Cybersecurity & Compliance in der Schweiz: ISL und FDAP

Der Schweizer Rechtsrahmen: ISL und FDAP im Überblick

Die Schweiz verfügt über einen soliden Rechtsrahmen für den Schutz von Informationen und personenbezogenen Daten, der im Wesentlichen zwei wichtige Gesetze umfasst:

• Das Informationssicherheitsgesetz Schweiz (ISL), dessen Ziel es ist, die kritische Infrastruktur und die Informationssysteme der föderalen Behörden, ihrer Zulieferer sowie der für das Land als wesentlich erachteten Organisationen zu sichern.
• Das FDAP (Bundesgesetz über den Datenschutz), kurz „Datenschutzgesetz“, das die Grundrechte des Einzelnen schützt und die Transparenz im Umgang mit personenbezogenen Daten stärkt.

Im digitalen Zeitalter und angesichts zunehmender Cyberbedrohungen sind die Kenntnis und die Anwendung dieser Gesetze kein optionales Extra mehr. Unternehmen müssen die Einhaltung der Vorschriften nicht nur gewährleisten, um Sanktionen zu vermeiden, sondern auch um das Vertrauen ihrer Kunden und Partner zu stärken. Diese Verantwortung betrifft nun nicht mehr nur die Organisation als Ganzes, sondern auch Einzelpersonen: Alle, die an der Datenverarbeitung beteiligt sind, können im Falle von Verstössen ebenfalls zur Rechenschaft gezogen werden.

Wie sich das ISL auf Unternehmen auswirkt

Das ISL verlangt von den betroffenen Akteuren, Sicherheitsmassnahmen zu ergreifen, die der Sensibilität der verarbeiteten Informationen angemessen sind. Dazu gehören:

• Schutz der IT-Systeme vor Cyberangriffen
• Sicherung kritischer Infrastruktur
• Entwicklung interner Strategien und Verfahren für das Vorfall- und Risikomanagement

Für Unternehmen, die entweder direkt betroffen sind oder mit kritischen Organisationen zusammenarbeiten, ist die Einhaltung des ISL eine Frage der Glaubwürdigkeit und Resilienz und trägt dazu bei, die finanziellen, betrieblichen und Reputationsrisiken zu begrenzen, die mit Sicherheitsverletzungen einhergehen.

Dies gilt insbesondere für Energieunternehmen wie Alpiq oder das Kraftwerk Nant de Drance, für Transportunternehmen wie SBB Cargo, für Gasinfrastrukturen wie Transitgas oder für strategische Rechenzentren wie Green.ch.

Ein Schlüsselelement des ISL ist die Verpflichtung, dass die Betreiber kritischer Infrastrukturen jeden Cyberangriff zu melden haben.

• Der Bericht muss der zuständigen Behörde innerhalb von 24 Stunden nach Feststellung des Vorfalls vorliegen (Artikel 74e).
• Ziel dieser Massnahme ist es, die Reaktionsfähigkeit der Behörden zu stärken, die Ausbreitung von Cyberangriffen zu begrenzen und die nationale Koordination im Bereich der Cybersicherheit zu verbessern.

Das Schweizer Datenschutzgesetz (FDAP): Was ist neu und was verlangt das Gesetz?

Das FADP, das in seiner revidierten Fassung im September 2023 in Kraft getreten ist, bringt mehrere wichtige Änderungen mit sich:

• Ausdrückliche Einwilligung: Unternehmen müssen eine klare und informierte Einwilligung einholen, bevor sie personenbezogene Daten sammeln oder verarbeiten.
• Transparenz: Die betroffenen Personen müssen über die Verwendung, den Zweck und die Dauer der Speicherung ihrer Daten informiert werden.
• Rechte des Einzelnen: Recht auf Auskunft, Berichtigung, Löschung und Übertragbarkeit personenbezogener Daten.
• Datensicherheit: Umsetzung organisatorischer und technischer Massnahmen zur Verhinderung von Datenlecks, Verlust oder Missbrauch von Daten.

Für Schweizer Unternehmen ist die Einhaltung des FADP nicht nur eine gesetzliche Verpflichtung, sondern es birgt auch die Chance, Vertrauen, Transparenz und Wettbewerbsfähigkeit zu stärken.

Sind Sie bereit für die Umsetzung der Cybersecurity Compliance?

Bevor Sie die Anforderungen von ISL und FADP umsetzen, sollten Sie sich unbedingt klarmachen, wie gut Sie auf die Umsetzung der Schweizer Datenschutzrichtlinien vorbereitet sind:

• Sind Ihre sensiblen Daten richtig identifiziert und klassifiziert?
• Sind Ihre Systeme und Infrastrukturen gegen aktuelle und zukünftige Bedrohungen geschützt?
• Sind Ihre Mitarbeitenden in bewährten Verfahren für Cybersicherheit und Datenschutz geschult?
• Verfügen Sie über dokumentierte Verfahren zur Beantwortung von Anträgen auf Auskunft, Berichtigung oder Löschung personenbezogener Daten?

Ein internes oder externes Audit kann Ihnen dabei helfen, Ihre Compliance zu beurteilen und wichtige Bereiche für Verbesserungen zu ermitteln.

5 Schritte zur Erreichung und Aufrechterhaltung der Cybersecurity Compliance:

Um die Einhaltung des ISL und des FADP zu erreichen und aufrechtzuerhalten, ist für die Unternehmen ein strukturierter Ansatz erforderlich:

• Identifizierung von Daten und Risiken: Identifizieren Sie sensible Daten und bewerten Sie die damit verbundenen Risiken.
• Umsetzung von Strategien und Verfahren: Legen Sie klare Regeln für die Erhebung, die Verarbeitung und den Schutz von Daten fest.
• Schulung und Sensibilisierung der Mitarbeitenden: Die Compliance hängt von der Wachsamkeit und dem Engagement aller ab.
• Umsetzung technischer und organisatorischer Massnahmen: Diese beinhalten die Sicherung von Systemen, Backups, Verschlüsselung, Zugangskontrollen und das Incident Management.
• Überwachung und kontinuierliche Verbesserung: Führen Sie regelmässige Audits durch, verfolgen Sie die Reaktion auf Vorfälle und nehmen Sie Anpassungen vor, um die Datenschutzrichtlinien einzuhalten.

SPIE: Ihr Partner für die Einhaltung von ISL und FADP in der Schweiz

SPIE verfügt über fundiertes Fachwissen im Bereich der Cybersicherheit, das sich auf den Schutz von Systemen, die Umsetzung geeigneter Schutzmassnahmen und die Aufrechterhaltung robuster Prozesse im Einklang mit internationalen Normen (insbesondere ISO 27001) erstreckt. Dadurch kann SPIE Sie auf Ihrem Weg zur Erfüllung der Schweizer Informationssicherheits- und Datenschutzvorschriften wie ISL und FADP massgeblich unterstützen.

Überlassen Sie die Einhaltung von ISL und FADP nicht dem Zufall. Sorgen Sie schon heute für die Sicherheit Ihrer Informationen und die Wahrung der Rechte Ihrer Kunden in der Schweiz.