Verordnung vom 8. November 2023 über die Informationssicherheit in der Bundesverwaltung und der Armee (Informationssicherheitsverordnung, ISV)

Der Schweizerische Bundesrat,

gestützt auf die Artikel 2 Abätze 3 und 4, 12 Absatz 3, 83 Absatz 3, 84 Absatz 1, 85 Absätze 1 und 2 und 86 Absatz 4 des Informationssicherheitsgesetzes vom 18. Dezember 2020[^1] (ISG),

verordnet:

1. Abschnitt: Allgemeine Bestimmungen

Art. 1 Gegenstand

Diese Verordnung regelt die Aufgaben, Verantwortlichkeiten und Kompetenzen sowie die Verfahren zur Gewährleistung der Informationssicherheit bei der Bundesverwaltung und der Armee.

Art. 2 Geltungsbereich

¹ Diese Verordnung gilt für:

• a. den Bundesrat;

• b. die Departemente;

• c. die Bundeskanzlei (BK), die Generalsekretariate, die Gruppen und die Bundesämter;

• d. die Armee.

² Für Verwaltungseinheiten der dezentralen Bundesverwaltung nach Artikel 2 Absatz 3 des Regierungs- und Verwaltungsorganisationsgesetzes vom 21. März 1997[^2] (RVOG) und Organisationen nach Artikel 2 Absatz 4 RVOG gelten die folgenden Bestimmungen des ISG und der vorliegenden Verordnung:

• a. wenn sie klassifizierte Informationen des Bundes bearbeiten: die Artikel 5–6, 9–10, 12–15, 20–23 und 27–73 ISG sowie die Artikel 16, 21, 24, 26 und 32, 34–35 dieser Verordnung;

• b. wenn sie auf Informatikmittel der internen IKT-Leistungserbringer nach Artikel 9 der Verordnung vom 25. November 2020[^3] über die digitale Transformation und die Informatik (VDTI) zugreifen oder ihre eigenen Informatikmittel durch diese Leistungserbringer betreiben lassen: die Artikel 5–6, 9–10, 16–73 ISG sowie die Artikel 10–12, 27 und 29–35 dieser Verordnung.

³ Die BK und die Departemente können in ihrem Zuständigkeitsbereich Verwaltungseinheiten der dezentralen Bundesverwaltung, die ständig sicherheitsempfindliche Tätigkeiten ausüben, dem gesamten ISG unterstellen.

⁴ Für die Kantone gelten unter Vorbehalt von Artikel 3 Absatz 2 ISG die folgenden Bestimmungen dieser Verordnung:

• a. bei der Bearbeitung von klassifizierten Informationen des Bundes: die Bestimmungen des 4. Abschnitts;

• b. beim Zugriff auf Informatikmittel des Bundes: die Artikel 28–30 und 34.

⁵ Die Gruppe Verteidigung übernimmt für die Armee die Aufgaben, Kompetenzen und Verantwortlichkeiten, die diese Verordnung den Verwaltungseinheiten nach Artikel 2 Absatz 1 Buchstabe c zuweist.

2. Abschnitt: Grundsätze

Art. 3 Sicherheitsziele

¹ Die Organisationen nach Artikel 2 Absatz 1 sorgen gemeinsam für einen risikobasierten Schutz ihrer Informationen und Informatikmittel sowie für eine angemessene Resilienz gegenüber Informationssicherheitsrisiken.

² Sie tragen durch die Zusammenarbeit und den Informationsaustausch mit den anderen Bundesbehörden, den Kantonen, den Gemeinden, der Wirtschaft, der Gesellschaft, der Wissenschaft und den internationalen Partnern zur Verbesserung der Informationssicherheit der Schweiz bei.

³ Sie setzen sich für eine nationale und internationale Harmonisierung der Sicherheitsvorschriften und -niveaus ein, um die Interaktion von Bundesbehörden mit anderen Behörden des Bundes sowie den Kantonen, den Gemeinden und den internationalen Partnern zu ermöglichen.

Art. 4 Verantwortung

¹ Die Verwaltungseinheiten nach Artikel 2 Absatz 1 Buchstabe c sind für den Schutz der Informationen, die sie bearbeiten oder deren Bearbeitung sie in Auftrag geben, sowie die Sicherheit der Informatikmittel, die sie selber betreiben oder durch Dritte betreiben lassen, verantwortlich.

