Lexipedia

AS 2022 232

Bundesgesetz über die Informationssicherheit beim Bund

AS 2022 www.bundesrecht.admin.ch Massgebend ist die signierte elektronische Fassung

Bundesgesetz über die Informationssicherheit beim Bund (Informationssicherheitsgesetz, ISG)

vom 18. Dezember 2020

Die Bundesversammlung der Schweizerischen Eidgenossenschaft, gestützt auf die Artikel 54 Absatz 1, 60 Absatz 1, 101, 102 Absatz 1 und

173 Absatz 1 Buchstaben a und b sowie Absatz 2 der Bundesverfassung1,

nach Einsicht in die Botschaft des Bundesrates vom 22. Februar 20172, beschliesst:

1. Kapitel: Allgemeine Bestimmungen

Art. 1 Zweck 1 Dieses Gesetz soll die sichere Bearbeitung der Informationen, für die der Bund zu- ständig ist, sowie den sicheren Einsatz der Informatikmittel des Bundes gewährleis- ten.

2 Dadurch sollen die folgenden öffentlichen Interessen geschützt werden:

a. die Entscheidungs- und Handlungsfähigkeit der Behörden und Organisationen des Bundes; b. die innere und äussere Sicherheit der Schweiz; c. die aussenpolitischen Interessen der Schweiz; d. die wirtschafts-, finanz- und währungspolitischen Interessen der Schweiz; e. die Erfüllung der gesetzlichen und vertraglichen Verpflichtungen der Behör- den und Organisationen des Bundes zum Schutz von Informationen.

Art. 2 Verpflichtete Behörden und Organisationen

1 Dieses Gesetz gilt für die nachstehenden Behörden (verpflichtete Behörden):

a. die Bundesversammlung; b. den Bundesrat;

SR 128

2022-1115 AS 2022 232

Informationssicherheitsgesetz AS 2022 232

c. die eidgenössischen Gerichte; d. die Bundesanwaltschaft und die Aufsichtsbehörde über die Bundesanwalt- schaft; e. die Schweizerische Nationalbank.

2 Es gilt für die nachstehenden Organisationen (verpflichtete Organisationen):

a. die Parlamentsdienste; b. die Bundesverwaltung; c. die Verwaltungen der eidgenössischen Gerichte; d. die Armee; e. Organisationen nach Artikel 2 Absatz 4 des Regierungs- und Verwaltungsor- ganisationsgesetzes vom 21. März 19973 (RVOG) für ihre Verwaltungsauf- gaben.

3 Der Bundesrat kann für Organisationen nach Artikel 2 Absätze 3 und 4 RVOG die

Geltung des Gesetzes auf diejenigen Organisationen einschränken, die: a. sicherheitsempfindliche Tätigkeiten ausüben; oder b. zur Erfüllung ihrer Aufgaben Informatikmittel des Bundes einsetzen oder da- rauf zugreifen. 4 Er kann die Geltung nach Absatz 3 auf Teile des Gesetzes beschränken. Er berück- sichtigt dabei die Vollzugsautonomie der betreffenden Organisationen nach Massgabe ihrer Organisationserlasse. 5 Für Organisationen des öffentlichen und privaten Rechts, die kritische Infrastruktu- ren betreiben, die aber nicht unter die Absätze 1–3 fallen, gelten die Artikel 74–80. Die Spezialgesetzgebung kann weitere Teile dieses Gesetzes für anwendbar erklären.

Art. 3 Geltung für die Kantone

1 Für die Kantone gelten nur die Bestimmungen:

a. über klassifizierte Informationen, soweit sie klassifizierte Informationen des Bundes bearbeiten; und b. über die Sicherheit beim Einsatz von Informatikmitteln, soweit sie auf Infor- matikmittel des Bundes zugreifen. 2 Diese Bestimmungen gelten nicht, wenn die Kantone eine mindestens gleichwertige Informationssicherheit gewährleisten.

3 SR 172.010

Informationssicherheitsgesetz AS 2022 232

Art. 4 Verhältnis zu anderen Erlassen des Bundes

1 Das Öffentlichkeitsgesetz vom 17. Dezember 20044 geht diesem Gesetz vor.

2 Für Informationen, deren Schutz auch in anderen Bundesgesetzen geregelt ist, fin- den die Bestimmungen dieses Gesetzes ergänzend Anwendung.

Art. 5 Begriffe In diesem Gesetz bedeuten: a. Informatikmittel: Mittel der Informations- und Kommunikationstechnik, na- mentlich Anwendungen, Informationssysteme und Datensammlungen sowie Einrichtungen, Produkte und Dienste, die zur elektronischen Verarbeitung von Informationen dienen; b. sicherheitsempfindliche Tätigkeit:

1. die Bearbeitung von «vertraulich» oder «geheim» klassifizierten Infor-

mationen,

2. die Verwaltung, der Betrieb, die Wartung und die Überprüfung von In-

formatikmitteln der Sicherheitsstufe «hoher Schutz» oder «sehr hoher Schutz»,

3. der Zugang zu Sicherheitszonen, insbesondere zu Schutzzone 2 oder 3

einer Anlage nach der Gesetzgebung über den Schutz militärischer An- lagen; c. kritische Infrastrukturen: Trinkwasser- und Energieversorgung, Informa- tions-, Kommunikations- und Transportinfrastrukturen sowie weitere Pro- zesse, Systeme und Einrichtungen, die essenziell für das Funktionieren der Wirtschaft beziehungsweise das Wohlergehen der Bevölkerung sind.

2. Kapitel: Allgemeine Massnahmen

1. Abschnitt: Grundsätze

Art. 6 Informationssicherheit 1 Die verpflichteten Behörden und Organisationen sorgen dafür, dass der Schutzbe- darf der Informationen, für die sie zuständig sind, hinsichtlich einer allfälligen Beein- trächtigung der Interessen nach Artikel 1 Absatz 2 beurteilt wird.

2 Sie sorgen dafür, dass diese Informationen, ihrem Schutzbedarf entsprechend:

a. nur Berechtigten zugänglich sind (Vertraulichkeit); b. verfügbar sind, wenn sie benötigt werden (Verfügbarkeit); c. nicht unberechtigt oder unbeabsichtigt verändert werden (Integrität); d. nachvollziehbar bearbeitet werden (Nachvollziehbarkeit).

4 SR 152.3

Informationssicherheitsgesetz AS 2022 232

3 Sie sorgen dafür, dass die Informatikmittel, die sie zur Erfüllung ihrer gesetzlichen Aufgaben einsetzen, vor Missbrauch und Störung geschützt werden. 4 Sie tragen dabei den Grundsätzen der Zweckmässigkeit, der Wirtschaftlichkeit und der Benutzerfreundlichkeit Rechnung.

Art. 7 Oberste Führungsverantwortung 1 Die verpflichteten Behörden sorgen in ihrem Zuständigkeitsbereich dafür, dass die Informationssicherheit nach dem Stand von Wissenschaft und Technik organisiert, umgesetzt und überprüft wird.

2 Sie legen fest:

a. ihre Ziele für die Informationssicherheit; b. die Eckwerte für den Umgang mit Risiken; c. die Folgen bei Missachtung der Vorschriften.

Art. 8 Risikomanagement 1 Die verpflichteten Behörden und Organisationen sorgen in ihrem Zuständigkeitsbe- reich dafür, dass die Risiken für die Informationssicherheit laufend beurteilt werden. 2 Sie treffen die erforderlichen Massnahmen, um die Risiken zu vermeiden oder auf ein tragbares Mass zu reduzieren.

3 Risiken, die getragen werden sollen, müssen nachweislich akzeptiert werden.

Art. 9 Zusammenarbeit mit Dritten 1 Arbeiten die verpflichteten Behörden und Organisationen mit Dritten zusammen, so sorgen sie dafür, dass die Anforderungen und Massnahmen nach diesem Gesetz in den entsprechenden Vereinbarungen und Verträgen festgehalten werden.

