Zum Hauptinhalt springen
CENEDRIL WIKI
EN
Gesetz · CH

ISG — Informationssicherheitsgesetz (Schweiz)

Aktualisiert am 4 Min. Geprüft von: Cenedril-Redaktion
A.5.7A.5.24A.5.25A.5.26A.5.27A.5.29A.5.30A.5.36A.6.3A.8.7A.8.8A.8.16 CH

Ein Spital entdeckt am Morgen, dass das radiologische Informationssystem verschlüsselt ist und der Notbetrieb anlaufen muss. Die ISG-Meldepflicht greift binnen 24 Stunden — die Erstmeldung ans BACS muss erfolgen, parallel zur Patientenversorgung, zur internen Krise und zur Polizei-Meldung. Wer hier ohne vorbereitete Meldekette steht, verliert die ersten kritischen Stunden mit Telefonketten und unklaren Zuständigkeiten.

Das Informationssicherheitsgesetz (ISG) regelt die Informationssicherheit beim Bund und führt für Betreiber kritischer Infrastrukturen eine Cyber-Meldepflicht ein. Es ist die Schweizer Antwort auf zunehmende Cyberangriffe gegen Versorger, Spitäler und Behörden — und gibt dem Bundesamt für Cybersicherheit (BACS, früher NCSC) die rechtliche Basis für Lagebild, Meldeauswertung und Kooperation.

Wer ist betroffen?

Das ISG hat zwei Hauptzielgruppen:

  • Behörden und Organisationen des Bundes — Departemente, Bundesämter, Bundesgerichte, Bundesversammlung, beauftragte Dritte. Sie müssen ein Informationssicherheits-Managementsystem führen, Informationsklassifikation umsetzen und Personensicherheitsprüfungen für sicherheitsempfindliche Funktionen durchführen.
  • Betreiber kritischer Infrastrukturen — definiert in Art. 74b ISG und der Verordnung über die Meldepflicht von Cyberangriffen (VMCK). Sektoren umfassen Energieversorgung, Wasserversorgung, Verkehr, Gesundheit, Telekommunikation, Bankwesen, Finanzmarktinfrastruktur sowie Behörden auf kantonaler und kommunaler Ebene mit kritischer Funktion.

Die Cyber-Meldepflicht trifft die Betreiber direkt — auch wenn der Angriff bei einem IT-Dienstleister erfolgt, bleibt die Meldepflicht beim Betreiber.

Was verlangt das Gesetz?

Für Bundesbehörden regelt das ISG die Grundlagen der Informationssicherheit:

  • Risikoanalyse und Schutzkonzepte — Bundesbehörden führen ein ISMS und passen Schutzmaßnahmen am Risiko aus.
  • Klassifikation von Informationen — vier Stufen (öffentlich, intern, vertraulich, geheim) mit definierten Behandlungsregeln.
  • Personensicherheitsprüfung — für Funktionen mit Zugang zu klassifizierten Informationen oder kritischen Systemen.
  • Sicherheitsverfahren bei Beschaffung und Vergabe — Lieferanten-Anforderungen für sicherheitsempfindliche Aufträge.

Für Betreiber kritischer Infrastrukturen gilt die Cyber-Meldepflicht:

  • Erstmeldung innert 24 Stunden (Art. 74d ISG) — nach Entdeckung eines meldepflichtigen Cyberangriffs an das BACS, mit den verfügbaren Informationen zum Vorfall.
  • Folgemeldung innert 14 Tagen — vollständige Beschreibung des Vorfalls, der Auswirkungen, der ergriffenen Maßnahmen.
  • Meldepflicht ab Erheblichkeitsschwelle — definiert in der VMCK; insbesondere wenn die Verfügbarkeit, Integrität oder Vertraulichkeit der kritischen Infrastruktur erheblich beeinträchtigt ist oder ein Lösegeld gefordert wurde.
  • Meldungen erfolgen über das BACS-Meldeportal — strukturierte Eingabe mit Pflichtfeldern.

Das BACS unterstützt die Meldenden, koordiniert mit Strafverfolgungsbehörden und kann anonymisierte Lagebilder veröffentlichen.

In der Praxis

Betroffenheit aktiv klären. Die VMCK-Schwellenwerte sind teilweise sektorspezifisch und ändern sich mit den realen Versorgungsstrukturen. Wer als Spital, Verkehrsbetrieb oder Energieversorger noch keine Anmeldung beim BACS hat, sollte aktiv klären lassen — eine versäumte Meldung wegen fehlender Eigeneinschätzung schützt nicht.

