Cyber-Sicherheitsverordnung (CSV) vom 14. Januar 2025

Aufgrund von Art. 3 Abs. 2 Bst. a Ziff. 5, Art. 4 Abs. 7, Art. 6 Abs. 6, Art. 11 Abs. 3, Art. 15 Abs. 3, Art. 19 Abs. 3, Art. 20 Abs. 4 und Art. 25 des Cyber-Sicherheitsgesetzes (CSG) vom 5. Dezember 2024, LGBl. 2025 Nr. 111, verordnet die Regierung:

I. Allgemeine Bestimmungen

Art. 1

Gegenstand und Zweck

1) Diese Verordnung regelt in Durchführung des Cyber-Sicherheitsgesetzes das Nähere zur Gewährleistung eines hohen Sicherheitsniveaus von Netz- und Informationssystemen, insbesondere:

• a) die zu ergreifenden Risikomanagementmassnahmen;

• b) die Berichtspflichten nach Art. 6 und 9 des Cyber-Sicherheitsgesetzes;

• c) die Anforderungen an qualifizierte Dritte nach Art. 11 Abs. 2 des Cyber-Sicherheitsgesetzes;

• d) die Zusammenarbeit und den Informationsaustausch der Stabsstelle Cyber-Sicherheit mit anderen inländischen Behörden und Stellen;

• e) die Durchführung von Kontrollen nach Art. 19 des Cyber-Sicherheitsgesetzes.

2) Sie dient der Umsetzung bzw. Durchführung folgender EWR-Rechtsvorschriften:

• a) Richtlinie (EU) 2022/2555 über Massnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union[^1];[^2]

• b) Verordnung (EU) 2021/887 zur Einrichtung des Europäischen Kompetenzzentrums für Industrie, Technologie und Forschung im Bereich der Cybersicherheit und des Netzwerks nationaler Koordinierungszentren[^3];

• c) Verordnung (EU) 2019/881 über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik[^4].

3) Die gültige Fassung der EWR-Rechtsvorschriften, auf die in dieser Verordnung Bezug genommen wird, ergibt sich aus der Kundmachung der Beschlüsse des Gemeinsamen EWR-Ausschusses im Liechtensteinischen Landesgesetzblatt nach Art. 3 Bst. k des Kundmachungsgesetzes.

Art. 2

Bezeichnungen

Unter den in dieser Verordnung verwendeten Personenbezeichnungen sind alle Personen unabhängig ihres Geschlechts zu verstehen, sofern sich die Personenbezeichnungen nicht ausdrücklich auf ein bestimmtes Geschlecht beziehen.

II. Risikomanagementmassnahmen

Art. 3

Grundsatz

1) Wesentliche und wichtige Einrichtungen gewährleisten mit den technischen, operativen und organisatorischen Risikomanagementmassnahmen im Bereich der Cybersicherheit nach dem Anhang ein den bestehenden Risiken angemessenes Sicherheitsniveau der Netz- und Informationssysteme und schützen diese vor Sicherheitsvorfällen und Cyberbedrohungen.

2) Hält eine wesentliche oder wichtige Einrichtung es für nicht angemessen, nicht anwendbar oder nicht durchführbar, bestimmte im Anhang vorgesehene technische, operative und organisatorische Risikomanagementmassnahmen im Bereich der Cybersicherheit zu ergreifen, hat die betreffende Einrichtung eine diesbezügliche Begründung in verständlicher Weise zu dokumentieren.

3) Die Bestimmungen der Durchführungsverordnung (EU) 2024/2690[^5] bleiben in Hinblick auf die technischen und methodischen Anforderungen der Risikomanagementmassnahmen für DNS-Diensteanbieter, TLD-Namenregister, Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Betreiber von Inhaltszustellnetzen, Anbieter verwalteter Dienste, Anbieter verwalteter Sicherheitsdienste, Anbieter von Online-Marktplätzen, Online-Suchmaschinen und Plattformen für Dienste sozialer Netzwerke und Vertrauensdiensteanbieter vorbehalten.