2 Sie sorgen für eine angemessene Überprüfung der Umsetzung der Massnahmen.

Art. 10 Vorgehen bei Verletzungen der Informationssicherheit

1 Die verpflichteten Behörden und Organisationen sorgen dafür, dass Verletzungen

der Informationssicherheit rasch erkannt, deren Ursachen abgeklärt und allfällige Auswirkungen minimiert werden. 2 Die verpflichteten Behörden sorgen dafür, dass für allfällige schwerwiegende Ver- letzungen der Informationssicherheit, welche die Erfüllung unverzichtbarer Aufgaben des Bundes gefährden können, Vorsorgeplanungen erstellt und entsprechende Übun- gen durchgeführt werden.

Informationssicherheitsgesetz AS 2022 232

2. Abschnitt: Klassifizierung von Informationen

Art. 11 Grundsätze der Klassifizierung 1 Die verpflichteten Behörden und Organisationen sorgen dafür, dass Informationen, welche die Kriterien nach Artikel 13 erfüllen, klassifiziert werden. 2 Die Klassifizierung ist auf das erforderliche Mindestmass zu beschränken und nach Möglichkeit zeitlich zu begrenzen.

Art. 12 Zuständigkeiten 1 Die verpflichteten Behörden legen fest, welche Personen und Stellen für das Klassi- fizieren der Informationen zuständig sind (klassifizierende Stellen). 2 Klassifizierungen dürfen nur von der klassifizierenden Stelle oder von der Stelle, die dieser übergeordnet ist, geändert oder aufgehoben werden.

3 Der Bundesrat regelt die Entklassifizierung von Archivgut.

Art. 13 Klassifizierungsstufen 1 Als «intern» werden Informationen klassifiziert, deren Kenntnisnahme durch Unbe- rechtigte die Interessen nach Artikel 1 Absatz 2 Buchstaben a–d beeinträchtigen kann. 2 Als «vertraulich» werden Informationen klassifiziert, deren Kenntnisnahme durch Unberechtigte die Interessen nach Artikel 1 Absatz 2 Buchstaben a–d erheblich be- einträchtigen kann.

3 Als «geheim» werden Informationen klassifiziert, deren Kenntnisnahme durch Un-

berechtigte die Interessen nach Artikel 1 Absatz 2 Buchstaben a–d schwerwiegend beeinträchtigen kann.

Art. 14 Zugang zu klassifizierten Informationen 1 Zugang zu klassifizierten Informationen erhalten nur Personen, die Gewähr dafür bieten, dass sie damit sachgerecht umgehen, und: a. die Informationen zur Erfüllung einer gesetzlichen Aufgabe benötigen; oder b. über eine vertraglich vereinbarte Zugangsberechtigung verfügen und die Informationen zur Erfüllung der ihnen übertragenen Aufgaben benötigen.

2 Der Zugang zu klassifiziertem Archivgut richtet sich nach den Bestimmungen der

Archivierungsgesetzgebung. 3 Vorbehalten bleiben durch völkerrechtliche Verträge nach Artikel 87 geregelte Zu- gangsbeschränkungen.

Art. 15 Zugang zu klassifizierten Informationen in besonderen Verfahren 1 Der Zugang zu klassifizierten Informationen in der Bundesversammlung, in den Par- lamentsdiensten sowie in den Gerichten und Staatsanwaltschaften richtet sich nach dem jeweils anwendbaren Verfahrensrecht.

Informationssicherheitsgesetz AS 2022 232

2 Vor dem Entscheid, den Zugang zu einer Information nach Absatz 1 zu ermöglichen, kann das zuständige parlamentarische Organ oder das zuständige Gericht die klassifi- zierende Stelle anhören.

3. Abschnitt: Sicherheit beim Einsatz von Informatikmitteln

Art. 16 Sicherheitsverfahren 1 Die verpflichteten Behörden legen ein Verfahren zur Gewährleistung der Informati- onssicherheit beim Einsatz von Informatikmitteln fest (Sicherheitsverfahren).

2 Das Sicherheitsverfahren umfasst insbesondere:

a. die Beurteilung des Schutzbedarfs der Informationen vor dem Einsatz von Informatikmitteln; b. die Umsetzung von Sicherheitsmassnahmen und deren Überprüfung; c. die Zuständigkeit für die Sicherheitsfreigabe von Informatikmitteln; d. das Vorgehen bei Veränderung der Risiken. 3 Für die Durchführung des Sicherheitsverfahrens ist die verpflichtete Behörde oder Organisation zuständig, die den Einsatz der Informatikmittel beschliesst.

Art. 17 Sicherheitsstufen 1 Die Sicherheitsstufe «Grundschutz» gilt für sämtliche Informatikmittel, sofern diese nicht höher eingestuft werden müssen.

2 Die Sicherheitsstufe «hoher Schutz» gilt für Informatikmittel, wenn:

a. eine Verletzung der Vertraulichkeit, Verfügbarkeit, Integrität oder Nachvoll- ziehbarkeit der Informationen, die damit bearbeitet werden, die Interessen nach Artikel 1 Absatz 2 erheblich beeinträchtigen kann; b. ein Missbrauch oder eine Störung des Informatikmittels die Interessen nach Artikel 1 Absatz 2 erheblich beeinträchtigen kann.

3 Die Sicherheitsstufe «sehr hoher Schutz» gilt für Informatikmittel, wenn:

a. eine Verletzung der Vertraulichkeit, Verfügbarkeit, Integrität oder Nachvoll- ziehbarkeit der Informationen, die damit bearbeitet werden, die Interessen nach Artikel 1 Absatz 2 schwerwiegend beeinträchtigen kann; b. ein Missbrauch oder eine Störung des Informatikmittels die Interessen nach Artikel 1 Absatz 2 schwerwiegend beeinträchtigen kann.

Art. 18 Sicherheitsmassnahmen 1 Die verpflichteten Behörden legen die Mindestanforderungen für die Sicherheitsstu- fen nach Artikel 17 fest.

2 Die Mindestanforderungen der Sicherheitsstufe «Grundschutz» müssen sämtliche

Informatikmittel erfüllen.

Informationssicherheitsgesetz AS 2022 232

3 Bei Informatikmitteln der Sicherheitsstufe «sehr hoher Schutz» muss die Wirksam- keit der Massnahmen periodisch geprüft werden.

Art. 19 Sicherheit beim Betrieb 1 Die verpflichteten Behörden und Organisationen gewährleisten die Sicherheit der Informatikmittel, die sie für sich selbst oder im Auftrag einer anderen Behörde oder Organisation betreiben.

2 Die Bearbeitung von Personendaten im Rahmen der Netzwerküberwachung richtet

4. Abschnitt: Personelle Massnahmen

Art. 20 Voraussetzungen für den Zugang zu Informationen und Informatikmitteln des Bundes 1 Die verpflichteten Behörden und Organisationen sorgen dafür, dass Personen, die Zugang zu Informationen, Informatikmitteln, Räumlichkeiten und anderen Infrastruk- turen des Bundes haben: a. sorgfältig ausgewählt werden; b. risikogerecht identifiziert werden; c. stufengerecht aus- und weitergebildet werden; d. gegebenenfalls zur Geheimhaltung verpflichtet werden.

2 Sie können biometrische Verifikationsmethoden verwenden, wenn dies zur risiko-

gerechten Identifizierung von Personen erforderlich ist. Die biometrischen Daten wer- den nach dem Wegfall der Zugangsberechtigung vernichtet.

3 Sie können zudem die Versichertennummer nach Artikel 50c des Bundesgesetzes

vom 20. Dezember 19466 über die Alters- und Hinterlassenenversicherung (AHV- Versichertennummer) systematisch als Personenidentifikator verwenden.

Art. 21 Restriktive Erteilung von Berechtigungen 1 Die verpflichteten Behörden und Organisationen sorgen dafür, dass nur diejenigen Berechtigungen für den Zugang zu Informationen, Informatikmitteln, Räumlichkeiten und anderen Infrastrukturen des Bundes erteilt werden, welche die betreffenden Per- sonen zur Erfüllung ihrer Aufgaben benötigen. 2 Die Berechtigungen werden entzogen, sobald die Anstellung oder der Vertrag endet oder die Aufgabe erfüllt ist. Sie dürfen ohne Vorankündigung gesperrt oder entzogen werden, wenn konkrete Anhaltspunkte für eine Gefährdung der Sicherheit vorliegen.

