ISG und NIS-2 – was Schweizer Unternehmen jetzt beachten müssen
Mit dem Schweizer Informationssicherheitsgesetz (ISG) und der NIS-2-Richtlinie der EU steigen die Anforderungen an die Informations- und Cybersicherheit. In einem gemeinsamen Webinar von Netzmedien und Trend Micro diskutierten die Fachexperten Richard Werner und Rechtsanwalt Simon T. Oeschger über die Konsequenzen für Schweizer Unternehmen und Best Practices zur Einhaltung der Gesetze.
Mit dem neuen Informationssicherheitsgesetz (ISG) der Schweiz und der EU-Richtlinie NIS-2 sehen sich Unternehmen mit strikteren Anforderungen an die Cybersicherheit konfrontiert. In einem gemeinsamen Webinar von Trend Micro und Netzmedien erläuterten Netzmedien und Trend Micro am 24. Oktober 2024, welche Konsequenzen diese neuen Vorgaben für Schweizer Unternehmen haben. In ihrer dialogischen Präsentation gingen Rechtsanwalt Simon T. Oeschger, Partner bei der Anwaltskanzlei Suffert Neuenschwander & Partner, und Richard Werner, Cyber Security Platform Lead Europe bei Trend Micro, ins Detail und zeigten auf, was es zu beachten gilt und wo die rechtlichen Fallstricke sind.
Verschärfte Gesetze für höhere Sicherheit
NIS-2 und ISG seien nur ein paar der Gesetze, die derzeit diskutiert werden, erklärte Werner von Trend Micro. "Seit der Pandemie sehen wir verstärkte Aktivitäten aus dem politischen Raum, IT-Sicherheitsgesetze nachzuschärfen", sagte er. Aus der Sicht der Technik sei dies sinnvoll. Schliesslich sei auch die Anzahl der Attacken gestiegen und die bestehenden Gesetze hätten nicht mehr ausgereicht. Oeschger stimmte ihm zu. "Das sind ganz wichtige Schritte, um den Herausforderungen der digitalen Welt zu begegnen, um eine Verbesserung der Cybersicherheit in der Schweiz und in Europa zu erreichen", sagte er.
Richard Werner, Cyber Security Platform Lead Europe bei Trend Micro. (Source: Screenshot)
"Das ISG richtet sich an die Betreiber kritischer Infrastrukturen und anderer grundlegender Dienstleistungen sowie an Behörden, wie Bund oder Kantone, und weitere behördliche Organisationen", erklärte Oeschger. "Des Weiteren richtet sich das ISG aber auch an Dienstleister und IT-Partner, die über sensible Informationen verfügen oder solche kritischen Systeme unterstützen." Es könnten also auch Zulieferer und Dienstleister vom neuen Gesetz betroffen sein. Auch, wenn sie nicht direkt in den Anwendungsbereich des Gesetzes fallen, könnten sie indirekt als Zulieferer oder Dienstleister dennoch vertraglich verpflichtet werden, die Vorgaben des ISG zu erfüllen.
In der EU sei es ähnlich, ergänzte Werner. Auch die NIS2-Richtlinie der EU, die eine Ausweitung der bisherigen NIS-Gesetzgebung darstellt, verpflichtet Unternehmen aus unterschiedlichen Branchen, einschliesslich öffentlicher Verwaltungen und IT-Dienstleistern, zu strikteren Cybersicherheitsmassnahmen. "Und hier müssen die Zulieferer ebenfalls entsprechende Massnahmen ergreifen, beziehungsweise sie müssen ins Risikomanagement aufgenommen werden."
Obwohl es eine EU-Richtlinie ist, können Schweizer Unternehmen "sehr wohl ebenfalls davon betroffen sein", sagte Oeschger. Etwa dann, wenn sie Teil einer Lieferkette sind, die in die EU führt. "Es kann sein, dass man einen Nachweis für die Cybersicherheit erbringen muss, wenn man als Schweizer Unternehmen Dienstleistungen oder Produkte für kritische Sektoren in der EU liefert", erklärte Oeschger. Es gäbe zwar auch Schwellenwerte (bezüglich der Anzahl Mitarbeitenden oder des Jahresumsatzes); wer diese nicht erreiche, sei von der Richtlinie ausgenommen. Bei Dienstleistungen für kritische Aktivitäten oder zentralen Diensten werde man aber trotzdem nicht ausgenommen.
Simon T. Oeschger, Partner bei der Anwaltskanzlei Suffert Neuenschwander & Partner. (Source: Screenshot)
Gemäss Werner werden diese Anforderungen auch die Auswahlkriterien der Kunden beeinflussen. "Gehen Sie davon aus, dass es durchaus Unternehmen geben wird, vor allem grössere Unternehmen, die sich überlegen werden, mit wem sie zusammenarbeiten werden", sagte er.
