Die neue Meldepflicht für Cyberattacken mit schwerwiegenden Auswirkungen innerhalb von 24 Stunden stellt die Bundesbehörden vor Herausforderungen. Wie können Sie diese sicher und pragmatisch umsetzen? Wo finden Sie das neue Gesetz, wer ist betroffen, welche Anforderungen gibt es an Ihr Informationssicherheitssystem (ISMS) und ist es ratsam Experten hinzuzuziehen? Erfahren Sie all das und mehr in unserem Artikel. Verschaffen Sie sich einen Überblick über das neue Informationssicherheitsgesetz (revISG).

Inhalt

Einstieg:
- Eine 24h-Challenge
- Experten sind unverzichtbar

Übersicht über das ISG und revISG:
- Worum geht es bei der Revision des ISG?
- Fokus und Ziel des ISG
- Wann tritt das ISG in Kraft?
- Verpflichtete Organisationen
- Wer unterliegt der Meldepflicht?
- Informatikmittel im Ausland
- Anforderungen an die Informationssicherheit im ISG
- Anforderungen des ISG
- Anforderungen des revISG
- Anforderungen an ein ISMS
- ISG und revISG downloaden

Eine 24h-Challenge

Das revidierte Informationssicherheitsgesetz (revISG) fordert von allen Behörden und Organisationen des Bundes eine Meldung von Cyber-Vorfällen, wenn diese schwerwiegende Auswirkungen haben [Art. 74a-e revISG]. Nach Entdeckung bleiben lediglich 24 Stunden Zeit dafür. Es bleiben also lediglich 24 Stunden Zeit, um die Kritikalität eines entdeckten Vorfalls zu bewerten sowie die Meldung an das NCSC fertigzustellen und rechtzeitig zu senden.

Um alle diese Arbeitsschritte innerhalb von 24 Stunden sicher bewältigen zu können, sind Systeme, Prozesse und die Organisation der Behörde gefordert:

• Systeme müssen einen Cyber Incident aufspüren und diesen an die richtige Person melden
• Prozesse müssen sicherstellen, die richtigen Incidents unter den vielen gemeldeten potenziellen Incidents herauszufiltern
• Organisation muss sicherstellen, dass die technischen Systeme und Prozesse zu den Entscheidungsträgern führen, welche die Entscheidung über die Einstufung als Incident mit «schwerwiegenden Auswirkungen» tätigen kann

Experten sind unverzichtbar

Da viele Bundesbehörden und -organisationen mit ihren eigentlichen Aufgaben beschäftigt sind und oft nicht ausreichend viele Experten für Informationssicherheit im Haus haben, empfiehlt es sich, externe Experten hinzuzuziehen. Diese können dabei unterstützen, einen verlässlichen Meldeprozess zu definieren.

Redguard hat ein ausgezeichnetes Verständnis der Bedürfnisse von Behörden und einen exzellenten Track Record. Wir unterstützen Sie gerne bei der Gestaltung verlässlicher Meldeprozesse. Darüber hinaus unterstützen wir Sie auch gerne dabei, dass es gar nicht erst zum Cyber-Vorfall kommt, potenzielle Schäden minimiert werden und stehen Ihnen auch bei einer Cyberattacke als Incident Response Partner zur Seite. Kontaktieren Sie uns und lassen Sie sich unverbindlich beraten.

Eine Übersicht über das ISG und revISG

Worum geht es bei der Revision des ISG?

• Inkrafttreten der restlichen Artikel des Informationssicherheitsgesetzes (ISG): Stärkung der Informationssicherheit von Informationen und Informatikmittel des Bundes durch einheitliche Regelungen für alle Behörden und Organisationen des Bundes.
• Neue Pflichten für Betreiber von kritischen Infrastrukturen und für Entwickler von Systemen, die von kritischen Infrastrukturen genutzt werden.

Worauf fokussiert sich das ISG?

Der Fokus für alle Behörden und Organisationen des Bundes wird beim ISG auf kritische Informationen und Systeme gelegt sowie die Standardisierung der Massnahmen.