² Die Verwaltungseinheiten nach Artikel 2 Absatz 1 Buchstabe c nehmen in ihrem Zuständigkeitsbereich alle Aufgaben wahr, die diese Verordnung oder das übrige Bundesrecht nicht einer anderen Organisation oder Stelle zuweist.

³ Die Mitarbeitenden der Bundesverwaltung sowie die Angehörigen der Armee, die Informationen bearbeiten oder Informatikmittel des Bundes nutzen, sind für die vorschriftskonforme Bearbeitung und Nutzung verantwortlich.

⁴ Die Vorgesetzten aller Stufen sind für die aufgabenbezogene Schulung ihrer Mitarbeitenden beziehungsweise der ihnen unterstellten Angehörigen der Armee im Bereich der Informationssicherheit sowie für die Überprüfung der Einhaltung der Vorschriften durch diese verantwortlich.

3. Abschnitt: Management der Informationssicherheit

Art. 5 Informationssicherheits-Managementsystem

¹ Die Verwaltungseinheiten nach Artikel 2 Absatz 1 Buchstabe c erstellen je ein Informationssicherheits-Managementsystem (ISMS).

² Sie legen die Ziele für ihr ISMS fest, prüfen jährlich, ob die Ziele erreicht werden, und erheben die dafür nötigen Kennzahlen.

³ Sie lassen ihr ISMS mindestens alle drei Jahre von einer unabhängigen Stelle oder ihrem Departement überprüfen und sorgen für die kontinuierliche Verbesserung des Systems.

⁴ Sie koordinieren ihr ISMS mit dem ordentlichen Risikomanagement, dem betrieblichen Kontinuitätsmanagement und dem Krisenmanagement.

Art. 6 Pflege der Rechtsgrundlagen und vertraglichen Verpflichtungen

Die Verwaltungseinheiten nach Artikel 2 Absatz 1 Buchstabe c, die Departemente und die Fachstelle des Bundes für Informationssicherheit führen je ein Verzeichnis der in ihrem Zuständigkeitsbereich massgebenden Rechtsgrundlagen und vertraglichen Verpflichtungen zur Informationssicherheit und halten es aktuell.

Art. 7 Inventarisierung der Schutzobjekte

¹ Die Verwaltungseinheiten nach Artikel 2 Absatz 1 Buchstabe c führen ein Inventar ihrer Schutzobjekte und halten es aktuell.

² Als Schutzobjekte gelten einzelne oder mehrere gleichartige oder zusammenhängende:

• a. Sammlungen von Informationen, die zur Abwicklung eines Geschäftsprozesses des Bundes bearbeitet werden;

• b. Informatikmittel nach Artikel 5 Buchstabe a ISG.

³ Im Inventar ist festzuhalten:

• a. der Schutzbedarf der Schutzobjekte;

• b. die Verantwortlichkeiten für die Schutzobjekte;

• c. die Beteiligung von Dritten;

• d. das Ergebnis der Risikobeurteilung;

• e. die Umsetzung der Sicherheitsmassnahmen und der Übernahme der Risiken, die nicht hinreichend reduziert werden können (Restrisiken);

• f. die periodischen Kontrollen und Audits;

• g. gegebenenfalls: die geteilte Nutzung der Schutzobjekte.

Art. 8 Risikomanagement

¹ Die Verwaltungseinheiten nach Artikel 2 Absatz 1 Buchstabe c beurteilen laufend die Risiken für ihre Schutzobjekte und nehmen insbesondere folgende Aufgaben wahr:

• a. Sie analysieren regelmässig Bedrohungen und Schwachstellen und bewerten deren Auswirkungen auf die Schutzobjekte.

• b. Sie setzen die notwendigen Massnahmen um und kontrollieren die Wirkung.

• c. Sie kontrollieren die Einhaltung der Vorgaben.

• d. Sie weisen die Akzeptanz der Restrisiken nach.

² Die Fachstelle des Bundes für Informationssicherheit, das Bundesamt für Cybersicherheit (BACS), die leistungserbringenden Verwaltungseinheiten und die Sicherheitsorgane des Bundes informieren die Verwaltungseinheiten nach Artikel 2 Absatz 1 Buchstabe c und die Departemente über aktuelle Bedrohungen und Schwachstellen sowie über Risiken, die sie betreffen. Sie empfehlen bei Bedarf Massnahmen zur Risikominderung.

