Gestiegene Anforderungen bei Cybersecurity und Compliance
Cyberangriffe auf Unternehmen und Behörden haben stark zugenommen - mit zum Teil gravierenden Folgen. Verschärfte rechtliche Anforderungen sollen deshalb die Cybersicherheit in der Schweiz stärken. Welche neuen Regeln müssen Unternehmen jetzt einhalten?
Informationssicherheitsgesetz (ISG)
Das Informationssicherheitsgesetz (ISG) trat am 1. Januar 2024 in Kraft und soll die Cybersicherheit des Bundes und der dazugehörenden Behörden und Organisationen einheitlich regeln und stärken. In erster Linie schützt das ISG solche Informationen, für die der Bund zuständig ist. Dies betrifft neben staatlichen Organisationen des Bundes und der Kantone auch Unternehmen, die den Bund und die kantonalen Behörden bei der Erfüllung ihrer Pflichten unterstützen. Bei vielen Unternehmen scheint jedoch noch Unklarheit darüber zu herrschen, ob sie unter diese Regelung fallen.
Betroffene Einrichtungen müssen unter anderem ein Informationssicherheits-Management-System (ISMS) implementieren und Prozesse zum (Cyber) Risk Management einführen, mit denen sie Risiken erkennen, beurteilen, behandeln und regelmässig überprüfen. Das Gesetz verpflichtet sie zudem, dafür zu sorgen, dass Informationen entsprechend ihrem Schutzbedarf nur berechtigten Personen zugänglich sind. Zudem müssen sie sicherstellen, dass Informationen nicht unberechtigt oder unbeabsichtigt verändert und nachvollziehbar verarbeitet werden können. Bei der Zusammenarbeit mit anderen Unternehmen müssen sie diese Sicherheitsmassnahmen vertraglich regeln und ihre Einhaltung sicherstellen
Erweiterte Meldepflicht
Voraussichtlich ab 1. Januar 2025 tritt mit der Revision des ISG zudem eine Meldepflicht für Cyberangriffe in Kraft. Diese betrifft Betreiber kritischer Infrastrukturen sowie Zulieferer von Systemen, die in solchen Infrastrukturen verwendet werden. Die Meldepflicht ist weiter gefasst als für die Behörden und Organisationen im Sinne des ISG und betrifft erweiterte Sektoren und Dienstleistungsbereiche (wie Hochschulen, Organisationen mit öffentlichen Aufgaben, Energieversorger, Gesundheitseinrichtungen, Banken und Versicherungen, Post- und Fernmeldedienstanbieter etc.). Sie müssen Cyberangriffe zukünftig innerhalb von 24 Stunden dem Bundesamt für Cybersicherheit (BACS, ehemals NCSC) mitteilen, sofern diese schwerwiegende Auswirkungen haben.
NIS2-Richtlinie der EU
NIS2 ist eine verbindliche Richtlinie der Europäischen Union für deren Mitgliedstaaten, die sie bis Oktober 2024 in nationales Recht umsetzen müssen. Die NIS2-Richtlinie kann sich aber auch auf Schweizer Unternehmen auswirken. Das gilt vor allem für Firmen, die Niederlassungen innerhalb der EU haben. Betroffen sind auch Schweizer IT-Dienstleister, die Kunden direkt oder indirekt über deren Tochterunternehmen innerhalb der EU betreuen. Bei Lieferketten und Abhängigkeiten von Partnerunternehmen können Schweizer Unternehmen ebenfalls von NIS2 betroffen sein.
Alle gesetzlichen Neuerungen auf einen Blick
Um Unternehmen bei der Einhaltung dieser Regularien zu unterstützen, hat Trend Micro gerade die neueste Auflage seines juristischen Leitfadens „Cybersicherheit und IT-Compliance im Unternehmen“ veröffentlicht. IT-Verantwortliche und Geschäftsführungen finden darin die wichtigsten juristischen Informationen rund um die Cybersecurity, zusammengestellt von Rechtsanwälten mit langjähriger Erfahrung im IT-Recht. Der Leitfaden ist hier kostenlos zum Download verfügbar.
Der Autor
Udo Schneider, Governance, Risk & Compliance Lead Europe Trend Micro
Als Governance, Risk & Compliance Lead Europe ist Udo Schneider Experte für Themen wie NIS2 und DORA, die er im Rahmen von Webinaren oder auf Veranstaltungen, vor Kunden und Partnern sowie als Sprecher gegenüber der Presse behandelt. Ausserdem unterstützt Udo Schneider den Vertrieb bei Kundenterminen und erstellt detaillierte Assets, wie ein kürzlich veröffentlichtes NIS2-Whitepaper.
In seiner vorherigen Position als IoT Security Evangelist Europe spezialisierte er sich auf Themen wie Industrie 4.0, vernetzte (Produktions-)Systemen und das Internet der Dinge (IoT). Auch vor seiner Spezialisierung klärte Udo Schneider als Security Evangelist über allgemeine Bedrohungen der IT-Sicherheit auf, nachdem er sich als Solution Architect (EMEA) mehrere Jahre lang mit der Entwicklung geeigneter Massnahmen gegen diese Gefahren befasst hatte.
Udo Schneider kann auf über 20-jährige Erfahrung im Bereich IT-Sicherheit zurückblicken, die er neben Trend Micro auch bei anderen führenden Anbietern der Branche erworben hat.