Verordnung über die Informationssicherheit in der Bundesverwaltung und der Armee (Informationssicherheitsverordnung, ISV)
(Informationssicherheitsverordnung, ISV) vom 8. November 2023 (Stand am 1. Juli 2024)
¹ SR 128
1. Abschnitt: Allgemeine Bestimmungen
Art. 1 Gegenstand
(Art. 1 ISG)
Diese Verordnung regelt die Aufgaben, Verantwortlichkeiten und Kompetenzen sowie die Verfahren zur Gewährleistung der Informationssicherheit bei der Bundesverwaltung und der Armee.
Art. 2 Geltungsbereich
(Art. 2–3 ISG)
¹ Diese Verordnung gilt für:
a. den Bundesrat;
b. die Departemente;
c. die Bundeskanzlei (BK), die Generalsekretariate, die Gruppen und die Bundesämter;
d. die Armee.
² Für Verwaltungseinheiten der dezentralen Bundesverwaltung nach Artikel 2 Absatz 3 des Regierungs- und Verwaltungsorganisationsgesetzes vom 21. März 1997² (RVOG) und Organisationen nach Artikel 2 Absatz 4 RVOG gelten die folgenden Bestimmungen des ISG und der vorliegenden Verordnung:
a. wenn sie klassifizierte Informationen des Bundes bearbeiten: die Artikel 5–6, 9–10, 12–15, 20–23 und 27–73 ISG sowie die Artikel 16, 21, 24, 26 und 32, 34–35 dieser Verordnung;
b. wenn sie auf Informatikmittel der internen IKT-Leistungserbringer nach Artikel 9 der Verordnung vom 25. November 2020³ über die digitale Transformation und die Informatik (VDTI) zugreifen oder ihre eigenen Informatikmittel durch diese Leistungserbringer betreiben lassen: die Artikel 5–6, 9–10, 16–73 ISG sowie die Artikel 10–12, 27 und 29–35 dieser Verordnung.
³ Die BK und die Departemente können in ihrem Zuständigkeitsbereich Verwaltungseinheiten der dezentralen Bundesverwaltung, die ständig sicherheitsempfindliche Tätigkeiten ausüben, dem gesamten ISG unterstellen.
⁴ Für die Kantone gelten unter Vorbehalt von Artikel 3 Absatz 2 ISG die folgenden Bestimmungen dieser Verordnung:
a. bei der Bearbeitung von klassifizierten Informationen des Bundes: die Bestimmungen des 4. Abschnitts;
b. beim Zugriff auf Informatikmittel des Bundes: die Artikel 28–30 und 34.
⁵ Die Gruppe Verteidigung übernimmt für die Armee die Aufgaben, Kompetenzen und Verantwortlichkeiten, die diese Verordnung den Verwaltungseinheiten nach Artikel 2 Absatz 1 Buchstabe c zuweist.
² SR 172.010
³ SR 172.010.58
2. Abschnitt: Grundsätze
Art. 3 Sicherheitsziele
(Art. 7 Abs. 2 Bst. a ISG)
¹ Die Organisationen nach Artikel 2 Absatz 1 sorgen gemeinsam für einen risikobasierten Schutz ihrer Informationen und Informatikmittel sowie für eine angemessene Resilienz gegenüber Informationssicherheitsrisiken.
² Sie tragen durch die Zusammenarbeit und den Informationsaustausch mit den anderen Bundesbehörden, den Kantonen, den Gemeinden, der Wirtschaft, der Gesellschaft, der Wissenschaft und den internationalen Partnern zur Verbesserung der Informationssicherheit der Schweiz bei.
³ Sie setzen sich für eine nationale und internationale Harmonisierung der Sicherheitsvorschriften und -niveaus ein, um die Interaktion von Bundesbehörden mit anderen Behörden des Bundes sowie den Kantonen, den Gemeinden und den internationalen Partnern zu ermöglichen.
Art. 4 Verantwortung
¹ Die Verwaltungseinheiten nach Artikel 2 Absatz 1 Buchstabe c sind für den Schutz der Informationen, die sie bearbeiten oder deren Bearbeitung sie in Auftrag geben, sowie die Sicherheit der Informatikmittel, die sie selber betreiben oder durch Dritte betreiben lassen, verantwortlich.
² Die Verwaltungseinheiten nach Artikel 2 Absatz 1 Buchstabe c nehmen in ihrem Zuständigkeitsbereich alle Aufgaben wahr, die diese Verordnung oder das übrige Bundesrecht nicht einer anderen Organisation oder Stelle zuweist.
³ Die Mitarbeitenden der Bundesverwaltung sowie die Angehörigen der Armee, die Informationen bearbeiten oder Informatikmittel des Bundes nutzen, sind für die vorschriftskonforme Bearbeitung und Nutzung verantwortlich.
⁴ Die Vorgesetzten aller Stufen sind für die aufgabenbezogene Schulung ihrer Mitarbeitenden beziehungsweise der ihnen unterstellten Angehörigen der Armee im Bereich der Informationssicherheit sowie für die Überprüfung der Einhaltung der Vorschriften durch diese verantwortlich.
3. Abschnitt: Management der Informationssicherheit
Art. 5 Informationssicherheits-Managementsystem
(Art. 7 Abs. 1 ISG)
¹ Die Verwaltungseinheiten nach Artikel 2 Absatz 1 Buchstabe c erstellen je ein Informationssicherheits-Managementsystem (ISMS).
² Sie legen die Ziele für ihr ISMS fest, prüfen jährlich, ob die Ziele erreicht werden, und erheben die dafür nötigen Kennzahlen.
³ Sie lassen ihr ISMS mindestens alle drei Jahre von einer unabhängigen Stelle oder ihrem Departement überprüfen und sorgen für die kontinuierliche Verbesserung des Systems.
⁴ Sie koordinieren ihr ISMS mit dem ordentlichen Risikomanagement, dem betrieblichen Kontinuitätsmanagement und dem Krisenmanagement.
Art. 6 Pflege der Rechtsgrundlagen und vertraglichen Verpflichtungen
(Art. 7 Abs. 1 ISG)
Die Verwaltungseinheiten nach Artikel 2 Absatz 1 Buchstabe c, die Departemente und die Fachstelle des Bundes für Informationssicherheit führen je ein Verzeichnis der in ihrem Zuständigkeitsbereich massgebenden Rechtsgrundlagen und vertraglichen Verpflichtungen zur Informationssicherheit und halten es aktuell.
Art. 7 Inventarisierung der Schutzobjekte
(Art. 7 Abs. 1 ISG)
¹ Die Verwaltungseinheiten nach Artikel 2 Absatz 1 Buchstabe c führen ein Inventar ihrer Schutzobjekte und halten es aktuell.
² Als Schutzobjekte gelten einzelne oder mehrere gleichartige oder zusammenhängende:
a. Sammlungen von Informationen, die zur Abwicklung eines Geschäftsprozesses des Bundes bearbeitet werden;
b. Informatikmittel nach Artikel 5 Buchstabe a ISG.
³ Im Inventar ist festzuhalten:
a. der Schutzbedarf der Schutzobjekte;
b. die Verantwortlichkeiten für die Schutzobjekte;
c. die Beteiligung von Dritten;
d. das Ergebnis der Risikobeurteilung;
e. die Umsetzung der Sicherheitsmassnahmen und der Übernahme der Risiken, die nicht hinreichend reduziert werden können (Restrisiken);
f. die periodischen Kontrollen und Audits;
g. gegebenenfalls: die geteilte Nutzung der Schutzobjekte.
Art. 8 Risikomanagement
(Art. 7 Abs. 2 Bst. b und 8 ISG)
¹ Die Verwaltungseinheiten nach Artikel 2 Absatz 1 Buchstabe c beurteilen laufend die Risiken für ihre Schutzobjekte und nehmen insbesondere folgende Aufgaben wahr:
a. Sie analysieren regelmässig Bedrohungen und Schwachstellen und bewerten deren Auswirkungen auf die Schutzobjekte.
b. Sie setzen die notwendigen Massnahmen um und kontrollieren die Wirkung.
c. Sie kontrollieren die Einhaltung der Vorgaben.
d. Sie weisen die Akzeptanz der Restrisiken nach.
² Die Fachstelle des Bundes für Informationssicherheit, das Bundesamt für Cybersicherheit (BACS), die leistungserbringenden Verwaltungseinheiten und die Sicherheitsorgane des Bundes informieren die Verwaltungseinheiten nach Artikel 2 Absatz 1 Buchstabe c und die Departemente über aktuelle Bedrohungen und Schwachstellen sowie über Risiken, die sie betreffen. Sie empfehlen bei Bedarf Massnahmen zur Risikominderung.