5 SR 172.010 6 SR 831.10

Informationssicherheitsgesetz AS 2022 232

5. Abschnitt: Physischer Schutz

Art. 22 Grundsatz Die verpflichteten Behörden und Organisationen sorgen für einen angemessenen phy- sischen Schutz der Informationen und Informatikmittel, für die sie zuständig sind, vor Missbrauch und Störung.

Art. 23 Sicherheitszonen

1 Die verpflichteten Behörden und Organisationen können Räumlichkeiten und Be-

reiche als Sicherheitszone bezeichnen, in denen: a. häufig «vertraulich» oder «geheim» klassifizierte Informationen bearbeitet werden; oder b. Informatikmittel der Sicherheitsstufe «hoher Schutz» oder «sehr hoher Schutz» betrieben werden.

2 Sie sind befugt:

a. das Mitführen bestimmter Gegenstände, insbesondere von Aufnahmegeräten, zu verbieten; b. sicherheitsempfindliche Bereiche mit Aufnahmegeräten zu überwachen; c. Taschen- und Personenkontrollen durchzuführen; d. unangemeldet Raumkontrollen, auch in Abwesenheit der Angestellten, durch- zuführen.

3 Sie können in Sicherheitszonen, in denen «geheim» klassifizierte Informationen

häufig bearbeitet oder Informatikmittel der Sicherheitsstufe «sehr hoher Schutz» betrieben werden, störende Fernmeldeanlagen nach Artikel 34 Absatz 1 ter des Fern- meldegesetzes vom 30. April 19977 (FMG) betreiben. 4 Vorbehalten bleiben die besonderen Vorschriften für Sicherheitszonen gemäss völ- kerrechtlichen Verträgen nach Artikel 87 sowie für Schutzzonen von Anlagen nach der Gesetzgebung über den Schutz militärischer Anlagen.

6. Abschnitt: Identitätsverwaltungs-Systeme

Art. 24 Einsatz von Identitätsverwaltungs-Systemen 1 Die verpflichteten Behörden können zur zentralen Verwaltung der Daten zur Identi- fizierung von Personen, die Zugang zu Informationen, Informatikmitteln, Räumlich- keiten und anderen Infrastrukturen haben, Informationssysteme betreiben (Identitäts- verwaltungs-Systeme). 2 Die Identitätsverwaltungs-Systeme prüfen die Identität und berechtigungsbezogene Eigenschaften von Personen, Maschinen und Systemen. Sie übermitteln das Resultat

7 SR 784.10

Informationssicherheitsgesetz AS 2022 232

an die angeschlossenen Informationssysteme, damit diese die Berechtigungen ermit- teln können.

3 Die verpflichteten Behörden bezeichnen für jedes Identitätsverwaltungs-System

eine verantwortliche Stelle.

Art. 25 Datenaustausch und -abgleich

1 Die Identitätsverwaltungs-Systeme können mit den angeschlossenen Informations-

systemen, mit Personal- und Benutzerverzeichnissen und mit anderen Identitätsver- waltungs-Systemen von verpflichteten Behörden Daten austauschen und abgleichen. 2 Der Austausch und Abgleich ist auf die Daten zu begrenzen, die im jeweiligen Sys- tem bearbeitet werden dürfen.

Art. 26 Ausführungsbestimmungen Die verpflichteten Behörden erlassen Ausführungsbestimmungen insbesondere über: a. den Datenschutz und die Datensicherheit; b. die bearbeiteten Personendaten; c. den Datenaustausch und -abgleich mit anderen Systemen; d. die Protokollierung und die Weitergabe von Protokolldaten an die angeschlos- senen Informationssysteme; e. die periodische Kontrolle der Bearbeitung von Personendaten durch eine ex- terne Stelle.

3. Kapitel: Personensicherheitsprüfung

1. Abschnitt: Allgemeine Bestimmungen

Art. 27 Prüfzweck und Prüfungsinhalt 1 Die Personensicherheitsprüfung dient zur Beurteilung, ob ein Risiko für die Infor- mationssicherheit bestehen könnte, wenn eine Person im Rahmen ihrer Funktion oder eines Auftrags eine sicherheitsempfindliche Tätigkeit ausübt. 2 Zu diesem Zweck werden sicherheitsrelevante Daten über die Lebensführung der zu prüfenden Person, insbesondere über ihre engen persönlichen Beziehungen und fami- liären Verhältnisse, ihre finanzielle Lage und ihre Beziehungen zum Ausland, bear- beitet.

3 Daten über die Ausübung verfassungsmässiger Rechte dürfen nur dann bearbeitet

werden, wenn ein konkreter Verdacht besteht, dass die zu prüfende Person diese Rechte ausübt, um Tätigkeiten vorzubereiten oder auszuüben, welche die Interessen nach Artikel 1 Absatz 2 erheblich beeinträchtigen können.

Informationssicherheitsgesetz AS 2022 232

Art. 28 Funktionenliste 1 Die verpflichteten Behörden erlassen für ihren Zuständigkeitsbereich eine Liste der Funktionen, welche die Ausübung einer sicherheitsempfindlichen Tätigkeit erfordern.

2 Sie prüfen periodisch die Richtigkeit der Liste und passen sie an.

Art. 29 Zu prüfende Personen

1 Eine Personensicherheitsprüfung wird durchgeführt bei:

a. Angestellten des Bundes, externen Mitarbeitenden und Angehörigen der Armee, die eine Funktion ausüben, die in einer Liste nach Artikel 28 enthalten ist; b. Angestellten eines Kantons, die eine sicherheitsempfindliche Tätigkeit ausü- ben; c. Dritten, die für eine verpflichtete Behörde oder Organisation einen Auftrag ausführen, der die Ausübung einer sicherheitsempfindlichen Tätigkeit ein- schliesst; d. Personen, die aufgrund eines völkerrechtlichen Vertrags nach Artikel 87 einer Personensicherheitsprüfung unterzogen werden müssen. 2 Soll eine Person von einer ausländischen Behörde oder internationalen Organisation mit der Ausübung einer sicherheitsempfindlichen Tätigkeit betraut werden, so wird die Personensicherheitsprüfung durchgeführt, sofern die Schweiz mit dem betreffen- den Staat oder der betreffenden internationalen Organisation einen völkerrechtlichen Vertrag nach Artikel 87 abgeschlossen hat. 3 Personen, die eine Funktion ausüben, die noch nicht in einer Liste nach Artikel 28 enthalten ist, können mit Zustimmung der verpflichteten Behörde ausnahmsweise ei- ner Personensicherheitsprüfung unterzogen werden. Die betreffende Liste muss bei nächster Gelegenheit angepasst werden. 4 Nicht durchgeführt wird die Personensicherheitsprüfung bei Anwärterinnen und An- wärtern auf folgende Funktionen: a. Mitglied der Bundesversammlung; b. Mitglied des Bundesrates, Bundeskanzlerin oder Bundeskanzler; c. Richterin oder Richter eines eidgenössischen Gerichts; d. Bundesanwältin oder Bundesanwalt; e. Mitglied der Aufsichtsbehörde über die Bundesanwaltschaft; f. General; g. kantonale Magistratsperson, die vom Volk oder vom kantonalen Parlament gewählt wird.

Informationssicherheitsgesetz AS 2022 232

Art. 30 Prüfstufen Die verpflichteten Behörden ordnen den sicherheitsempfindlichen Tätigkeiten eine der folgenden Prüfstufen zu: a. Grundsicherheitsprüfung: für sicherheitsempfindliche Tätigkeiten, bei deren vorschriftswidriger oder unsachgemässer Ausübung die Interessen nach Arti- kel 1 Absatz 2 erheblich beeinträchtigt werden können; b. erweiterte Personensicherheitsprüfung: für sicherheitsempfindliche Tätigkei- ten, bei deren vorschriftswidriger oder unsachgemässer Ausübung die Interes- sen nach Artikel 1 Absatz 2 schwerwiegend beeinträchtigt werden können.

