Eidgenössisches Departement des Innern EDI Bundesamt für Sozialversicherung BSV Direktionstab DS – IT Management ITM
eGov Mitteilung Nr. 058 vom 04.06.2025 Geht an: Durchführungsstellen der 1. Säule/FamZ
Betreff: IT Audits gemäss WAID und W-ISDS
1 Als FolgeErgänzen des Projektes Projekts «Modernisierung der Aufsicht» (MdA1) müssen die Durchführungsstellen der 1. Säule/FamZ über ein Informationssicherheits-Managementsystem (ISMS) verfügen.
Die Umsetzung des ISMS wird jährlich durch die Revisionsstellen der Durchführungsstellen der 1. Säule/FamZ überprüft.
Ausgangslage und Grundsatz
Mit der Änderung des Bundesgesetzes über die Alters- und Hinterlassenenversicherung und der Modernisierung der Aufsicht in der 1. Säule sowie der Optimierung der 2. Säule der Alters-, Hinterlassenen- und Invalidenvorsorge weist das BSV die Durchführungsstellen an, bei ihren Informationssystemen laufend auf die nachfolgend umrissenen, neuen Rahmenbedingungen zu achten. Ein zentrales Anliegen der Gesetzesrevision ist es, dass die Informationssysteme der 1. Säule über die notwendige Stabilität und Anpassungsfähigkeit verfügen sowie die Informationssicherheit und den Datenschutz gewährleisten. Aus diesem Grund sind die Durchführungsstellen der 1. Säule/FamZ verpflichtet, ab 1. Januar 2025 jährliche IT Audits durch zertifizierte IT Auditoren durchführen zu lassen. Die IT Audits werden gemäss Art. 159 Bst. c AHVV und Art. 160 Abs. 5 AHVV durch die Revisionsstellen durchgeführt, wobei die Einbindung von Subunternehmungen zulässig ist. Es sei daran erinnert, dass das BSV bereits mit der eGov Mitteilung 043 vom 1. Januar 2022 darauf hingewiesen hat, dass die seit dem 1. Januar 2022 veröffentlichten Empfehlungen im Bereich Informationssicherheit und Datenschutz die Grundlage für die Weisungen bilden werden, welche mit dem Gesetzesentwurf zur Modernisierung der Aufsicht (MdA, seit 1. Januar 2024 in Effekt) in Kraft treten werden. Das BSV hat sich zu diesem Thema mehrfach mit den Präsidien der Konferenzen im Steuerungsausschuss 1. Säule/FamZ ausgetauscht (siehe Protokoll der Sitzung vom 4. Juli 2022 und Antwort des BSV auf das Schreiben der Konferenzen zu diesem Thema sowie das Protokoll der Sitzung vom 12. Februar 2024). Das BSV hat auch die Delegierten der Konferenzen in der Koordinationskommission eGov (KoKo eGov) zu diesem Thema informiert und präzisiert, dass die Einführung der W-ISDS Richtlinien (ISDS-Anforderungen) auf Antrag der Delegierten der Konferenzen der KoKo eGov, statt wie geplantem 1. Januar 2024 auf den 1. Januar 2025 verschoben wurde (siehe Protokoll der KoKo eGov vom 4. Dezember 2023). Mehrere weitere Sitzungen der KoKo eGov haben sich seit 2020 mit diesem Thema befasst (siehe beispielsweise das Protokoll der KoKo eGov vom 4.
1 MdA: https://www.bsv.admin.ch/bsv/de/home/sozialversicherungen/ueberblick/reformen-
revisionen/modernisierung_aufsicht.html
058 egov-mitteilung d 20250604.docx
Dezember 2023, welches die Empfehlung der Konferenzdelegierten der KoKo eGov zur Validierung der W-ISDS-Richtlinien und der WAID-Richtlinien enthält). Seit 2020 hat sich die KoKo eGov in mehreren weiteren Sitzungen mit diesem Thema befasst (siehe beispielsweise das Protokoll der Sitzung vom 22.Oktober 2020). Der Rahmen und der Umfang der IT-Audits sind in den Weisungen WAID 2 und W-ISDS3 festgehalten. Die W-ISDS beinhaltet dabei Weisungen über die Anforderungen an die Informationssicherheit und den Datenschutz der Informationssysteme der Durchführungsstellen der 1. Säule/FamZ.
Die WAID dokumentiert Weisungen zu den Audits über die Informationssicherheit und den Datenschutz und enthält einen Fragebogen für IT-Audits, respektive die erforderliche Prüfhandlung
Der Bereich ITM
Für anderweitige Fragen wenden Sie sich an egov@bsv.admin.ch
2 WAID : https://sozialversicherungen.admin.ch/de/d/20260/download
3 W-ISDS: https://sozialversicherungen.admin.ch/de/d/20253/download
2/2