Informationssicherheitsgesetz

Informationssicherheitsgesetz ISG

Übersicht

In seiner Nationalen Strategie vom 27. Juni 2012 zum Schutz der Schweiz vor Cyberrisiken beschreibt der Bundesrat die neuen Bedrohungen, die mit der Entwicklung der Informations- und Kommunikationstechnologien entstanden sind. Darin erläutert der Bundesrat auch, wie er in Zusammenarbeit mit Behörden, Wirtschaft und den Betreiberinnen von Infrastrukturen, die für das Funktionieren von Gesellschaft, Wirtschaft und Staat unerlässlich sind (sogenannte kritische Infrastrukturen) die entsprechenden Risiken minimieren will.

Die Behörden und Organisationen des Bundes sind den in der Strategie aufgeführten Gefahren ebenfalls ausgesetzt. Sie betreiben Informations- und Kommunikationsinfrastrukturen, deren Störung, Ausfall oder Zerstörung gravierende Auswirkungen auf die Gesellschaft, die Wirtschaft oder den Staat haben kann. Zudem bearbeitet der Bund zur Erfüllung seiner Aufgaben täglich grosse Mengen von Informationen und Daten. Darunter befinden sich auch solche, die aus verschiedenen Gründen einen erhöhten Schutz benötigen: Personendaten, Geschäfts- und Fabrikationsgeheimnisse, klassifizierte Informationen, usw. Mehrere Angriffe auf Informationssysteme des Bundes haben aufgezeigt, dass die Informationssicherheit beim Bund Lücken aufweist. Diese Lücken sind auch auf unzeitgemässe Rechtsgrundlagen zurückzuführen.

Das Informationssicherheitsgesetz legt die minimalen Anforderungen fest, welche alle Bundesbehörden zum Schutz ihrer Informationen und Informatik-Infrastrukturen erfüllen müssen. Es führt die wichtigsten Massnahmen in eine einzige, einheitliche Regelung zusammen: Risiko-Management, Klassifizierung von Informationen, Informatiksicherheit, Personensicherheitsprüfungen, Sicherheit bei sensitiven Beschaffungen und Unterstützung durch den Bund der Betreiberinnen von kritischen Infrastrukturen im Bereich der Informationssicherheit.

Das Gesetz basiert auf international anerkannten Standards. Um die Informationssicherheit beim Bund nachhaltig und wirtschaftlich zu verbessern und um ein möglichst einheitliches Sicherheitsniveau zwischen den Bundesbehörden zu erreichen, legt es den Fokus auf die kritischsten Informationen und Systeme sowie auf die Standardisierung der Massnahmen. Nicht zuletzt aufgrund der raschen technologischen Entwicklungen legt das Informationssicherheitsgesetz keine detaillierten Massnahmen fest. Es schafft lediglich einen formell-gesetzlichen Rahmen, auf dessen Grundlage die Bundesbehörden auf Verordnungs- und Weisungsebene die Informationssicherheit möglichst einheitlich konkretisieren werden.

Stand des Geschäftes

Am 4. Dezember 2017 hat der Ständerat das Informationssicherheitsgesetz mit 39 Stimmen bei 4 Enthaltungen mit Änderungen verabschiedet. Änderungen betreffen unter anderem, die Verwendung der AHV-Nummer sowie die Personensicherheitsprüfungen externer Mitarbeitenden der Bundesverwaltung. Am 13. März 2018 ist der Nationalrat mit 117 gegen 68 Stimmen bei 8 Enthaltungen nicht auf das Gesetz eingetreten. Am 26. September 2018 hat der Ständerat ohne Gegenstimme an seinem Eintretensentscheid festgehalten. Am Ball ist nun wieder der Nationalrat. Tritt dieser erneut nicht auf die Vorlage ein, ist diese vom Tisch. Am 9. Oktober 2018 ist die Sicherheitspolitische Kommission des Nationalrates auf die Vorlage eingetreten. Sie hat aber die Beratungen sistiert und das VBS beauftragt, ihr bis Mitte Juni 2019 aufzuzeigen wie die Vorlage verbessert werden kann. Dazu hat sie dem VBS verschiedene Kriterien vorgegeben.

