Entwicklungen im Schweizer Cybersicherheitsrecht
Seit meiner Präsentation im Rahmen der 8. Tagung zum Datenschutz – Jüngste Entwicklungen am EuropaInstitut an der Universität Zürich zum Informationssicherheitsgesetz (ISG) vom 27. Januar 2015 hat es in der Schweiz doch noch einige wichtige rechtliche Entwicklungen im Bereich der Cybersicherheit gegeben. Letztere war die lang ersehnte Verabschiedung des ISG. Dieses Gesetz gilt namentlich für Bundesbehörden wie das Parlament der Schweiz oder die Schweizerische Nationalbank. Aus Sicht Wirtschaft sind insbesondere die Betreiber von kritischen Infrastrukturen wie z.B. Energie, Finanzen oder Gesundheit angesprochen.
Der Bundesrat hat am 8. November 2023 entschieden, das neue ISG zusammen mit dessen vier Ausführungsverordnungen per 1. Januar 2024 in Kraft zu setzen. Zum Ausführungsrecht des ISG gehören die folgenden Verordnungen:
- eine neue Informationssicherheitsverordnung (ISV);
- eine neue Verordnung über die Personensicherheitsprüfungen (VPSP);
- eine neue Verordnung über das Betriebssicherheitsverfahren (VBSV); und
- eine Änderung der bestehenden Verordnung über Identitätsverwaltungs-Systeme und Verzeichnisdienste des Bundes (IAMV).
Die neue Informationssicherheitsverordnung (ISV) ersetzt und erweitert die bisherigen Verordnungen zu Cyberrisiken und Informationsschutz. Sie regelt das Management der Informationssicherheit, den Schutz klassifizierter Informationen, die Informatiksicherheit sowie Massnahmen zur personellen und physischen Sicherheit. Bundesämter müssen ein Informationssicherheits-Managementsystem (ISMS) einführen, welches alle notwendigen Vorschriften, Verfahren und Massnahmen umfasst. Kantone sind betroffen, wenn sie mit klassifizierten Informationen des Bundes arbeiten oder auf Bundesinformatikmittel zugreifen und müssen in diesen Fällen die ISV-Vorschriften einhalten oder eine gleichwertige Informationssicherheit gewährleisten.
Am 22. Mai 2024 hat der Bundesrat die Vernehmlassung zu einer weiteren Verordnung eröffnet: die künftige Verordnung über die Cybersicherheit (Cybersicherheitsverordnung, CSV) soll in Ergänzung zur ISV insbesondere die Meldepflicht von Cyberangriffen auf kritische Infrastrukturen regeln und die Rolle des "neuen" Bundesamtes für Cybersicherheit BACS (bisher «NCSC» und davor bekannt als «MELANI») konkretisieren. Obwohl die CSV einen starken Fokus auf die Meldepflicht legt, gilt meines Erachtens zu beachten, dass präventive Massnahmen, wie sie z.B. in der Nationalen Cyber Strategie des Bundes verankert sind, und ein sicherer Informationsaustausch weiterhin von besonderer Bedeutung sind. Schliesslich definiert die CSV den Umfang der Meldepflicht, die meldepflichtigen Cyber-Angriffe und die Verfahren zur Erfüllung der Meldepflicht. Ausnahmen von der Meldepflicht gelten für Behörden und Unternehmen, bei denen ein Cyber-Angriff keine unmittelbaren Auswirkungen auf die Wirtschaft oder die Bevölkerung hat. Die Vernehmlassung zur CSV dauert bis zum 13. September 2024. Weitere Informationen finden Sie in der Medienmitteilung des Bundesrates.