Was ist das Ziel des ISG?

Stärkung der Informationssicherheit und der Cyber-Sicherheit ist das Ziel des Informationssicherheitsgesetzes.

Wann tritt das ISG in Kraft?

Das ISG tritt voraussichtlich im September 2023 für Behörden und Organisationen des Bundes bzw. Ende 2023 für Betreiber kritischer Infrastrukturen in Kraft.

Wo sind die verpflichteten Organisationen im ISG definiert?

Das ISG definiert die verpflichteten Organisationen und Behörden in Art. 2 ISG: Bundesversammlung, Bundesrat, Eidgenössische Gerichte, Bundesanwaltschaft, Aufsichtsbehörde über die Bundesanwaltschaft, Schweizerische Nationalbank, Parlamentsdienste, Bundesverwaltung, Verwaltung der eidgenössischen Gerichte, Armee, Organisationen nach Artikel 2 Absatz 4 des Regierungs- und Verwaltungsorganisationsgesetzes vom 21. März 1997 (RVOG).

Der Bundesrat kann für Teile dieser Organisationen Teile des Gesetzes beschränken. Ausserdem sind Organisationen des öffentlichen und privaten Rechts vepflichtet, die kritische Infrastrukturen betreiben. Für Kantone gelten nur die Bestimmungen über klassifizierte Informationen und Informatikmittel, insofern diese klassifizierte Informationen des Bundes nutzen oder auf deren Informatikmittel zugreifen [Art. 3 ISG].

Welche Organisationen und Unternehmen unterliegen gem. revISG der Meldepflicht?

Laut Art. 74b revISG sind folgende Organisationen und Behörden meldepflichtig, wobei das NCSC gem. Art 74a revISG interessierten Behörden und Organisationen Auskunft darüber erteilt, ob sie der Meldepflicht unterstellt sind und erlässt auf Antrag eine Verfügung über die Unterstellung unter die Meldepflicht.

Die Meldepflicht gilt für (Originalauszug aus dem Gesetz):