FAQ

Allgemeines

Die Informationssicherheit umfasst die Gesamtheit aller Anforderungen und Massnahmen, mit denen die Vertraulichkeit, die Integrität, die Verfügbarkeit und die Nachvollziehbarkeit von Informationen sowie die Verfügbarkeit und die Integrität von Informatikmitteln geschützt werden. Implizit in dieser Definition ist der Zustand an Sicherheit, welcher mit diesen Anforderungen und Massnahmen erreicht werden soll.

Die Informationssicherheit geht weiter als die blosse Informatiksicherheit (auch IT-Sicherheit oder Cybersicherheit genannt), weil sie nicht nur die elektronischen Vorgänge zur Bearbeitung von Informationen erfasst, sondern alle Vorgänge (Papier, mündliche Äusserungen, usw.).

Das Gesetz zielt auf eine nachhaltige und wirtschaftliche Verbesserung der Informationssicherheit beim Bund. Das Gesetz soll sicherstellen, dass die Bundesbehörden über eine zuverlässige Informatik-Infrastruktur verfügen, um ihre gesetzlichen Aufgaben erfüllen zu können, und dass sie die Informationen und Daten in ihrem Zuständigkeitsbereich risikogerecht schützen. Es schützt also letztendlich die Entscheidungs- und Handlungsfähigkeit der Bundesbehörden, die innere und äussere Sicherheit der Schweiz, ihre aussenpolitischen Interessen sowie ihre wirtschafts-, finanz- und währungspolitischen Interessen. Das Gesetz dient zudem zum praktischen Schutz von Personendaten und von Informationen aus der Wirtschaft, sofern die Bundesbehörden solche Daten und Informationen bearbeiten.

Die Bundesbehörden tauschen zur Erfüllung ihrer Aufgaben Informationen untereinander und mit Dritten aus. Dieser Informationsaustausch findet vermehrt elektronisch statt. Gleichzeitig nimmt die Vernetzung der Informatiksysteme der Bundesbehörden untereinander laufend zu. Dadurch erhöht sich das Risiko, dass sich Bedrohungen sowie Angriffe gegen eine Behörde auf die Zuständigkeitsbereiche anderer beteiligter Behörden ausbreiten. Die jeweiligen Behörden müssen deshalb verpflichtet werden, ihre organisatorischen, personellen, technischen und physischen Sicherheitsmassnahmen zum Schutz von Informationen und Informatikmitteln aufeinander abzustimmen. Dritte, die Informationen des Bundes bearbeiten, müssen die Sicherheitsvorgaben des Bundes erfüllen. Nur so kann die erforderliche Sicherheit und das gegenseitige Vertrauen gewährleistet werden.

Mit der Entwicklung zu einer Informationsgesellschaft sind die entsprechenden Bedrohungen komplexer und dynamischer geworden. Ihnen muss professionell, vernetzt und integral begegnet werden. Die meistens heutigen Instrumente der Informationssicherheit sind jedoch sektoriell ausgelegt, ihre materiellen Regelungen kaum aufeinander abgestimmt und oft nicht auf die praktischen Bedürfnisse einer Informationsgesellschaft ausgerichtet. In der Folge betreibt der Bund für jeden der Teilbereiche der Informationssicherheit parallele Organisationstrukturen. Die Praxis hat gezeigt, dass die sektorielle Ausrichtung beim Bund nicht mehr geeignet und effizient ist. Deshalb sollen alle wichtigsten Massnahmen der Informationssicherheit in eine einzige, moderne Regelung zusammengeführt und gesamtheitlich gesteuert werden. Dies entspricht auch dem integralen Ansatz der internationalen Standards zur Informationssicherheit.

Gemäss Bundesverfassung gehören die grundlegenden Bestimmungen über die Einschränkungen verfassungsmässiger Rechte in ein Gesetz im formellen Sinne. Der Detaillierungsgrad der entsprechenden Regelung hängt von der Schwere des Eingriffs ab. Gemäss Datenschutzgesetz dürfen zudem Bundesorgane besonders schützenswerte Personendaten sowie Persönlichkeitsprofile nur dann bearbeiten, wenn ein Gesetz dies ausdrücklich vorsieht. Formell-gesetzliche Grundlagen sind somit nötig insbesondere für den Einsatz von Informationssystemen zur zentralen Kontrolle von Identitäten, für die Personensicherheitsprüfungen, für das Betriebssicherheitsverfahren und für den Datenaustausch bei der Unterstützung der kritischen Infrastrukturen.

