Neues Informationssicherheitsgesetz (ISG) - verpflichtet Bundesbehörden, kantonale Behörden, privatrechtliche Unternehmen

Neues Informationssicherheitsgesetz (ISG)

Neues Informationssicherheitsgesetz betrifft viele Behörden und Unternehmen

Das neue Informationssicherheitsgesetz des Bundes betrifft viele Verwaltungen und Unternehmen. Das Informationssicherheitsgesetz soll insbesondere die kritischen Infrastrukturrisiken mindern. Bereits im Dezember 2020 haben der National- und der Ständerat das neue Bundesgesetz zur Informationssicherheit beim Bund (Informationssicherheitsgesetz, ISG) verabschiedet. Das neue Gesetz wird wahrscheinlich im Lauf des Jahres 2021 in Kraft treten, vorbehalten eines erfolgreichen Referendums.

Die Absicht des Informationssicherheitsgesetz ist die sichere Informationsbearbeitung, für die der Bund verantwortlich ist, und der sichere Verwendung der Informatiksysteme des Bundes. Das ISG verpflichtet Bundesbehörden, und kantonale Behörden sowie privatrechtliche Unternehmen, die den Bund bei der Wahrnehmung seiner Aufgaben unterstützen. Der Bund strebt somit die enge Zusammenarbeit mit den Kantonen und der Privatwirtschaft an, um den zunehmenden Cyberrisiken begegnen zu können.

Die Betreiber von kritischen Infrastrukturen, die für das Funktionieren von Gesellschaft, Wirtschaft und Staat zentral sind, spielen dabei eine besondere Rolle. Dies betrifft neben den Bundes- behörden, kantonalen Behörden sowie den staatlichen Sicherheitsorganisationen folgende Wirtschaftssektoren:

  • Energie,
  • Entsorgung,
  • Finanzen,
  • Gesundheitswesen,
  • Informations- und Kommunikationstechnik,
  • Nahrung,
  • Verkehr
  • und einige Bereiche des privatwirtschaftlichen Sektors.

 

informationssicherheitsgesetz, neues InformationssicherheitsgesetzNeues Informationssicherheitsgesetz (ISG) basiert auf internationalen Standards

Das neue Informationssicherheitsgesetz (ISG) basiert auf international anerkannten Standards, insbesondere ISO 27001 und NIST: National Institute of Standards and Technology. Das Gesetz legt den Fokus auf die kritischsten Informationen und Systeme sowie auf die Standardisierung der Sicherheitsmassnahmen. Es verfolgt die Absicht, die Informationssicherheit beim Bund nachhaltig und wirtschaftlich zu verbessern, um damit die Basis für ein möglichst einheitliches Sicherheitsniveau zwischen den Bundesbehörden erreichen zu können.

 

 

 

Das Informationssicherheitsgesetz (ISG) legt keine detaillierten Massnahmen fest. Es schafft den gesetzlichen Rahmen, auf dessen Basis die Bundesbehörden auf Verordnungs- und Weisungsebene die Informationssicherheit möglichst einheitlich konkretisieren kann. Im Informationssicherheitsgesetz (ISG) werden insbesondere folgende Themen behandelt:

  • Risikomanagement / ICT Risk Management / Digital Risk Management
  • Klassifizierung von Informationen / Data Governance
  • Informatiksicherheit / IT Security
  • Personelle Massnahmen / Organisation der Informationssicherheit
  • Physischer Schutz (baulich-technisch, organisatorisch, informationstechnisch)
  • Identitätsverwaltungs-Systeme (Identity- and Access-Management; IAM)
  • Personensicherheitsüberprüfung (PSP)
  • Betriebssicherheitsverfahren (Vergabe sicherheitsempfindlicher Aufträge an externe Partner)
  • Betrieb kritischer Infrastrukturen (Betriebliche Sicherheitskonzepte)

 

Compliance und neues Informationssicherheitsgesetz (ISG)

Alle Bundesbehörden und kantonalen Behörden sowie die privatwirtschaftlichen Unternehmen, die diesem Gesetz verpflichtet sind, müssen die Vorgaben grundsätzlich bis zum Inkrafttreten des Gesetzes umsetzen. Nur für einzelne Vorgaben sind Übergangsfristen vorgesehen. 

 

 

Neutrale Standortbestimmung hinsichtlich Umsetzung Informationssicherheitsgesetz (ISG)

 

Informationssicherheit - Wo stehen Sie mit Ihrem Unternehmen?

Die neutrale Standortbestimmung hinsichtlich dem neuen Informationssicherheitsgesetz zeigt, wo Handlungsbedarf besteht und welche Dringlichkeiten umzusetzen sind. RM Risk Management AG hilft Ihnen dabei, die notwendigen Lücken zu identifizieren und zu schliessen. Entscheidend dabei ist, dass Sie das Wesentliche und Notwendige richtig tun.

 

Benchmarking Informationssicherheit (sinngemäss „Massstäbe vergleichen“) ist ein vergleichendes Instrument der Informationssicherheit zu den Anforderungen, beschrieben in der ISO/IEC 27001 bzw. NIST Normen. Es geht dem Management bzw. den Entscheidungsträgern meistens darum, einschätzen zu können, wie sie im Vergleich zur "Best Practice" bzw. zur ISO/IEC 27001 oder der NIST stehen. Unsere IS Spezialisten/ Experten sind aufgrund ihrer Erfahrungen aus anderen Unternehmen in der Lage, Benchmarking Aussagen zu machen.

Informationssicherheitsgesetz Umsetzung / Audit  oder Standortbestimmung?

Sie starten ein Projekt Umsetzung Informationssicherheitsgesetz und möchten transparent eine Standortbestimmung durchführen? Sie suchen einen Informationssicherheits-Spezialisten, Experten, Berater oder Coach für Benchmarking Aussagen hinsichtlich dem bestehenden Umsetzungsgrad bezüglich das Informationssicherheitsgesetz? Dann sollten Sie mit uns sprechen. Gerne erläutern wir Ihnen die verschiedenen Unterstützungs-Möglichkeiten.
 Kontaktieren Sie uns oder rufen Sie uns an  +41 44 360 40 40.