Sep 19, 2023 von Peter Monien
Die neue Meldepflicht für Cyberattacken mit schwerwiegenden Auswirkungen innerhalb von 24 Stunden stellt die Bundesbehörden vor Herausforderungen. Wie können Sie diese sicher und pragmatisch umsetzen? Wo finden Sie das neue Gesetz, wer ist betroffen, welche Anforderungen gibt es an Ihr Informationssicherheits-Managementsystem (ISMS) und ist es ratsam Experten hinzuzuziehen? Erfahren Sie all das und mehr in unserem Artikel. Verschaffen Sie sich einen Überblick über das neue Informationssicherheitsgesetz (revISG).
Einstieg:
- Eine 24h-Challenge
- Experten sind unverzichtbar
Übersicht über das ISG und revISG:
- Worum geht es bei der Revision des ISG?
- Fokus und Ziel des ISG
- Wann tritt das ISG in Kraft?
- Verpflichtete Organisationen
- Wer unterliegt der Meldepflicht?
- Informatikmittel im Ausland
- Anforderungen an die Informationssicherheit im ISG
- Anforderungen des ISG
- Anforderungen des revISG
- Anforderungen an ein ISMS
- ISG und revISG downloaden
Das revidierte Informationssicherheitsgesetz (revISG) fordert von allen Behörden und Organisationen des Bundes eine Meldung von Cyber-Vorfällen, wenn diese schwerwiegende Auswirkungen haben [Art. 74a-e revISG]. Nach Entdeckung bleiben lediglich 24 Stunden Zeit dafür. Es bleiben also lediglich 24 Stunden Zeit, um die Kritikalität eines entdeckten Vorfalls zu bewerten sowie die Meldung an das NCSC fertigzustellen und rechtzeitig zu senden.
Um alle diese Arbeitsschritte innerhalb von 24 Stunden sicher bewältigen zu können, sind Systeme, Prozesse und die Organisation der Behörde gefordert:
Da viele Bundesbehörden und -organisationen mit ihren eigentlichen Aufgaben beschäftigt sind und oft nicht ausreichend viele Experten für Informationssicherheit im Haus haben, empfiehlt es sich, externe Experten hinzuzuziehen. Diese können dabei unterstützen, einen verlässlichen Meldeprozess zu definieren.
Redguard hat ein ausgezeichnetes Verständnis der Bedürfnisse von Behörden und einen exzellenten Track Record. Wir unterstützen Sie gerne bei der Gestaltung verlässlicher Meldeprozesse. Darüber hinaus unterstützen wir Sie auch gerne dabei, dass es gar nicht erst zum Cyber-Vorfall kommt, potenzielle Schäden minimiert werden und stehen Ihnen auch bei einer Cyberattacke als Incident Response Partner zur Seite. Kontaktieren Sie uns und lassen Sie sich unverbindlich beraten.
Der Fokus für alle Behörden und Organisationen des Bundes wird beim ISG auf kritische Informationen und Systeme gelegt sowie die Standardisierung der Massnahmen.
Stärkung der Informationssicherheit und der Cyber-Sicherheit ist das Ziel des Informationssicherheitsgesetzes.
(Letztes Update September 2024) Das Informationssicherheitsgesetz (ISG) und die dazugehörige Verordnung über die Informationssicherheit bei der Bundesverwaltung und bei der Armee sind am 1. Januar 2024 in Kraft getreten. Eine Revision des ISG (Meldepflicht für Cyberangriffe auf kritische Infrastrukturen) ist beschlossen und soll gemäss Planung per 1. Januar 2025 in Kraft treten.
Das ISG definiert die verpflichteten Organisationen und Behörden in Art. 2 ISG: Bundesversammlung, Bundesrat, Eidgenössische Gerichte, Bundesanwaltschaft, Aufsichtsbehörde über die Bundesanwaltschaft, Schweizerische Nationalbank, Parlamentsdienste, Bundesverwaltung, Verwaltung der eidgenössischen Gerichte, Armee, Organisationen nach Artikel 2 Absatz 4 des Regierungs- und Verwaltungsorganisationsgesetzes vom 21. März 1997 (RVOG).
Der Bundesrat kann für Teile dieser Organisationen Teile des Gesetzes beschränken. Ausserdem sind Organisationen des öffentlichen und privaten Rechts vepflichtet, die kritische Infrastrukturen betreiben. Für Kantone gelten nur die Bestimmungen über klassifizierte Informationen und Informatikmittel, insofern diese klassifizierte Informationen des Bundes nutzen oder auf deren Informatikmittel zugreifen [Art. 3 ISG].
Laut Art. 74b revISG sind folgende Organisationen und Behörden meldepflichtig, wobei das NCSC gem. Art 74a revISG interessierten Behörden und Organisationen Auskunft darüber erteilt, ob sie der Meldepflicht unterstellt sind und erlässt auf Antrag eine Verfügung über die Unterstellung unter die Meldepflicht.