III. Berichtspflichten

Art. 4

Erhebliche Sicherheitsvorfälle

1) Bei der Beurteilung des Ausmasses eines Sicherheitsvorfalls als erheblich nach Art. 6 des Cyber-Sicherheitsgesetzes berücksichtigen die wesentlichen und wichtigen Einrichtungen zumindest die folgenden sektorübergreifenden Faktoren:

• a) die Bedeutung der betroffenen Netz- und Informationssysteme für die Erbringung der Dienste der Einrichtung;

• b) den direkten verursachten finanziellen oder allfälligen Verlust, welcher durch den Sicherheitsvorfall verursacht werden kann;

• c) das Ausmass der Auswirkungen oder der Beeinträchtigung auf wirtschaftliche und gesellschaftliche Tätigkeiten;

• d) die Möglichkeit oder den Eintritt der Schädigung der Gesundheit oder des Todes einer natürlichen Person;

• e) die Zahl der von einem Sicherheitsvorfall betroffenen natürlichen oder juristischen Personen (Nutzer);

• f) die geografische Ausbreitung des Gebiets, das von einem Sicherheitsvorfall betroffen sein könnte;

• g) die Dauer des Sicherheitsvorfalls bzw. gegebenenfalls die Dauer der Nichtverfügbarkeit des erbrachten Dienstes der betreffenden Einrichtung;

• h) dem Sicherheitsvorfall zugrunde liegende Schwachstellen.

2) Mehrere Sicherheitsvorfälle, die einzeln betrachtet nach Abs. 1 nicht als erhebliche Sicherheitsvorfälle beurteilt werden, gelten zusammen als ein erheblicher Sicherheitsvorfall, wenn sie innerhalb von sechs Monaten mindestens zwei Mal auftreten und dieselbe offensichtliche Ursache haben.

Art. 5

Bearbeitung von Meldungen

1) Meldungen zu Sicherheitsvorfällen, Cyberbedrohungen oder Beinahe-Vorfällen nach Art. 6 oder 9 des Cyber-Sicherheitsgesetzes werden durch das bei der Stabsstelle Cyber-Sicherheit eingerichtete Computer-Notfallteam (CSIRT) bearbeitet.

2) Informationen zu gemeldeten Sicherheitsvorfällen, Cyberbedrohungen oder Beinahe-Vorfällen, wie insbesondere Kompromittierungsindikatoren, können vom CSIRT an externe Stellen übermittelt werden, um:

• a) die Kompromittierung von Systemen festzustellen;

• b) herauszufinden, welche Daten oder Systeme von einer Kompromittierung betroffen sind;

• c) die Schwere von Sicherheitsvorfällen einzuschätzen;

• d) Hinweise zu den von Angreifern verwendeten Angriffsvektoren und Werkzeugen zur Verfügung zu stellen, damit Bedrohungen vermindert oder beseitigt werden können;

• e) Schwachstellen in Systemen zu identifizieren;

• f) gezielte Gegenmassnahmen zu entwickeln, damit künftige Angriffe verhindert werden können.

IV. Organisation und Durchführung

A. Qualifizierte Dritte

Art. 6

Anforderungen

1) Qualifizierte Dritte, die mit Aufgaben der Stabsstelle Cyber-Sicherheit oder des CSIRT nach Art. 11 Abs. 2 des Cyber-Sicherheitsgesetzes, insbesondere mit der Durchführung von Kontrollen nach Art. 19 des genannten Gesetzes, beauftragt werden, müssen:

• a) von den zu prüfenden wesentlichen oder wichtigen Einrichtungen unabhängig sein; und

• b) über die erforderlichen Kenntnisse zur Erfüllung der ihnen auferlegten Aufgaben verfügen.

