#27 Das Informationssicherheitsgesetz: Einheitliche Regeln für den Schutz staatlicher Informationen

Was regelt das ISG konkret? – Hauptziele und Neuerungen

Das ISG verfolgt drei zentrale Ziele:

1. Einheitliche Mindeststandards für Informationssicherheit im gesamten Bundesbereich,
2. Klare Zuständigkeiten und Prozesse für den Schutz von Informationen und Systemen,
3. Ein kohärentes Zusammenspiel von organisatorischen, technischen, personellen und physischen Massnahmen.

Das Gesetz verpflichtet die Behörden, den Schutz ihrer Informationen und Informatikmittel systematisch zu planen, umzusetzen und regelmässig zu überprüfen. Grundlage dafür ist ein risikobasierter Ansatz: Informationen und Systeme werden nach ihrem Schutzbedarf eingestuft, und daraus werden abgestufte Sicherheitsanforderungen abgeleitet.

Die Verantwortung liegt bei den Führungsebenen der Behörden. Sie müssen sicherstellen, dass Risiken erkannt, bewertet und mit angemessenen Massnahmen beherrscht werden. Das ISG legt zudem fest, wie Informationen klassifiziert werden, wie sicherheitsempfindliche Tätigkeiten überprüft und wie sicherheitsrelevante Aufträge an Dritte vergeben werden. Es gilt für alle Behörden der Bundesverwaltung sowie für Organisationen und Unternehmen, die im Auftrag des Bundes arbeiten oder auf Bundesinformatikmittel zugreifen.

Für die Kantone gilt das ISG subsidiär: Wenn sie klassifizierte Informationen des Bundes bearbeiten oder auf Bundesinfrastrukturen zugreifen, müssen sie die Sicherheitsanforderungen des Bundes einhalten oder ein gleichwertiges Schutzniveau gewährleisten.

Die vier Verordnungen im Überblick – Umsetzung in der Praxis

Zur Umsetzung des Gesetzes hat der Bundesrat vier Verordnungen erlassen, die die allgemeinen Grundsätze konkretisieren und den Vollzug vereinheitlichen.

1. Informationssicherheitsverordnung (ISV)
   Die ISV ist die zentrale Ausführungsverordnung. Sie verpflichtet alle Bundesstellen zur Einführung eines Informationssicherheits-Managementsystems (ISMS). Dieses System legt fest, wie Informationssicherheit geplant, umgesetzt, kontrolliert und verbessert wird. Es orientiert sich an internationalen Standards wie ISO/IEC 27001 und 27002.
   Die ISV regelt zudem die Klassifizierung von Informationen, den Schutz von Informatikmitteln, die Anforderungen an physische und personelle Sicherheit sowie an Kontrollen und Audits.
2. Verordnung über Personensicherheitsprüfungen (VPSP)
   Sie regelt, wie Personen überprüft werden, die sicherheitsempfindliche Tätigkeiten ausüben. Dabei dürfen nur sicherheitsrelevante Daten erhoben werden. Die Prüfungen werden auf Funktionen beschränkt, bei denen ein erhebliches Risiko für die Informationssicherheit besteht.
3. Verordnung über das Betriebssicherheitsverfahren (VBSV)
   Diese Verordnung betrifft Unternehmen, die sicherheitsempfindliche Aufträge für den Bund ausführen. Sie legt fest, wie deren Vertrauenswürdigkeit überprüft wird, um ausländische Einflussnahmen oder Sicherheitsrisiken auszuschliessen. Während der Auftragsausführung sind Audits und unangekündigte Inspektionen möglich.
4. Anpassungen der Verordnung über Identitätsverwaltungssysteme und Verzeichnisdienste (IAMV)
   Diese Anpassung schafft die Grundlage für einheitliche Login- und Identitätsdienste im Rahmen des E-Government. Sie ermöglicht eine sichere und standardisierte Verwaltung von Zugriffsrechten über alle Verwaltungsebenen hinweg.

