Stärkung der digitalen Resilienz: Das Informationssicherheitsgesetz des Bundes (ISG)

Gefällt Ihnen dieser Beitrag? Teilen Sie ihn auf Social Media!
Stärkung der digitalen Resilienz: Das Informationssicherheitsgesetz des Bundes (ISG)

In den vergangenen Jahren ist weltweit eine besorgniserregende Zunahme von Cyberangriffen auf Behörden und Unternehmen zu beobachten. Angesichts dieser wachsenden Bedrohung möchte die Schweiz nun Massnahmen in Form des neuen Informationssicherheitsgesetzes (ISG) ergreifen und so bestehende Sicherheitslücken im Bereich der Informationssicherheit schliessen. Obwohl das genaue Inkrafttretungsdatum des Gesetzes noch nicht feststeht, wird allgemein erwartet, dass es in naher Zukunft in Kraft treten wird. Diese Aussicht wird den Druck auf Unternehmen deutlich erhöhen, ihre Informationssicherheit zu verbessern und den gesetzlichen Anforderungen gerecht zu werden.

Weitreichende Folgen für Behörden und Unternehmen

Im Dezember 2020 haben sowohl der Nationalrat als auch der Ständerat das Bundesgesetz über die Informationssicherheit beim Bund (Informationssicherheitsgesetz, ISG) verabschiedet. Während das genaue Inkafftretungsdatum des Gesetzes noch aussteht, werden einige der Bestimmungen ohne Übergangsfrist direkt wirksam. Das Gesetz hat zum Ziel, die Fähigkeit des Landes zur Abwehr von Cyberangriffen zu stärken, sensible Daten zu sichern und die Kontinuität kritischer Infrastrukturen zu gewährleisten. Besondere Aufmerksamkeit wird dabei den kritischen Informationen und Systemen sowie der Standardisierung von Massnahmen gewidmet. Dies hat eine Vielzahl von Vorschriften und Massnahmen zur Folge, die die Festlegung von Mindeststandards für die Informationssicherheit, die Implementierung von Überwachungs- und Compliance-Mechanismen sowie die Etablierung eines koordinierten Vorgehens zwischen verschiedenen Behörden und Organisationen umfassen.

Das ISG legt nicht nur Verpflichtungen für Bundesbehörden fest, sondern auch für kantonale Behörden und private Unternehmen, die den Bund bei der Erfüllung seiner Aufgaben unterstützen. Durch diese Bestimmungen strebt der Bund eine enge Zusammenarbeit mit den Kantonen und der Privatwirtschaft an, um den wachsenden Bedrohungen im Bereich der Cybersicherheit wirksam zu begegnen. Eine besondere Rolle spielen dabei die Betreiber von kritischen Infrastrukturen, die für das reibungslose Funktionieren der Gesellschaft, der Wirtschaft und des Staates unverzichtbar sind. Dies betrifft nicht nur die Bundes- und kantonale Behörden sowie staatliche Sicherheitsorganisationen, sondern auch verschiedene Sektoren der Privatwirtschaft, wie Energie, Entsorgung, Finanzen, Gesundheit, Information und Kommunikation, Nahrung und Verkehr.

Im Zuge einer am 12. Januar 2022 beschlossenen Revision des ISG wird zudem eine Meldepflicht von Cybervorfällen und Schwachstellen in Informatikmitteln an das Nationale Zentrum für Cybersicherheit (NCSC) eingeführt, die insbesondere die Betreiber kritischer Infrastrukturen aufgrund der umfassenden Definition zur Verantwortung zieht. Auf Gesetzesebene ist es somit das Ziel, sowohl die Informations- als auch die Cybersicherheit in diesem Jahr durch das ISG und seine Revision zu stärken.