2) Sie haben die erforderlichen Kenntnisse nach Abs. 1 Bst. b durch einschlägige Qualifikationen, gegebenenfalls durch entsprechende Zertifizierungen, auf Verlangen der Stabsstelle Cyber-Sicherheit nachzuweisen.

3) Die Stabsstelle Cyber-Sicherheit kann qualifizierte Dritte verpflichten, sich einer Sicherheitsprüfung zu unterziehen, die von einer qualifizierten, unabhängigen Stelle durchgeführt wird, und deren Ergebnisse zu übermitteln. Die Kosten der Sicherheitsprüfung tragen die qualifizierten Dritten.

B. Zusammenarbeit und Informationsaustausch mit inländischen Behörden

Art. 7

Zusammenarbeit und Informationsaustausch mit der FMA

1) Die Stabsstelle Cyber-Sicherheit arbeitet, soweit dies zur Erfüllung ihrer gesetzlichen Aufgaben erforderlich ist, mit der Finanzmarktaufsicht (FMA) im Hinblick auf die Gewährleistung eines hohen Sicherheitsniveaus von Netz- und Informationssystemen zusammen und kann zu diesem Zweck Informationen austauschen.

2) Vom Informationsaustausch können umfasst sein:

• a) bei der FMA oder bei der Stabsstelle Cyber-Sicherheit eingegangene Meldungen zu Sicherheitsvorfällen sowie IKT-bezogenen Vorfällen oder Hinweise zu Cyberbedrohungen aus den Sektoren Bankwesen und Finanzmarktinfrastrukturen;

• b) Informationen, die der FMA oder der Stabsstelle Cyber-Sicherheit im Rahmen der Erfüllung ihrer jeweiligen Aufgaben übermittelt werden;

• c) Informationen über ausserordentliche Vorkommnisse im Cyberraum.

3) Die Stabsstelle Cyber-Sicherheit kann die FMA um Unterstützung bei der Überprüfung der Risikomanagementmassnahmen und der Einhaltung der Berichtspflichten nach Art. 4 und 6 des Cyber-Sicherheitsgesetzes ersuchen. Die FMA kann im Rahmen ihrer Befugnisse die Überprüfungen oder Ermittlungen selbst vornehmen oder durch beauftragte Sachverständige vornehmen lassen.

Art. 8

Zusammenarbeit und Informationsaustausch mit dem Amt für Kommunikation

1) Die Stabsstelle Cyber-Sicherheit arbeitet zur Gewährleistung eines hohen Sicherheitsniveaus von Netz- und Informationssystemen mit dem Amt für Kommunikation zusammen, insbesondere:

• a) hinsichtlich sämtlicher Einrichtungen in den Sektoren "Digitale Infrastruktur", "Weltraum" und "Post- und Kurierdienste";

• b) in den Fachbereichen, für die das Amt für Kommunikation zuständig ist.

2) Die Amtsstellen können im Rahmen ihrer Zusammenarbeit nach Abs. 1 Informationen austauschen. Vom Informationsaustausch können umfasst sein:

• a) beim Amt für Kommunikation oder bei der Stabsstelle Cyber-Sicherheit eingegangene Meldungen, Mitteilungen oder Informationen zu Sicherheitsvorfällen, Cyberbedrohungen oder Beinahe-Vorfällen in den genannten Sektoren;

• b) Informationen über ausserordentliche Vorkommnisse im Cyberraum.

3) Die Stabsstelle Cyber-Sicherheit und das Amt für Kommunikation informieren sich gegenseitig innerhalb von 24 Stunden über den Eingang von Meldungen betreffend relevante Sicherheitsvorfälle bei Vertrauensdiensteanbietern.

4) Die Stabsstelle Cyber-Sicherheit kann das Amt für Kommunikation um Unterstützung bei der Überprüfung der Risikomanagementmassnahmen und der Einhaltung der Berichtspflichten nach Art. 4 und 6 des Cyber-Sicherheitsgesetzes ersuchen. Das Amt für Kommunikation kann im Rahmen ihrer Befugnisse die Überprüfungen oder Ermittlungen selbst vornehmen oder durch beauftragte Sachverständige vornehmen lassen.