³ Die Verwaltungseinheiten nach Artikel 2 Absatz 1 Buchstabe c berichten über ihre Informationssicherheitsrisiken im Rahmen des ordentlichen Risikomanagementprozesses nach den Vorgaben der Eidgenössischen Finanzverwaltung.

Art. 9 Bewilligung und Verzeichnung von Ausnahmen

¹ Kann eine Verwaltungseinheit für ein Schutzobjekt eine für sie verbindliche Vorgabe einer generell-abstrakten Weisung nach Artikel 85 ISG nicht erfüllen, so benötigt sie eine Ausnahmebewilligung der Stelle, welche die Weisungen erlassen hat.

² Betrifft eine Ausnahme, die im Kompetenzbereich der Fachstelle des Bundes für Informationssicherheit liegt, auch Vorgaben der BK über die digitale Transformation und die IKT-Lenkung, so hört die Fachstelle des Bundes für Informationssicherheit vorgängig die DTI-Delegierte oder den DTI-Delegierten nach Artikel 4 Absatz 1 VDTI[^4] an.

³ Die Verwaltungseinheiten nach Artikel 2 Absatz 1 Buchstabe c, die Departemente und die Fachstelle des Bundes für Informationssicherheit führen je ein Verzeichnis der gültigen Ausnahmebewilligungen.

Art. 10 Zusammenarbeit mit Dritten

¹ Die Verwaltungseinheiten nach Artikel 2 Absatz 1 Buchstabe c beurteilen die Risiken für ihre Schutzobjekte bei der Zusammenarbeit mit Dritten und ihre Abhängigkeit von Dritten.

² Die Beschaffungsstellen nach den Artikeln 9 und 10 der Verordnung vom 24. Oktober 2012[^5] über die Organisation des öffentlichen Beschaffungswesens der Bundesverwaltung (Org-VöB) wirken bei der Beurteilung mit und stellen die nötigen Informationen zur Verfügung.

³ Die Fachstelle des Bundes für Informationssicherheit empfiehlt nach Konsultation des BACS und der Beschaffungskonferenz des Bundes nach Artikel 24 Org‑VöB, welche Bestimmungen zur Informationssicherheit in allen Beschaffungs- und Dienstleistungsverträgen des Bundes enthalten sein sollen.

Art. 11 Schulung und Sensibilisierung

¹ Die Verwaltungseinheiten nach Artikel 2 Absatz 1 Buchstabe c schulen ihre Mitarbeitenden bei Stellenantritt und anschliessend periodisch so, dass sie ihre Verantwortung in Bezug auf die Informationssicherheit wahrnehmen können. Sie führen ein Verzeichnis über die Schulungen und die Teilnahme daran.

² Inhalt der Schulungen ist insbesondere:

• a. die korrekte Identifizierung des Schutzbedarfs von Informationen;

• b. der sichere Umgang mit Informationen und Informatikmitteln;

• c. die korrekte Reaktion bei Verdacht auf einen Sicherheitsvorfall;

• d. die Kenntnis der Sicherheitsorganisation sowie der Kontaktpersonen bei Fragen zur Informationssicherheit;

• e. die Kontrollaufgaben der Vorgesetzten;

• f. die Umsetzung der Informationssicherheit in Projekten und im Betrieb.

³ Die Verwaltungseinheiten nach Artikel 2 Absatz 1 Buchstabe c, die Departemente und die Fachstelle des Bundes für Informationssicherheit sorgen für die regelmässige Sensibilisierung der Mitarbeitenden aller Stufen in Bezug auf die Risiken der Informationssicherheit.

⁴ Die Fachstelle des Bundes für Informationssicherheit erstellt Schulungs- und Sensibilisierungshilfsmittel.

Art. 12 Vorfallmanagement

¹ Die Verwaltungseinheiten nach Artikel 2 Absatz 1 Buchstabe c legen in Absprache mit ihren Leistungserbringern fest, wie Sicherheitsvorfälle und Sicherheitslücken gemeldet und bewältigt beziehungsweise behandelt werden. Sie legen fest, wer Sofortmassnahmen anordnen kann.

