Die Schweiz und die EU verschärfen die Anforderungen an die Cybersicherheit

Veröffentlicht am 23. August 2023 und aktualisiert am 16. November 2023.

Blog Image - EU IT Security Laws - NIS2 CH by Gregor Erismann.png

Die Informationssicherheitsgesetzgebung in der Schweiz heute

Update: Der Bundesrat hat am 8. November 2023 beschlossen, das neue Informationssicherheitsgesetz (ISG) und die dazugehörigen Ausführungsverordnungen am 1. Januar 2024 in Kraft zu setzen. Das ISG fasst die für die Cybersicherheit relevanten Rechtsgrundlagen in einem Gesetz zusammen und führt zu einer grundlegenden Neustrukturierung der Cybersicherheit durch den Bund. Das Nationale Cyber-Sicherheitszentrum (NCSC) wird in diesem Zuge in eine Bundesstelle (BACS) umgewandelt und ist nicht mehr für die IT-Sicherheit in der Bundesverwaltung zuständig.
Ab 1. Januar 2024 wird eine neue Fachstelle für Informationssicherheit geschaffen, die für die gesamte Bundesverwaltung Weisungen zur Informatiksicherheit erlässt, Audits anordnen kann und für die Bewältigung von grösseren Informatikangriffen zuständig ist. Diese Aufgaben und Kompetenzen für den Selbstschutz des Bundes werden vom NCSC an das Staatssekretariat für Sicherheitspolitik (SIPOL) übertragen, welches der Bundesrat ebenfalls im Verteidigungsdepartement VBS geschaffen hat. Der NCSC wird sich in Zukunft also ausschliesslich auf den Schutz der Kritischen Infrastrukturen der Schweiz konzentrieren.

Die Schweiz verschärft die rechtlichen Grundlagen für eine sichere Digitalisierung: Am 1. September 2023 treten das überarbeitete Datenschutzgesetz (DSG) und dessen Umsetzungsbestimmungen in der neuen Datenschutzverordnung (DSV) in Kraft. Durch die starke Orientierung an der DSGVO ergeben sich, im Vergleich zum heute geltenden Schweizer Datenschutzrecht, zusätzliche Regelungen (und zusätzlicher Anpassungsaufwand für die Unternehmen): Beispielsweise das Führen eines Verzeichnisses der Datenverarbeitungstätigkeiten, die Durchführung von Datenschutz-Folgenabschätzungen bei Verarbeitung von Risikodaten, das Einräumen von Subjektrechten, um nur einige davon zu nennen.

Bereits im Jahr 2020 hat das Bundesgesetz über die Informationssicherheit beim Bund (ISG) sowohl den National- als auch den Ständerat passiert. Der genaue Zeitpunkt des Inkrafttretens des Gesetzes ist zwar noch offen, einige Bestimmungen werden aber ohne Übergangsfrist direkt in Kraft treten. Das Gesetz orientiert sich an internationalen Informationssicherheitsstandards, insbesondere an der ISO 27001, und zielt auf die Stärkung der Schweizer Informationsinfrastruktur ab.

Mit dem Informationssicherheitsgesetz (ISG) hat die Schweizer Regierung, die Einführung von IT-Sicherheits- und Cybersecurity Management Pflichten für viele Teile der Schweizer Verwaltung, wichtige Organisationen und für Unternehmen, insbesondere für Betreiber kritischer Infrastrukturen eingeführt. Das ISG soll sicherstellen, dass die verpflichteten Behörden und Organisationen sowie die Betreiber kritischer Infrastrukturen mögliche Risiken minimieren, ihre System-Stabilität und die Business Continuity ständig prüfen und erhalten können.