Warum braucht die Schweiz ein ISG? – Kontext, Cyberlage und Entstehung

Die Informationssicherheit des Bundes war lange Zeit auf verschiedene Gesetze und Weisungen verteilt. Datenschutz, Informatiksicherheit, Schutz klassifizierter Informationen und Risikomanagement wurden unabhängig voneinander geregelt. Dadurch entstanden Lücken, Überschneidungen und ein uneinheitliches Sicherheitsniveau zwischen den Bundesstellen.

Bereits in den Jahren 2009 bis 2015 hatte der Bundesrat mehrere Aufträge zur Stärkung der Informationssicherheit erteilt. Verschiedene parlamentarische Aufsichtsorgane empfahlen in dieser Zeit, die rechtlichen Grundlagen zu vereinheitlichen. Auf dieser Basis erarbeitete der Bundesrat einen Entwurf für ein Informationssicherheitsgesetz, den er am 19. April 2017 dem Parlament unterbreitete.

Das Ziel war, einen einheitlichen Rechtsrahmen zu schaffen, der alle Aspekte der Informationssicherheit (organisatorisch, technisch, personell und physisch) integriert und sich an internationalen Standards orientiert.

Die parlamentarischen Beratungen zogen sich über mehrere Jahre hin. Zwischen Sommer 2018 und Sommer 2020 wurde das Geschäft nicht behandelt. In der Sommersession 2020 griff der Nationalrat die Vorlage wieder auf. Hauptdiskussionspunkte waren der administrative Aufwand, die Kosten und die vorgesehene Verwendung der AHV-Nummer als Identifikator.

Das Parlament verabschiedete das Informationssicherheitsgesetz sodann am 18. Dezember 2020. Nachdem kein Referendum ergriffen wurde, legte der Bundesrat das Inkrafttreten fest: Art. 87 ISG, der dem Bundesrat die Kompetenz zum Abschluss völkerrechtlicher Verträge im Bereich der Informationssicherheit erteilt, trat bereits am 1. Mai 2022 in Kraft. Die übrigen Bestimmungen folgten auf den 1. Januar 2024.

Die neue Meldepflicht für Cyberangriffe – Entstehung, Bedeutung und erste Erfahrungen

Bereits während der ersten Beratungen zum ISG im Parlament 2020 war die Einführung einer Meldepflicht für Cyberangriffe auf kritische Infrastrukturen diskutiert, aber abgelehnt worden. Angesichts der zunehmenden Bedrohungslage griff der Bundesrat das Thema jedoch wieder auf und leitete am 12. Januar 2022 eine Vernehmlassung zur Revision des ISG ein. Wirtschaft, Forschung und Kantone unterstützten die Einführung einer Meldepflicht grundsätzlich.

Am 2. Dezember 2022 verabschiedete der Bundesrat die Botschaft zur Änderung des ISG, und am 29. September 2023 beschloss das Parlament die entsprechende Revision. Der Bundesrat entschied am 7. März 2025, die Änderungen gestaffelt in Kraft zu setzen: Die neuen Bestimmungen zur Meldepflicht traten am 1. April 2025 in Kraft, die Sanktionsbestimmungen (Art. 74g und 74h ISG) am 1. Oktober 2025.

Seit April 2025 sind Betreiberinnen und Betreiber kritischer Infrastrukturen verpflichtet, erhebliche Cyberangriffe innert 24 Stunden dem Bundesamt für Cybersicherheit (BACS) zu melden. Das BACS analysiert die Vorfälle, unterstützt die betroffenen Betreiber und teilt relevante Informationen mit anderen Stellen, um Folgeschäden zu vermeiden.

In den ersten sechs Monaten wurden 164 Angriffe gemeldet, etwa die Hälfte davon waren DDoS-, Hacking- und Ransomware-Vorfälle. Ab Oktober 2025 gelten nun auch Sanktionen: Bei Verletzung der Meldepflicht drohen Bussen bis zu 100’000 Franken. Ziel dieser Regelung ist es, Cyberangriffe zentral zu erfassen, ihre Muster zu erkennen und so die nationale Resilienz zu stärken.