In seiner Nationalen Strategie vom 27. Juni 2012 zum Schutz der Schweiz vor Cyberrisiken beschreibt der Bundesrat die Bedrohungen, welchen die kritischen Infrastrukturen, die Wirtschaft, die Bevölkerung und die Behörden ausgesetzt sind. Er hat den Grundsatz der Selbstverantwortung der betroffenen Akteure betont. Obschon die Strategie für die ganze Schweiz gilt und alle Cyberrisiken umfasst, liegt der Fokus des Bundesrats auf den Schutz der kritischen Infrastrukturen und die Erhöhung ihrer Widerstandsfähigkeit. Die Bundesbehörden, die im Übrigen auch als kritische Infrastrukturen gelten, sind für ihre eigenen Schutzvorkehrungen verantwortlich.

Das Informationssicherheitsgesetz geht einerseits weiter als die Nationale Strategie, in dem es sich nicht nur auf Cyberrisiken einschränkt, sondern auch Bedrohungen gegen Informationen erfasst, die nicht aus dem Internet stammen. So werden im Informationssicherheitsgesetz die Personensicherheitsprüfungen und das Betriebssicherheitsverfahren als besondere Massnahmen der Informationssicherheit betrachtet. Andererseits geht das Informationssicherheitsgesetz deutlich weniger weit als die Strategie, in dem sein Geltungsbereich auf die Behörden und Organisationen des Bundes eingeschränkt ist und nicht die ganze Schweiz umfasst. Wichtiger im Endeffekt ist das normative Charakter des Informationssicherheitsgesetzes: Dort wo Vorgaben für die Zusammenarbeit und die Sicherheit erforderlich sind, legt sie das Gesetz fest.

Das Gesetz

  • Es legt minimale Sicherheitsanforderungen fest, die alle Bundesbehörden erfüllen müssen. Für die Kantone gelten diese Anforderungen nur beschränkt.
  • Es fasst die wichtigsten Massnahmen der Informationssicherheit in eine einzige Regelung zusammen und verlangt von den Bundesbehörden, dass sie ihre Informationssicherheit integral nach international anerkannten Standards umsetzen und überprüfen.
  • Es verlangt vom Bundesrat, dass er einen technischen Sicherheitsstandard festlegt.
  • Es regelt den Informations- und Datenaustausch zwischen den Stellen, die für die Unterstützung der kritischen Infrastrukturen zuständig sind, den kritischen Infrastrukturen selbst und den internationalen Partnern der Schweiz im Bereich der technischen Informationssicherheit.
  • Es schliesst zahlreiche Lücken und Schwachstellen des geltenden Rechts und modernisiert die Fachorganisation der Informationssicherheit bei den Bundesbehörden.
  • Es schafft eine Fachstelle des Bundes für Informationssicherheit, welche die Bundesbehörden unterstützen, Risikoanalysen und Audits durchführen und bestimmte Aufgaben im internationalen Verhältnis wahrnehmen wird.
     

Das Informationssicherheitsgesetz gilt primär für alle Behörden des Bundes: Parlament, eidgenössische Gerichte, Bundesrat und Bundesverwaltung, Armee, Bundesanwaltschaft und ihre Aufsichtsbehörde und Nationalbank. Die Verwaltungseinheiten der dezentralen Bundesverwaltung sowie Organisationen des öffentlichen oder privaten Rechts, die mit Verwaltungsaufgaben betraut werden, können dem Gesetz unterstellt werden, wenn sie sicherheitsempfindliche Aufgaben des Bundes erfüllen. Die Geltung für die Kantone beschränkt sich grundsätzlich auf Fälle, in denen sie geschützte Informationen des Bundes bearbeiten oder auf seine Informatikmittel zugreifen. Die Wirtschaft und Privatpersonen sind vom Gesetz nur betroffen, wenn sie für den Bund sicherheitsempfindliche Aufträge ausführen.