2. Abschnitt: Durchführung

Art. 31 Zuständige Stellen 1 Die verpflichteten Behörden und die Kantone legen fest, welche Stellen zuständig sind für: a. die Einleitung der Personensicherheitsprüfungen (einleitende Stellen); b. den Entscheid über die Ausübung der sicherheitsempfindlichen Tätigkeit (ent- scheidende Stellen).

2 Der Bundesrat setzt für die Durchführung der Personensicherheitsprüfungen eine

oder mehrere Fachstellen ein (Fachstellen PSP). Diese sind in ihrer Beurteilung wei- sungsungebunden.

Art. 32 Einwilligung und Mitwirkung

1 Personensicherheitsprüfungen dürfen nur mit der Einwilligung der zu prüfenden

Person durchgeführt werden. 2 Stellungspflichtige sowie Angehörige der Armee und des Zivilschutzes dürfen ohne deren Einwilligung geprüft werden. 3 Die zu prüfende Person ist verpflichtet, an der Feststellung des Sachverhalts mitzu- wirken.

Art. 33 Zeitpunkt der Personensicherheitsprüfung

1 Bei Personen nach Artikel 29 Absatz 1 Buchstaben a und b muss die Personensi-

cherheitsprüfung eingeleitet werden, bevor die Funktion übertragen wird.

2 Bei Personen nach Artikel 29 Absatz 1 Buchstabe a, die dem Bundesrat zur Wahl

vorgeschlagen werden sollen, muss die Personensicherheitsprüfung abgeschlossen sein, bevor die Person zur Wahl vorgeschlagen wird. 3 Bei Personen nach Artikel 29 Absatz 1 Buchstabe c muss die Personensicherheits- prüfung abgeschlossen sein, bevor sie mit der Ausübung der sicherheitsempfindlichen Tätigkeit beauftragt wird.

Informationssicherheitsgesetz AS 2022 232

4 Bei Personen nach Artikel 29 Absatz 1 Buchstabe d richtet sich der Zeitpunkt der Personensicherheitsprüfung nach den Bestimmungen des entsprechenden Vertrags.

Art. 34 Datenerhebung

1 Die Fachstelle PSP kann für die Grundsicherheitsprüfung aus folgenden Quellen

Daten über die zu prüfende Person erheben: a. aus dem Strafregister; b. bei den Strafbehörden durch Einholen von Auskünften und Akten über lau- fende, abgeschlossene oder eingestellte Strafverfahren; c. bei den Sicherheitsorganen des Bundes, dem Nachrichtendienst des Bundes (NDB), den Organen der Armee sowie weiteren Organen des Bundes, sofern diese Daten bearbeiten, die für die Beurteilung des Sicherheitsrisikos erfor- derlich sind; d. aus den Registern und Akten der Sicherheitsorgane der Kantone sowie der Polizei; e. aus den Registern der Betreibungs- und Konkursbehörden; f. aus den Akten bisheriger Personensicherheitsprüfungen; g. aus öffentlich zugänglichen Quellen. 2 Sie kann für die erweiterte Personensicherheitsprüfung zudem aus folgenden Quel- len Daten erheben: a. bei den eidgenössischen und kantonalen Steuerbehörden; b. aus den Registern der Einwohnerkontrollen; c. bei Finanzinstituten und Banken, mit welchen die zu prüfende Person Ge- schäftsbeziehungen unterhält; d. durch Befragung der zu prüfenden Person. 3 Ergeben sich gestützt auf die erhobenen Daten konkrete Hinweise auf ein Sicher- heitsrisiko oder sind für die Beurteilung nicht genügend Daten über einen hinreichen- den Zeitraum vorhanden, so kann die Fachstelle PSP die zu prüfende Person befragen. Sie kann mit der Einwilligung der zu prüfenden Person auch Dritte befragen; sie macht die Drittperson darauf aufmerksam, dass die Auskunft freiwillig ist. 4 Daten über Dritte, die untrennbar mit Daten über die zu prüfende Person verbunden sind, dürfen nur bearbeitet werden, wenn dies für die Beurteilung des Sicherheitsrisi- kos unerlässlich ist. Die Fachstelle PSP informiert die betroffenen Dritten über die Bearbeitung.

Art. 35 Amtshilfe 1 Müssen die Daten bei einer ausländischen Behörde oder internationalen Organisa- tion erhoben werden, so erfolgt dies über die zuständige Behörde oder Organisation nach Artikel 34.

Informationssicherheitsgesetz AS 2022 232

2 Ergibt die Datenerhebung konkrete Hinweise auf das organisierte oder internationale Verbrechen, so konsultiert die Fachstelle PSP die kriminalpolizeilichen Zentralstellen des Bundes. Die Zentralstellen geben der Fachstelle PSP nur sicherheitsrelevante Per- sonendaten bekannt.

Art. 36 Kostentragung

1 Behörden und Organisationen des öffentlichen Rechts, bei denen Daten erhoben

werden dürfen oder die am Verfahren mitwirken müssen, sind verpflichtet, unentgelt- lich mitzuwirken. 2 Entsteht für Dritte durch die Mitwirkung ein erheblicher Aufwand, so werden sie dafür entschädigt. 3 Der Bund trägt die Kosten der Personensicherheitsprüfungen von Angestellten der Kantone nach Artikel 29 Absatz 1 Buchstabe b.

Art. 37 Einstellung 1 Die Fachstelle PSP stellt das Prüfverfahren ein, wenn die zu prüfende Person ihre Einwilligung zurückzieht oder für die Funktion oder für den Auftrag nicht mehr in Frage kommt. 2 Sie teilt die Einstellung des Prüfverfahrens der betreffenden Person und der einlei- tenden Stelle mit. Die betreffende Person gilt damit als nicht geprüft.

3. Abschnitt: Beurteilung des Sicherheitsrisikos

Art. 38 Sicherheitsrisiko

1 Ein Sicherheitsrisiko besteht, wenn aufgrund der erhobenen Daten konkrete An-

haltspunkte vorliegen, dass die geprüfte Person die sicherheitsempfindliche Tätigkeit mit hoher Wahrscheinlichkeit vorschriftswidrig oder unsachgemäss ausüben wird.

2 Die Wahrscheinlichkeit einer vorschriftswidrigen oder unsachgemässen Ausübung

der sicherheitsempfindlichen Tätigkeit kann insbesondere dann als hoch gelten, wenn konkrete Anhaltspunkte für folgende persönliche Eigenschaften vorliegen: a. mangelnde persönliche Integrität oder Vertrauenswürdigkeit; b. Erpressbarkeit oder Bestechlichkeit; oder c. beeinträchtigtes Urteils- oder Entscheidungsvermögen. 3 Das Sicherheitsrisiko muss ungeachtet des Verschuldens der geprüften Person auf- grund der tatsächlichen Umstände ihrer persönlichen Verhältnisse festgestellt werden.

Art. 39 Ergebnis der Beurteilung 1 Die Fachstelle PSP stellt das Ergebnis der Beurteilung als eine der folgenden Erklä- rungen mit der nachstehenden Bedeutung aus:

Informationssicherheitsgesetz AS 2022 232

a. Sicherheitserklärung: Es besteht kein Sicherheitsrisiko. b. Sicherheitserklärung mit Vorbehalt: Es besteht ein Sicherheitsrisiko, das mit Auflagen auf ein tragbares Mass reduziert werden kann. Die Fachstelle PSP empfiehlt entsprechende Auflagen. c. Risikoerklärung: Es besteht ein Sicherheitsrisiko. d. Feststellungserklärung: Für die Beurteilung des Sicherheitsrisikos sind nicht genügend Daten über einen hinreichenden Zeitraum vorhanden. 2 Bevor die Fachstelle PSP eine Erklärung nach Absatz 1 Buchstaben b–d ausstellt, gibt sie der geprüften Person die Möglichkeit zur Stellungnahme.

