Informationssicherheitsgesetz: Bundesrat schickt Verordnungen in Vernehmlassung
Das neue Informationssicherheitsgesetz (ISG) betrifft viele Behörden und privatrechtliche Unternehmen und soll einen einheitlichen, formell-gesetzlichen Rahmen für die Informationssicherheit schaffen.
Für die Inkraftsetzung des Informationssicherheitsgesetzes (ISG) müssen drei Verordnungen erarbeitet und eine weitere Verordnung teilrevidiert werden. An seiner Sitzung vom 24. August 2022 hat der Bundesrat nun die Vernehmlassung eröffnet. Das ISG und die Ausführungsbestimmungen sollen Mitte 2023 in Kraft treten.
Drei neue Verordnungen und eine Teilrevision
Informationssicherheitsverordnung (ISV): Die neue ISV vereint, ergänzt und ersetzt mit der Cyberrisiken- und der Informationsschutzverordnung zwei bisherige Verordnungen. Sie gilt primär für die Bundesverwaltung sowie die Armee. Die vorgesehenen Änderungen zum bisherigen Recht betreffen etwa die Bestimmung zur Umsetzung eines Informationssicherheitsmanagementsystems, die Einführung einer Akkreditierungspflicht von Informatikmitteln, die Erhöhung der Klassifizierungsschwelle für klassifizierte Informationen sowie die Einführung einer international üblichen Nachsorge (sogenannte «aftercare») im Rahmen der Personensicherheit. Weiter werden die Amtsleitungen der Bundesverwaltung zu neuen Aufgaben, Kompetenzen und Verantwortlichkeiten im Bereich der Informationssicherheit verpflichtet.
Verordnung über die Personensicherheitsprüfungen (VPSP): Diese fasst die Ausführungsbestimmungen zu den verschiedenen Personensicherheitsprüfungen zusammen. Sie ersetzt die Verordnung über die Personensicherheitsprüfungen, die Verordnung über die Personensicherheitsprüfungen im Bereich Kernanlagen und alle bisherigen departementalen Verordnungen über die Personensicherheitsprüfungen. Die Personensicherheitsprüfungen dienen der Beurteilung, ob ein Risiko für die Informationssicherheit des Bundes besteht, wenn eine Person im Rahmen ihrer Funktion eine sicherheitsempfindliche Tätigkeit ausübt. Diese Prüfungen sollen gemäss dem neuen Gesetz auf das Mindestmass reduziert werden, das zur Identifizierung von erheblichen Risiken für den Bund erforderlich ist. Damit sollen künftig deutlich weniger Prüfungen durchgeführt werden. Dies wird unter anderem durch die erwähnte Erhöhung der Schwellenwerte für die Klassifizierung im Rahmen der ISV erreicht.
Verordnung über das Betriebssicherheitsverfahren (VBSV): Sie regelt die Einzelheiten des durch das ISG neu eingeführten Betriebssicherheitsverfahrens und ersetzt die bisherige, auf militärisch klassifizierte Aufträge beschränkte Geheimschutzverordnung. Das Betriebssicherheitsverfahren ist auf alle sicherheitsempfindlichen Aufträge anwendbar, die der Bund vergibt. Davon betroffen sind Aufträge, in denen vertraulich oder geheim klassifizierte Informationen bearbeitet oder Informatikmittel mit hohem oder sehr hohem Schutz betrieben oder verwaltet werden.
Zudem erfordert die Inkraftsetzung des ISG Anpassungen der Verordnung über Identitätsverwaltungs-Systeme und Verzeichnisdienste des Bundes (IAMV): Die Teilrevision beinhaltet insbesondere eine Erweiterung des Geltungsbereichs auf die Verwaltungseinheiten der dezentralen Bundesverwaltung, sofern diese Zugriff auf Informatiksysteme der zentralen Bundesverwaltung haben.
Das Vernehmlassungsverfahren dauert bis am 24. November 2022. Eine zusätzliche Meldepflicht für Cyberangriffe bei kritischen Infrastrukturen erfordert eine ISG-Revision. Dies ist derzeit unter Federführung des Eidgenössischen Finanzdepartementes ebenfalls im Gange. Das Vernehmlassungsverfahren der ISG-Revision dauerhte bis am 14. April 2022.
Quelle: der Bundesrat