Die Umsetzungskosten hängen weitgehend vom Sicherheitsniveau, das die Bundesbehörden erreichen wollen, und vom entsprechenden Ausführungsrecht ab. Der personelle Mehrbedarf zur Verbesserung der Informationssicherheit soll grösstenteils intern kompensiert werden. Insgesamt könnten dennoch nach heutiger Einschätzung mittelfristig zwischen vier und elf zusätzliche Stellen erforderlich sein.

Das Informationssicherheitsgesetz ist aus zwei Gründen ein umfassendes Gesetz. Zuerst werden im Informationssicherheitsgesetz mehrere Bereiche zusammengelegt, die bisher getrennt (Klassifizierung, Informatiksicherheit, physische Sicherheit, Personensicherheitsprüfungen, usw.), mit ungenügender Regelungsdichte (Personensicherheitsprüfungen und Betriebssicherheitsverfahren) oder auf formell-gesetzlicher Ebene überhaupt nicht (Management der Informationssicherheit, Informatiksicherheit, Identitäts- und Zugriffsverwaltung, Unterstützung der kritischen Infrastrukturen, usw.) geregelt waren. Rein aufgrund des Regelungsgegenstandes ist also eine gewisse Grösse vorgegeben.

Die hohe Regelungsdichte ergibt sich zudem aus dem Geltungsbereich des Gesetzes. Weder das Parlament, noch die eidgenössischen Gerichte, noch die Bundesanwaltschaft, noch die Nationalbank unterstehen den Weisungen des Bundesrats. Sie verlangt deshalb zum Schutz ihrer Autonomie und Unabhängigkeit, dass alle Massnahmen, die zwingend für alle Bundesbehörden gelten sollen, im Informationssicherheitsgesetz selbst verankert werden. Sie werden das Gesetz selbstständig vollziehen, wobei die Standardisierung in Zusammenarbeit mit den anderen Behörden erfolgen wird.

Die Klassifizierung ist eine seit je angewandte Massnahme zum Schutz von Informationen, deren unberechtigte Kenntnisnahme wesentliche Sicherheitsinteressen des Staats beeinträchtigen oder dem Staats selbst Schaden zufügen kann. Die Klassifizierung dient also dem Schutz der Vertraulichkeit von Staatsgeheimnissen. Das ISG sieht ein dreistufiges Klassifizierungssystem vor: INTERN, VERTRAULICH und GEHEIM. Die Schwellenwerte für die Klassifizierung werden erhöht, so dass inskünftig weniger klassifiziert wird. Personen, die als VERTRAULICH oder GEHEIM klassifizierte Informationen bearbeiten müssen, werden einer Personensicherheitsprüfung unterzogen.

Das Gesetz schränkt das Öffentlichkeitsprinzip in der Verwaltung in keinerlei weise ein. Die Klassifizierungskriterien sind so erstellt worden, dass sie grundsätzlich mit dem Ausnahmekatalog von Artikel 7 des Öffentlichkeitsgesetzes vom 17. Dezember 2004 übereinstimmen. Zudem sieht das Informationssicherheitsgesetz den Vorrang des Öffentlichkeitsgesetzes vor.

Da die behördenübergreifende Vernetzung und der zwischenbehördliche elektronische Informationsaustausch weiterhin zunehmen werden, müssen vermehrt behördenübergreifende Lösungen und Prozesse angestrebt werden. Gewisse Eckwerte der Informatiksicherheit müssen auf formell-gesetzlicher Ebene geregelt werden, wenn sie die Behördenautonomie oder die Rechte von Personen betreffen. Das Informationssicherheitsgesetz legt keine technischen Massnahmen im Bereich der Informatiksicherheit fest. Es fokussiert auf die Vereinheitlichung der wichtigsten Prozesse, die zur Gewährleistung der Informationssicherheit beim Einsatz von Informatikmitteln dienen.