³ Die Verwaltungseinheiten nach Artikel 2 Absatz 1 Buchstabe c berichten über ihre Informationssicherheitsrisiken im Rahmen des ordentlichen Risikomanagementprozesses nach den Vorgaben der Eidgenössischen Finanzverwaltung.
Art. 9 Bewilligung und Verzeichnung von Ausnahmen
(Art. 7 Abs. 1 ISG)
¹ Kann eine Verwaltungseinheit für ein Schutzobjekt eine für sie verbindliche Vorgabe einer generell-abstrakten Weisung nach Artikel 85 ISG nicht erfüllen, so benötigt sie eine Ausnahmebewilligung der Stelle, welche die Weisungen erlassen hat.
² Betrifft eine Ausnahme, die im Kompetenzbereich der Fachstelle des Bundes für Informationssicherheit liegt, auch Vorgaben der BK über die digitale Transformation und die IKT-Lenkung, so hört die Fachstelle des Bundes für Informationssicherheit vorgängig die DTI-Delegierte oder den DTI-Delegierten nach Artikel 4 Absatz 1 VDTI⁴ an.
³ Die Verwaltungseinheiten nach Artikel 2 Absatz 1 Buchstabe c, die Departemente und die Fachstelle des Bundes für Informationssicherheit führen je ein Verzeichnis der gültigen Ausnahmebewilligungen.
⁴ SR 172.010.58
Art. 10 Zusammenarbeit mit Dritten
(Art. 9 ISG)
¹ Die Verwaltungseinheiten nach Artikel 2 Absatz 1 Buchstabe c beurteilen die Risiken für ihre Schutzobjekte bei der Zusammenarbeit mit Dritten und ihre Abhängigkeit von Dritten.
² Die zentralen Beschaffungsstellen nach Artikel 5 der Verordnung vom 1. Mai 2024⁵ über die Organisation des öffentlichen Beschaffungswesens der Bundesverwaltung (Org‑VöB) wirken bei der Beurteilung mit und stellen die nötigen Informationen zur Verfügung.⁶
³ Die Fachstelle des Bundes für Informationssicherheit empfiehlt nach Konsultation des BACS und der Beschaffungskonferenz des Bundes nach Artikel 30 Org‑VöB, welche Bestimmungen zur Informationssicherheit in allen Beschaffungs- und Dienstleistungsverträgen des Bundes enthalten sein sollen.⁷
⁵ SR 172.056.15
⁶ Fassung gemäss Art. 44 Abs. 2 Ziff. 1 der V vom 1. Mai 2024 über die Organisation des öffentlichen Beschaffungswesens der Bundesverwaltung, in Kraft seit 1. Juli 2024 ( AS 2024 224 ).
⁷ Fassung gemäss Art. 44 Abs. 2 Ziff. 1 der V vom 1. Mai 2024 über die Organisation des öffentlichen Beschaffungswesens der Bundesverwaltung, in Kraft seit 1. Juli 2024 ( AS 2024 224 ).
Art. 11 Schulung und Sensibilisierung
(Art. 7 Abs. 1 und 20 Abs. 1 Bst. c ISG)
¹ Die Verwaltungseinheiten nach Artikel 2 Absatz 1 Buchstabe c schulen ihre Mitarbeitenden bei Stellenantritt und anschliessend periodisch so, dass sie ihre Verantwortung in Bezug auf die Informationssicherheit wahrnehmen können. Sie führen ein Verzeichnis über die Schulungen und die Teilnahme daran.
² Inhalt der Schulungen ist insbesondere:
a. die korrekte Identifizierung des Schutzbedarfs von Informationen;
b. der sichere Umgang mit Informationen und Informatikmitteln;
c. die korrekte Reaktion bei Verdacht auf einen Sicherheitsvorfall;
d. die Kenntnis der Sicherheitsorganisation sowie der Kontaktpersonen bei Fragen zur Informationssicherheit;
e. die Kontrollaufgaben der Vorgesetzten;
f. die Umsetzung der Informationssicherheit in Projekten und im Betrieb.
³ Die Verwaltungseinheiten nach Artikel 2 Absatz 1 Buchstabe c, die Departemente und die Fachstelle des Bundes für Informationssicherheit sorgen für die regelmässige Sensibilisierung der Mitarbeitenden aller Stufen in Bezug auf die Risiken der Informationssicherheit.
⁴ Die Fachstelle des Bundes für Informationssicherheit erstellt Schulungs- und Sensibilisierungshilfsmittel.
Art. 12 Vorfallmanagement
(Art. 7 Abs. 1 und 10 Abs. 1 ISG)
¹ Die Verwaltungseinheiten nach Artikel 2 Absatz 1 Buchstabe c legen in Absprache mit ihren Leistungserbringern fest, wie Sicherheitsvorfälle und Sicherheitslücken gemeldet und bewältigt beziehungsweise behandelt werden. Sie legen fest, wer Sofortmassnahmen anordnen kann.
² Entdeckt ein Leistungserbringer Sicherheitsvorfälle oder Sicherheitslücken, die eine ihrer leistungsbeziehenden Verwaltungseinheiten betreffen, so meldet er ihr diese unverzüglich und unterstützt sie bei der Bewältigung beziehungsweise Behandlung.
³ Die Fachstelle des Bundes für Informationssicherheit und das BACS können die Verwaltungseinheiten nach Artikel 2 Absatz 1 Buchstabe c und die Departemente bei der Bewältigung von Sicherheitsvorfällen und der Behandlung von Sicherheitslücken unterstützen.
⁴ Die Verwaltungseinheiten nach Artikel 2 Absatz 1 Buchstabe c prüfen bei der Bewältigung von Sicherheitsvorfällen, ob eine Meldung nach der Datenschutzgesetzgebung an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten erfolgen muss.
⁵ Sie informieren ihr Departement und die Fachstelle des Bundes für Informationssicherheit unverzüglich über den Sicherheitsvorfall oder die Sicherheitslücke, wenn eine der folgenden Voraussetzungen erfüllt ist:
a. Die Funktionsfähigkeit der Bundesverwaltung könnte gefährdet sein.
b. Ein Informatikmittel der Sicherheitsstufe «hoher Schutz» oder «sehr hoher Schutz» ist betroffen.
c. Es könnten mehrere Departemente betroffen sein.
d. Der Schutz klassifizierter Informationen eines Staats oder einer internationalen Organisation, mit welchem oder welcher der Bundesrat einen völkerrechtlichen Vertrag nach Artikel 87 ISG abgeschlossen hat, könnte gefährdet sein.
e. Der Sicherheitsvorfall oder die Sicherheitslücke könnte eine hohe politische Bedeutung haben.
f. Der Sicherheitsvorfall oder die Sicherheitslücke erfordert Massnahmen ausserhalb des nach Absatz 1 festgelegten Verfahrens.
⁶ Die Fachstelle des Bundes für Informationssicherheit beurteilt mit der betroffenen Verwaltungseinheit das Risiko und den Unterstützungsbedarf.
⁷ Sie kann in Fällen nach Absatz 5 nach Rücksprache mit der betroffenen Verwaltungseinheit und dem betroffenen Departement die Federführung für die Bewältigung eines Sicherheitsvorfalls oder die Behandlung einer Sicherheitslücke übernehmen oder diese mit deren Zustimmung dem BACS übertragen. Dabei haben sie folgende Aufgaben und Kompetenzen:
a. Sie können die betroffenen Verwaltungseinheiten, Leistungserbringer und Dritten verpflichten, ihr alle nötigen Informationen mitzuteilen.
b. Sie können Sofortmassnahmen anordnen.
c. Sie können externe Spezialistinnen und Spezialisten zur Unterstützung einsetzen.
d. Sie informieren die Leitung der betroffenen Verwaltungseinheiten und der Departemente über den Verlauf.
⁸ Ist nach einem Sicherheitsvorfall oder einer Sicherheitslücke die Informationssicherheit wiederhergestellt und sind die nötigen Folgearbeiten sowie deren Finanzierung definiert, so übergibt die Fachstelle des Bundes für Informationssicherheit oder das BACS die Federführung für die Weiterbearbeitung wieder der betroffenen Verwaltungseinheit.