Anforderungen und Pflichten des ISG 

Das Informationssicherheitsgesetz (ISG) legt den behördlichen und organisatorischen Rahmen für Informationssicherheit fest. Für Behörden und Organisationen, die diesem Gesetz unterliegen, besteht eine Reihe von Pflichten, die in den Artikeln 6 bis 23 des ISG dargelegt sind. Im Kern verlangt das Gesetz die Implementierung eines Informationssicherheits-Management-Systems (ISMS), welches den ISG-Anforderungen gerecht wird. Die Pflichten umfassen:

  • Beurteilung des Schutzbedarfs von Informationen und gegebenenfalls Klassifizierung.
  • Kontinuierliche Identifizierung und Bewertung von Risiken.
  • Festlegung von Sicherheitsprozeduren und -massnahmen, insbesondere für den Einsatz von Informatikmitteln.
  • Bewertung des Schutzbedarfs der verarbeiteten Informationen und Ergreifung angemessener Schutzmassnahmen, um unbefugten Zugriff, Verlust, Störungen und Missbrauch zu verhindern.
  • Klassifizierung von Informationen in enger Verbindung mit der Kontrolle und Minimierung von Risiken, sowohl intern als auch bei der Zusammenarbeit mit Dritten.

Des Weiteren gelten folgende Bestimmungen:

  • Definition von Sicherheitsverfahren für die Verwendung von Informatikmitteln, einschliesslich Zuordnung von Sicherheitsstufen mit spezifischen Mindestanforderungen und Sicherheitsmassnahmen.
  • Sorgfältige Auswahl und Identifizierung von Personen mit Zugang zu Informationen, Informatikmitteln und Infrastrukturen des Bundes. Diese Personen müssen über das ISG und die relevanten Sicherheitsmassnahmen informiert und entsprechend geschult werden.
  • Minimierung physischer Bedrohungen durch Zuordnung von Räumlichkeiten und Bereichen zu entsprechenden Sicherheitszonen. Dabei können Kontrollen wie Taschenkontrollen eingesetzt werden.
  • Betonung der Einhaltung gesetzlicher Massnahmen bei der Zusammenarbeit mit Dritten, die nicht dem ISG unterliegen. Vertragliche Regelungen für Sicherheitsmassnahmen sind hierbei von besonderer Bedeutung.

ISG-Readiness mit der ISMS-Branchenlösung von Swiss GRC

Das Informationssicherheitsgesetz (ISG) legt hohe Anforderungen an die Informationssicherheit fest, insbesondere bei den Betreibern kritischer Infrastrukturen. Um diesen Anforderungen gerecht zu werden, müssen verpflichtete Behörden, Organisationen und Betreiber kritischer Infrastrukturen geeignete Massnahmen ergreifen, um die Informationssicherheit zu gewährleisten und die ISG-Compliance sicherzustellen. Hierbei kann der Einsatz einer technologiegestützten Branchenlösung für das Informationssicherheits-Management-Systems (ISMS) wie der GRC Toolbox von grossem Nutzen sein.

Die GRC Toolbox ist eine bewährte Branchenlösung, die speziell auf die Anforderungen des Informationssicherheitsgesetzes (ISG) zugeschnitten ist und folgende Vorteile und Funktionen bietet:

  • Assets und Schutzbedarfsanalyse: Identifizierung und Bewertung von Informationen und unterstützenden Assets (Applikationen und Systeme), um angemessene Sicherheitsanforderungen/-Massnahmen festzulegen.
  • Massnahmen- und Risiko-Assessments: Beurteilung der Einhaltung von geltenden Sicherheitsanforderungen-/Massnahmen und Durchführung von Risikobewertungen, um potenzielle Sicherheitslücken zu identifizieren und zu bewerten. Sowohl ad-hoc wie auch im Rahmen von Vorhaben und Projekten.
  • Volle Unterstützung der Sicherheitsverfahren gemäss Vorgaben des NCSC (Nationale Zentrum für Cybersicherheit) bezüglich SCHUBAN, IT-Grundschutz und ISDS-Konzepte.
  • Risikobehandlung: Verwaltung und Überwachung von Risiken im Zusammenhang mit der Informationssicherheit, einschliesslich der Umsetzung von Massnahmen zur Risikominderung.
  • Sicherheitsvorfallmanagement: Für eine umfassende Vorfalldokumentation werden Ursachen, Auswirkungen und betroffene Assets erfasst. Zudem wird die Verbindung zum Risikomanagement hergestellt, um die Ursache-Ereignis-Wirkungskette aufzuzeigen.
  • Ausnahmenmanagement: Verwaltung von Ausnahmen von den festgelegten Sicherheitsrichtlinien und -verfahren, unter Berücksichtigung der ISG-Vorgaben.
  • Schwachstellenmanagement: Identifizierung, Bewertung und Verwaltung von Schwachstellen in Bezug auf die Informationssicherheit, um potenzielle Risiken zu minimieren. Dabei können Vulnerability Management Tools angebunden werden, um einen nahtlosen Prozess zu gewährleisten.
  • Richtlinienmanagement: Verwaltung von Informationssicherheitsrichtlinien gemäss den ISG-Anforderungen, einschliesslich ihrer Überwachung und Aktualisierung.
  • Standards und Frameworks: Unterstützung bei der Implementierung und Einhaltung relevanter Sicherheitsstandards und -frameworks. Viele Kataloge wie IT-Grundschutzkatalog Bundesverwaltung, IKT-Minimalstandard, NIST, ISO 27001, BSI usw. sind standardmässig vorhanden.
  • Internes Audit Management: Planung, Durchführung und Verfolgung interner Audits zur Überprüfung der ISG-Compliance und Effektivität des ISMS.
  • ISO-Zertifizierungsunterstützung: Unterstützung bei der Vorbereitung auf eine ISO-Zertifizierung im Bereich der Informationssicherheit gemäss ISO 27001.
  • Informationssicherheits-Reporting: Erfassung und Berichterstattung über den Status der Informationssicherheit. Durch die Überwachung dieser Metriken können potenzielle Schwachstellen und Risiken erkannt und Massnahmen ergriffen werden.

ISMS Reporting - GRC Toolbox

Dashboard Information Security – GRC Toolbox

Insgesamt ermöglicht der Einsatz einer technologiegestützten Branchenlösung wie der GRC Toolbox eine effiziente und strukturierte Umsetzung von ISMS-Massnahmen und trägt zur ISG-Compliance bei. Sie unterstützt verpflichtete Organisationen dabei, die komplexen Anforderungen des Informationssicherheitsgesetzes zu erfüllen und die Sicherheit ihrer Informationen und Systeme zu gewährleisten.

Schlussbetrachtung: Grenzüberschreitende Bedeutung digitaler Resilienz

Die wachsende Präsenz von Cyberbedrohungen weltweit unterstreicht die Dringlichkeit, eine starke und widerstandsfähige digitale Infrastruktur zu gewährleisten. Das Streben nach digitaler Resilienz ist aber nicht nur eine nationale, sondern eine grenzüberschreitende Angelegenheit ist, die eine gemeinsame und koordinierte Antwort erfordert. In diesem Zusammenhang setzt die Schweiz mit dem Informationssicherheitsgesetz (ISG) eine klare Botschaft: Die Sicherheit von Informationen und kritischen Infrastrukturen ist von zentraler Bedeutung und wird mit Nachdruck verfolgt. Hinzu kommt das neue FINMA-Rundschreiben 2023/1 «Operationelle Risiken und Resilienz – Banken», welches voraussichtlich am 1. Januar 2024 in Kraft treten wird und dessen Umsetzung eine proaktive Herangehensweise von Banken erfordert, um ihre operationelle Resilienz zu stärken und ihre Fähigkeit zur Bewältigung von Cyberbedrohungen zu verbessern. Indem sie die Anforderungen des Rundschreibens erfüllen, können die Banken dazu beitragen, die Sicherheit des Schweizer Finanzsektors insgesamt zu erhöhen und das Vertrauen der Kunden und der Öffentlichkeit in das Bankensystem zu stärken.