Eine gute Verwaltung und Kontrolle von Identitäten und Zugriffen gehört zu den wirksamsten operativen Massnahmen zur Gewährleistung der Informationssicherheit. Mit dem stets wachsenden Umfang der Nutzung von Informationen aus unterschiedlichen Quellen und über die Organisationsgrenzen hinweg können die Anforderungen an Schutz und Funktionalität nur noch mit übergreifend koordinierten Systemen effizient gewährleistet werden. Ein solches System wird für die Bundesverwaltung im Rahmen des Programms IAM Bund eingeführt. An sich haben der Bundesrat und die anderen Bundesbehörden ohne Weiteres die Kompetenz, solche Identitätsverwaltungs-Systeme (auch IAM-Systeme genannt) einzuführen. Gewisse Aspekte der Bearbeitung von Personendaten bedürfen aber aus Datenschutzgründen einer formell-gesetzlichen Regelung.

Personensicherheitsprüfungen

Als staatliche Massnahme der Informationssicherheit müssen die Personensicherheitsprüfungen risikogerecht und wirtschaftlich eingesetzt werden. Da sie zwangsläufig mit einem erheblichen Eingriff in die Persönlichkeitsrechte der zu prüfenden Person verbunden ist, müssen sie zudem hohen Anforderungen an die Verhältnismässigkeit genügen. Seit 2000 ist die Anzahl jährlich durchgeführter Personensicherheitsprüfungen stetig angewachsen. Sehr viele Personen werden heute überprüft, die keine besonders sensitiven Aufgaben des Bundes erfüllen (z. B. Reinigungspersonal). Die Ressourcen der zuständigen Prüfstellen mussten regelmässig erhöht werden. Der Bundesrat stellt angesichts dieser Entwicklung fest, dass die PSP heute nicht mehr risikogerecht und verhältnismässig eingesetzt wird. Er will deshalb den Einsatz der PSP auf das Mindestmass reduzieren, das zur Identifizierung und Bewältigung von erheblichen Risiken für die Informationssicherheit des Bundes erforderlich ist. Mit der beantragten Neuregelung soll eine deutliche Reduktion der Anzahl durchgeführter PSP erzielt werden.

Die Personensicherheitsprüfung stellt eine vorbeugende Massnahme zum Schutz des Staats vor Innentätern dar. Sie dient zur Beurteilung, ob ein Risiko für die Informationssicherheit bestehen könnte, wenn eine bestimmte Person im Rahmen ihrer Funktion oder eines Auftrags eine sicherheitsempfindliche Tätigkeit ausübt. Es liegt anschliessend allein in der Verantwortung der anstellenden bzw. auftraggebenden Behörde, zu entscheiden, ob sie ein allfälliges erhöhtes Risiko tragen will, ob sie es mit bestimmten Auflagen reduzieren will oder ob sie es durch Nichtanstellung oder Kündigung vermeiden will. Die Personensicherheitsprüfung hat deshalb eine ähnliche Ausprägung wie ein Assessment, das Arbeitgeber vor der Anstellung einer Führungs- oder Schlüsselperson oft in Auftrag geben.

Eine Personensicherheitsprüfung wird durchgeführt bei Personen, die eine sicherheitsempfindliche Tätigkeit ausüben müssen. Als sicherheitsempfindlich gelten die Bearbeitung von als VERTRAULICH oder GEHEIM klassifizierten Informationen, die Verwaltung und der Betrieb von kritischen Informatikmitteln sowie der Zugang zu bestimmten Sicherheitszonen. Eine Prüfung kann auch durchgeführt werden, wenn sie von einem völkerrechtlichen Vertrag verlangt wird. Hochrangige Bundesangestellte sowie das diplomatische Personal des eidgenössischen Departements für auswärtige Angelegenheiten können gemäss Bundespersonalgesetz vom 24. März 2000 auf ihre Vertrauenswürdigkeit hin geprüft werden. Bundesangestellte und Angehörige der Armee dürfen nur geprüft werden, wenn der Bundesrat ihre Funktion in die Liste der zu prüfenden Funktionen eingetragen hat.