Art. 13 Planung von Kontrollen und Audits
(Art. 7 Abs. 1, 81 Abs. 2 Bst. c und 83 Abs. 1 Bst. c ISG)
¹ Die Verwaltungseinheiten nach Artikel 2 Absatz 1 Buchstabe c und die Departemente legen in je einem jährlichen Kontroll- und Auditplan fest, wie sie die Einhaltung der Vorschriften nach dieser Verordnung und die Wirksamkeit der Massnahmen zur Gewährleistung der Informationssicherheit in ihrem Zuständigkeitsbereich sowie bei beauftragten Dritten risikobasiert überprüfen.
² Audits bei Dritten, die über eine Betriebssicherheitserklärung nach Artikel 61 ISG verfügen, müssen mit der Fachstelle Betriebssicherheit koordiniert werden.
³ Die Fachstelle des Bundes für Informationssicherheit erhebt den Kontroll- und Auditbedarf zur Gewährleistung der Informationssicherheit der gesamten Bundesverwaltung und der Armee.
⁴ Sie kann im Einvernehmen mit der BK oder dem zuständigen Departement Audits durchführen oder die Durchführung der Eidgenössischen Finanzkontrolle beantragen.
Art. 14 Berichterstattung
(Art. 7 Abs. 1, 81 Abs. 2 Bst. c und 83 Abs. 1 Bst. h ISG)
¹ Die BK, die Departemente, das BACS und die internen IKT-Leistungserbringer nach Artikel 9 VDTI⁸ erstatten der Fachstelle des Bundes für Informationssicherheit jährlich Bericht über den Stand der Informationssicherheit in ihrem Zuständigkeitsbereich. Sie erheben bei den Verwaltungseinheiten und ihren Leistungserbringern die dafür nötigen Informationen.
² Die Fachstelle des Bundes für Informationssicherheit erstattet dem Bundesrat jährlich Bericht über den Stand der Informationssicherheit beim Bund.
³ Sie koordiniert die Berichterstattung mit den verpflichteten Behörden nach Artikel 2 Absatz 1 ISG.
⁸ SR 172.010.58
Art. 15 Vorgaben zum Management der Informationssicherheit
(Art. 85 ISG)
Die Fachstelle des Bundes für Informationssicherheit erlässt generell-abstrakte Weisungen mit Geltung für alle Organisationen nach Artikel 2 Absätze 1 und 3 über die Mindestanforderungen an das Management der Informationssicherheit nach den Artikeln 5–14.
4. Abschnitt: Klassifizierte Informationen
Art. 16 Grundsätze
(Art. 11 und 14 ISG)
¹ Die Bekanntgabe und das Zugänglichmachen klassifizierter Informationen sowie die Erstellung klassifizierter Informationsträger sind auf das Minimum zu beschränken.
² Werden Informationen zu einem Sammelwerk zusammengefasst, ist die Klassifizierung neu zu beurteilen.
Art. 17 Klassifizierende Stellen
(Art. 12 ISG)
¹ Die Verwaltungseinheiten nach Artikel 2 Absatz 1 Buchstabe c und die Departemente legen je in einem Klassifizierungskatalog fest, wie Informationen, die in ihrem Zuständigkeitsbereich häufig bearbeitet werden, zu klassifizieren sind und wie lange die Klassifizierung dauern soll.
² Die Fachstelle des Bundes für Informationssicherheit überprüft die Klassifizierungskataloge und gibt bei Bedarf eine Empfehlung ab.
³ Sie legt nach der Konsultation der Konferenz der Informationssicherheitsbeauftragten in generell-abstrakten Weisungen mit Geltung für alle Organisationen nach Artikel 2 Absätze 1–3 fest, wie Informationen, die departementsübergreifend häufig bearbeitet werden, zu klassifizieren sind und wie lange die Klassifizierung dauern soll.
⁴ Folgende Personen und Stellen sind für die Klassifizierung und Entklassifizierung von Informationen, die nicht in den Klassifizierungskatalogen aufgeführt sind, zuständig:
a. die Mitarbeitenden des Bundes sowie die Angehörigen der Armee;
b. die Auftraggeberinnen, wenn Informationen des Bundes durch Dritte bearbeitet werden.
⁵ Die Mitarbeitenden des Bundes, die Angehörigen der Armee und die Dritten sind für die formelle Kennzeichnung der Informationsträger, die sie erstellen, oder der Informationen, die sie mündlich mitteilen, zuständig.
Art. 18 Klassifizierungsstufe «intern»
(Art. 13 Abs. 1 ISG)
¹ Als «intern» werden Informationen klassifiziert, deren Kenntnisnahme durch Unberechtigte die Interessen nach Artikel 1 Absatz 2 Buchstaben a–d ISG wie folgt beeinträchtigen kann:
a. Ein wichtiger Geschäftsprozess des Bundesrats oder der Bundesverwaltung oder ein wichtiger Führungsprozess der Armee ist erschwert.
b. Die Durchführung von Einsätzen der Strafverfolgungsbehörden, des Nachrichtendiensts des Bundes (NDB), der Armee oder der anderen Sicherheitsorgane des Bundes ist erschwert.
c. Einzelne Personen sind körperlich verletzt.
d. Die nukleare Sicherheit oder die Sicherung von Kernanlagen und Kernmaterialien ist mittelbar gefährdet.
e. Die Schweiz ist aussenpolitisch oder wirtschaftlich benachteiligt.
f. Die Beziehungen zwischen Bund und Kantonen oder zwischen den Kantonen sind gestört.
² Als «intern» werden zudem Informationen klassifiziert, deren Kenntnisnahme durch Unberechtigte Rückschlüsse auf «vertraulich» oder «geheim» klassifizierte Informationen ermöglichen.
Art. 19 Klassifizierungsstufe «vertraulich»
(Art. 13 Abs. 2 ISG)
Als «vertraulich» werden Informationen klassifiziert, deren Kenntnisnahme durch Unberechtigte die Interessen nach Artikel 1 Absatz 2 Buchstaben a–d ISG wie folgt erheblich beeinträchtigen kann:
a. Die Entscheidungs- oder Handlungsfähigkeit des Bundesrats, des Parlaments, mehrerer Verwaltungseinheiten oder mehrerer Truppenkörper der Armee ist über mehrere Tage erschwert.
b. Die zielkonforme Durchführung von Operationen der Strafverfolgungsbehörden, des NDB, der Armee oder der anderen Sicherheitsorgane des Bundes ist gefährdet.
c. Die operativen Mittel und Methoden der Nachrichtendienste und Strafverfolgungsbehörden des Bundes oder die Identität von Quellen und exponierten Personen sind offengelegt.
d. Die Sicherheit der Bevölkerung ist über mehrere Tage gefährdet oder einzelne Personen oder Personengruppen kommen zu Tode.
e. Die nukleare Sicherheit oder die Sicherung von Kernanlagen und Kernmaterialien ist gefährdet.
f. Die wirtschaftliche Landesversorgung oder der Betrieb von kritischen Infrastrukturen ist erschwert.
g. Die Schweiz ist aussenpolitisch oder wirtschaftlich erheblich benachteiligt oder die diplomatischen Beziehungen zu einem Staat oder zu einer internationalen Organisation sind abgebrochen.
h. Die Verhandlungsposition der Schweiz in wichtigen aussenpolitischen Geschäften ist vorübergehend erheblich geschwächt.
Art. 20 Klassifizierungsstufe «geheim»
(Art. 13 Abs. 3 ISG)
Als «geheim» werden Informationen klassifiziert, deren Kenntnisnahme durch Unberechtigte die Interessen nach Artikel 1 Absatz 2 Buchstaben a–d ISG wie folgt schwerwiegend beeinträchtigen kann:
a. Der Bundesrat, das Parlament, mehrere Verwaltungseinheiten oder mehrere Truppenkörper der Armee sind über Tage entscheidungs- oder handlungsunfähig oder ihre Entscheidungs- oder Handlungsfähigkeit ist über Wochen erschwert.
b. Die Durchführung von strategisch bedeutsamen Operationen der Strafverfolgungsbehörden, des NDB, der Armee oder der anderen Sicherheitsorgane des Bundes ist gefährdet oder über Tage in besonders hohem Mass erschwert.
c. Strategische Quellen, die Identität besonders exponierter Personen oder die strategischen Mittel und Methoden der Nachrichtendienste und Strafverfolgungsbehörden des Bundes sind offengelegt.
d. Die Sicherheit der Bevölkerung ist über Wochen in besonders hohem Mass gefährdet oder eine grosse Anzahl Personen kommt zu Tode.
e. Die nukleare Sicherheit oder die Sicherung von Kernanlagen und Kernmaterialien ist in besonders hohem Mass gefährdet.
f. Die wirtschaftliche Landesversorgung oder der Betrieb von kritischen Infrastrukturen fallen über Tage aus.
g. Die Schweiz leidet über Wochen unter besonders hohen aussenpolitischen oder wirtschaftlichen Konsequenzen wie Embargomassnahmen oder Sanktionen.
h. Die Verhandlungsposition der Schweiz in strategischen aussenpolitischen Geschäften ist über Jahre geschwächt.
