Created using OpenAI’s DALL·E (2025)

Kurz & Bündig:

Wichtige Deadlines (vergangen & kommend):

• Informations-Klassifizierungskatalog bis 31. Dezember 2024
• Meldepflicht Prozess für Cyber Angriffe ab 1. April 2025
• Risikoanalyse und IT-System Klassifizierung/Schutzbedarf bis 31. Dezember 2025
• Informationssicherheits-Managementsysteme (ISMS) bis 31. Dezember 2026

Wer (ist vom ISG betroffen)?

Das ISG gilt für ein breites Spektrum von öffentlichen, privaten und kritischen Infrastrukturbetreibern – wenn Deine Organisation unter eine der folgenden Kategorien fällt, dann gilt das ISG für DICH:

• Bundesbehörden und Organisationen (z.B. Bundesamt für Informatik und Telekommunikation)

• Kantonale Behörden, die auf Bundesdaten zugreifen, müssen ebenfalls die Sicherheitsvorhaben des ISGs einhalten (z.B. Kantonspolizei)

• Betreiber kritischer Infrastrukturen
  • Energieversorgung: Strom-, Gas- und Wasserversorgungssysteme (z.B. Axpo Group, Swissgasm Veolia)
  • Transport und Verkehr: Strassen-, Schienen-, Luft- und Wasserverkehrssysteme (z.B. ASTRA, SBB, Skyguide, SGV)
  • Informations- und Kommunikationstechnologie: Telekommunikationsnetze und IT-Systeme (z.B. Swisscom)
  • Gesundheitswesen: Krankenhäuser, medizinische Versorgung und Notfalldienste (z.B. Universitätsspital Zürich)
  • Finanzdienstleistungen: Banken, Börsen und Zahlungsverkehrssysteme (z.B. UBS, SIX)
  • Lebensmittelversorgung: Produktion, Verarbeitung und Vertrieb von Lebensmitteln (z.B. Emmi, Nestlé, Migros)
  • Öffentliche Verwaltung: Regierungs- und Verwaltungsdienste auf Bundes-, Kantons- und Gemeindeebene (z.B. Bundesamt für Bevölkerungsschutz, Finanzdirektion Bern, Bevölkerungsamt Stadt Zürich)
  • Private Unternehmen, die für den Bund tätig sind: IT-Dienstleister für Cloud Services oder Datenverarbeiter wie Microsoft, Oracle und IBM
  • Internationale Partner: sonstige internationale Auftragnehmer, die mit Bundesbehörden zusammenarbeiten.

Was (ist das ISG)?

Das ISG regelt die Informationssicherheit in den Bundesbehörden sowie in privaten Unternehmen und kritischen Infrastrukturbetreibern. Es wird durch verschiedene Verordnungen ergänzt und stellt somit sicher, dass sowohl öffentliche als auch private Sektoren angemessene Sicherheitsmassnahmen umsetzen. Folgendes gilt als Grundlage:

• Informationssicherheitsverordnung (ISV): Legt die Pflichten, Verantwortlichkeiten, Kompetenzen und Verfahren fest, welche die Bundesverwaltung und die Armee im Zusammenhang mit der Sicherung ihrer Informations- und Informatiksysteme einhalten müssen.

• • Beispiel: Informatikmittel mit hohem oder sehr hohem Schutzbedarf müssen ihre Sicherheitsmassnahmen 1) vor der Inbetriebnahme, 2) bei wesentlichen Änderungen der Risikolandschaft und 3) mindestens alle fünf Jahre auf ihre Wirksamkeit überprüfen lassen.

• Verordnung über die Personensicherheitsprüfungen (VPSP): Legt klare, schlanke, risikobasierte Verfahren fest, wann und wie persönliche Sicherheitsüberprüfungen von Personen in sicherheitsempfindlichen Funktionen innerhalb der Bundesverwaltung, der Armee oder, unter bestimmten Umständen, bei kantonale Einrichtungen und externen Auftragnehmern durchgeführt werden sollen.

• • Beispiel: Mit dem neuen Recht wird die Prüfung für Personen vorbehalten, die tatsächlich aufgrund ihrer Funktion dem Bund einen erheblichen Schaden zufügen können.

• Verordnung über das Betriebssicherheitsverfahren (VBSV): Regelt sicherheitsempfindliche Aufträge des Bundes. Legt die Überprüfung und Aufsicht von Unternehmen fest, die sicherheitsrelevante Arbeiten für den Bund ausführen, einschliesslich Personensicherheitsüberprüfungen, Stichproben, Audits und Massnahmen zur Verhinderung des Zugriffs auf kritische Bundes-IT und Informationen durch ausländische Geheimdienste.

• • Beispiel: Die Fachstelle Betriebssicherheit erhebt sämtliche sicherheitsrelevanten Daten (z.B. Eigentumsverhältnisse, Mitgliedergeschäftleitung, Solvenz), die für die Beurteilung der Eignung des Betriebs notwendig sind.