In ähnlicher Weise hat die Europäische Union mit dem Digital Operational Resilience Act (DORA) einen umfassenden regulatorischen Rahmen geschaffen, um die digitale Widerstandsfähigkeit im gesamten Finanzsektor zu stärken. Dieses Gesetz ist darauf ausgerichtet, die potenziellen Risiken von Cyberbedrohungen auf europäischer Ebene zu minimieren und den sicheren und ununterbrochenen Betrieb digitaler Systeme und Dienstleistungen zu gewährleisten. DORA legt dabei klare Anforderungen und Standards für digitale Betriebsressourcen fest, die für alle Finanzunternehmen in der EU gelten. Darüber hinaus sieht das Gesetz einheitliche Testverfahren vor, um die Robustheit gegenüber Cyberbedrohungen zu überprüfen und den Einsatz von Informationstechnologie in Finanzinstituten zu überwachen. Das Gesetz verpflichtet die Finanzdienstleistungsunternehmen ausserdem zur Meldung von bedeutenden Cyberzwischenfällen und fördert den Austausch von Bedrohungs- und Ereignisinformationen.

Die Nutzung technologiegestützter Lösungen wie der GRC Toolbox kann dabei als wertvoller Hebel dienen, um die Einhaltung umfangreicher Vorschriften zu erleichtern und das Management von Sicherheitsrisiken zu optimieren. Diese Art von Unterstützung spielt eine entscheidende Rolle bei der Erfüllung der gesetzlichen Anforderungen und trägt zur Verbesserung der Gesamtsicherheit im digitalen Raum bei.

Autoren: Besfort Kuqi (Swiss GRC), Yahya Mohamed Mao (Swiss GRC), Mai 2023

Picture of Besfort Kuqi

Besfort Kuqi

Besfort Kuqi ist CEO und Mitgründer von Swiss GRC. Seit über 10 Jahren beschäftigt er sich mit den Themen Governance, Risk & Compliance (GRC). Seine Schwerpunkte liegen in der Digitalisierung, Integration und Optimierung von Management- und Kontrollsystemen in Unternehmen und Organisationen.
Picture of Besfort Kuqi

Besfort Kuqi

Besfort Kuqi ist CEO und Mitgründer von Swiss GRC. Seit über 10 Jahren beschäftigt er sich mit den Themen Governance, Risk & Compliance (GRC). Seine Schwerpunkte liegen in der Digitalisierung, Integration und Optimierung von Management- und Kontrollsystemen in Unternehmen und Organisationen.

Alles zur GRC Toolbox

Sie wünschen mehr Informationen rund um unsere Lösungen oder möchten die GRC Toolbox in einer kostenlosen Demo ansehen?

Nach Tags suchen

UPDATES & NEWS

Swiss GRC Blog

DORA ist aktuell das dominierende Thema in der Branche – das zeigte auch die große Resonanz auf die BaFin-Konferenz "IT-Aufsicht im Finanzsektor: Was bedeutet DORA in der Praxis?" vom 26. September 2024. Tausende Teilnehmende informierten sich über die letzten Schritte zur Umsetzung. Ein zentrales Instrument in der Praxisumsetzung von DORA ist das Informationsregister.
Der Swiss GRC Day 2024 unterstrich eindrucksvoll, wie essentiell eine adaptive, methodologische und technologiegestützte Strategie für das Risikomanagement in einer komplexen, dynamischen und digitalisierten Welt ist.
Beim Hören des Akronyms GRC assoziieren Anwender, die mit dem Begriff vertraut sind, der für Governance, Risikomanagement und Compliance steht, intuitiv eine hohe regulatorische Belastung, formale und eher umständliche Compliance-Verfahren und Fristen, schmerzhafte interne und externe Audits sowie enorme Kosten.

Für Neuigkeiten & Updates

Abonnieren Sie jetzt unseren Newsletter

Erhalten Sie News und Trends zu Governance, Risk & Compliance (GRC) mit unserem Newsletter. Wir informieren Sie monatlich über aktuelle Themen, Events wie der SWISS GRC DAY und spannende Fachartikel.