherheit und Resilienz gezielt zu fördern. Für Unternehmen bedeutet dies, dass ein fortlaufendes Monitoring und die Anpassung an neue Standards erforderlich sein werden, um langfristig regelkonform zu bleiben und einen umfassenden Schutz zu gewährleisten.

Beratung und Unterstützung durch Oneconsult

Durch unsere langjährige und breite Erfahrung bei öffentlichen Verwaltungen und Betreibern von kritischen Infrastrukturen können wir Sie bestens unterstützen, wenn es darum geht, den Anforderungen des ISG gerecht zu werden.

  • Standortanalyse: Oneconsult unterstützt Sie bei der Beurteilung der Ist-Situation und der Entwicklung einer Roadmap zur Erfüllung der Anforderungen des ISG und der zugehörigen Verordnungen.
  • Aufbau eines Informationssicherheitsmanagementsystems (ISMS): Oneconsult kann Ihnen dabei helfen, ein ISMS aufzubauen oder Ihr vorhandenes ISMS zu prüfen und zu verbessern.
  • Planung und Durchführung von Sicherheitstests und Audits: Unser Penetration-Testing-Angebot deckt ein breites Spektrum ab, darunter Application Testing, Network / Security Infrastructure Testing, Client /Server Infrastructure Testing, Cloud Security Testing und IoT & OT Security Testing.
  • Risikobeurteilung und Massnahmen: Mit einem professionellen Vulnerability Management können Sie Schwachstellen in IT-Systemen besser aufdecken, bewerten und nach Möglichkeit beheben.
  • Umsetzung von Prozessen: Unsere Cybersecurity Consultants und Cybersecurity Coordinators unterstützen Sie bei der Umsetzung von Prozessen im operativen Betrieb.
  • Schulung und Sensibilisierung: Unsere Cyber Security Academy ist Ihr vertrauenswürdiger Partner für umfassende IT-Sicherheitsschulungen.

Kategorien

Alle Kategorien
Active Directory / Entra ID
Attack Simulation / Red Teaming
Cybersecurity
Cybersecurity Awareness
Digital Forensics
Incident Response
IoT/OT-Security
News & Advisories
Penetration Testing

Vulnerability Management

Dies könnte Sie ebenfalls interessieren:

Benötigen Sie Unterstützung bei der Umsetzung des ISG?
Kontaktieren Sie uns

Autor

David Prinz ist seit April 2022 bei Oneconsult im Bereich Penetration Testing tätig. Zuvor hat er als System Engineer bei einem Managed Service Provider gearbeitet und Erfahrungen mit diversen Technologien gesammelt.

LinkedIn

 

Nie mehr Aktuelles über Cyber-Security-Themen verpassen?

Dann abonnieren Sie jetzt unseren Newsfeed auf LinkedIn und melden sich für den Newsletter an

Anmeldung Newsletter
Datenschutzerklärung

Nichts verpassen! Melden Sie sich für unseren kostenlosen Newsletter an.

Ihre Sicherheit hat höchste Priorität – unsere Spezialisten unterstützen Sie kompetent.

Erreichbarkeit von Montag bis Freitag 08.00 – 18.00 Uhr (Ausnahme: Kunden mit SLA – Bitte über die 24/7 IRR-Notfallnummer anrufen).

Privatpersonen wenden sich bitte an Ihren IT-Dienstleister des Vertrauens oder die lokale Polizeidienststelle.

  • Was und wer ist betroffen?
  • Wer hat den Vorfall entdeckt und gemeldet?
  • Wie und wann wurde der Vorfall bemerkt?
  • Was haben Sie beobachtet?
  • Was bereitet Ihnen Sorgen im Zusammenhang mit dem Vorfall?
  • Welche Massnahmen wurden bereits eingeleitet?

Weitere Informationen zu unseren DFIR-Services finden Sie hier:

QR_CSIRT_2022@2x
CSIRT zu den Kontakten hinzufügen