Das Staatssekretariat für Sicherheitspolitik (Sepos) hat eine Sammlung von Standardbestimmungen vorgelegt, die die Informationssicherheit besser in Beschaffungsverträgen des Bundes verankern sollen. Insbesondere sollen die Bestimmungen Datenabflüsse bei ICT-Lieferanten verhindern.

Dies ist eine Reaktion auf den Cyberangriff auf den IT-Dienstleister Xplain im Mai 2023, durch den viele sensible Daten von Bundesbehörden in die Hände von Cyberkriminellen fielen. Der Fall erregte grosses Aufsehen und dem Bund wurde vorgeworfen, dass er viel zu wenig auf die Cybersicherheit bei Lieferanten geachtet hatte. Nach einigem Zögern entschloss sich der Bund dazu, Lieferanten vermehrt dazu in die Pflicht zu nehmen, die Sicherheit ihre IT zu garantieren. Das Sepos wurde dazu beauftragt, eine Auslegeordnung zur Sicherheit bei Lieferketten zu erstellen. Im Mai dieses Jahres legte das Staatssekretariat dazu einen Bericht vor, und hat nun darauf basierende Standardbestimmungen für Verträge publiziert, die ab Januar 2026 in Kraft treten.

Diese sollen, so das Sepos, den Behörden zeigen, wie sie ihren Lieferanten durch die Verträge wirksame, wirtschaftliche und risikobasierte Vorgaben für die Informationssicherheit geben können. Die Standardbestimmungen haben aber nur den Status von Empfehlungen an die Bedarfsstellen, sie sind demnach also nicht absolut bindend.

Die Musterklauseln werden laut dem Sepos von entsprechenden Anleitungen und Kommentaren begleitet. Sie seien zusammen mit Beschaffungsstellen und Ämtern aus verschiedenen Departementen erarbeitet worden. Damit Sicherheitsvorgaben genutzt und erfolgreich eingesetzt werden, brauche es aber auch die entsprechende Akzeptanz aller Beteiligten. Deshalb habe man auch die betroffenen Wirtschaftsverbände zu den Entwürfen angehört. Zudem wolle man diesen Dialog auch in Zukunft weiterführen.