Art. 9

Zusammenarbeit und Informationsaustausch mit der Landespolizei

Die Stabsstelle Cyber-Sicherheit arbeitet zur Gewährleistung eines hohen Sicherheitsniveaus von Netz- und Informationssystemen mit der Landespolizei zusammen, insbesondere:

• a) beim Informationsaustausch über ausserordentliche Vorkommnisse im Cyberraum;

• b) bei der technischen Unterstützung, indem vorhandene Ressourcen bei Bedarf geteilt und gegenseitig zur Verfügung gestellt werden;

• c) bei der Teilnahme zu Übungen und Schulungen.

Art. 10

Zusammenarbeit und Informationsaustausch mit der Staatsanwaltschaft

Die Stabsstelle Cyber-Sicherheit arbeitet zur Gewährleistung eines hohen Sicherheitsniveaus von Netz- und Informationssystemen mit der Staatsanwaltschaft, insbesondere beim Informationsaustausch über ausserordentliche Vorkommnisse im Cyberraum, zusammen.

Art. 11

Zusammenarbeit und Informationsaustausch mit der Stabsstelle FIU

1) Die Stabsstelle Cyber-Sicherheit arbeitet zur Gewährleistung eines hohen Sicherheitsniveaus von Netz- und Informationssystemen mit der Stabsstelle FIU zusammen, insbesondere bei:

• a) der strategischen Risikoanalyse;

• b) der Durchsetzung internationaler Sanktionen sowie der Vermittlung von und den Handel mit Kriegsmaterial, nuklearen Gütern, radioaktiven Abfällen, doppelt verwendbaren Gütern und besonderen militärischen Gütern.

2) Für die Zwecke nach Abs. 1 übermitteln sich die Stabsstelle Cyber-Sicherheit und die Stabsstelle FIU die hierfür notwendigen Informationen und Unterlagen, einschliesslich personenbezogener Daten, soweit diese nicht von Art. 6 Abs. 2 des FIU-Gesetzes erfasst sind.

3) Die Stabsstelle Cyber-Sicherheit schliesst nach Rücksprache mit dem zuständigen Regierungsmitglied mit der Stabsstelle FIU eine Vereinbarung über die weiteren Modalitäten der Zusammenarbeit nach Art. 15 Abs. 2 des Cyber-Sicherheitsgesetzes ab.

C. Kontrollen

Art. 12

Allgemeines

1) Die Stabsstelle Cyber-Sicherheit kann jederzeit Kontrollen nach Art. 19 Abs. 1 des Cyber-Sicherheitsgesetzes durchführen oder durch qualifizierte Dritte durchführen lassen.

2) Kontrollen nach Abs. 1 sind vorgängig durch die Stabsstelle Cyber-Sicherheit anzukündigen; ausgenommen bei Vorliegen von Gefahr in Verzug.

Art. 13

Umfang und Ablauf

1) Die Stabsstelle Cyber-Sicherheit legt vor der Durchführung einer Kontrolle deren Umfang in Abstimmung mit der zu kontrollierenden Stelle fest. Bei einer Kontrolle wird insbesondere festgestellt, ob:

• a) geeignete und verhältnismässige technische, operative und organisatorische Massnahmen zum Schutz der Netz- und Informationssysteme ergriffen wurden;

• b) die Risikomanagementmassnahmen nach dem Cyber-Sicherheitsgesetz und dieser Verordnung eingehalten werden;

• c) die Berichtspflichten nach Art. 6 des Cyber-Sicherheitsgesetzes eingehalten wurden.

2) In begründeten Fällen kann die Stabsstelle Cyber-Sicherheit den Umfang während einer laufenden Kontrolle erweitern oder einschränken.