Dem ISG unterstellt sind demnach Behörden, Regierungs- und Bundesorganisationen, Bundesgerichte, Nationalbank und viele mehr (Art. 2) sowie mit ihnen zusammenarbeitende Organisationen (Third Parties) (Art. 9). Juristische Begriffe werden in (Art. 5) erklärt, besonders dazu, welche IT-Ressourcen als "hochgradig schützenswert" eingestuft werden und die Gültigkeit des Gesetzes für kritische Infrastrukturen und Einrichtungen, die für das Funktionieren der Wirtschaft oder der Bevölkerung wesentlich sind, zu denen unter anderem die Abwasserversorgung, die Energieversorgung, Banken, Versicherungen, das Gesundheitswesen, der Verkehr usw. gehören.

Das ISG enthält zuvorderst Anforderungen an die Organisationen, Firmen und Behörden bezüglich der Informationssicherheit (Art. 6-23 ISG). Nach dem Informations-Sicherheitsgesetz (ISG) sind sie verpflichtet, eine umfassende und proaktive Informationssicherheit zu betreiben und zu evaluieren sowie geeignete Massnahmen zu ergreifen, um Daten und digitale Werte vor Cyber-Vorfällen zu schützen. Besonders wichtig ist es, die Fähigkeit der Organisation zu gewährleisten, schnell auf Vorfälle zu reagieren und die Wirksamkeit der getroffenen Schutzmassnahmen zu überwachen und zu verbessern bzw. die Bedrohungslage laufend zu bewerten.

Das Informationssicherheits-Managementsysteme in Kurzform

Konkret verlangt das ISG von Unternehmen die Einrichtung eines ISMS (Information Security Management System), das den Anforderungen des Gesetzes entspricht. Dazu gehören:

  • die Beurteilung der Schutzbedürftigkeit (Art. 6),
  • die Klassifizierung der Daten (Art. 11-15),
  • die Bewertung von Risiken (Art. 8),
  • und die Sicherstellung von IT-Praktiken (Art. 16-19).

Weitere wichtige Punkte des geforderten ISMS sind:

  • Organisationen, die unter das Gesetz fallen, müssen weiterhin den Schutzbedarf ihrer Daten (Art. 6) ermitteln und bewerten (Art. 11-15), um schützenswerte Daten vor Verlust und Angriffen zu sichern.
  • Das Risikomanagement (Art. 8) beschreibt die Massnahmen zur Beherrschung von Risiken innerhalb des Unternehmens und gegenüber Dritten. Es werden Massnahmen zur Risikovermeidung und -reduzierung sowie zum Management von Restrisiken definiert.
  • Für IT-Ressourcen sind Sicherheitsverfahren zu definieren, Sicherheitsstufen zuzuordnen und Mindestanforderungen zu formulieren (Art. 16-19).
  • Zu den personellen Massnahmen gehören die sorgfältige Auswahl der Mitarbeitenden sowie deren Aus- und Weiterbildung zu ISG und entsprechende Schulungen (Art. 20).
  • Bei der Zusammenarbeit mit Nicht-ISG-Partnern ist deren Einhaltung der ISG-Rechtsschutzverordnung (Art. 9) zu beachten und vertraglich zu fixieren.
  • Physischen Bedrohungen ist von ISG-Unternehmen durch die Ausweisung von Sicherheitszonen mit entsprechenden Kontrollen zu begegnen (Art. 22-23).

NIS2 CH Exeon Blog - ISMS Graph - DE.png

Meldepflichten, Fristen und Bussen: Die Revisionsparagraphen

Die Revision des ISG (73a-79 rev) beschreibt u.a. eine Meldepflicht für Cyber-Angriffe auf kritische Infrastrukturen sowie Meldemöglichkeiten für Cyber-Vorfälle und Sicherheitsverletzungen: Demnach müssen Betreiber kritischer Infrastrukturen Cyberangriffe mit Schadenspotenzial innerhalb von 24 Stunden an die Behörden melden.

Unterlassen Unternehmen und Verantwortliche dies absichtlich oder grobfahrlässig, drohen ihnen bei Verletzung der Meldepflicht oder Nichteinhaltung von Fristen Bussen bis zu 100'000 Franken (Art. 74a-h rev). Der aktiven Meldepflicht für Cyber-Angriffe unterliegen auch Cloud- und Service-Provider sowie Hard- und Software-Anbieter, deren Produkte von kritischen Infrastrukturen genutzt werden.