Art. 40 Mitteilung 1 Die Fachstelle PSP teilt ihre Erklärung der geprüften Person sowie der entscheiden- den Stelle schriftlich mit. 2 Bei den vom Bundesrat zu wählenden Personen teilt die Fachstelle PSP ihre Erklä- rung dem antragstellenden Departement mit. 3 Sie kann einer anderen entscheidenden Stelle die Erklärung mitteilen, wenn die ge- prüfte Person: a. für eine andere sicherheitsempfindliche Tätigkeit nach diesem Gesetz einer Personensicherheitsprüfung untersteht; b. einer Prüfung der Vertrauenswürdigkeit nach einem anderen Bundesgesetz untersteht; c. als Angehörige der Armee einer Prüfung nach Artikel 113 des Militärgesetzes vom 3. Februar 19958 untersteht. 4 Liegen der Fachstelle PSP bereits vor Abschluss der Beurteilung konkrete Anhalts- punkte vor, dass ein Sicherheitsrisiko bestehen könnte, so kann sie den Stellen nach den Absätzen 1–3 sowie der zu prüfenden Person die vorläufigen Erkenntnisse schrift- lich mitteilen.

4. Abschnitt: Folgen der Erklärung

Art. 41 Ausübung der sicherheitsempfindlichen Tätigkeit

1 Die Erklärungen der Fachstellen PSP haben empfehlenden Charakter.

2 Die Stelle nach Artikel 31 Absatz 1 Buchstabe b entscheidet nach Kenntnisnahme

der Erklärung ob die geprüfte Person die sicherheitsempfindliche Tätigkeit ausüben darf.

8 SR 510.10

Informationssicherheitsgesetz AS 2022 232

3 Sie kann die Ausübung der sicherheitsempfindlichen Tätigkeit mit Auflagen verbin- den.

4 Sie teilt ihren Entscheid der Fachstelle PSP mit.

Art. 42 Mehrmalige Verwendung einer Erklärung Auf die Durchführung der Personensicherheitsprüfung kann verzichtet werden, wenn für die betreffende Person bereits eine Erklärung derselben oder der höheren Prüfstufe ausgestellt wurde: a. für eine andere sicherheitsempfindliche Tätigkeit nach diesem Gesetz; b. im Rahmen einer Prüfung der Vertrauenswürdigkeit nach einem anderen Bun- desgesetz.

Art. 43 Wiederholung

1 Die Personensicherheitsprüfung wird wie folgt wiederholt:

a. Grundsicherheitsprüfung: frühestens nach fünf, spätestens aber nach zehn Jahren; b. erweiterte Personensicherheitsprüfung: frühestens nach drei, spätestens aber nach fünf Jahren.

2 Der Bundesrat kann für Funktionen der Armee und des Zivilschutzes von der Wie-

derholung der Grundsicherheitsprüfung absehen. 3 Hat die einleitende oder die entscheidende Stelle Grund anzunehmen, dass seit der letzten Prüfung neue Risiken entstanden sind, so kann sie bei der Fachstelle PSP mit schriftlicher Begründung eine Wiederholung der Personensicherheitsprüfung verlan- gen.

Art. 44 Rechtsschutz 1 Die geprüfte Person hat nach Erhalt der Erklärung nach Artikel 39 Absatz 1 30 Tage Zeit, um: a. Einsicht in die Prüfungsunterlagen zu nehmen; b. die Berichtigung falscher Daten oder die Vernichtung nicht mehr aktueller Daten zu verlangen; c. einen Bestreitungsvermerk anbringen zu lassen. 2 Die Einschränkung des Auskunftsrechts richtet sich nach Artikel 9 des Bundesge- setzes vom 19. Juni 19929 über den Datenschutz (DSG). 3 Die Erklärung stellt einen Realakt nach Artikel 25a des Verwaltungsverfahrensge- setzes vom 20. Dezember 196810 dar. Die geprüfte Person kann gegen eine Erklärung

9 SR 235.1 10 SR 172.021

Informationssicherheitsgesetz AS 2022 232

nach Artikel 39 Absatz 1 Buchstaben b–d innerhalb von 30 Tagen nach deren Erhalt beim Bundesverwaltungsgericht Beschwerde führen. 4 Ist das Bundesgericht oder das Bundesverwaltungsgericht die entscheidende Stelle, so gilt Artikel 36 Absätze 2 und 4 des Bundespersonalgesetzes vom 24. März 2000 11 sinngemäss.

5 Das Beschwerdeverfahren richtet sich im Übrigen nach den allgemeinen Bestim-

mungen über die Bundesrechtspflege.

5. Abschnitt: Bearbeitung von Personendaten

Art. 45 Informationssystem zur Personensicherheitsprüfung 1 Die Fachstellen PSP betreiben zur Durchführung der Personensicherheitsprüfungen ein Informationssystem. 2 Jede Fachstelle PSP ist für die rechtmässige Bearbeitung der Personendaten im In- formationssystem verantwortlich.

3 Im Informationssystem können besonders schützenswerte Personendaten und Per-

sönlichkeitsprofile nach Artikel 3 Buchstaben c und d DSG12 bearbeitet werden, so- fern dies zur Beurteilung des Sicherheitsrisikos erforderlich ist.

4 Das Informationssystem enthält folgende Daten:

a. Daten zur Identität der zu prüfenden oder geprüften Personen, einschliesslich der AHV-Versichertennummer und der Passnummer; b. die Daten nach den Artikeln 34 und 35; c. die Beurteilung des Sicherheitsrisikos; d. die Erklärung nach Artikel 39 Absatz 1; e. den Entscheid der entscheidenden Stelle; f. Daten und Akten aus Beschwerdeverfahren; g. Listen und Statistiken, die Daten nach den Buchstaben a–f enthalten.

5 Werden Daten nach Absatz 4 ausserhalb des Informationssystems bearbeitet, so

muss dies im Informationssystem vermerkt werden.

6 Die Daten nach Absatz 4 können automatisch und systematisch durch Abfrage der

folgenden Informationssysteme erhoben werden: a. Strafregister-Informationssystem VOSTRA nach den Artikeln 365–371a des Strafgesetzbuchs13; b. nationaler Polizeiindex nach Artikel 17 des Bundesgesetzes vom 13. Juni

200814 über die polizeilichen Informationssysteme des Bundes;

11 SR 172.220.1 12 SR 235.1 13 SR 311.0 14 SR 361

Informationssicherheitsgesetz AS 2022 232

c. INDEX NDB nach Artikel 51 des Nachrichtendienstgesetzes vom 25. Sep- tember 201515.

Art. 46 Zugriffsrechte und Datenbekanntgabe 1 Die folgenden Stellen haben im Abrufverfahren Zugriff auf die nachstehenden Da- ten im Informationssystem: a. einleitende Stellen: auf die Daten nach Artikel 45 Absatz 4 Buchstabe b, die sie anlässlich der Einleitung der Prüfung selber erfasst haben, sowie die Daten nach Artikel 45 Absatz 4 Buchstaben a, d und e; b. entscheidende Stellen: auf die Daten nach Artikel 45 Absatz 4 Buchstaben a, d und e; c. Informationssicherheitsbeauftragte nach Artikel 81 zur Erfüllung ihrer Kon- trollaufgaben: auf die Daten nach Artikel 45 Absatz 4 Buchstaben a, d und e; d. Stellen des Bundes und der Kantone, bei denen Daten nach Artikel 37 erhoben werden: auf die Daten nach Artikel 45 Absatz 4 Buchstabe a. 2 Die folgenden Stellen haben über eine Schnittstelle Zugriff auf die nachstehenden Daten im Informationssystem: a. die Fachstelle nach Artikel 51 Absatz 2 zur Durchführung des Betriebssicher- heitsverfahrens nach den Artikeln 49–73 über das Informationssystem nach Artikel 70: auf die Daten nach Artikel 45 Absatz 4 Buchstaben a, d und e; b. die Gruppe Verteidigung:

1. zur Erfüllung ihrer Aufgaben nach Artikel 13 des Bundesgesetzes vom

3. Oktober 200816 über die militärischen Informationssysteme (MIG) über das Personalinformationssystem der Armee nach Artikel 12 MIG: auf die Daten nach Artikel 45 Absatz 4 Buchstaben a, d und e,

2. zur Erfüllung ihrer Aufgaben nach Artikel 19 MIG über das Informati-

onssystem Rekrutierung nach Artikel 18 MIG: auf die Daten nach Arti- kel 45 Absatz 4 Buchstaben a und e,

3. zur Erfüllung ihrer Aufgaben nach Artikel 157 MIG über das Informati-

onssystem Besuchsanträge nach Artikel 156 MIG: auf die Daten nach Artikel 45 Absatz 4 Buchstaben a und e,

4. zur Erfüllung ihrer Aufgaben nach Artikel 163 MIG über das Informati-

onssystem Zutrittskontrolle nach Artikel 162 MIG: auf die Daten nach Artikel 45 Absatz 4 Buchstaben a und e; c. die Stelle, die für die Sicherheitsbescheinigung im internationalen Verhältnis nach Artikel 48 Buchstabe c zuständig ist: auf die Daten nach Artikel 45 Ab- satz 4 Buchstaben a, d und e.

15 SR 121 16 SR 510.91

Informationssicherheitsgesetz AS 2022 232

3 Die Fachstellen PSP können zudem Daten nach Artikel 45 Absatz 4 Buchstaben a

und e weiteren Stellen des Bundes bekanntgeben, sofern dies zur Kontrolle des Zu- tritts zu einer Sicherheitszone erforderlich ist. 4 Sie können den verpflichteten Behörden und Organisationen Listen und Statistiken nach Artikel 45 Absatz 1 Buchstabe g bekanntgeben, sofern dies zur Erfüllung von deren Kontrollaufgaben nach diesem Gesetz erforderlich ist.

Art. 47 Datenaufbewahrung, -archivierung und -vernichtung

1 Die Fachstellen PSP können Befragungen nach Artikel 34 Absätze 2 Buchstabe d

und 3 mit technischen Geräten aufnehmen und auf Datenträgern aufbewahren. 2 Sie bewahren die Daten so lange auf, wie die betreffende Person die sicherheitsemp- findliche Tätigkeit ausübt, längstens jedoch zehn Jahre. 3 Die Archivierung der Daten richtet sich nach den Vorschriften der Archivierungs- gesetzgebung. 4 Wird das Prüfverfahren eingestellt, tritt eine geprüfte Person die vorgesehene Funk- tion nicht an oder lehnt sie den Auftrag ab, so werden alle mit der Personensicher- heitsprüfung zusammenhängenden Daten und Akten spätestens nach drei Monaten vernichtet.

6. Abschnitt: Bestimmungen des Bundesrats

Art. 48 Der Bundesrat regelt: a. das Verfahren der Personensicherheitsprüfung; b. die Organisation der Fachstellen PSP; c. die Sicherheitsbescheinigung für Personen im internationalen Verhältnis; d. die Verantwortung für den Datenschutz in Zusammenhang mit dem Informa- tionssystem nach Artikel 45 sowie die Datensicherheit; e. die periodische Kontrolle der Bearbeitung von Personendaten durch eine externe Stelle.

4. Kapitel: Betriebssicherheitsverfahren

1. Abschnitt: Allgemeine Bestimmungen

Art. 49 Verfahrenszweck Das Betriebssicherheitsverfahren dient zur Gewährleistung der Informationssicher- heit bei der Erfüllung von öffentlichen Aufträgen durch Unternehmen und Subunter- nehmen oder Teile davon (Betriebe), sofern die Aufträge die Ausübung einer sicher- heitsempfindlichen Tätigkeit einschliessen (sicherheitsempfindliche Aufträge).

Informationssicherheitsgesetz AS 2022 232

Art. 50 Betroffene Betriebe

1 Das Betriebssicherheitsverfahren kann durchgeführt werden bei Betrieben:

a. die einen sicherheitsempfindlichen Auftrag einer verpflichteten Behörde oder Organisation ausführen sollen; b. mit Sitz in der Schweiz, die sich um einen Auftrag bewerben, für den sie eine Betriebssicherheitsbescheinigung nach Artikel 66 benötigen.

2 Das Verfahren darf nur mit Einwilligung des Betriebs durchgeführt werden.

3 Die Betriebe nach Absatz 1 Buchstabe b tragen die Kosten des Verfahrens.

Art. 51 Einstellung des Verfahrens

1 Das Betriebssicherheitsverfahren wird eingestellt, wenn der Betrieb:

a. seine Einwilligung zurückzieht oder am Verfahren nicht mitwirkt; b. sein Angebot zurückzieht; c. für den Auftrag nicht mehr in Frage kommt. 2 Die für die Durchführung des Betriebssicherheitsverfahrens zuständige Fachstelle (Fachstelle BS) teilt dem Betrieb und der den Auftrag vergebenden Behörde oder Organisation (Auftraggeberin) die Einstellung des Verfahrens mit.

2. Abschnitt: Einleitung des Betriebssicherheitsverfahrens

Art. 52 Antrag auf Einleitung 1 Verpflichtete Behörden und Organisationen beantragen der Fachstelle BS die Ein- leitung des Verfahrens, wenn sie beabsichtigen, einen sicherheitsempfindlichen Auf- trag zu vergeben. 2 Die verpflichteten Behörden legen fest, welche Stellen für die Antragstellung zu- ständig sind. 3 Für Betriebe nach Artikel 50 Absatz 1 Buchstabe b stellt die zuständige ausländische Behörde oder internationale Organisation den Antrag.

Art. 53 Prüfung des Antrags

1 Die Fachstelle BS prüft den Antrag und leitet das Verfahren ein.

2 Sie kann im Einvernehmen mit der Auftraggeberin auf die Einleitung verzichten,

wenn das Sicherheitsrisiko mit anderen Massnahmen auf ein tragbares Mass reduziert werden kann. Sie empfiehlt entsprechende Massnahmen.

Art. 54 Festlegung der Sicherheitsanforderungen Die Fachstelle BS legt in Absprache mit der Auftraggeberin die Anforderungen an die Informationssicherheit für das Vergabeverfahren und die Auftragserfüllung fest.

Informationssicherheitsgesetz AS 2022 232

3. Abschnitt: Beurteilung der Betriebe

Art. 55 Eignung 1 Die Auftraggeberin teilt der Fachstelle BS mit, welche Betriebe für die Ausführung des sicherheitsempfindlichen Auftrags in Frage kommen. 2 Die Fachstelle BS beurteilt, ob diese Betriebe zur Ausführung des sicherheitsemp- findlichen Auftrags geeignet sind oder ob ein Sicherheitsrisiko besteht.

3 Sie ist in ihrer Beurteilung weisungsungebunden.

Art. 56 Datenerhebung

1 Die Fachstelle BS kann zur Beurteilung der Eignung Daten erheben:

a. beim Betrieb; b. beim NDB; c. aus öffentlich zugänglichen Quellen. 2 Sie kann ausländische und internationale Dienststellen um die Zustellung entspre- chender Daten ersuchen. Anfragen an ausländische Nachrichtendienste erfolgen über den NDB.

Art. 57 Sicherheitsrisiko

1 Ein Sicherheitsrisiko besteht, wenn aufgrund der erhobenen Daten konkrete An-

haltspunkte vorliegen, dass der Betrieb den sicherheitsempfindlichen Auftrag mit ho- her Wahrscheinlichkeit vorschriftswidrig oder unsachgemäss ausführen wird. 2 Die Wahrscheinlichkeit einer vorschriftswidrigen oder unsachgemässen Ausführung des sicherheitsempfindlichen Auftrags kann insbesondere dann als hoch gelten, wenn: a. der Betrieb mangelnde Integrität oder Vertrauenswürdigkeit aufweist; b. der Betrieb von ausländischen Staaten oder Organisationen des öffentlichen oder privaten Rechts kontrolliert oder beeinflusst wird und diese Kontrolle oder dieser Einfluss nicht mit dem Schutz der Interessen nach Artikel 1 Absatz

2 vereinbar ist;

c. für Personen des Betriebs, die für die Ausführung des sicherheitsempfindli- chen Auftrags unentbehrlich sind, eine Risikoerklärung ausgestellt wurde. 3 Das Sicherheitsrisiko muss ungeachtet eines Verschuldens aufgrund der tatsächli- chen Umstände und Verhältnisse des betroffenen Betriebs festgestellt werden.