Die Personensicherheitsprüfungen darf nur mit Zustimmung der zu prüfenden Person durchgeführt werden. Ausgenommen sind Stellungspflichtige sowie Angehörige der Armee und des Zivilschutzes, die auch ohne deren Einwilligung geprüft werden dürfen. Die zu prüfende Person wird hinreichend über das Prüfverfahren, die zu erhebenden Daten und ihre Rechte informiert. Sie ist auch verpflichtet, an der Feststellung des Sachverhalts mitzuwirken. Die Einwilligung ist bis zum Abschluss des Prüfverfahrens gültig, kann aber von der betroffenen Person bei der Prüfbehörde jederzeit widerrufen werden. Willigt die betroffene Person nicht in die Personensicherheitsprüfung ein oder widerruft sie die Einwilligung, kann die Funktion oder Tätigkeit nicht übertragen oder muss entzogen werden.

Im Rahmen der Personensicherheitsprüfung werden sicherheitsrelevante Daten über die Lebensführung der zu prüfenden Person, insbesondere über ihre engen persönlichen Beziehungen und familiären Verhältnisse, ihre finanzielle Lage und ihre Beziehungen zum Ausland, erhoben und bewertet. Daten über die Ausübung verfassungsmässiger Rechte dürfen nur dann bearbeitet werden, wenn ein konkreter Verdacht besteht, dass die zu prüfende Person diese Rechte ausübt, um gegen die Sicherheitsinteressen der Schweiz zu handeln.

Für eine Grundsicherheitsprüfung (Stufe VERTRAULICH) erhebt die Fachstelle für Personensicherheitsprüfung Daten aus dem Strafregister, bei den Strafbehörden, bei den Sicherheitsorganen des Bundes, beim Nachrichtendienst des Bundes, bei den Organen der Armee, aus den Registern und Akten der Sicherheitsorgane der Kantone sowie der Polizei, aus den Registern der Betreibungs- und Konkursbehörden sowie aus öffentlich zugänglichen Quellen.

Für eine erweiterte Personensicherheitsprüfung (Stufe GEHEIM) erhebt die Fachstelle für Personensicherheitsprüfung zusätzlich Daten bei den eidgenössischen und kantonalen Steuerbehörden, bei Finanzinstituten und Banken, mit welchen die zu prüfende Person Geschäftsbeziehungen unterhält, aus den Registern der Einwohnerkontrollen und durch Befragung der zu prüfenden Person.

Ein Sicherheitsrisiko besteht, wenn die Wahrscheinlichkeit als zu hoch beurteilt wird, dass die geprüfte Person bei ihrer sicherheitsempfindlichen Tätigkeit wesentliche Interessen der Schweiz beeinträchtigen wird. Diese Wahrscheinlichkeit kann nicht wie bei einer Versicherung mit quantitativen (statistischen) Angaben gerechnet werden, sondern muss qualitativ beurteilt werden. Untersucht werden bekannte Risikofaktoren wie mangelnde persönliche Integrität oder Vertrauenswürdigkeit, Erpressbarkeit oder Bestechlichkeit oder beeinträchtigtes Urteils- oder Entscheidungsvermögen. Liegen bei der geprüften Person konkrete Anhaltspunkte für solche Risikofaktoren vor, kann von einem erhöhten Sicherheitsrisiko ausgegangen werden.

Betriebssicherheitsverfahren

Das Betriebssicherheitsverfahren befasst sich mit der Gewährleistung der Informationssicherheit bei der Erfüllung von sicherheitsempfindlichen Aufträgen der Bundesbehörden durch Dritte, die nicht ihrer unmittelbaren Aufsicht unterstehen. Das Verfahren dient einerseits der Prüfung der Vertrauenswürdigkeit der zu beauftragenden Betriebe, andererseits ermöglicht es, die notwendigen Massnahmen zur Gewährleistung der Sicherheit während der Ausführung des Auftrags zu kontrollieren und durchzusetzen. Mit dem Betriebssicherheitsverfahren soll unter anderem verhindert werden, dass klassifizierte Informationen oder praktische Angriffsvektoren auf kritische Informatikmittel des Bundes Firmen zugänglich gemacht werden, die aufgrund ihrer Eigentums- und Rechtsverhältnisse, ihrer Organisationsstrukturen oder ihrer Geschäftsbeziehungen beispielsweise von ausländischen Nachrichtendiensten oder Organisationen mit kriminellem Hintergrund gesteuert oder massgebend beeinflusst werden.