Art. 21 Bearbeitungsvorgaben
(Art. 6 Abs. 2, 84 Abs. 1 und 85 ISG)
¹ Die Fachstelle des Bundes für Informationssicherheit erlässt generell-abstrakte Weisungen mit Geltung für alle Organisationen nach Artikel 2 Absätze 1–3 über die Bearbeitung klassifizierter Informationen und die organisatorischen, personellen, technischen und baulichen Mindestanforderungen für deren Schutz. Dabei trägt sie den einschlägigen internationalen Standards Rechnung.
² Sie hört vorgängig die folgenden Stellen an:
a. das BACS;
b. den kryptografischen Dienst der Armee;
c.⁹
das Bundesamt für Rüstung (armasuisse);
d. die für die Objektsicherheit zuständigen Stellen der Bundesverwaltung und der Armee.
³ Die BK regelt die Bearbeitung klassifizierter Bundesratsgeschäfte.
⁴ Die Bearbeitung klassifizierter Informationen aus dem Ausland erfolgt nach den Vorschriften, die der ausländischen Klassifizierungsstufe entsprechen. Vorbehalten bleiben abweichende Vorschriften eines völkerrechtlichen Vertrags nach Artikel 87 ISG.
⁹ Fassung gemäss Art. 44 Abs. 2 Ziff. 1 der V vom 1. Mai 2024 über die Organisation des öffentlichen Beschaffungswesens der Bundesverwaltung, in Kraft seit 1. Juli 2024 ( AS 2024 224 ).
Art. 22 Einsatzbezogene Sicherheitsmassnahmen
(Art. 6 Abs. 2 und 85 ISG)
¹ Werden klassifizierte Informationen im Rahmen eines Einsatzes oder einer Operation bearbeitet und sind diese nur einem geschlossenen, eindeutig bestimmbaren Benutzerkreis zugänglich, so können die folgenden Personen nach Konsultation der Fachstelle des Bundes für Informationssicherheit einsatz- oder operationsspezifisch Vorschriften zur vereinfachten Bearbeitung beschliessen:
a. die Direktorin oder der Direktor des Bundesamts für Polizei;
b. die Direktorin oder der Direktor des NDB;
c. die Chefin oder der Chef der Armee;
d. die Chefin oder der Chef des Kommandos Operationen;
e. die Direktorin oder der Direktor des Bundesamts für Zoll und Grenzsicherheit.
² Die Personen nach Absatz 1 sorgen dafür, dass auf den Informationsträgern eindeutig erkennbar ist, dass Vorschriften zur vereinfachten Bearbeitung gelten.
³ Ausserhalb des Benutzerkreises sowie für die Aufbewahrung im Hinblick auf die Archivierung gelten die Bearbeitungsvorgaben nach Artikel 21.
Art. 23 Sicherheitszertifizierung von Informatikmitteln
(83 Abs. 1 Bst. e ISG)
¹ Informatikmittel müssen vor der Inbetriebnahme sicherheitsmässig zertifiziert werden, wenn dies für die nationale oder internationale Zusammenarbeit erforderlich ist.
² Die Sicherheitszertifizierung erfolgt durch die Fachstelle des Bundes für Informationssicherheit nach Konsultation des kryptografischen Diensts der Armee und von armasuisse.¹⁰
³ Sie belegt, dass das Informatikmittel die Mindestanforderungen für die entsprechende Klassifizierungsstufe erfüllt und die Restrisiken nach dem Stand der Technik tragbar sind.
⁴ Sie wird bei wesentlichen Änderungen der Risiken oder bei wesentlichen Änderungen am Informatikmittel wiederholt.
⁵ Das Eidgenössische Departement für Verteidigung, Bevölkerungsschutz und Sport (VBS) legt das Verfahren der Sicherheitszertifizierung fest und berücksichtigt dabei die einschlägigen internationalen Standards.
¹⁰ Fassung gemäss Art. 44 Abs. 2 Ziff. 1 der V vom 1. Mai 2024 über die Organisation des öffentlichen Beschaffungswesens der Bundesverwaltung, in Kraft seit 1. Juli 2024 ( AS 2024 224 ).
Art. 24 Schutz bei der Gefährdung von klassifizierten Informationen
(Art. 10 Abs. 1 und 11 Abs. 1 ISG)
¹ Wer feststellt, dass klassifizierte Informationen gefährdet, abhandengekommen oder missbräuchlich verwendet worden sind oder Informationen offensichtlich falsch oder fälschlicherweise nicht klassifiziert sind, muss die nötigen Schutzmassnahmen treffen.
² Sie oder er benachrichtigt unverzüglich die klassifizierende Stelle und die zuständigen Sicherheitsorgane.
Art. 25 Überprüfung von Schutzbedarf und Kreis der Berechtigten
(Art. 11 Abs. 2 ISG)
Die klassifizierenden Stellen überprüfen den Schutzbedarf ihrer klassifizierten Informationen und den Kreis der Berechtigten mindestens alle fünf Jahre sowie immer, wenn die Informationen dem Bundesarchiv zur Archivierung angeboten werden.
Art. 26 Archivierung
(Art. 12 Abs. 3 ISG)
¹ Die Archivierung klassifizierter Informationen richtet sich nach den Vorschriften der Archivierungsgesetzgebung.
² Das Bundesarchiv sorgt dafür, dass die Informationssicherheit nach dieser Verordnung gewährleistet ist.
³ Die Klassifizierung von Archivgut entfällt mit Ablauf der Schutzfrist. Verlängerungen der Schutzfrist richten sich nach Artikel 14 der Archivierungsverordnung vom 8. September 1999¹¹.
¹¹ SR 152.11
5. Abschnitt: Sicherheit beim Einsatz von Informatikmitteln
Art. 27 Sicherheitsverfahren
(Art. 16 ISG)
¹ Die Verwaltungseinheiten nach Artikel 2 Absatz 1 Buchstabe c müssen den Schutzbedarf ihrer Schutzobjekte und deren Relevanz für das betriebliche Kontinuitätsmanagement nachweisen können.
² Sie setzen die Mindestvorgaben der jeweiligen Sicherheitsstufe um und prüfen, ob zusätzliche Sicherheitsmassnahmen erforderlich sind.
³ Sie weisen Restrisiken aus.
⁴ Die Informationssicherheitsverantwortlichen (Art. 36) entscheiden, ob Restrisiken getragen werden. Sie können diesen Entscheid anderen Mitgliedern der Geschäftsleitung delegieren.
⁵ Das Sicherheitsverfahren wird bei wesentlichen Änderungen der Bedrohung, der Technologie, der Aufgaben oder der Organisationsverhältnisse wiederholt.
⁶ Die Verwaltungseinheiten nach Artikel 2 Absatz 1 Buchstabe c prüfen jährlich, ob eine wesentliche Änderung stattgefunden hat.
⁷ Die Fachstelle des Bundes für Informationssicherheit erlässt generell-abstrakte Weisungen mit Geltung für alle Organisationen nach Artikel 2 Absätze 1–3 über das Sicherheitsverfahren nach Artikel 16 ISG.
Art. 28 Zuordnung zu den Sicherheitsstufen «hoher Schutz» und «sehr hoher Schutz»
(Art. 17 ISG)
¹ Die Sicherheitsstufe «hoher Schutz» wird einem Informatikmittel zugeordnet, wenn eine Verletzung der Informationssicherheit eine Beeinträchtigung nach Artikel 19 oder einen Schaden von fünfzig bis fünfhundert Millionen Franken zur Folge haben kann.
² Die Sicherheitsstufe «sehr hoher Schutz» wird einem Informatikmittel zugeordnet, wenn eine Verletzung der Informationssicherheit eine Beeinträchtigung nach Artikel 20 oder einen Schaden über fünfhundert Millionen Franken zur Folge haben kann.