a) Hochschulen nach Artikel 2 Absatz 2 des Hochschulförderungs- und -koordinationsgesetzes vom 30. September 2011;
b) Bundes-, Kantons- und Gemeindebehörden sowie interkantonale, kantonale und interkommunale Organisationen, mit Ausnahme der Gruppe Verteidigung, wenn die Armee Assistenzdienst nach Artikel 67 oder Aktivdienst nach Artikel 76 des Militärgesetzes vom 3. Februar 1995 leistet;
c) Organisationen mit öffentlich-rechtlichen Aufgaben in den Bereichen Sicherheit und Rettung, Trinkwasserversorgung, Abwasseraufbereitung und Abfallentsorgung;
d) Unternehmen, die in den Bereichen Energieversorgung nach Artikel 6 Absatz 1 des Energiegesetzes vom 30. September 2016, Energiehandel, Energiemessung oder Energiesteuerung tätig sind, mit Ausnahme der Bewilligungsinhaber gemäss Kernenergiegesetz vom 21. März 2003, sofern ein Cyberangriff auf eine Kernanlage erfolgt;
e) Unternehmen, die dem Bankengesetz vom 8. November 1934, dem Versicherungsaufsichtsgesetz vom 17. Dezember 2004 oder dem Finanzmarktinfrastrukturgesetz vom 19. Juni 2015 unterstehen;
f) Gesundheitseinrichtungen, die auf der kantonalen Spitalliste nach Artikel 39 Absatz 1 Buchstabe e des Bundesgesetzes vom 18. März 1994 über die Krankenversicherung aufgeführt sind;
g) medizinische Laboratorien mit einer Bewilligung nach Artikel 16 Absatz 1 des Epidemiengesetzes vom 28. September 2012;
h) Unternehmen, die für die Herstellung, das Inverkehrbringen und die Einfuhr von Arzneimitteln eine Bewilligung nach dem Heilmittelgesetz vom 15. Dezember 2000 haben;
i) Organisationen, die Leistungen zur Absicherung gegen die Folgen von Krankheit, Unfall, Arbeits- und Erwerbsunfähigkeit, Alter, Invalidität und Hilflosigkeit erbringen;
j) die Schweizerische Radio- und Fernsehgesellschaft;
k) Nachrichtenagenturen von nationaler Bedeutung;
l) Anbieterinnen von Postdiensten, die gemäss Artikel 4 Absatz 1 des Postgesetzes vom 17. Dezember 2010 bei der Postkommission registriert sind;
m) Eisenbahnunternehmen nach Artikel 5 oder 8c des Eisenbahngesetzes vom 20. Dezember 1957 sowie Seilbahn-, Trolleybus-, Autobus- und Schifffahrtsunternehmen mit einer Konzession nach Artikel 6 des Personenbeförderungsgesetzes vom 20. März 2009;
n) Unternehmen der Zivilluftfahrt, die über eine Bewilligung des Bundesamtes für Zivilluftfahrt verfügen, sowie die Landesflughäfen gemäss Sachplan Infrastruktur der Luftfahrt;
o) Unternehmen, die nach dem Seeschifffahrtsgesetz vom 23. September 1953 Güter auf dem Rhein befördern, sowie Unternehmen, welche die Registrierung, Ladung oder Löschung im Hafen Basel betreiben;
p) Unternehmen, welche die Bevölkerung mit unentbehrlichen Gütern des täglichen Bedarfs versorgen und deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen führen würde;
q) Anbieterinnen von Fernmeldediensten, die beim Bundesamt für Kommunikation nach Artikel 4 Absatz 1 FMG registriert sind;
r) Registerbetreiberinnen und Registrare von Internet-Domains nach Artikel 28b FMG;
s) Anbieterinnen und Betreiberinnen von Diensten und Infrastrukturen, die der Ausübung der politischen Rechte dienen;
t) Anbieterinnen und Betreiberinnen von Cloudcomputing, Suchmaschinen, digitalen Sicherheits- und Vertrauensdiensten sowie Rechenzentren, sofern sie einen Sitz in der Schweiz haben;
u) Herstellerinnen von Hard- oder Software, deren Produkte von kritischen Infrastrukturen genutzt werden, sofern die Hard- oder Software einen Fernwartungszugang hat oder zu einem der folgenden Zwecken eingesetzt wird:
1. Steuerung und Überwachung von betriebstechnischen Systemen und Prozessen,
2. Gewährleistung der öffentlichen Sicherheit.

Der Bundesrat nimmt Organisationen und Behörden von der Meldepflicht aus, wenn durch Cyberangriffe ausgelöste Funktionsstörungen «nur geringe Auswirkungen auf das Funktionieren der Wirtschaft beziehungsweise das Wohlergehen der Bevölkerung haben».

Müssen Cyber-Attacken auch dann gemeldet werden, wenn sich die Informatikmittel im Ausland befinden?

Ja, gem. Art 74b revISG gilt dies für Cyberangriffe, die sich in der Schweiz auswirken, auch wenn sich die betroffenen Informatikmittel im Ausland befinden.

Wo sind im ISG die Anforderungen an die Informationssicherheit definiert?

Die Anforderungen an die Informationssicherheit der verpflichteten Organisationen sind in Art. 6 bis 26 ISG definiert.

Welche Anforderungen stellt das ISG an alle verpflichteten Organisationen?