Das Betriebssicherheitsverfahren wird bei Betrieben durchgeführt, die einen sicherheitsempfindlichen Auftrag einer Bundesbehörde ausführen sollen, oder bei Betrieben mit Sitz in der Schweiz, die sich um einen Auftrag bewerben, für den sie eine staatliche Betriebssicherheitsbescheinigung benötigen. Das Verfahren darf nur mit Einwilligung des Betriebs durchgeführt werden. Es kann auf ein Betriebssicherheitsverfahren verzichtet werden, wenn ein allfälliges Sicherheitsrisiko mit anderen Massnahmen auf ein tragbares Mass reduziert werden kann.

Die Risikobeurteilung ist grundsätzlich gleich wie im Rahmen einer Personensicherheitsprüfung. Ein Sicherheitsrisiko besteht, wenn die Wahrscheinlichkeit als zu hoch beurteilt wird, dass der Betrieb bei der Erfüllung des sicherheitsempfindlichen Auftrags wesentliche Interessen der Schweiz beeinträchtigen wird. Untersucht werden Risikofaktoren wie mangelnde persönliche Integrität oder Vertrauenswürdigkeit oder massgebende Abhängigkeit von ausländischen Staaten oder kriminellen Organisationen. Liegen konkrete Anhaltspunkte für solche Risikofaktoren vor, kann von einem erhöhten Sicherheitsrisiko ausgegangen werden. Ein Sicherheitsrisiko kann auch festgestellt werden, wenn Personen des Betriebs, die für die Ausführung des sicherheitsempfindlichen Auftrags unentbehrlich sind, im Rahmen der Personensicherheitsprüfung als Sicherheitsrisiko beurteilt wurden.

Es ist in diesem Zusammenhang wichtig zu präzisieren, dass für die Beurteilung des Sicherheitsrisikos immer die Sicherheitsempfindlichkeit des Auftrags sowie die konkreten Verhältnisse des zu prüfenden Betriebs massgebend sind. Das Betriebssicherheitsverfahren vermag den pauschalen und wettbewerbsverzerrenden Ausschluss a priori von ausländischen Anbietern nicht zu begründen.

Kritische Infrastrukturen

Kritische Infrastrukturen stellen die Verfügbarkeit von essenziellen Gütern und Dienstleistungen, wie etwa Energie, Kommunikation oder Verkehr, sicher. Grossflächige Ausfälle wirken sich schwerwiegend auf die Bevölkerung und die Wirtschaft aus und beeinträchtigen ebenso die Sicherheit und das Wohlergehen des Staates. Der Bundesrat hat in seiner Nationalen Strategie vom 27. Juni 2012 zum Schutz kritischer Infrastrukturen die Grundsätze für deren Schutz festgelegt und insgesamt 15 Massnahmen beschlossen.

Sowohl in seiner Nationalen Strategie zum Schutz kritischer Infrastrukturen als auch in seiner Nationalen Strategie zum Schutz der Schweiz vor Cyberrisiken hat der Bundesrat am Grundsatz der Selbstverantwortung der Betreiberinnen von kritischen Infrastrukturen für Sicherheitsmassnahmen festgehalten: Sie sind für ihre eigene Sicherheit zuständig, auch im Bezug auf Cyberrisiken. Der Bund soll sie dennoch unterstützen, um zu gewährleisten, dass Netz- und Systemunterbrechungen sowie Missbräuche selten, von kurzer Dauer und beherrschbar sind und das Schadensausmass gering bleibt. Diese Unterstützung im Bereich der Informationssicherheit umfasst die frühzeitige Identifizierung und Bewertung von Bedrohungen, Gefahren, Schwachstellen und Sicherheitslücken, die Erkennung von Vorfällen, die Erhaltung und Wiederherstellung der Informationssicherheit nach einem Vorfall und die Nachbearbeitung von Vorfällen.

