Bund veröffentlicht Standardbestimmungen für Cybersicherheit in Beschaffungsverträgen
Das Staatssekretariat für Sicherheitspolitik hat eine Reihe von Standardbestimmungen für künftige Beschaffungsverträge des Bundes veröffentlicht. Die Behörde will damit die Informationssicherheit besser in solchen Verträgen verankern und so beim Bund für mehr Cybersecurity sorgen.
Bundesstellen sollen bei künftigen Beschaffungen die Informationssicherheit frühzeitig regeln. Um dies zu unterstützen, legte das Staatssekretariat für Sicherheitspolitik (Sepos) eine Sammlung von Standardbestimmungen für Beschaffungsverträge vor. Die Bestimmungen richten sich als Empfehlung an die Bedarfs- und Beschaffungsstellen des Bundes und sollen aufzeigen, wie die Behörden ihre Lieferanten für Vorgaben der Informationssicherheit wirksam, wirtschaftlich und risikobasiert instruieren können, wie das Sepos mitteilt.
Ziel sei es, im Sinne eines vertraglichen Grundschutzes die Informationssicherheit des Bundes zu erhöhen und Datenabflüsse bei Lieferanten zu verhindern, heisst es weiter. Das Sepos erarbeitete die Vorlagen im Auftrag des Bundesrates - der Auftrag war eine der Massnahmen im Nachgang zum Cyberangriff auf den Hoster Xplain. Unterstützung holte sich das Sepos von Beschaffungsstellen und Ämtern aus verschiedenen Departementen. In der Mitteilung hebt das Sekretariat hervor, es sei wichtig, die Anforderungen an die Informationssicherheit schon bei der Ausschreibung eines Auftrages zu kommunizieren. So wüssten potenzielle Lieferanten schon zum Zeitpunkt ihrer Offerteneinreichung, welche sicherheitsmässigen Voraussetzungen sie erfüllen müssten. "Wird Informationssicherheit nicht von Beginn an vereinbart, lässt sich dies später kaum oder nur gegen zusätzliche Kosten nachholen", fügt das Sepos hinzu.
Zwischen Informationssicherheit und Wirtschaftsfreiheit
Das Ausarbeiten der vertraglichen Vorgaben an die Informationssicherheit schien nicht ganz einfach, wie aus der Mitteilung des Bundes hervorgeht. Grundsätzlich, schreibt das Sepos, seien Lieferanten nicht an die Bundesvorgaben zur Informationssicherheit gebunden. Behörden müssten darum entsprechende Verpflichtungen ausdrücklich im Vertrag festlegen.
Gleichzeitig sei die verfassungsmässig garantierte Wirtschaftsfreiheit zu berücksichtigen, erklärt das Sekretariat. Als Bund dürfe man nur Sicherheitsanforderungen an Lieferanten stellen, die einerseits dem Zweck des Geschäftsverhältnisses und dessen Sensitivität angemessen seien und andererseits den Wettbewerb nicht zu stark einschränkten, verdeutlicht der Bund auf der Website mit den Musterklauseln.
Somit brauche es "die entsprechende Akzeptanz der Beteiligten", um Sicherheitsvorgaben nutzen und erfolgreich einsetzen zu können. Um diese Akzeptanz seitens potenzieller Lieferanten zu erlangen, konsultierte das Sepos die betroffenen Wirtschaftsverbände zu den Entwürfen der Standardbestimmungen. Diesen "Dialog für die Sicherheit" wolle man auch künftig fortsetzen, heisst es in der Mitteilung.
Jeder Vertrag ist anders
Beschaffungs- und Dienstleistungsverträge können inhaltlich vielerlei Gestalt haben. Es sei darum unmöglich, nach dem Motto "One for all" eine einzige, allgemeingültige Standardbestimmung zu verwenden, schreibt der Bund im Leitfaden zu den Standardbestimmungen. Entsprechend vielfältig ist die Auswahl an Mustern, die die Behörde erarbeitet hat. Welche Vorlage sie verwenden sollten, können Ämter mit Hilfe einer Checkliste im Leitfaden herausfinden. Einerseits stufen sie damit das Risiko des Vertragsinhalts ein. Andererseits müssen sie zwischen verschiedenen Vertragstypen unterscheiden, wie z. B. Dienstleistungs- oder Werkverträge, Aufträge, Ingenieur- und Architektenleistungen, Informatiklieferungen und -dienstleistungen.
Der Bund merkt an, die Standardbestimmungen "als Minimalstandard für alle Beschaffungen" konzipiert zu haben, die nicht besonderen Sicherheitsanforderungen unterliegen. Für Letztere müssten spezifisch Sicherheitsvorgaben vereinbart werden.
Im Frühling 2025 stellte der Bund in einem Bericht eine Reihe von Massnahmen zur Vermeidung von Datenabflüssen bei Lieferanten zusammen. Auch da empfahl er, schon bei der Ausschreibung von Aufträgen die Cybersicherheit zu regeln. Mehr dazu lesen Sie hier.
Welche Cybersecurity-Baustellen den Bund 2024 beschäftigten, erfahren Sie hier.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
ABB und Nvidia entwickeln Stromlösungen für KI-Rechenzentren
Auch persönliche Luftfahrzeuge wollen um die Wette düsen
Digitale Souveränität auf einer Big-Tech-Plattform nicht sichergestellt?
Datensouveräne KI – Datenhoheit und KI-Innovation im Unternehmenskontext
Fachausweis "AI Business Specialist" startet 2026
Jetzt E-Days Webcasts online verfügbar
Digitale Souveränität wahrt Unabhängigkeit und Handlungsfähigkeit
one Management – quantensichere Verwaltung von Kommunikationssystemen
Update: Microsoft lanciert sein erstes eigenes KI-Bildgenerierungsmodell