• Erstellung und Umsetzung eines Informationssicherheits-Management-Systems (ISMS), das die Anforderungen des ISG erfüllt [Art. 6,8, 11-15, 20-26 ISG]
• Identifizierung von verarbeiteten Informationen gemäss ihrem Schutzbedarf, Klassifizierung der Informationen und Implementierung geeigneter Schutzmassnahmen, um diese Informationen vor unbefugtem Zugriff, Verlust, Störung oder Missbrauch zu schützen [Art. 6-15 ISG]
• Implementierung eines Risikomanagement für den eigenen Zuständigkeitsbereich und die Zusammenarbeit mit Dritten, um mit Massnahmen Risiken zu vermeiden bzw. zu reduzieren. Restrisiken, die nach der Behandlung weiterbestehen, sind auszuweisen, nachweisbar zu akzeptieren und zu tragen. [Art. 8 ISG]
• Arbeiten Organisationen, die dem ISG unterstehen, mit solchen zusammen, die dies nicht tun, so haben erstere dafür zu sorgen, dass bei Auftragserteilung und -ausführung die gesetzlichen Massnahmen eingehalten werden. Dies ist vertraglich zu vereinbaren. [Art. 9 ISG]
• Festlegung eines Sicherheitsverfahrens für Informatikmittel. Jedem Informatikmittel ist eine Sicherheitsstufe zuzuordnen. Diese bestimmt die einzuhaltenden Mindestanforderungen und Sicherheitsmassnahmen. [Art. 16-19 ISG]
• Sicherstellung, dass Personen, die Zugang zu Informationen, Informatikmitteln, Räumlichkeiten und anderen Infrastrukturen des Bundes haben, sorgfältig ausgewählt und risikogerecht identifiziert werden sowie entsprechend den Anforderungen des ISG und die relevanten Sicherheitsmassnahmen informiert und geschult werden. [Art. 20 ISG]
• Reduktion von Risiken, die von physischen Bedrohungen (menschliche Handlungen, Elementarschäden) ausgehen. Beispiele sind hier die Zuordnung von Räumlichkeiten und Bereiche in Sicherheitszonen und die Einführung adäquater Kontrollen. [Art. 22-23 ISG]

Welche Anforderungen stellt das revISG an alle verpflichteten Organisationen?

• Freiwillige Meldung an das NCSC bei Cyber-Vorfällen und Schwachstellen. [Art. 73b revISG]
• Das NCSC informiert die Hersteller betroffener Hard- oder Software über die ihr gemeldeten Schwachstellen und setzt diesen eine Frist zu deren Behebung. Wird dieser Frist nicht Folge geleistet, so kann dies beschaffungsrechtliche Folgen haben. [Art. 73 revISG]
• Meldung von Cyber-Angriffen an das NCSC innerhalb von 24 Stunden seit deren Entdeckung, wenn diese bei Organisationen vorliegen, die der Meldepflicht unterliegen und ein Cyberangriff, nach Art. 74d revISG, mindestens einer der folgenden Merkmale aufweist:
  a) die Funktionsfähigkeit der betroffenen kritischen Infrastruktur ist gefährdet
  b) eine Manipulation oder ein Abfluss von Informationen hat stattgefunden
  c) der Angriff ist über einen längeren Zeitraum unentdeckt geblieben, insb. wenn Anzeichen dafür bestehen, dass er zur Vorbereitung weiterer Cyberangriffe ausgeführt wurde oder
  d) mit Erpressung, Drohung oder Nötigung verbunden ist.;
  
• Wird die Meldepflicht verletzt, so kann die Organisation (nach zweimaliger Fristsetzung) mit einer Busse von bis zu CHF 100'000 bestraft werden. [Art. 74g-h revISG]

Welche Anforderungen stellt das ISG an ein ISMS?

• Beurteilung des Schutzbedarfs der Informationen (Art. 6 ISG)
• Klassifizierung der Informationen (Art. 11-15 ISG)
• Identifizierung und laufende Beurteilung von Risiken (Art. 8 ISG)
• Festlegung eines Sicherheitsverfahrens für Informatikmittel sowie Sicherheitsmassnahmen für die Verwendung dieser (Art. 16-19 ISG)
• Gewährleistung personeller Massnahmen (Art. 20-21 ISG)
• Gewährleistung eines physischen Schutzes (Art. 22-23 ISG)
• Einsatz von Identitätsverwaltungs-Systemen (Art. 24-26 ISG)

Wo kann ich das Informationssicherheitsgesetz (ISG) downloaden?

Download ISG

Wo finde ich das neue Informationssicherheitsgesetz (revISG)?

Download revISG

Sie sind vom revidierten Informationssicherheitsgesetz betroffen und möchten pragmatische Unterstützung? Kontaktieren Sie uns und lassen Sie sich unverbindlich beraten.