Art. 58 Eröffnung der Beurteilung und Ausschluss aus dem Vergabeverfahren 1 Die Fachstelle BS teilt ihre Beurteilung der Auftraggeberin mit und eröffnet sie dem Betrieb durch Verfügung.

Informationssicherheitsgesetz AS 2022 232

2 Kommt die Fachstelle BS zum Schluss, dass die Ausführung des sicherheitsemp-

findlichen Auftrags mit einem Sicherheitsrisiko verbunden ist, so schliesst die Auf- traggeberin den Betrieb vom Vergabeverfahren aus. 3 Ist die Ausführung des sicherheitsempfindlichen Auftrags bei allen in Frage kom- menden Betrieben mit einem Sicherheitsrisiko verbunden, so kann die Auftraggeberin trotzdem einem dieser Betriebe den Auftrag erteilen. Die Fachstelle BS stellt das Be- triebssicherheitsverfahren ein. Die Auftraggeberin wendet die Massnahmen nach den Artikeln 59, 60, 63 und 64 sinngemäss an.

4. Abschnitt: Sicherheitskonzept

Art. 59 Zuschlag und Sicherheitskonzept 1 Die Auftraggeberin teilt der Fachstelle BS mit, welcher Betrieb den Zuschlag erhält.

2 Der Betrieb erstellt nach den Vorgaben der Fachstelle BS ein Sicherheitskonzept.

3 Die Fachstelle BS prüft das Sicherheitskonzept. Sie kann die dazu erforderlichen Daten schriftlich erheben oder den Betrieb inspizieren.

Art. 60 Personensicherheitsprüfungen 1 Personen des Betriebs, die für eine sicherheitsempfindliche Tätigkeit vorgesehen sind, werden einer Personensicherheitsprüfung unterzogen. 2 Die Fachstelle BS ist für den Entscheid nach Artikel 41 Absatz 2 zuständig. Wird das Verfahren eingestellt, weil sich kein Betrieb für die Ausführung des Auftrags eig- net (Art. 58 Abs. 3), so ist die Auftraggeberin für den Entscheid zuständig.

5. Abschnitt: Betriebssicherheitserklärung

Art. 61 Ausstellung der Betriebssicherheitserklärung 1 Die Fachstelle BS stellt dem Betrieb eine Betriebssicherheitserklärung in Form einer Verfügung aus, sobald dieser das Sicherheitskonzept nachweislich umgesetzt hat. 2 Sie verweigert dem Betrieb die Betriebssicherheitserklärung und stellt das Betriebs- sicherheitsverfahren ein, wenn er das Sicherheitskonzept nicht umsetzt. Sie erlässt eine entsprechende Verfügung. 3 Die Verfügungen nach den Absätzen 1 und 2 werden der Auftraggeberin mitgeteilt.

4 Die Auftraggeberin ist an die Verfügung der Fachstelle BS gebunden; vorbehalten bleibt Artikel 58 Absatz 3.

5 Die Gültigkeit der Betriebssicherheitserklärung beträgt fünf Jahre.

Informationssicherheitsgesetz AS 2022 232

Art. 62 Ausführung des sicherheitsempfindlichen Auftrags Die Auftraggeberin darf den sicherheitsempfindlichen Auftrag erst ausführen lassen, wenn die Fachstelle BS die Betriebssicherheitserklärung ausgestellt hat.

Art. 63 Pflichten des Betriebs 1 Betriebe, die über eine Betriebssicherheitserklärung verfügen, müssen die Massnah- men des Sicherheitskonzepts laufend umsetzen. 2 Sie melden der Fachstelle BS und der Auftraggeberin unverzüglich alle sicherheits- relevanten Änderungen und Vorfälle.

Art. 64 Kontrollen und Schutzmassnahmen

1 Die Fachstelle BS ist befugt:

a. Bereiche, in denen der sicherheitsempfindliche Auftrag ausgeführt wird, ohne Vorankündigung zu inspizieren; b. auftragsrelevante Unterlagen einzusehen. 2 Liegen konkrete Anhaltspunkte vor, dass die Informationssicherheit in einem Be- trieb gefährdet ist, so kann die Fachstelle BS umgehend die erforderlichen Schutz- massnahmen treffen und insbesondere Unterlagen und Material sicherstellen.

Art. 65 Vereinfachtes Verfahren bei der Vergabe weiterer sicherheitsempfindlicher Aufträge Betriebe, die über eine Betriebssicherheitserklärung verfügen, gelten für weitere sicherheitsempfindliche Aufträge als geeignet. Die Fachstelle BS prüft, ob das Sicher- heitskonzept angepasst werden muss.

Art. 66 Internationale Betriebssicherheitsbescheinigung Die Fachstelle BS stellt dem Betrieb auf dessen Antrag hin eine internationale Be- triebssicherheitsbescheinigung aus.

Art. 67 Widerruf der Betriebssicherheitserklärung

1 Die Fachstelle BS widerruft die Betriebssicherheitserklärung, wenn:

a. der Betrieb seine Pflichten nach Artikel 63 nicht erfüllt; b. sich im Rahmen einer Wiederholung des Verfahrens ein Sicherheitsrisiko ergibt. 2 Sie teilt den Widerruf mittels Verfügung dem Betrieb und der Auftraggeberin mit.

3 Wird die Betriebssicherheitserklärung widerrufen, so zieht die Auftraggeberin den Auftrag umgehend zurück; vorbehalten bleibt Artikel 58 Absatz 3. Der Betrieb hat keinen Anspruch auf Entschädigung.

Informationssicherheitsgesetz AS 2022 232

6. Abschnitt: Wiederholung des Verfahrens und Rechtsschutz

Art. 68 Wiederholung des Verfahrens Das Betriebssicherheitsverfahren wird wiederholt, wenn: a. im Zeitpunkt des Ablaufs der Gültigkeit der Betriebssicherheitserklärung ein sicherheitsempfindlicher Auftrag hängig ist; b. konkrete Anhaltspunkte vorliegen, dass in Folge wesentlicher Änderungen im Betrieb neue Sicherheitsrisiken entstanden sind.

Art. 69 Rechtsschutz

1 Der Betrieb hat nach Eröffnung einer Verfügung der Fachstelle BS 30 Tage Zeit,

um: a. Einsicht in die Unterlagen zu nehmen; b. die Berichtigung falscher Daten oder die Vernichtung nicht mehr aktueller Daten zu verlangen; c. einen Bestreitungsvermerk anbringen zu lassen; d. beim Bundesverwaltungsgericht Beschwerde zu führen.

2 Die Einschränkung des Auskunftsrechts richtet sich nach Artikel 9 DSG17.

7. Abschnitt: Bearbeitung von Personendaten

Art. 70 Informationssystem zum Betriebssicherheitsverfahren 1 Die Fachstelle BS betreibt zur Durchführung und Bewirtschaftung des Betriebssi- cherheitsverfahrens ein Informationssystem.

2 Im Informationssystem können besonders schützenswerte Personendaten und Per-

sönlichkeitsprofile nach Artikel 3 Buchstaben c und d DSG18 bearbeitet werden, so- fern dies zur Durchführung des Betriebssicherheitsverfahrens erforderlich ist.

