ISG und NIS2: Cybersicherheit ist keine Option, sondern eine strategische Notwendigkeit.
Unternehmen müssen im laufenden Jahr in der Schweiz und der Europäischen Union (EU) verschärfte und umfassendere Regeln für die Cybersicherheit beachten. Anfangs Jahr trat das neue Informationssicherheitsgesetz (ISG) in Kraft, das die rechtlichen Grundlagen für die Cybersicherheit in einem einzigen Gesetz zusammenfasst. Auch die EU-Richtlinie NIS2 stellt höhere Sicherheitsanforderungen an europäische Unternehmen – wer sie nicht einhält, muss mit Bussen von bis zu 10 Millionen Euro rechnen.
#Cloud Governance #Security Awareness #Security Risk Assessment #Security Strategy Architecture
Schon im Herbst des letzten Jahres sind in der Schweiz das revidierte Datenschutzgesetz (DSG) und dessen Ausführungsbestimmungen in der neuen Datenschutzverordnung (DSV) in Kraft getreten[i]. Das revidierte Schweizer Datenschutzgesetz führt zusätzliche Vorschriften und Compliance-Anforderungen für Unternehmen ein, wie beispielsweise das Führen eines Verzeichnisses der Datenverarbeitungstätigkeiten und die Durchführung von Datenschutz-Folgenabschätzungen für die Verarbeitung von Risikodaten. Alles in enger Anlehnung an die europäische Datenschutzgrundverordnung (DSGVO)[ii].
Die neuen Vorschriften verschärfen die Anforderungen an die Cybersicherheitsüberwachung und die Berichterstattung für schweizerische und europäische Unternehmen. In der Schweiz wurde das Nationale Zentrum für Cybersicherheit (NCSC) zum Bundesamt für Cybersicherheit (BACS) umgewandelt. Das BACS ist das Kompetenzzentrum des Bundes für Cybersicherheit und die erste Anlaufstelle für Wirtschaft, Verwaltung, Bildungseinrichtungen und die Bevölkerung bei Cyberfragen[iii]. Es ist verantwortlich für die koordinierte Umsetzung der Nationalen Cyberstrategie (NCS) und konzentriert sich insbesondere auf den Schutz kritischer Infrastrukturen.
Risiken minimieren und die Kontinuität sicherstellen
Das ISG konsolidiert den rechtlichen Rahmen im Bereich der Informationssicherung[iv]. Es
verlangt, dass Schweizer Behörden, Regierungs- und Bundesorganisationen, die eidgenössischen Gerichte, die Nationalbank und weitere Stellen sowie Dritte, die mit ihnen zusammenarbeiten (also unter bestimmten Voraussetzungen auch private Unternehmen), potenzielle Risiken minimieren, die Systemstabilität laufend evaluieren und die Geschäftskontinuität sicherstellen. Sie alle sind verpflichtet, umfassende und proaktive Sicherheitsmassnahmen zu betreiben und zu evaluieren sowie geeignete Massnahmen zu ergreifen, um Daten und digitale Werte vor Cyber-Vorfällen zu schützen. Das ISG schreibt auch die Einrichtung eines Informationssicherheits-Managementsystems (ISMS) vor. Es muss Risikobewertungen, Datenklassifizierung und die Einhaltung von Sicherheitsstandards sicherstellen. Ausserdem wird eine Meldepflicht für Cyberangriffe bei kritischen Infrastrukturen[v] eingeführt. Sie soll anfangs nächsten Jahres in Kraft treten[vi].
Verschärfte Anforderungen für systemkritische Sektoren in der EU
In der EU ergeben sich durch die EU-Richtlinie NIS2 neue Cybersicherheitsverpflichtungen für viele Unternehmen in systemkritischen Sektoren[vii]. Unternehmen in 18 Branchen mit mehr als 50 Mitarbeitern und einem Umsatz von 10 Millionen Euro müssen nun ein spezielles Cybersicherheitsmanagement einführen. Die Richtlinie erweitert den Anwendungsbereich und die Verpflichtungen und führt strenge Meldepflichten für Vorfälle und zusätzliche Massnahmen für das Cyber-Risikomanagement ein. Die Nichteinhaltung dieser NIS2-Richtlinie kann zu erheblichen Geldstrafen führen, die von den nationalen Behörden verhängt werden und bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes für wesentliche Sektoren und bis zu 7 Millionen Euro oder 1,4 Prozent des Umsatzes für Schlüsselsektoren betragen können.
Was sind die wichtigsten Auswirkungen und der Handlungsbedarf für betroffene Unternehmen?
Sie müssen im Rahmen ihres IT Incident Managements Massnahmen zur Prävention, Erkennung, Identifizierung, Eindämmung, Schadensbegrenzung und Reaktion treffen. Die Gewährleistung der Geschäftskontinuität, des Krisenmanagements, der Sicherheit der Lieferkette und der Sicherheit von Netzwerken und Informationssystemen durch Schwachstellenanalysen und Penetrationstests sind ebenfalls wichtig. Ausserdem müssen solide Sicherheitspraktiken implementiert werden, die den gesetzlichen Anforderungen entsprechen. Das ISG schreibt die unverzügliche Meldung von Cyber-Vorfällen vor.
Proaktives Handeln ist notwendig
Die neue Cyber-Sicherheitslandschaft erfordert proaktives Handeln. Unternehmen müssen der Überwachung, Erkennung und Berichterstattung Priorität einräumen. Checklisten für die Einhaltung von Vorschriften und Anleitungen von Experten sind unschätzbare Ressourcen.
Cybersicherheit ist keine Option, sondern eine strategische Notwendigkeit. Nur ausgewogene organisatorische und technische Massnahmen schützen Ihr Unternehmen wirkungsvoll und ganzheitlich und stellen Compliance mit den neusten Regeln sicher. Neue Sicherheits-Dimensionen müssen eingeführt werden, um die klassische Prävention (Netzwerk- und Perimeterschutz) zu ergänzen[viii]. Dazu gehört einerseits die Fähigkeit, einen Angreifer so früh wie möglich zu entdecken. Andererseits müssen schnellstens Gegenmassnahmen eingeleitet werden können. UMB ist die richtige Adresse, wenn es um proaktive Cybersicherheit und Compliance mit sich ändernden gesetzlichen Anforderungen geht. Kontaktieren Sie uns für detaillierte Informationen.
[i] Datenschutzrecht ab 1. September 2023
[ii] Europäische Datenschutz-Grundverordnung
[iii] Bundesamt für Cybersicherheit
[iv] Bundesrat setzt das Informationssicherheitsgesetz in Kraft
[v] Meldepflichtige Behörden und Organisationen
[vi] Meldepflicht für Cyberangriffe bei kritischen Infrastrukturen – Zeitplan
[vii] Richtlinie über Massnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union (NIS2)
[viii] UMB Cyber Security: Die neue Dimension der Sicherheit