24-Stunden-Frist als Prozess vorbereiten. Die Erstmeldung muss innert eines Arbeitstages stehen — auch am Wochenende, auch über Feiertage. Das verlangt klare Rufbereitschaft, definierte Stellvertretung und ein Standard-Set an Meldeinhalten, die unabhängig vom konkreten Vorfall vorbereitet sind: Betreiber, Anlage, Sektor, Kontaktstelle.

Verhältnis zur DSG-Meldung mitdenken. Wenn ein Cyberangriff zugleich eine Datenschutz-Verletzung darstellt, greifen ISG-Meldepflicht ans BACS und DSG-Meldepflicht an den EDÖB parallel. Die Meldungen unterscheiden sich in Inhalt, Frist und Adressat. Ein gemeinsamer Master-Vorlagensatz reduziert die Doppelarbeit erheblich.

Mapping zu ISO 27001

Die ISG-Anforderungen, insbesondere für die Bundes-Informationssicherheit, korrespondieren eng mit ISO 27001. Für Betreiber kritischer Infrastrukturen ist die Vorfall-Reaktion der zentrale Berührungspunkt.

Direkt relevante Kontrollen:

Typische Audit-Befunde

  • Eigeneinschätzung der ISG-Betroffenheit fehlt — die Organisation ist nach VMCK meldepflichtig, hat sich aber beim BACS nie registriert.
  • 24-Stunden-Meldekette nicht eingeübt — niemand hat den Meldeweg am Wochenende getestet, der Pikett-Dienst kennt das BACS-Portal nicht.
  • Folgemeldung verspätet oder unvollständig — die 14-Tage-Frist wird gerissen, weil die Forensik noch nicht abgeschlossen ist und niemand die Frist im Kalender hat.
  • Verwechslung von ISG- und DSG-Meldung — eine Meldung wird nur an den EDÖB geschickt, das BACS bleibt unbenachrichtigt; oder umgekehrt.
  • Personensicherheitsprüfung im Bund nicht aktualisiert — Beschäftigte mit Zugang zu klassifizierten Informationen wurden seit Jahren nicht erneut geprüft.
  • Klassifikationsregeln auf Papier, nicht in den Tools — vertrauliche Informationen werden in unklassifizierten Tools verarbeitet, weil die Werkzeuge die Klassifikation nicht durchsetzen.

Quellen

Abgedeckte ISO-27001-Kontrollen

A.5.7 Bedrohungsintelligenz A.5.24 Planung des Vorfallmanagements A.5.25 Bewertung von Sicherheitsereignissen A.5.26 Reaktion auf Sicherheitsvorfälle A.5.27 Erkenntnisse aus Sicherheitsvorfällen A.5.29 Informationssicherheit bei Störungen A.5.30 IKT-Bereitschaft für Geschäftskontinuität A.5.36 Einhaltung von Richtlinien und Standards A.6.3 Sensibilisierung und Schulung A.8.7 Schutz gegen Schadsoftware A.8.8 Management technischer Schwachstellen A.8.16 Überwachung von Aktivitäten

Häufig gestellte Fragen

Bin ich als Betreiber einer kritischen Infrastruktur im Sinne des ISG meldepflichtig?

Die Cyber-Meldepflicht ist seit dem 1. April 2025 in Kraft und gilt für Betreiber kritischer Infrastrukturen in den definierten Sektoren — Energie, Wasser, Verkehr, Gesundheit, Telekommunikation, Bankwesen, Finanzmarktinfrastruktur, öffentliche Verwaltung. Die Verordnung über die Meldepflicht von Cyberangriffen (VMCK) konkretisiert die Schwellen. Wer bisher nicht in der NCSC-Liste steht, sollte aktiv prüfen lassen.

An wen melde ich einen Cyberangriff?

An das Bundesamt für Cybersicherheit (BACS), das aus dem NCSC hervorgegangen ist. Die Meldung erfolgt über das offizielle Meldeportal innerhalb von 24 Stunden nach Entdeckung, ergänzt durch eine ausführliche Folgemeldung innerhalb von 14 Tagen. Die Pflicht trifft die Betreiber der kritischen Infrastruktur, nicht die einzelnen Mitarbeitenden.

Wie verhält sich das ISG zur DSG-Meldepflicht und zur NIS2 in der EU?

Das ISG-Meldewesen läuft parallel zur DSG-Meldung an den EDÖB — beide Pflichten können bei einem Vorfall gleichzeitig greifen. Im Verhältnis zur NIS2 gibt es keine direkte Übernahme; die Schweiz hat ein eigenes Regime gewählt, das in den Grundpflichten ähnliche Wirkung erzielt. Wer in beiden Räumen tätig ist, sollte die Schwellenwerte und Fristen pro Regime separat dokumentieren.