² Entdeckt ein Leistungserbringer Sicherheitsvorfälle oder Sicherheitslücken, die eine ihrer leistungsbeziehenden Verwaltungseinheiten betreffen, so meldet er ihr diese unverzüglich und unterstützt sie bei der Bewältigung beziehungsweise Behandlung.

³ Die Fachstelle des Bundes für Informationssicherheit und das BACS können die Verwaltungseinheiten nach Artikel 2 Absatz 1 Buchstabe c und die Departemente bei der Bewältigung von Sicherheitsvorfällen und der Behandlung von Sicherheitslücken unterstützen.

⁴ Die Verwaltungseinheiten nach Artikel 2 Absatz 1 Buchstabe c prüfen bei der Bewältigung von Sicherheitsvorfällen, ob eine Meldung nach der Datenschutzgesetzgebung an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten erfolgen muss.

⁵ Sie informieren ihr Departement und die Fachstelle des Bundes für Informationssicherheit unverzüglich über den Sicherheitsvorfall oder die Sicherheitslücke, wenn eine der folgenden Voraussetzungen erfüllt ist:

• a. Die Funktionsfähigkeit der Bundesverwaltung könnte gefährdet sein.

• b. Ein Informatikmittel der Sicherheitsstufe «hoher Schutz» oder «sehr hoher Schutz» ist betroffen.

• c. Es könnten mehrere Departemente betroffen sein.

• d. Der Schutz klassifizierter Informationen eines Staats oder einer internationalen Organisation, mit welchem oder welcher der Bundesrat einen völkerrechtlichen Vertrag nach Artikel 87 ISG abgeschlossen hat, könnte gefährdet sein.

• e. Der Sicherheitsvorfall oder die Sicherheitslücke könnte eine hohe politische Bedeutung haben.

• f. Der Sicherheitsvorfall oder die Sicherheitslücke erfordert Massnahmen ausserhalb des nach Absatz 1 festgelegten Verfahrens.

⁶ Die Fachstelle des Bundes für Informationssicherheit beurteilt mit der betroffenen Verwaltungseinheit das Risiko und den Unterstützungsbedarf.

⁷ Sie kann in Fällen nach Absatz 5 nach Rücksprache mit der betroffenen Verwaltungseinheit und dem betroffenen Departement die Federführung für die Bewältigung eines Sicherheitsvorfalls oder die Behandlung einer Sicherheitslücke übernehmen oder diese mit deren Zustimmung dem BACS übertragen. Dabei haben sie folgende Aufgaben und Kompetenzen:

• a. Sie können die betroffenen Verwaltungseinheiten, Leistungserbringer und Dritten verpflichten, ihr alle nötigen Informationen mitzuteilen.

• b. Sie können Sofortmassnahmen anordnen.

• c. Sie können externe Spezialistinnen und Spezialisten zur Unterstützung einsetzen.

• d. Sie informieren die Leitung der betroffenen Verwaltungseinheiten und der Departemente über den Verlauf.

⁸ Ist nach einem Sicherheitsvorfall oder einer Sicherheitslücke die Informationssicherheit wiederhergestellt und sind die nötigen Folgearbeiten sowie deren Finanzierung definiert, so übergibt die Fachstelle des Bundes für Informationssicherheit oder das BACS die Federführung für die Weiterbearbeitung wieder der betroffenen Verwaltungseinheit.

Art. 13 Planung von Kontrollen und Audits

¹ Die Verwaltungseinheiten nach Artikel 2 Absatz 1 Buchstabe c und die Departemente legen in je einem jährlichen Kontroll- und Auditplan fest, wie sie die Einhaltung der Vorschriften nach dieser Verordnung und die Wirksamkeit der Massnahmen zur Gewährleistung der Informationssicherheit in ihrem Zuständigkeitsbereich sowie bei beauftragten Dritten risikobasiert überprüfen.

² Audits bei Dritten, die über eine Betriebssicherheitserklärung nach Artikel 61 ISG verfügen, müssen mit der Fachstelle Betriebssicherheit koordiniert werden.

³ Die Fachstelle des Bundes für Informationssicherheit erhebt den Kontroll- und Auditbedarf zur Gewährleistung der Informationssicherheit der gesamten Bundesverwaltung und der Armee.

⁴ Sie kann im Einvernehmen mit der BK oder dem zuständigen Departement Audits durchführen oder die Durchführung der Eidgenössischen Finanzkontrolle beantragen.