Cyber-Vorfälle und Schwachstellen in IT-Systemen können weiterhin natürlich auch freiwillig gemeldet werden, die Meldemöglichkeit steht allen Unternehmen offen und nicht nur den Betreibern kritischer Infrastrukturen (Art. 73b rev). Dies dient der Verhinderung bzw. Bekämpfung von Cyberangriffen in der Zukunft.

Das NCSC als Ansprechpartner

Das National Center for Cybersecurity (NCSC) gilt als zentrale Meldestelle für grosse Cyberangriffe: hier; Die Meldungen sind über ein elektronisches Meldeformular einzureichen. Darüber hinaus werden Softwareanbieter über gemeldete Schwachstellen ihrer Produkte benachrichtigt und Fristen für die Behebung festgelegt. Der Gesetzentwurf und seine Revision erhielten sowohl im Nationalrat als auch im Ständerat eine deutliche Mehrheit. Lediglich die Erweiterung um eine Meldepflicht für „regelmässige“ schwerwiegende Schwachstellen in Computersystemen lehnte der Rat ab, da die Abgeordneten mit einer Überlastung der Unternehmen rechneten. Die Differenzrevision wird voraussichtlich zu einem endgültigen Gesetz führen, das derzeit noch im Nationalrat hängig ist.

Mehr betroffene Unternehmen und höhere Strafen bei Nichteinhaltung in der EU

Die NIS2-Richtlinie der EU legt ebenfalls neue Cybersicherheitsverpflichtungen für Unternehmen in systemkritischen Branchen in der Europäischen Union fest. Mit der "NIS2"-Richtlinie erweitern die Behörden den Kreis der Unternehmen, die höhere Anforderungen an die Cybersicherheit und Meldepflichten bei Sicherheitsvorfällen erfüllen müssen.

Ab 2024 müssen Unternehmen aus 18 Branchen, mit mehr als 50 Mitarbeitern und 10 Millionen Euro Umsatz ein dediziertes Cybersicherheitsmanagement einführen.

Mit einer Ausweitung der Sektoren auf insgesamt achtzehn NIS2-Sektoren (Kritische Bereiche wachsen bis zu elf Sektoren, wichtige Bereiche auf bis zu sieben Sektoren an) werden allein in Deutschland rund 29.000 Unternehmen und Institutionen von den neuen europäischen Regelungen für kritische Infrastrukturen betroffen sein. Das bedeutet, dass künftig auch viele neue Unternehmen den Regulierungen unterliegen, die bisher nicht zu den Betreibern kritischer Infrastrukturen gezählt wurden. Gleichzeitig werden die Anforderungen an die sogenannten "KRITIS"-Betreiber (Kritische Infrastruktur) deutlich verschärft.

Blog Image - Germany KRITIS IT Security Laws - NIS2 CH by Gregor Erismann.png

NIS2 erweitert den Anwendungsbereich und die Pflichten

Die neue Richtlinie sieht für Unternehmen in Deutschland, Österreich und den anderen EU-Ländern eine strenge Meldepflicht für Vorfälle mit der ersten Vorlage eines vorläufigen Berichts innerhalb von 24 Stunden und die Anwendung zusätzlicher Massnahmen zum Cyber-Risikomanagement vor. Nach der Meldung muss innerhalb von 72 Stunden ein vollständiger Bericht, einschliesslich einer ersten Bewertung des Vorfalls, erfolgen.

Bedeutende Vorfälle und erhebliche Gefahren müssen den Behörden innerhalb eines Monats nach dem Vorfall erneut vollständig gemeldet und dokumentiert werden, zusammen mit weiteren Sicherheitsmanagements-Massnahmen. Die NIS2-Meldepflichten enthalten genaue Vorgaben zu Ablauf, Inhalt und Zeitrahmen der Meldungen.