3) Die Stabsstelle Cyber-Sicherheit kann vertrauliche Inhalte zum Nachweis der Einhaltung von Risikomanagementmassnahmen in einer sicheren und von der kontrollierten Stelle zur Verfügung gestellten Räumlichkeit prüfen.

4) Sie erstellt über die Ergebnisse der Kontrolle jeweils einen Bericht und übermittelt diesen der kontrollierten Stelle. In Absprache mit der kontrollierten Stelle sowie in begründeten Fällen kann die Stabsstelle Cyber-Sicherheit den Bericht vollständig oder auszugsweise an Dritte weitergeben.

5) Die Arbeitspapiere, Dokumente und Datenträger sind während zehn Jahren nach Abschluss der jeweiligen Kontrollen aufzubewahren; ausgenommen sind vertrauliche Inhalte nach Abs. 3.

Art. 14

Kontrollen durch qualifizierte Dritte

1) Qualifizierte Dritte haben ihre Kontrollen nach den Vorgaben der Stabsstelle Cyber-Sicherheit durchzuführen. Sie sind verpflichtet:

• a) bei der Stabsstelle Cyber-Sicherheit nach Abschluss der Kontrolle einen Kontrollbericht einzureichen. Hierbei dürfen wesentliche Tatsachen nicht verschwiegen werden. Die Angaben im Kontrollbericht müssen der Wahrheit entsprechen;

• b) die von der Stabsstelle Cyber-Sicherheit bestimmten Grundsätze über die Kontrolltätigkeit und Durchführung der Kontrollen einzuhalten und der Stabsstelle Cyber-Sicherheit auf Verlangen sämtliche im Rahmen der Kontrolle erstellten Arbeitspapiere zur Verfügung zu stellen;

• c) der Stabsstelle Cyber-Sicherheit auf deren Verlangen jederzeit einen Zwischenbericht über den aktuellen Stand der Kontrolle abzugeben.

2) Qualifizierte Dritte unterliegen der Geheimhaltungspflicht. Vorbehalten bleiben die Berichterstattungs- und Auskunftspflicht nach Abs. 1.

3) Qualifizierte Dritte müssen bei der Durchführung einer Kontrolle von den zu kontrollierenden Stellen unabhängig sein. Sie dürfen insbesondere in den letzten 18 Monaten für die kontrollierende Stelle nicht beratend tätig gewesen sein.

V. Übergangs- und Schlussbestimmungen

Art. 15

Aufhebung bisherigen Rechts

Die Cyber-Sicherheitsverordnung (CSV) vom 4. September 2023, LGBl. 2023 Nr. 359, wird aufgehoben.

Art. 16

Übergangsbestimmung

Einrichtungen, die zum Zeitpunkt des Inkrafttretens dieser Verordnung als Betreiber wesentlicher Dienste nach bisherigem Recht eingestuft sind, gelten als wesentliche Einrichtung nach Art. 3 Abs. 2 Bst. a Ziff. 5 des Cyber-Sicherheitsgesetzes.

Art. 17

Inkrafttreten

1) Diese Verordnung tritt vorbehaltlich Abs. 2 am 1. Februar 2025 in Kraft.

2) Art. 1 Abs. 2 Bst. a tritt gleichzeitig mit dem Beschluss des Gemeinsamen EWR-Ausschusses betreffend die Übernahme der Richtlinie (EU) 2022/2555 in das EWR-Abkommen in Kraft.

Anhang

Risikomanagementmassnahmen

Fürstliche Regierung: gez. Dr. Daniel Risch Fürstlicher Regierungschef

(Art. 3)

[^2]: Art. 1 Abs. 2 tritt gleichzeitig mit dem Beschluss des Gemeinsamen EWR-Ausschusses betreffend die Übernahme der Richtlinie (EU) 2022/2555 in das EWR-Abkommen in Kraft..