Art. 29 Sicherheitsmassnahmen
(Art. 6 Abs. 3, 18 und 85 ISG)
¹ Die Fachstelle des Bundes für Informationssicherheit erlässt generell-abstrakte Weisungen mit Geltung für alle Organisationen nach Artikel 2 Absätze 1–3 über die Mindestanforderungen für die jeweiligen Sicherheitsstufen nach Artikel 17 ISG.
² Sie berücksichtigt dabei die Anforderungen für die Sicherheit von Personendaten nach der Datenschutzgesetzgebung sowie von anderen Informationen, die der Bund aufgrund gesetzlicher oder vertraglicher Verpflichtungen schützen muss.
³ Bei den folgenden Informatikmitteln muss die Wirksamkeit der Sicherheitsmassnahmen vor der Inbetriebnahme, bei wesentlichen Änderungen der Risiken während des Betriebs, mindestens aber alle fünf Jahre überprüft werden:
a. Informatikmittel der Sicherheitsstufe «hoher Schutz», die für die Erfüllung behörden- oder departementsübergreifender Aufgaben eingesetzt werden;
b. Informatikmittel der Sicherheitsstufe «sehr hoher Schutz».
⁴ Die BK und die Departemente nehmen ihre Informatikmittel der Sicherheitsstufe «sehr hoher Schutz» in ihr Kontinuitätsmanagement auf.
Art. 30 Sicherheit beim Betrieb
(Art. 19 ISG)
¹ Die Verwaltungseinheiten nach Artikel 2 Absatz 1 Buchstabe c stellen sicher, dass die Verantwortlichkeiten für die Informationssicherheit auf der betrieblichen Ebene in den Projekt- und Leistungsvereinbarungen mit den internen Leistungserbringern festgehalten sind.
² Die internen Leistungserbringer stellen den Verwaltungseinheiten nach Artikel 2 Absatz 1 Buchstabe c, den Departementen und der Fachstelle des Bundes für Informationssicherheit die Informationen zur Verfügung, welche diese für die Gewährleistung der Informationssicherheit benötigen.
³ Sie stellen sicher, dass sie über die nötigen personellen und finanziellen Kapazitäten und Fähigkeiten zur frühzeitigen Entdeckung, zur technischen Analyse und zur Bewältigung von Sicherheitsvorfällen und Behandlung von Sicherheitslücken verfügen, die sie selber oder, im Rahmen der Vereinbarungen nach Absatz 1, ihre Leistungsbezüger betreffen.
⁴ Sie überwachen die Nutzung ihrer Informatikinfrastruktur und durchsuchen sie regelmässig nach technischen Bedrohungen und Schwachstellen. Sie können Dritte mit der Durchsuchung beauftragen.
⁵ Die Bearbeitung von Personendaten im Rahmen der Überwachung und Durchsuchung nach Absatz 4 richtet sich nach der Verordnung vom 22. Februar 2012¹² über die Bearbeitung von Personendaten und Daten juristischer Personen bei der Nutzung der elektronischen Infrastruktur des Bundes.
¹² SR 172.010.442
6. Abschnitt: Personelle Massnahmen und physischer Schutz
Art. 31 Prüfung der Identität von Personen und Maschinen
(Art. 20 und 85 ISG)
¹ Die Fachstelle des Bundes für Informationssicherheit kann nach Konsultation der oder des DTI-Delegierten generell-abstrakte Weisungen mit Geltung für alle Organisationen nach Artikel 2 Absätze 1–3 über die technischen Mindestanforderungen an die risikobasierte Prüfung der Identität von Personen und Maschinen, die Zugang zu Informationen, Informatikmitteln, Räumlichkeiten und anderen Infrastrukturen des Bundes benötigen, erlassen.
² Die Bearbeitung von Personendaten bei der Prüfung der Identität in Identitätsverwaltungs-Systemen nach Artikel 24 ISG richtet sich nach den Bestimmungen der Verordnung vom 19. Oktober 2016¹³ über Identitätsverwaltungs-Systeme und Verzeichnisdienste des Bundes.
¹³ SR 172.010.59
Art. 32 Personensicherheit
(Art. 6 Abs. 2 und 3, 8 sowie 20 Abs. 1 Bst. a und c ISG)
¹ Die Verwaltungseinheiten nach Artikel 2 Absatz 1 Buchstabe c stellen sicher, dass Mitarbeitende, die einer Personensicherheitsprüfung nach der Verordnung vom 8. November 2023¹⁴ über die Personensicherheitsprüfungen (VPSP) unterliegen, jährlich für die massgebende sicherheitsempfindliche Tätigkeit und die entsprechenden Risiken sensibilisiert werden.
² Diese Mitarbeitende sind verpflichtet, ihrem Arbeitgeber Umstände aus ihrem privaten und beruflichen Umfeld, welche die vorschriftskonforme Ausübung der sicherheitsempfindlichen Tätigkeit gefährden können, zu melden.
¹⁴ SR 128.31
Art. 33 Verdacht auf strafbares Verhalten
(Art. 7 Abs. 2 Bst. c ISG)
¹ Kommt bei der Verletzung von Informationssicherheitsvorschriften zugleich eine strafbare Handlung in Betracht, überweisen die BK und die Departemente die Akten mit den Einvernahmeprotokollen der Bundesanwaltschaft oder dem Oberauditor der Schweizer Armee.
² Sie stellen Gegenstände sicher, die geeignet sind, in einem Verfahren als Beweismittel zu dienen.
Art. 34 Physische Schutzmassnahmen
(Art. 22 und 85 ISG)
¹ Die Fachstelle des Bundes für Informationssicherheit kann nach Konsultation der für die Objektsicherheit zuständigen Stellen der Bundesverwaltung und der Armee generell-abstrakte Weisungen mit Geltung für alle Organisationen nach Artikel 2 Absätze 1–3 über die Mindestanforderungen für den physischen Schutz von Informationen und Informatikmitteln erlassen.
² Sie berücksichtigt dabei:
a. den gesamten Lebenszyklus der Informationen und Informatikmittel;
b. die arbeitsplatzspezifischen Anforderungen;
c. die Unterbringungsstrategien und -konzepte der Bundesverwaltung und der Armee.
Art. 35 Sicherheitszonen
(Art. 23 und 85 ISG)
¹ Die Verwaltungseinheiten nach Artikel 2 Absatz 1 Buchstabe c können folgende Sicherheitszonen einrichten:
a. Sicherheitszone 1: Räumlichkeiten und Bereiche, in denen häufig als «vertraulich» klassifizierte Informationen bearbeitet oder Informatikmittel der Sicherheitsstufe «hoher Schutz» betrieben werden;
b. Sicherheitszone 2: Räumlichkeiten und Bereiche, in denen häufig als «geheim» klassifizierte Informationen bearbeitet oder Informatikmittel der Sicherheitsstufe «sehr hoher Schutz» betrieben werden.
² Diese Räumlichkeiten und Bereiche gelten nur als Sicherheitszone, wenn die für die Objektsicherheit zuständige Stelle der Bundesverwaltung oder der Armee vor deren Inbetriebnahme und anschliessend mindestens alle fünf Jahre bestätigt, dass die Sicherheitsanforderungen erfüllt sind.
³ Die Fachstelle des Bundes für Informationssicherheit erlässt nach Konsultation der für die Objektsicherheit zuständigen Stellen der Bundesverwaltung und der Armee generell-abstrakte Weisungen mit Geltung für alle Organisationen nach Artikel 2 Absätze 1–3 über die Sicherheitsanforderungen für die Sicherheitszonen und deren Einrichtung.
⁴ Die Verwaltungseinheiten nach Artikel 2 Absatz 1 Buchstabe c können in der Umgebung von Sicherheitszonen Massnahmen zur Identifizierung von elektromagnetischen Ausspähungen und zum Schutz davor ergreifen.
7. Abschnitt: Sicherheitsorganisation
Art. 36 Informationssicherheitsverantwortliche der Verwaltungseinheiten nach Artikel 2 Absatz 1 Buchstabe c
(Art. 7 Abs. 1 ISG)
¹ Die Bundeskanzlerin oder der Bundeskanzler, die Generalsekretärinnen und Generalsekretäre sowie die Direktorinnen und Direktoren der Verwaltungseinheiten nach Artikel 2 Absatz 1 Buchstabe c tragen in ihrem Zuständigkeitsbereich die Verantwortung für die Informationssicherheit.
² Sie können die Informationssicherheitsverantwortung einem Mitglied der Geschäftsleitung delegieren, sofern diesem die erforderlichen Befugnisse zustehen, Massnahmen zu veranlassen, zu kontrollieren und zu korrigieren.