Die richtige Vorgehensweise
Wie sollten Unternehmen nun vorgehen, um den neuen Anforderungen gerecht zu werden? Werner und Oeschger empfahlen einen strukturierten Ansatz, beginnend mit einer umfassenden Analyse der eigenen Sicherheitslage. Erst wenn Unternehmen wissen, welche Pflichten sie erfüllen müssen und wo ihre Schwachstellen liegen, können sie gezielt Massnahmen ergreifen.
Die Experten empfahlen Unternehmen, eine Standort- und Gap-Analyse zu machen. Diese soll die Abweichung zwischen einem angestrebten Sollwert und dem tatsächlich vorhandenen Istwert aufzeigen. "Nur so kann ein Unternehmen den eigenen Stand der Technik prüfen und auch schauen, ob man mit den geltenden gesetzlichen und vertraglichen Pflichten in Einklang ist", sagte Oeschger.
(Source: Screenshot)
Die Geschäftsführung, beziehungsweise der Verwaltungsrat mache dies nicht zum Selbstzweck. Gemäss dem Obligationenrecht tragen sie die Gesamtverantwortung für die Führung der Gesellschaft. "Ein wesentlicher Bestandteil dieser Aufgaben ist es, die unternehmerischen Risiken zu erkennen und laufend zu überwachen", sagte Oeschger. Und um Risiken realistisch einschätzen zu können, muss man den aktuellen Stand der Dinge genau kennen - "genau dafür braucht man eine Gap-Analyse".
"Wir stellen sehr oft fest, dass Unternehmen, wenn sie sich in neue Technologie oder Gesetze vertiefen, schnell in einen Panikmodus verfallen", sagte Werner. Dafür gibt es gemäss ihm aber keinen Grund. "Wenn sie die IT-Sicherheit in den vergangenen zwei bis drei Jahren ernst genommen und entsprechende Massnahmen ergriffen haben, wenn sie beispielsweise Lösungen im Bereich Detection und Response einsetzen, dann haben sie bereits 80 bis 90 Prozent der technischen Massnahmen umgesetzt." Der Fokus sollte nun auf der Prozessoptimierung liegen - etwa indem man die Meldepflicht in die Prozesse einbezieht.
Herausforderungen bei der Umsetzung
Die Umsetzung der neuen Vorschriften durch das ISG und NIS-2 bringt gemäss den Experten jedoch auch Herausforderungen mit sich. "Compliance wird oftmals einfach auch mal als Bremse wahrgenommen", sagte Oeschger. "Das höre ich auch von vielen Unternehmen: 'Ach, das ist so kompliziert und so trocken - ich verstehe es nicht; es kostet einfach nur viel Geld und bringt kein neues Business.'"
(Suorce: Screenshot)
Dabei seien diese Bemühungen, insbesondere in Bezug auf Cybersicherheit, längst überfällig gemäss Oeschger. "Ich glaube, wenn es um den Reifegrad der Schweizer Unternehmen in Bezug auf Cybersicherheit im europäischen Umfeld geht, gibt es noch einige Pflichten und Optimierungen, die wahrgenommen werden müssen, um wirklich gestärkt gegen die Bedrohungen antreten zu können."
Ein weiterer Punkt, den Oeschger und Werner betonten, ist die Unterscheidung zwischen Datenschutz und Informationssicherheit. Datenschutz sei nur ein Teilbereich der Informationssicherheit, aber viele Geschäftsleitungen würden diese beiden Konzepte vermischen, sagte Oeschger. Die Informationssicherheit umfasst jedoch weit mehr als den Schutz personenbezogener Daten. Es geht um den Schutz aller Daten und der Systeme, die diese verarbeiten.
Die Präsentations-Slides des Webinars finden Sie hier zum Download (PDF).
Hier finden Sie das gesamte Webinar in einer Videoaufzeichnung auf Youtube:
Übrigens: Trend Micro hat für Schweizer Unternehmen einen juristischen Leitfaden verfasst. Diesen aktualisierte das Unternehmen in diesem Jahr, um die neuen gesetzlichen Entwicklungen, wie etwa das ISG und NIS-2, darin aufzunehmen. Lesen Sie hier mehr dazu.
Unternehmen erholen sich zu langsam von Cyberangriffen
Fabasoft 4teamwork: Spezialist für Geschäftsverwaltung und Sitzungsmanagement
Youtuber denkt sich, vier Arme sind doch viel besser als bloss zwei
SCION – Ein neuer Ansatz für sicheren Datenaustausch im Internet
Wieso KI noch in den Kinderschuhen steckt
Wie die Allianz Digitale Inklusion Schweiz den digitalen Graben aufschütten will
Eine neue Generation von GEVER-Systemen
Künstliche Intelligenz für die Pflege zu Hause
Digitalisierung als Erfolgsfaktor: So werden Unternehmen agiler und attraktiver