Art. 14 Berichterstattung

¹ Die BK, die Departemente, das BACS und die internen IKT-Leistungserbringer nach Artikel 9 VDTI[^6] erstatten der Fachstelle des Bundes für Informationssicherheit jährlich Bericht über den Stand der Informationssicherheit in ihrem Zuständigkeitsbereich. Sie erheben bei den Verwaltungseinheiten und ihren Leistungserbringern die dafür nötigen Informationen.

² Die Fachstelle des Bundes für Informationssicherheit erstattet dem Bundesrat jährlich Bericht über den Stand der Informationssicherheit beim Bund.

³ Sie koordiniert die Berichterstattung mit den verpflichteten Behörden nach Artikel 2 Absatz 1 ISG.

Art. 15 Vorgaben zum Management der Informationssicherheit

Die Fachstelle des Bundes für Informationssicherheit erlässt generell-abstrakte Weisungen mit Geltung für alle Organisationen nach Artikel 2 Absätze 1 und 3 über die Mindestanforderungen an das Management der Informationssicherheit nach den Artikeln 5–14.

4. Abschnitt: Klassifizierte Informationen

Art. 16 Grundsätze

¹ Die Bekanntgabe und das Zugänglichmachen klassifizierter Informationen sowie die Erstellung klassifizierter Informationsträger sind auf das Minimum zu beschränken.

² Werden Informationen zu einem Sammelwerk zusammengefasst, ist die Klassifizierung neu zu beurteilen.

Art. 17 Klassifizierende Stellen

¹ Die Verwaltungseinheiten nach Artikel 2 Absatz 1 Buchstabe c und die Departemente legen je in einem Klassifizierungskatalog fest, wie Informationen, die in ihrem Zuständigkeitsbereich häufig bearbeitet werden, zu klassifizieren sind und wie lange die Klassifizierung dauern soll.

² Die Fachstelle des Bundes für Informationssicherheit überprüft die Klassifizierungskataloge und gibt bei Bedarf eine Empfehlung ab.

³ Sie legt nach der Konsultation der Konferenz der Informationssicherheitsbeauftragten in generell-abstrakten Weisungen mit Geltung für alle Organisationen nach Artikel 2 Absätze 1–3 fest, wie Informationen, die departementsübergreifend häufig bearbeitet werden, zu klassifizieren sind und wie lange die Klassifizierung dauern soll.

⁴ Folgende Personen und Stellen sind für die Klassifizierung und Entklassifizierung von Informationen, die nicht in den Klassifizierungskatalogen aufgeführt sind, zuständig:

• a. die Mitarbeitenden des Bundes sowie die Angehörigen der Armee;

• b. die Auftraggeberinnen, wenn Informationen des Bundes durch Dritte bearbeitet werden.

⁵ Die Mitarbeitenden des Bundes, die Angehörigen der Armee und die Dritten sind für die formelle Kennzeichnung der Informationsträger, die sie erstellen, oder der Informationen, die sie mündlich mitteilen, zuständig.

Art. 18 Klassifizierungsstufe «intern»

¹ Als «intern» werden Informationen klassifiziert, deren Kenntnisnahme durch Unberechtigte die Interessen nach Artikel 1 Absatz 2 Buchstaben a–d ISG wie folgt beeinträchtigen kann:

• a. Ein wichtiger Geschäftsprozess des Bundesrats oder der Bundesverwaltung oder ein wichtiger Führungsprozess der Armee ist erschwert.

• b. Die Durchführung von Einsätzen der Strafverfolgungsbehörden, des Nachrichtendiensts des Bundes (NDB), der Armee oder der anderen Sicherheitsorgane des Bundes ist erschwert.

• c. Einzelne Personen sind körperlich verletzt.

• d. Die nukleare Sicherheit oder die Sicherung von Kernanlagen und Kernmaterialien ist mittelbar gefährdet.

• e. Die Schweiz ist aussenpolitisch oder wirtschaftlich benachteiligt.

• f. Die Beziehungen zwischen Bund und Kantonen oder zwischen den Kantonen sind gestört.

² Als «intern» werden zudem Informationen klassifiziert, deren Kenntnisnahme durch Unberechtigte Rückschlüsse auf «vertraulich» oder «geheim» klassifizierte Informationen ermöglichen.

Art. 19 Klassifizierungsstufe «vertraulich»