Luzern, 26.03.2024 – In einer branchenübergreifenden Umfrage, die von Swiss GRC in Zusammenarbeit mit der Swiss Infosec AG ins Leben gerufen wurde, steht das neue Informationssicherheitsgesetz des Bundes (ISG), welches am 1. Januar 2024 in Kraft trat, im Fokus. Fast 120 Organisationen aus diversen Bereichen – von der Industrie über das Gesundheitswesen bis hin zur öffentlichen Verwaltung und IT-Dienstleistungen – gaben Einblicke in ihre Vorbereitung und Einstellung zum ISG. Diese Zahlen zeichnen ein Bild von einer Wirtschaft, die auf dem Weg zu einer stärkeren Informationssicherheit ist, allerdings noch Herausforderungen in der vollständigen Umsetzung des ISG sieht.
Am 1. Januar 2024 trat das neue Informationssicherheitsgesetz (ISG) des Bundes in Kraft, ein legislativer Meilenstein, der das Bewusstsein für Informationssicherheit signifikant erhöht und deren essenzielle Bedeutung hervorhebt. Dieses Gesetz unterstreicht die Wichtigkeit von Informationssicherheit nicht nur für staatliche Einrichtungen, Behörden und Betreiber kritischer Infrastrukturen, sondern auch für den privaten Sektor. Im Rahmen einer umfassenden Heartbeat-Umfrage, die zwischen Februar und März 2024 in durchgeführt wurde, wurde untersucht, inwiefern das ISG bei Behörden und Organisationen Bekanntheit erlangt hat und welche Priorität der Informationssicherheit in der gegenwärtigen Landschaft eingeräumt wird. Diese Untersuchung zielt darauf ab, ein tieferes Verständnis für die Auswirkungen des ISG auf die Wahrnehmung und Implementierung von Sicherheitsmassnahmen innerhalb verschiedener Organisationen zu gewinnen.
Unklarheiten über den Geltungsbereich des ISG
Das neue Informationssicherheitsgesetz (ISG) zeichnet sich durch seine breite Anwendbarkeit aus. Zwar richtet es sich primär an die Bundesbehörden und, unter bestimmten Bedingungen, an kantonale Instanzen, doch erstreckt sich sein Geltungsbereich ebenfalls auf Betreiber kritischer Infrastrukturen sowie auf privatwirtschaftliche Unternehmen, die Aufgaben des Bundes wahrnehmen. Trotz der scheinbaren Klarheit im Gesetz über die Verpflichtungen für Behörden und Organisationen herrscht jedoch Unsicherheit: Etwa 29% der Befragten in unserer Umfrage gaben an, ungewiss zu sein, ob das ISG auf ihre Organisation oder Behörde Anwendung findet. Dem stehen knapp 24% gegenüber, die sich vom ISG betroffen fühlen, während etwas mehr als 47% dies verneinen.
Informationssicherheit rückt in den Mittelpunkt
Die Zeiten, in denen Informationssicherheitsbeauftragte eine Seltenheit waren, scheinen überwunden. In fast 62% der befragten Organisationen ist mittlerweile eine Person explizit für Informationssicherheit zuständig. «Diese Zahl ist ermutigend», sagt Reto Zbinden, CEO von Swiss Infosec. Doch der Implementierung eines Informationssicherheitsmanagementsystems (ISMS) – ein zentraler Aspekt des neuen ISG – mangelt es noch an Verbreitung. Lediglich etwas über 43% der Teilnehmenden gaben an, ein ISMS einzusetzen, während über 48% dies verneinen. Laut Zbinden «ein Wert, auf dem sich weiter aufbauen lässt».
Zunehmende Bedeutung von ISMS-Tools
Die jüngste Umfrage hebt hervor, dass 36% der Befragten auf ISMS-Software setzen, um ihr Informationssicherheitsmanagement zu optimieren. Diese Tools erleichtern nicht nur die Implementierung eines ISMS, sondern verankern Informationssicherheit fest im Arbeitsalltag. Besfort Kuqi, CEO von Swiss GRC, beobachtet einen Aufwärtstrend in der Nutzung von ISMS- bzw. GRC-Software und bestätigt deren entscheidenden Beitrag zur Steigerung der Effizienz und Wirksamkeit in Informationssicherheitsmanagementsystemen. «Hat man einmal die Vorteile dieser Tools erfahren, möchte man sie nicht mehr missen, betont Kuqi und verweist auf die Notwendigkeit, das Potenzial dieser Softwarelösungen weiter auszuschöpfen.
Relevanz kritischer Infrastrukturen
Über 36% der Umfrageteilnehmer gaben an, dass ihre Organisation kritische Infrastrukturen betreibt, wie sie die nationale Strategie zum Schutz solcher Infrastrukturen definiert. Sie fallen somit unmittelbar unter das ISG, einschliesslich der bevorstehenden Gesetzesänderung bezüglich der Meldepflicht von Cyberangriffen auf kritische Infrastrukturen. Die Mehrheit hat sich bereits mit dieser Meldepflicht auseinandergesetzt, was aus Sicht der Swiss Infosec AG und Swiss GRC AG sehr begrüssenswert ist und das hohe Verantwortungsbewusstsein dieser Organisationen widerspiegelt.
Kontakt für Medienanfragen:
Yahya Mohamed Mao
Head Marketing & Communications
Swiss GRC AG
Hirschmattstrasse 36
6003 Luzern
marketing@swissgrc.com
www.swissgrc.com