³ Die Informationssicherheitsverantwortlichen der Verwaltungseinheiten nach Artikel 2 Absatz 1 Buchstabe c nehmen insbesondere folgende Aufgaben wahr:
a. Sie stellen den Aufbau, den Betrieb, die Überprüfung und die kontinuierliche Verbesserung des ISMS in ihrem Zuständigkeitsbereich sicher und erlassen die dafür nötigen Vorgaben.
b. Sie treffen alle Entscheide, welche die Informationssicherheit in ihrem Zuständigkeitsbereich massgeblich beeinflussen, insbesondere betreffend Organisation, Prozesse, Risikoakzeptanz und Sicherheitsziele.
c. Sie entscheiden über die erforderlichen Massnahmen, insbesondere über die Durchführung von Schulungs- und Sensibilisierungsmassnahmen.
d. Sie genehmigen den jährlichen Kontroll- und Auditplan und stellen die dafür nötigen Ressourcen zur Verfügung.
⁴ Die Bundeskanzlerin oder der Bundeskanzler, die Generalsekretärinnen und Generalsekretäre sowie die Direktorinnen und Direktoren der Verwaltungseinheiten nach Artikel 2 Absatz 1 Buchstabe c beauftragen ihre Informationssicherheitsbeauftragten nach Artikel 37 und sorgen dafür, dass:
a. sie über angemessene Kompetenzen und Ressourcen verfügen; und
b. ihnen keine Aufgaben übertragen werden, die einen Interessenkonflikt mit den Aufgaben nach Artikel 37 zu Folgen haben können.
Art. 37 Informationssicherheitsbeauftragte der Verwaltungseinheiten nach Artikel 2 Absatz 1 Buchstabe c
(Art. 7 Abs. 1 ISG)
¹ Die Verwaltungseinheiten nach Artikel 2 Absatz 1 Buchstabe c bezeichnen eine Informationssicherheitsbeauftragte oder einen Informationssicherheitsbeauftragten oder mehrere Informationssicherheitsbeauftragte sowie deren oder dessen Stellvertretung.
² Die Informationssicherheitsbeauftragten haben insbesondere folgende Aufgaben und Kompetenzen:
a. Sie betreiben das ISMS der Verwaltungseinheit im Auftrag der oder des Informationssicherheitsverantwortlichen.
b. Sie erarbeiten die nötigen Entscheidgrundlagen zuhanden der oder des Informationssicherheitsverantwortlichen und beantragen ihr oder ihm den Beschluss von Massnahmen.
c. Sie sind die zentrale Anlaufstelle der Verwaltungseinheit für Fragen zur Informationssicherheit und beraten und unterstützen die zuständigen Personen und Stellen bei der Erfüllung ihrer Aufgaben und Pflichten im Bereich der Informationssicherheit.
d. Sie sorgen für die Umsetzung der Informationssicherheitsvorgaben und für die Anwendung des Sicherheitsverfahrens nach Artikel 27.
e. Sie beaufsichtigen das Verzeichnis der Rechtsgrundlagen, das Inventar der Schutzobjekte und das Verzeichnis der Ausnahmebewilligungen.
f. Sie beaufsichtigen die Planung der Schulung und Sensibilisierung nach Artikel 11 und beantragen der oder dem Informationssicherheitsverantwortlichen die Durchführung von zusätzlichen Schulungs- und Sensibilisierungsmassnahmen.
g. Sie stellen Antrag auf Einleitung des Betriebssicherheitsverfahrens nach Artikel 4 der Verordnung vom 8. November 2023¹⁵ über das Betriebssicherheitsverfahren (VBSV).
h. Sie koordinieren die Bewältigung von Sicherheitsvorfällen und Behandlung von Sicherheitslücken in der Verwaltungseinheit sowie bei beauftragten Dritten.
i. Sie erstellen den jährlichen Kontroll- und Auditplan und unterbreiten ihn der oder dem Informationssicherheitsverantwortlichen zur Genehmigung.
j. Sie überprüfen periodisch das Vorhandensein und die Sicherheit von als «geheim» klassifizierten Informationsträgern in ihrem Zuständigkeitsbereich.
k. Sie können im Auftrag der oder des Informationssicherheitsverantwortlichen den Umgang mit Informationen an offenen, geteilten oder nicht abschliessbaren Arbeitsplätzen und in den Informatikmitteln der Verwaltungseinheit kontrollieren oder kontrollieren lassen.
l. Sie berichten der oder dem Informationssicherheitsverantwortlichen halbjährlich über den Stand der Informationssicherheit.
¹⁵ SR 128.41
Art. 38 Informationssicherheit bei den Standarddiensten
(Art. 7 Abs. 1 ISG)
¹ Die oder der DTI-Delegierte ist für die Gewährleistung der Informationssicherheit bei den Standarddiensten nach Artikel 17 Absatz 1 Buchstabe e VDTI¹⁶ zuständig.
² Sie oder er bezeichnet eine Informationssicherheitsbeauftragte oder einen Informationssicherheitsbeauftragten oder mehrere Informationssicherheitsbeauftragte für die Standarddienste sowie deren oder dessen Stellvertretung.
³ Die Informationssicherheitsbeauftragten nehmen für die Standarddienste die Aufgaben nach Artikel 37 Absatz 2 wahr und informieren die Bundesverwaltung und die Armee über die Informationssicherheitsrisiken.
¹⁶ SR 172.010.58
Art. 39 Informationssicherheitsverantwortung der Departemente
(Art. 7 Abs. 1 und 81 ISG)
¹ Die Departemente sind für die Steuerung und Überwachung der Informationssicherheit in ihrem Zuständigkeitsbereich verantwortlich.
² Sie haben dabei insbesondere folgende Aufgaben:
a. Sie bestimmen die Informationssicherheitspolitik und die Sicherheitsorganisation des Departements, einschliesslich der fachlichen Führung der Informationssicherheitsbeauftragten nach Artikel 37.
b. Sie erlassen die nötigen Weisungen und überwachen die Umsetzung.
c. Sie überwachen die ISMS der Verwaltungseinheiten nach Artikel 2 Absatz 1 Buchstabe c und erheben die dafür nötigen Kennzahlen.
d. Sie legen jährlich die Sicherheitsziele für die Verwaltungseinheiten nach Artikel 2 Absatz 1 Buchstabe c fest und überprüfen, ob sie erreicht wurden.
e. Sie genehmigen den jährlichen Kontroll- und Auditplan des Departements und stellen die nötigen Ressourcen zur Verfügung.
f. Sie beauftragen ihre Informationssicherheitsbeauftragten nach Artikel 40 und sorgen dafür, dass: 1. sie über angemessene Kompetenzen und Ressourcen verfügen;
2. ihnen keine Aufgaben übertragen werden, die einen Interessenkonflikt mit ihren Aufgaben nach Artikel 40 zur Folge haben können.
³ Sie können für ihren Zuständigkeitsbereich Sicherheitsanforderungen festlegen, die über die Mindestanforderungen der Fachstelle des Bundes für Informationssicherheit hinausgehen.
⁴ Sofern die Departementsvorsteherin oder der Departementsvorsteher nicht anders entscheidet, ist die Generalsekretärin oder der Generalsekretär in deren oder dessen Auftrag für die Informationssicherheit im Departement verantwortlich.
Art. 40 Informationssicherheitsbeauftragte der Departemente
(Art. 7 Abs. 1 und 81 ISG)
Die Informationssicherheitsbeauftragten der Departemente haben zusätzlich zu den Aufgaben nach Artikel 81 Absatz 2 ISG folgende Aufgaben:
a. Sie sorgen für die departementsübergreifende Koordination der Informationssicherheit.
b. Sie erarbeiten die nötigen Entscheidgrundlagen zuhanden der oder des Informationssicherheitsverantwortlichen und beantragen ihr oder ihm den Beschluss von Massnahmen.
c. Sie koordinieren die Bewältigung von Sicherheitsvorfällen und die Behandlung von Sicherheitslücken, welche mehrere Verwaltungseinheiten nach Artikel 2 Absatz 1 Buchstabe c betreffen.
d. Sie erstellen den jährlichen Kontroll- und Auditplan des Departements und unterbreiten ihn der oder dem Informationssicherheitsverantwortlichen zur Genehmigung.
e. Sie vertreten das Departement in Fachgremien.
f. Sie werden bei der Wahl der Informationssicherheitsbeauftragten der Verwaltungseinheiten nach Artikel 37 konsultiert.
g. Sie kontrollieren periodisch sowie beim Wechsel oder beim Abgang eines Mitglieds des Bundesrats oder der Bundeskanzlerin oder des Bundeskanzlers, ob alle als «geheim» klassifizierten Informationsträger vollständig vorhanden sind.
h. Sie berichten der oder dem Informationssicherheitsverantwortlichen des Departements jährlich über den Stand der Informationssicherheit im Departement.