Nein. Im Gegensatz zur Regelung der europäischen Union oder zur Gesetzgebung Deutschlands gibt das Informationssicherheitsgesetz den Betreiberinnen von kritischen Infrastrukturen keine einzuhaltenden Mindeststandards vor. Der Bezug der Unterstützungsdienstleistungen des Bundes beruht auf Freiwilligkeit. Das Informationssicherheitsgesetz regelt nur die Modalitäten dieser Unterstützung, weil im diesem Rahmen Personendaten ausgetauscht werden, die besonders schützenswert sein können und deren Bearbeitung deshalb auf Stufe des Gesetzes vorgesehen werden muss.

Organisation

Ja und nein. In der Bundesverwaltung sind bereits heute zahlreiche Fachorgane vorhanden. Diese nehmen allerdings alle nur sektorielle Aufgaben im Bereich der Informationssicherheit wahr: Risiko-Management, Schutz von klassifizierten Informationen, Informatiksicherheit, Personensicherheitsprüfungen, Datenschutz, usw. Diese sektorielle Ausrichtung ist nicht mehr effizient. Deshalb werden mit dem Informationssicherheitsgesetz gewisse bestehende Fachorgane zusammengelegt. Die Fachorgane der Informationssicherheit sind mit dem Informationssicherheitsgesetz:

  • die Informationssicherheitsbeauftragte: Jede Behörde sowie die Departemente müssen eine Informationssicherheitsbeauftragte oder einen Informationssicherheitsbeauftragten bezeichnen. Diese Person und ihre Stellvertretung steuern und überprüfen in ihrem Bereich und im Auftrag ihrer Behörde die Umsetzung der Informationssicherheit. Die neue Rolle ist eine Zusammenlegung bestehender Rollen.
  • die Konferenz der Informationssicherheitsbeauftragten: Die Konferenz ist für den einheitlichen, behördenübergreifenden Gesetzesvollzug zuständig. Sie wirkt bei der Standardisierung mit. Die Kantone sowie andere Fachgebiete sind darin vertreten. Die Konferenz ersetzt bestehende Gremien, erhält aber teilweise neue Aufgaben und Kompetenzen.
  • die Fachstelle des Bundes für Informationssicherheit: Die Fachstelle für Informationssicherheit hat eine zentrale Rolle für den Vollzug des Gesetzes. Auch wenn sie keine Weisungsbefugnisse gegenüber den anderen Bundesbehörden hat, steuert sie die Informationssicherheit in der Bundesverwaltung und in der Armee im Auftrag des Bundesrats. Sie steuert somit nicht nur die Informationssicherheit im engen Sinne, sondern auch den Einsatz der Personensicherheitsprüfungen und des Betriebssicherheitsverfahrens. Sie wird aus bestehenden Fachorganen des Bundes gebildet und erhält teilweise neue Aufgaben und Kompetenzen.
  • die Fachstellen für Personensicherheitsprüfungen bleiben gliech wie beim geltenden Recht: eine Fachstelle beim eidgenössischen Departement für Verteidigung, Bevölkerungsschutz und Sport, die andere bei der Bundeskanzlei.

Die Fachstelle für Informationssicherheit ist ein Organ des Bundesrats. Zur Wahrung ihrer Autonomie und Unabhängigkeit wollen die anderen Bundesbehörden (Parlament, eidgenössische Gerichte, Nationalbank, usw.) weder Weisungen des Bundesrats noch eine Fachstelle mit Weisungsbefugnissen. Dieser Ansatz entspricht auch dem Geist der Nationalen Strategie zum Schutz der Schweiz vor Cyberrisiken.

Meilensteine

Meilensteinplan

Stand Oktober 2018
Meilenstein Datum
Parlamentarische Beratung 2017–2019
Verabschiedung der Botschaft zum Informationssicherheitsgesetz 22. Februar 2017
Auftrag zur Schaffung einer gesetzlichen Grundlage für IAM Bund 14. Januar 2015
Kenntnisnahme Vernehmlassungsbericht durch den Bundesrat und Auftrag betreffend weiteres Vorgehen 5. November 2014
Eröffnung der Vernehmlassung zum Vorentwurf 26. März 2014
Erweiterung des Auftrags des Bundesrats auf die Informationssicherheit 30. November 2011
Grundauftrag des Bundesrats: Schaffung formell-gesetzlicher Grundlagen für den Informationsschutz 12. Mai 2010

Medienmitteilungen

Artikel


Dokumente

Alle