Die Nichteinhaltung kann zu hohen Geldstrafen führen. Wenn die betroffenen Unternehmen die Anforderungen der Richtlinie nicht einhalten, müssen sie mit hohen Geldstrafen rechnen, die von den nationalen Behörden verhängt und erhoben werden. In den wesentlichen Sektoren werden Strafen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes verhängt, je nachdem, welcher Betrag höher ist.

Für die wichtigsten Sektoren beträgt die Höchststrafe bis zu 7 Millionen Euro bzw. 1,4 % des jeweiligen Umsatzes. Die Richtlinie umfasst auch Massnahmen wie Inspektionen vor Ort, Audits und sogar die Suspendierung oder den Ausschluss von Führungskräften.

Alle 27 EU-Mitgliedsstaaten müssen die neue Verpflichtung bis September 2024 in ihr jeweiliges nationales Recht umsetzen.

Die NIS2-Richtlinie der EU in Kürze:

  • Sektoren: Die Zahl der kritischen Einrichtungen steigt auf elf Sektoren; die Zahl der wichtigen Einrichtungen steigt auf sieben Sektoren - insgesamt gibt es also achtzehn NIS2-Sektoren.
  • Gültigkeit: Mittlere und grosse Unternehmen ab 50 Mitarbeitern/10 Mio. Euro Umsatz sind betroffen, einige Betreiber sollen unabhängig von ihrer Grösse reguliert werden etwa Teile der digitalen Infrastruktur und der öffentlichen Verwaltung.
  • Cybersecurity: Die Anforderungen an Betreiber und Mitgliedsstaaten steigen, Cybersicherheit muss auch in Lieferketten berücksichtigt werden.
  • Zusammenarbeit: Die Aufsicht und Zusammenarbeit in der EU zwischen Behörden und Betreibern wird intensiviert, die europäische Rechtsprechung wird verschärft.
  • Sanktionen: Sanktionen und Durchsetzungsmassnahmen werden deutlich ausgeweitet - auf Höchststrafen von mindestens 7 oder 10 Millionen Euro, je nach Branche.

NIS2 DSG ISG Article Images - Industrial plant.png

Zu beachten für die betroffenen Unternehmen:

  • Management von IT-Vorfällen: Vorbeugung, Erkennung, Identifizierung, Eindämmung, Schadensbegrenzung und Reaktion auf Vorfälle (Incident Response Aktivitäten)
  • Sicherstellung der Business-Kontinuität und des Krisenmanagements
  • Gewährleistung der Sicherheit in der Lieferkette durch Kontrolle der Sicherheitsanforderungen von Lieferanten in der Lieferkette
  • Gewährleistung der Sicherheit von Netzen und Informationssystemen durch Schwachstellenbewertung, Pen-tests und ähnliche Aktivitäten.

Resümee

Verschiedene nationale und EU-weite Regulatorien haben die Cybersecurity-Monitoring und -Reporting Anforderungen an Schweizer- und EU-Unternehmen verschärft. Damit wird es für Unternehmen elementar wichtig, Monitoring, Detection und Reporting von Cyber Incidents zu priorisieren. Nebst anderen Massnahmen ist Network Detection & Response ein fundamentales Element, um den verschärften Anforderungen zu genügen.

Weitere Informationen zur Einhaltung von NIS2 finden Sie in unserer Compliance-Checkliste, die Sie hier herunterladen können.

Der KuppingerCole Executive View für NDR ist ebenfalls ein gut geeignetes und hilfreiches Tool für ein tieferes Verständnis der Netzwerküberwachung als grundlegendes Element der Sicherheitsarchitektur für NIS2. Der Bericht beschreibt, wie die Netzwerksicherheits-Lösung ExeonTrace maschinelles Lernen nutzt, um eine umfassende Netzwerküberwachung, die sofortige Erkennung potenzieller Cyberbedrohungen und effiziente Reaktionen zum Schutz globaler Unternehmen und kritischer Infrastrukturen zu ermöglichen.

Gregor Erismann

Author:

Gregor Erismann

Co-CEO

email:

gregor.erismann@exeon.com

Share:

Published on:

23.08.2023