• Verordnung über die Identitätsmanagementsysteme und Verzeichnisdienste des Bundes (IAMV): Führt Standards für die Identitätsverwaltung (IAM), Verzeichnisdienste und Sicherheitsmassnahmen für IT-Systeme des Bundes ein. Gilt sowohl für interne (Bundesverwaltung und deren Behörden) als auch für externe Dienstanbieter, die Identitätssysteme des Bundes verwalten.

• • Beispiel: Interne und externe Betreiber von Komponenten eines IAM-Systems oder Verzeichnisdiensts müssen über schriftlich festgehaltene Vorgaben für die Handhabung der Informationssicherheit und der Risiken verfügen.

• Cybersicherheitsverordnung (CSV): Regelt die Meldepflicht von Cyberangriffen auf kritische Infrastrukturen.

• • Beispiel: Angriffe müssen innerhalb von 24 Stunden nach Entdeckung über das Meldesystem des Bundesamtes für Cyber Sicherheit (BACS) gemeldet werden, einschliesslich Angaben zur Art des Angriffs, zu seinen Auswirkungen und zu den ergriffenen Gegenmassnahmen.

Wann (sind die Übergangsfristen für die Umsetzung des ISG)?

Verstrichene Fristen (bist Du im Rückstand?)

• Informations-Klassifizierungskatalog – bis 31. Dezember 2024: Betroffene Stellen (wie Bundesbehörden, kantonale Verwaltungen, private Unternehmen, die kritische Infrastrukturen betreiben, und öffentliche Einrichtungen) müssen robuste…
  • …Klassifizierungsstufen entwickeln: Entwicklung und Implementierung von Klassifizierungsstufen für Informationen, um deren Schutzbedarf zu bestimmen.
  • …Schutzmassnahmen einführen: Einführung von geeigneten Schutzmassnahmen basierend auf den Klassifizierungsstufen.
  • …Dokumentation erstellen: Erstellung und Pflege von Dokumentationen, die die Klassifizierungs- und Schutzmassnahmen detailliert beschreiben.
  • …Schulungen durchführen: Durchführung von Schulungen für Mitarbeiter, um sicherzustellen, dass sie die neuen Regeln und Verfahren verstehen und anwenden können.

• Meldepflicht Prozess für Cyber-Angriffe – ab 1. April 2025: Organisationen und Unternehmen, die zur Kategorie der Anbieter kritischer Infrastrukturen (wie oben beschrieben) gehören, müssen einen strukturierten Prozess einführen, der die Meldung von Vorfällen, d. h. von Angriffen oder Datenverlusten, festlegt.

Bevorstehende Fristen (bist Du bereit?)

• Risikoanalyse und IT-System Klassifizierung/Schutzbedarf bis 31. Dezember 2025: Betroffene Stellen (wie Bundesbehörden, kantonale Verwaltungen, private Unternehmen, die kritische Infrastrukturen betreiben, und öffentliche Einrichtungen) müssen ein ISMS einführen.

• Informationssicherheits-Managementsysteme (ISMS) bis 31. Dezember 2026: Betroffene Stellen (wie Bundesbehörden, kantonale Verwaltungen, private Unternehmen, die kritische Infrastrukturen betreiben, und öffentliche Einrichtungen) müssen ein ISMS einführen.

• Technische Sicherheitskonformität bis 31. Dezember 2029: Alle IT-Ressourcen der betroffenen Stellen (wie Bundesbehörden, kantonale Verwaltungen, private Unternehmen, die kritische Infrastrukturen betreiben, und öffentliche Einrichtungen) müssen den neuen technischen Sicherheitsvorschriften des ISG entsprechen.

Warum (ist das ISG wichtig)?

Das ISG ist wichtig, weil es die Cyber-Resilienz stärkt, kritische Infrastrukturen schützt und einheitliche Sicherheitsstandards festlegt. Es erhöht die Widerstandsfähigkeit gegen Cyber-Angriffe durch die Vorschreibung von Risikobewertung und Vorfallmanagement, fördert die internationale Zusammenarbeit und schützt sensible Daten durch Hintergrundüberprüfungen und Stichprobenkontrollen.

mehr erfahren:

• Bundesrat setzt das Informationssicherheitsgesetz in Kraft: Das ISG und seine vier Ausführungsverordnungen (ISV, VPSP, VBSV, IAMV) sind am 1. Januar 2024 in Kraft getreten.
• Das Informationssicherheitsgesetz des Bundes im Überblick: Das ISG umfasst Bestimmungen zu Informationssicherheitsmanagementsystemen (ISMS), Meldepflichten und allgemeine Regelungen zur Cybersicherheit. Es wird durch vier Ausführungsverordnungen ergänzt.
• Update zum neuen Informationssicherheitsgesetz: Eine Revision des ISG, die eine Meldepflicht für Cyberangriffe auf kritische Infrastrukturen einführt, ist beschlossen und seit dem 1. Januar 2025 in Kraft.

Interessiert daran, was das ISG und die damit verbundenen Fristen für Dein Unternehmen bedeutet?

Joshua Bucheli (cyberunity AG) und John Corona (Osmond GmbH) freuen sich darauf, von Dir zu hören!

stay tuned for more – haltet Ausschau nach unserem nächsten Cyberbyte zum Thema NIS2