Die Meldepflicht gilt für (Originalauszug aus dem Gesetz):
a) Hochschulen nach Artikel 2 Absatz 2 des Hochschulförderungs- und -koordinationsgesetzes vom 30. September 2011;
b) Bundes-, Kantons- und Gemeindebehörden sowie interkantonale, kantonale und interkommunale Organisationen, mit Ausnahme der Gruppe Verteidigung, wenn die Armee Assistenzdienst nach Artikel 67 oder Aktivdienst nach Artikel 76 des Militärgesetzes vom 3. Februar 1995 leistet;
c) Organisationen mit öffentlich-rechtlichen Aufgaben in den Bereichen Sicherheit und Rettung, Trinkwasserversorgung, Abwasseraufbereitung und Abfallentsorgung;
d) Unternehmen, die in den Bereichen Energieversorgung nach Artikel 6 Absatz 1 des Energiegesetzes vom 30. September 2016, Energiehandel, Energiemessung oder Energiesteuerung tätig sind, mit Ausnahme der Bewilligungsinhaber gemäss Kernenergiegesetz vom 21. März 2003, sofern ein Cyberangriff auf eine Kernanlage erfolgt;
e) Unternehmen, die dem Bankengesetz vom 8. November 1934, dem Versicherungsaufsichtsgesetz vom 17. Dezember 2004 oder dem Finanzmarktinfrastrukturgesetz vom 19. Juni 2015 unterstehen;
f) Gesundheitseinrichtungen, die auf der kantonalen Spitalliste nach Artikel 39 Absatz 1 Buchstabe e des Bundesgesetzes vom 18. März 1994 über die Krankenversicherung aufgeführt sind;
g) medizinische Laboratorien mit einer Bewilligung nach Artikel 16 Absatz 1 des Epidemiengesetzes vom 28. September 2012;
h) Unternehmen, die für die Herstellung, das Inverkehrbringen und die Einfuhr von Arzneimitteln eine Bewilligung nach dem Heilmittelgesetz vom 15. Dezember 2000 haben;
i) Organisationen, die Leistungen zur Absicherung gegen die Folgen von Krankheit, Unfall, Arbeits- und Erwerbsunfähigkeit, Alter, Invalidität und Hilflosigkeit erbringen;
j) die Schweizerische Radio- und Fernsehgesellschaft;
k) Nachrichtenagenturen von nationaler Bedeutung;
l) Anbieterinnen von Postdiensten, die gemäss Artikel 4 Absatz 1 des Postgesetzes vom 17. Dezember 2010 bei der Postkommission registriert sind;
m) Eisenbahnunternehmen nach Artikel 5 oder 8c des Eisenbahngesetzes vom 20. Dezember 1957 sowie Seilbahn-, Trolleybus-, Autobus- und Schifffahrtsunternehmen mit einer Konzession nach Artikel 6 des Personenbeförderungsgesetzes vom 20. März 2009;
n) Unternehmen der Zivilluftfahrt, die über eine Bewilligung des Bundesamtes für Zivilluftfahrt verfügen, sowie die Landesflughäfen gemäss Sachplan Infrastruktur der Luftfahrt;
o) Unternehmen, die nach dem Seeschifffahrtsgesetz vom 23. September 1953 Güter auf dem Rhein befördern, sowie Unternehmen, welche die Registrierung, Ladung oder Löschung im Hafen Basel betreiben;
p) Unternehmen, welche die Bevölkerung mit unentbehrlichen Gütern des täglichen Bedarfs versorgen und deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen führen würde;
q) Anbieterinnen von Fernmeldediensten, die beim Bundesamt für Kommunikation nach Artikel 4 Absatz 1 FMG registriert sind;
r) Registerbetreiberinnen und Registrare von Internet-Domains nach Artikel 28b FMG;
s) Anbieterinnen und Betreiberinnen von Diensten und Infrastrukturen, die der Ausübung der politischen Rechte dienen;
t) Anbieterinnen und Betreiberinnen von Cloudcomputing, Suchmaschinen, digitalen Sicherheits- und Vertrauensdiensten sowie Rechenzentren, sofern sie einen Sitz in der Schweiz haben;
u) Herstellerinnen von Hard- oder Software, deren Produkte von kritischen Infrastrukturen genutzt werden, sofern die Hard- oder Software einen Fernwartungszugang hat oder zu einem der folgenden Zwecken eingesetzt wird:
1. Steuerung und Überwachung von betriebstechnischen Systemen und Prozessen,
2. Gewährleistung der öffentlichen Sicherheit.
Der Bundesrat nimmt Organisationen und Behörden von der Meldepflicht aus, wenn durch Cyberangriffe ausgelöste Funktionsstörungen «nur geringe Auswirkungen auf das Funktionieren der Wirtschaft beziehungsweise das Wohlergehen der Bevölkerung haben».
Ja, gem. Art 74b revISG gilt dies für Cyberangriffe, die sich in der Schweiz auswirken, auch wenn sich die betroffenen Informatikmittel im Ausland befinden.
Die Anforderungen an die Informationssicherheit der verpflichteten Organisationen sind in Art. 6 bis 26 ISG definiert.
Sie sind vom revidierten Informationssicherheitsgesetz betroffen und möchten pragmatische Unterstützung? Kontaktieren Sie uns und lassen Sie sich unverbindlich beraten.