An seiner Sitzung vom 8. November 2023 hat der Bundesrat entschieden, dass das neue Informations­sicher­heits­gesetz (ISG) und die 4 dazu­gehörigen Ausführungs­ver­ord­nungen per 1. Januar 2024 in Kraft treten. Das ISG führt die wichtigsten Rechtsgrundlagen für die Cybersicherheit in einem einzigen Erlass zusammen.

Was der Bund in seiner Mitteilung nicht schreibt, ist, dass damit das Nationale Zentrum für Cybersicherheit (NCSC) deutlich geschwächt wird. Das NCSC wird ab dem 1. Januar zwar zum Bundesamt (BACS), aber dafür ist die Behörde künftig nicht mehr für die IT-Sicherheit der Bundesverwaltung zuständig, wie Lukas Mäder von der 'NZZ' auf Linkedin schreibt. Das geht aus den neuen Verordnungen zum ISG hervor.

Als Ersatz soll es ab Anfang Jahr eine neue Fachstelle für Informations­sicherheit geben. "Diese erlässt etwa Vorgaben bezüglich IT-Sicherheit für die gesamte Bundesverwaltung, sie kann Audits bezüglich Informationssicherheit erlassen, und sie ist für die Bewältigung grösserer Cyberangriffe zuständig", heisst es von Mäder auf Linkedin. Diese Aufgaben und Kompetenzen liegen heute beim NCSC.

In Zukunft soll diese neue Fachstelle, das noch zu gründende Staatssekretariat für Sicherheitspolitik (Sepos), für den Schutz der Bundes-IT zuständig sein. Sie soll wie das NCSC im VBS angesiedelt werden. Gemäss Mäder ist das NCSC nur noch für den Schutz der Kritischen Infrastruktur der Schweiz ver­ant­wort­lich. Bei einem schwerwiegenden Cyberangriff auf die Verwaltung wäre künftig aber nicht Florian Schütz, sondern ein neuer oder eine neue Staatssekretärin zuständig.