Art. 41 Informationssicherheitsbeauftragte oder -beauftragter des Bundesrates
(Art. 81 Abs. 1 Bst. a ISG)
Das VBS ernennt die Informationssicherheitsbeauftragte oder den Informationssicherheitsbeauftragten des Bundesrates sowie deren oder dessen Stellvertretung.
Art. 42 Fachstelle des Bundes für Informationssicherheit
(Art. 7 Abs. 1 und 83 ISG)
¹ Die Fachstelle des Bundes für Informationssicherheit hat für die Bundesverwaltung und die Armee folgende Aufgaben und Kompetenzen:
a. Sie erarbeitet Strategien zu sicherheitsrelevanten Themen.
b. Sie kann bei sicherheitsrelevanten Vorhaben Informationen verlangen, dazu Stellung nehmen und Änderungen beantragen.
c. Sie wirkt bei der Ausbildung der Sicherheitsorganisation mit.
d. Sie stellt Vorlagen und Hilfsmittel bereit.
e. Sie unterstützt die Informationssicherheitsbeauftragten bei der Kontrolle der als «geheim» klassifizierten Informationsträger.
f. Sie verantwortet zertifizierte Sicherheitslösungen, die für die gesamte Bundesverwaltung und die Armee eingesetzt werden.
² Sie konsultiert bei der Erfüllung dieser Aufgaben sowie den Aufgaben nach Artikel 83 Absatz 1 ISG die Konferenz der Informationssicherheitsbeauftragten.
³ Sie vertritt im internationalen Verhältnis als nationale Sicherheitsbehörde die Schweiz und nimmt dabei folgende Aufgaben wahr:
a. Sie erarbeitet die völkerrechtlichen Verträge nach Artikel 87 ISG und überwacht deren Umsetzung.
b. Sie stellt sicher, dass Sicherheitsvorfälle, die klassifizierte Informationen von Partnerstaaten betreffen, sachgerecht abgeklärt werden.
c. Sie führt die in den völkerrechtlichen Verträgen vorgesehenen Kontrollen durch oder gibt diese in Auftrag.
d. Sie vertritt die Schweiz in internationalen Fachgremien.
e. Sie bewilligt den Empfang von Personen aus dem Ausland, die für klassifizierte Projekte in die Schweiz reisen, sowie die Entsendung von Personen, die für klassifizierte Projekte ins Ausland reisen.
f. Sie stellt die Sicherheitsbescheinigungen nach Artikel 30 VPSP¹⁷ aus.
⁴ Sie ist Teil des Staatssekretariats für Sicherheitspolitik im VBS.
¹⁷ SR 128.31
Art. 43 Aufgaben und Kompetenzen des BACS
(Art. 7 Abs. 1 und 84 Abs. 1 ISG)
¹ Das BACS hat folgende Aufgaben und Kompetenzen:
a. Es berät die Bundesverwaltung und die Armee sowie die Sicherheitsorgane nach den Artikeln 81–83 ISG in allen Belangen der technischen Informationssicherheit.
b. Es nimmt Einsitz in die Konferenz der Informationssicherheitsbeauftragten nach Artikel 82 ISG.
c.
Es kann zur Beurteilung und Verbesserung des Stands der technischen Informationssicherheit des Bundes im Internet oder im Einvernehmen mit den jeweiligen Informationssicherheitsverantwortlichen und Leistungserbringern in der Informatikinfrastruktur der Bundesverwaltung nach technischen Bedrohungen und Schwachstellen suchen; es kann andere Stellen der Bundesverwaltung sowie Dritte damit beauftragen.
² Es koordiniert seine Tätigkeiten mit der Fachstelle des Bundes für Informationssicherheit.
8. Abschnitt: Kosten und Evaluation
Art. 44 Kosten
¹ Die dezentral anfallenden Kosten für die Informationssicherheit sind Teil der Projekt- und Betriebskosten.
² Die Verwaltungseinheiten nach Artikel 2 Absatz 1 Buchstabe c stellen sicher, dass diese Kosten bei der Planung hinreichend berücksichtigt und ausgewiesen werden.
³ Für die Ausstellung und Zustellung von Sicherheitsbescheinigungen nach Artikel 30 VPSP¹⁸ für Personen, die keine sicherheitsempfindliche Tätigkeit des Bundes erfüllen, erhebt die Fachstelle des Bundes für Informationssicherheit eine Gebühr von 100 Franken.
¹⁸ SR 128.31
Art. 45 Evaluation
(Art. 88 ISG)
Die Fachstelle des Bundes für Informationssicherheit beantragt der Eidgenössischen Finanzkontrolle sechs Jahre nach Inkrafttreten dieser Verordnung und anschliessend alle zehn Jahre die Evaluation der Gesetzgebung über die Informationssicherheit beim Bund.
9. Abschnitt: Bearbeitung von Informationen und Personendaten
Art. 46 Allgemeines
¹ Die Organisationen nach Artikel 2 Absätze 1–3 sowie die Sicherheitsorgane des Bundes können die für die Gewährleistung der Informationssicherheit zweckmässigen Informationen einschliesslich Personendaten bearbeiten.
² Sie können untereinander sowie mit nationalen, internationalen und ausländischen Organisationen des öffentlichen und privaten Rechts Informationen einschliesslich Personendaten nach Absatz 1 austauschen, sofern:
a. dies zur Gewährleistung der Informationssicherheit zweckmässig ist;
b. keine gesetzlichen oder vertraglichen Geheimhaltungspflichten verletzt werden;
c. die Vorgaben der Bundesgesetzgebung über den Datenschutz eingehalten werden; und
d. diese Organisation gesetzliche Aufgaben im Bereich der Informationssicherheit wahrnehmen, die denjenigen der bekanntgebenden Behörde oder Organisation entsprechen.
³ Sofern dies für die Bewältigung eines Sicherheitsvorfalls oder die Behandlung einer Sicherheitslücke erforderlich ist, können sie auch besonders schützenswerte Personendaten nach Artikel 5 Buchstabe c des Datenschutzgesetzes vom 25. September 2020¹⁹ von Personen, die daran beteiligt oder davon betroffen sind respektive sein könnten, bearbeiten und untereinander austauschen.
⁴ Werden bei einem Sicherheitsvorfall beim Bund oder bei Dritten, die mit dem Bund zusammenarbeiten, Informationen des Bundes entwendet und im Internet veröffentlicht, so dürfen sie die Informationen herunterladen und analysieren, um die Betroffenheit des Bundes zu beurteilen und die nötigen Schutzmassnahmen zu ergreifen. Sie dürfen Daten, die für die Beurteilung nicht relevant sind, nicht bearbeiten.
⁵ Sie dürfen diese Massnahmen bereits bei Vorliegen eines konkreten Verdachts anwenden.
¹⁹ SR 235.1
Art. 47 ISMS-Anwendung
¹ Die Organisationen nach Artikel 2 Absätze 1–3 können für das Management der Informationssicherheit ein Informationssystem (ISMS-Anwendung) betreiben.
² Sie können in der ISMS-Anwendung alle Informationen im Zusammenhang mit dem Management der Informationssicherheit nach dieser Verordnung sowie die besonders schützenswerten Personendaten nach Artikel 46 Absatz 3 bearbeiten.
³ Sie können ihre ISMS-Anwendungen miteinander verknüpfen und informationssicherheitsrelevante Informationen über automatisierte Schnittstellen austauschen.
Art. 48 Elektronische Formulardienste
¹ Die Fachstelle des Bundes für Informationssicherheit kann für die nachfolgenden Zwecke elektronische Formulardienste betreiben und sie mit ihrer ISMS-Anwendung verknüpfen:
a. zur Abwicklung der Reisen nach Artikel 42 Absatz 3 Buchstabe e;
b. zur Ausstellung und Zustellung von Sicherheitsbescheinigungen im internationalen Verhältnis nach Artikel 30 VPSP²⁰;
c. zur Ausstellung und Zustellung von internationalen Betriebssicherheitsbescheinigungen nach Artikel 66 ISG.
² Mit den Formulardiensten nach Absatz 1 können die Personendaten nach Anhang 1 bearbeitet werden. Diese Daten dürfen längstens zehn Jahre aufbewahrt werden.
