Das Informationssicherheitsgesetz (ISG) trat am 1. Januar 2024 in Kraft und soll die Cybersicherheit des Bundes und der dazugehörenden Behörden und Organisationen einheitlich regeln und stärken. In erster Linie schützt das ISG solche Informationen, für die der Bund zuständig ist. Dies betrifft neben staatlichen Organisationen des Bundes und der Kantone auch Unternehmen, die den Bund und die kantonalen Behörden bei der Erfüllung ihrer Pflichten unterstützen. Bei vielen Unternehmen scheint jedoch noch Unklarheit darüber zu herrschen, ob sie unter diese Regelung fallen.

Betroffene Einrichtungen müssen unter anderem ein Informationssicherheits-Management-System (ISMS) implementieren und Prozesse zum (Cyber) Risk Management einführen, mit denen sie Risiken erkennen, beurteilen, behandeln und regelmässig überprüfen. Das Gesetz verpflichtet sie zudem, dafür zu sorgen, dass Informationen entsprechend ihrem Schutzbedarf nur berechtigten Personen zugänglich sind. Zudem müssen sie sicherstellen, dass Informationen nicht unberechtigt oder unbeabsichtigt verändert und nachvollziehbar verarbeitet werden können. Bei der Zusammenarbeit mit anderen Unternehmen müssen sie diese Sicherheitsmassnahmen vertraglich regeln und ihre Einhaltung sicherstellen

Voraussichtlich ab 1. Januar 2025 tritt mit der Revision des ISG zudem eine Meldepflicht für Cyberangriffe in Kraft. Diese betrifft Betreiber kritischer Infrastrukturen sowie Zulieferer von Systemen, die in solchen Infrastrukturen verwendet werden. Die Meldepflicht ist weiter gefasst als für die Behörden und Organisationen im Sinne des ISG und betrifft erweiterte Sektoren und Dienstleistungsbereiche (wie Hochschulen, Organisationen mit öffentlichen Aufgaben, Energieversorger, Gesundheitseinrichtungen, Banken und Versicherungen, Post- und Fernmeldedienstanbieter, etc.). Sie müssen Cyberangriffe zukünftig innerhalb von 24 Stunden dem Bundesamt für Cybersicherheit (BACS, ehemals NCSC) mitteilen, sofern diese schwerwiegende Auswirkungen haben.

NIS2 ist eine verbindliche Richtlinie der Europäischen Union für deren Mitgliedstaaten, welche sie bis Oktober 2024 in nationales Recht umsetzen müssen. Die NIS2-Richtlinie kann sich aber auch auf Schweizer Unternehmen auswirken. Das gilt vor allem für Firmen, die Niederlassungen innerhalb der EU haben. Betroffen sind auch Schweizer IT-Dienstleister, die Kunden direkt oder indirekt über deren Tochterunternehmen innerhalb der EU betreuen. Bei Lieferketten und Abhängigkeiten von Partnerunternehmen können Schweizer Unternehmen ebenfalls von NIS2 betroffen sein.

Um Unternehmen bei der Einhaltung dieser Regularien zu unterstützen, hat Trend Micro gerade die neueste Auflage seines juristischen Leitfadens „Cybersicherheit und IT-Compliance im Unternehmen“ veröffentlicht. IT-Verantwortliche und Geschäftsführungen finden darin die wichtigsten juristischen Informationen rund um die Cybersecurity, zusammengestellt von Rechtsanwälten mit langjähriger Erfahrung im IT-Recht. Autor: Udo Schneider, Governance, Risk & Compliance Lead Europe bei Trend Micro