³ Die Organisationen nach Artikel 2 Absätze 1–3 können elektronische Formulardienste zur Meldung von Sicherheitsvorfällen und Sicherheitslücken betreiben und sie mit ihrer ISMS-Anwendung verknüpfen.
⁴ Mit den Formulardiensten nach Absatz 3 können sie Personendaten, einschliesslich besonders schützenswerte Personendaten nach Artikel 46 Absatz 3, bearbeiten, sofern sie für die Bewältigung von Sicherheitsvorfällen und Behandlung von Sicherheitslücken erforderlich sind. Sie müssen unmittelbar nach ihrer Bekanntgabe über den Formulardienst gelöscht werden. Sie dürfen vor dem Versand der Meldung während höchstens 24 Stunden vorübergehend gespeichert werden.
²⁰ SR 128.31
10. Abschnitt: Schlussbestimmungen
Art. 49 Besondere Vollzugsbestimmungen
Das VBS kann bestimmte datierte Fassungen der generell-abstrakten Weisungen nach den Artikeln 17 Absatz 3, 21 Absatz 1, 29 Absatz 1 und 34 Absatz 1 für die Kantone als verbindlich erklären.
Art. 50 Aufhebung und Änderung anderer Erlasse
Die Aufhebung und die Änderung anderer Erlasse werden in Anhang 2 geregelt.
Art. 51 Übergangsbestimmungen
¹ Vor Inkrafttreten dieser Verordnung durch das Nationale Zentrum für Cybersicherheit (NCSC) erlassene Vorgaben zur Informatiksicherheit und bewilligte Ausnahmen gelten bis höchstens drei Jahre nach Inkrafttreten dieser Verordnung.
² Über Änderungen an Vorgaben und bewilligten Ausnahmen, die vor Inkrafttreten dieser Verordnung durch das NCSC erlassen worden sind, entscheidet entweder die Fachstelle des Bundes für Informationssicherheit oder das NCSC.
³ Vor Inkrafttreten dieser Verordnung durch die Generalsekretärenkonferenz oder durch die Koordinationsstelle für den Informationsschutz im Bund erlassene Vorgaben zum Informationsschutz gelten bis höchstens zwei Jahre nach Inkrafttreten dieser Verordnung.
⁴ Die Verwaltungseinheiten nach Artikel 2 Absatz 1 Buchstabe c müssen ihr ISMS (Art. 5) innert drei Jahren nach Inkrafttreten dieser Verordnung aufbauen.
⁵ Die Klassifizierungskataloge (Art. 17) müssen bis spätestens ein Jahr nach Inkrafttreten dieser Verordnung erstellt werden.
⁶ Bis zum 30. Juni 2025 nimmt das BACS die Aufgaben und Kompetenzen der Fachstelle des Bundes für Informationssicherheit nach den Artikeln 9 Absätze 2 und 3, 11 Absätze 3 und 4, 12 Absätze 3 und 6–8, 15, 27 Absatz 7, 29 Absatz 1 und 31 Absatz 1 wahr.
⁷ Weisungen, die das BACS in Anwendung von Absatz 6 erlässt, gelten bis höchstens zwei Jahre nach Inkrafttreten dieser Verordnung.
Art. 52 Inkrafttreten
Diese Verordnung tritt am 1. Januar 2024 in Kraft.
Anhang 1
(Art. 48)
Datenbearbeitung mit den elektronischen Formulardiensten
Mit den folgenden Formulardiensten dürfen nachstehende Personendaten bearbeitet werden:
1. Formulardienst für den Zweck nach Artikel 48 Absatz 1 Buchstabe a
a. Angaben zur Person: 1. Namen und Vornamen*
2. AHV-Nummer
3. Anrede, Titel und Rang*
4. Geburtsdatum*
5. Heimatort und Geburtsort*
6. Nationalitäten*
7. Identitätskarten- und Passnummer sowie Ausstellungsort und Gültigkeit*
b. Angaben zur beruflichen oder militärischen Funktion der Person: 1. Funktion in der Organisation oder in der Armee*
2. berufliche Adresse, E-Mail-Adresse, Telefonnummer und weitere, insbesondere elektronische Kontaktdaten
3. positiver Entscheid über die Personensicherheitsprüfung, Prüfstufe und Gültigkeitsdauer*
c. Angaben zur antragstellenden Organisation: 1. Name, Adresse und Kontaktdaten der Organisation*
2. Name und Vornamen der Bezugsperson
3. Funktion der Bezugsperson in der Organisation oder in der Armee
4. berufliche Adresse, E-Mail-Adresse, Telefonnummer und elektronische Kontaktdaten der Bezugsperson
d. Angaben zum Besuch: 1. Name, Adresse, E-Mail-Adresse und Kontaktdaten der ausländischen Organisation *
2. Grund des Besuchs*
3. Sicherheitsstufe des Besuchs*
4. Dauer des Besuchs*
5. Grenzübertrittpunkte*
6. Transportmittel*
7. mitgeführtes Material, einschliesslich Waffen, Munition und Sprengstoffe, Fahrzeuge und sonstige Ausrüstung*
Angaben mit einem Asterisk (*) werden der ausländischen Sicherheitsbehörde kommuniziert.
2. Formulardienst für den Zweck nach Artikel 48 Absatz 1 Buchstabe b
a. Angaben zur Person: 1. Namen und Vornamen
2. AHV-Nummer
3. Anrede, Titel und Rang
4. Geburtsdatum
5. Heimatort und Geburtsort
6. Nationalitäten
7. Identitätskarten- und Passnummer sowie Ausstellungsort und Gültigkeit
b. Angaben zur beruflichen oder militärischen Funktion der Person: 1. Funktion in der Organisation oder in der Armee
2. berufliche Adresse, E-Mail-Adresse, Telefonnummer und weitere, insbesondere elektronische Kontaktdaten
3. positiver Entscheid über die Personensicherheitsprüfung, Prüfstufe und Gültigkeitsdauer
c. Angaben zur antragsstellenden Organisation: 1. Name, Adresse, E-Mail-Adresse und Kontaktdaten der Organisation
2. Name und Vornamen der Bezugsperson
3. Funktion der Bezugsperson in der Organisation oder in der Armee
4. Berufliche Adresse, E-Mail-Adresse und weitere, insbesondere elektronische Kontaktdaten der Bezugsperson
5. Grund für die Erstellung der Bescheinigung
3. Formulardienst für den Zweck nach Artikel 48 Absatz 1 Buchstabe c
a. Angaben zum Betrieb: 1. Vollständiger Name*
2. Rechtsform*
3. Unternehmens-Identifikationsnummer
4. Adresse, E-Mail-Adresse und weitere, insbesondere elektronische Kontaktdaten*
5. Sitz*
6. Namen und Vornamen der Bezugsperson*
7. Funktion der Bezugsperson im Betrieb
8. berufliche Adresse, E-Mail-Adresse und weitere, insbesondere elektronische Kontaktdaten der Bezugsperson
b. Angaben zur Betriebssicherheitserklärung: 1. Ausstellungsdatum und Gültigkeitsdauer*
2. Anwendungsbereich und Auflagen*
3. Höchste zugelassene Klassifizierungs- oder Sicherheitsstufe*
Angaben mit einem Asterisk (*) werden der ausländischen Sicherheitsbehörde kommuniziert.
4. Formulardienst nach Artikel 48 Absatz 3
a. Angaben zur meldenden Person: 1. Namen und Vornamen
2. Adresse, E-Mail-Adresse, Telefonnummer und weitere, insbesondere elektronische Kontaktdaten
3. Funktion in der Organisation oder in der Armee
b. Angaben zum Schadensereignis und zur Schadenbemessung
c. Bild-, Ton- oder Videoaufnahmen des Vorfalls oder der Sicherheitslücke
d. Dokumente oder Dateien mit Bezug zum Vorfall oder zur Sicherheitslücke
e. Angaben zu allenfalls am Vorfall beteiligten Personen
f. Erste Abklärungen von Sachverständigen einschliesslich bereits getroffener Massnahmen
Anhang 2
(Art. 50)
Aufhebung und Änderung anderer Erlasse
I
Die Cyberrisikenverordnung vom 27. Mai 2020²¹ wird aufgehoben.
II
Die nachstehenden Erlasse werden wie folgt geändert:
…²²
²¹ [ AS 2020 2107 , 5871 Anhang Ziff. 1; 2021 132 ]
²² Die Änderungen können unter AS 2023 735 konsultiert werden.
Feedback