3 Das Informationssystem enthält folgende Daten:

a. die Daten nach den Artikeln 56 und 59 Absatz 3; b. das Ergebnis der Beurteilung nach Artikel 55 Absatz 2; c. die Ergebnisse der für das Betriebssicherheitsverfahren erforderlichen Perso- nensicherheitsprüfungen nach Artikel 60 Absatz 1; d. den Entscheid der Fachstelle BS nach Artikel 60 Absatz 2; e. die Namen aller Betriebe mit einer Betriebssicherheitserklärung;

17 SR 235.1 18 SR 235.1

Informationssicherheitsgesetz AS 2022 232

f. die Massnahmen allfälliger Kontrollen nach Artikel 64; g. Daten und Akten aus Beschwerdeverfahren. 4 Die Fachstelle BS ist für die Sicherheit des Informationssystems sowie die recht- mässige Bearbeitung der Personendaten verantwortlich.

Art. 71 Zugriffsrechte und Datenbekanntgabe 1 Die folgenden Stellen haben im Abrufverfahren Zugriff auf die nachstehenden Da- ten: a. Auftraggeberinnen: auf die Daten nach Artikel 70 Absatz 3 Buchstaben b und d–g; b. betroffene Betriebe, sofern sie vom Bundesrat gestützt auf Artikel 31 Absatz 1 Buchstabe a ermächtigt worden sind, in ihrem Zuständigkeitsbereich Perso- nensicherheitsprüfungen einzuleiten: auf die Daten nach Artikel 70 Absatz 3 Buchstabe d. 2 Die Fachstelle BS kann zudem Daten nach Artikel 70 Absatz 3 Buchstaben b–d wei- teren Stellen des Bundes bekanntgeben, sofern dies zur Gewährleistung der Informa- tionssicherheit erforderlich ist.

Art. 72 Datenaufbewahrung, -archivierung und -vernichtung 1 Die Fachstelle BS bewahrt die Daten so lange auf, wie der betroffene Betrieb im Besitz einer Betriebssicherheitserklärung ist, längstens jedoch zehn Jahre. 2 Die Archivierung der Daten richtet sich nach den Vorschriften der Archivierungs- gesetzgebung. 3 Wird das Betriebssicherheitsverfahren eingestellt, so werden alle damit zusammen- hängenden Daten und Akten spätestens nach drei Monaten vernichtet.

8. Abschnitt: Bestimmungen des Bundesrats

Art. 73 Der Bundesrat regelt: a. das Betriebssicherheitsverfahren im Einzelnen; b. die Anwendung des Betriebssicherheitsverfahrens auf Subunternehmen; c. die Organisation der Fachstelle BS; d. die Datensicherheit im Informationssystem nach Artikel 70; e. die periodische Kontrolle der Bearbeitung von Personendaten durch eine externe Stelle.

Informationssicherheitsgesetz AS 2022 232

5. Kapitel: Kritische Infrastrukturen

Art. 74 Aufgaben des Bundes 1 Der Bund unterstützt die Betreiberinnen von kritischen Infrastrukturen, um zu ge- währleisten, dass Netz- und Systemunterbrechungen sowie Missbräuche selten, von kurzer Dauer und beherrschbar sind und das Schadensausmass gering ist.

2 Die Unterstützung im Bereich der Informationssicherheit umfasst:

a. die frühzeitige Identifizierung und Bewertung von Bedrohungen, Gefahren, Schwachstellen und Sicherheitslücken; b. die Erkennung von Vorfällen; c. die Erhaltung und Wiederherstellung der Informationssicherheit nach einem Vorfall; d. die Nachbearbeitung von Vorfällen. 3 Der Bund führt einen nationalen Frühwarndienst und eine Anlaufstelle für präven- tive und reaktive Massnahmen im Bereich der technischen Informationssicherheit. 4 Er sorgt dafür, dass die Betreiberinnen von kritischen Infrastrukturen mit den zu- ständigen Stellen des Bundes sowie gegenseitig Informationen sicher austauschen können. 5 Der Bundesrat bezeichnet die für diese Aufgaben zuständigen Stellen des Bundes.

Art. 75 Bearbeitung von Personendaten 1 Die Stellen nach Artikel 74 Absatz 5 können zur Erfüllung ihrer Aufgaben Adres- sierungselemente nach Artikel 3 Buchstabe f FMG19 und damit zusammenhängende Personendaten bearbeiten.

2 Sie können die Daten nach Absatz 1 auch bearbeiten, wenn diese:

a. Informationen über religiöse, weltanschauliche oder politische Ansichten ent- halten; die Bearbeitung ist nur zulässig, wenn sie für die Bewertung von kon- kreten Bedrohungen und Gefahren im Bereich der Informationssicherheit er- forderlich ist; b. Informationen über administrative oder strafrechtliche Verfolgungen und Sanktionen enthalten.

3 Die Personendaten können bearbeitet werden, ohne dass dies für die betroffenen

Personen ersichtlich ist. 4 Liegen konkrete Hinweise auf den Missbrauch einer Identität oder auf die unberech- tigte Verwendung von Adressierungselementen vor, so sind die betroffenen Personen zu informieren. Vorbehalten bleiben die Artikel 18a Absatz 4 Buchstabe b und 18b

19 SR 784.10 20 SR 235.1

Informationssicherheitsgesetz AS 2022 232

Art. 76 Zusammenarbeit im Inland 1 Die Stellen nach Artikel 74 Absatz 5 können den Betreiberinnen von kritischen Inf- rastrukturen Personendaten nach Artikel 75 bekanntgeben, sofern dies zur Gewähr- leistung der Informationssicherheit zweckmässig ist.

2 Sie können den Anbieterinnen und Betreiberinnen von Informatik- und Kommuni-

kationsdiensten Personendaten nach Artikel 75 bekanntgeben, sofern dies zur Ge- währleistung der Informationssicherheit von kritischen Infrastrukturen erforderlich ist. 3 Die Betreiberinnen von kritischen Infrastrukturen sowie die Anbieterinnen und Be- treiberinnen von Informatik- und Kommunikationsdiensten können den Stellen nach Artikel 74 Absatz 5 Daten, einschliesslich Personendaten, die sich auf einen bestimm- ten Vorfall beziehen, bekanntgeben. Die Stellen nach Artikel 74 Absatz 5 dürfen diese Daten nur mit ausdrücklicher Einwilligung der Datenlieferantinnen zu Strafverfol- gungszwecken weitergeben.

Art. 77 Internationale Zusammenarbeit 1 Die Stellen nach Artikel 74 Absatz 5 können mit ausländischen und internationalen Stellen, die für den Schutz kritischer Infrastrukturen zuständig sind, Daten nach Arti- kel 75 austauschen, wenn sie diese Daten für die Erfüllung von Aufgaben benötigen, die den Aufgaben nach Artikel 74 entsprechen.

2 Der Datenaustausch nach Absatz 1 ist nur dann zulässig, wenn die ausländischen

und internationalen Stellen die bestimmungsgemässe Verwendung gewährleisten. 3 Werden die Daten für ein rechtliches Verfahren im Ausland benötigt, so gelten die Bestimmungen über die Amts- und Rechtshilfe.

Art. 78 Informationssystem zur Unterstützung von kritischen Infrastrukturen 1 Die Stellen nach Artikel 74 Absatz 5 betreiben ein Informationssystem, um den si- cheren Austausch von Informationen mit den Betreiberinnen von kritischen Infra- strukturen zu gewährleisten.

2 Das Informationssystem enthält folgende Informationen:

a. Beschreibungen und Einschätzungen von Bedrohungen und Gefahren; b. Anweisungen zur technischen Erkennung und Behebung von Vorfällen; c. Vorfallanalysen und Sicherheitsempfehlungen; d. Analysen betreffend Schwachstellen von Informatikmitteln; e. Korrespondenz.

3 Die Informationen nach Absatz 2 können auch Personendaten nach Artikel 75 ent-

halten.

Informationssicherheitsgesetz AS 2022 232

Art. 79 Datenaufbewahrung und -archivierung 1 Die Stellen nach Artikel 74 Absatz 5 bewahren Personendaten nur so lange auf, wie dies zur Abwehr von Gefahren oder zur Erkennung von Vorfällen zweckmässig ist, höchstens jedoch fünf Jahre. 2 Die Archivierung der Daten richtet sich nach den Vorschriften der Archivierungs- gesetzgebung.

Art. 80 Bestimmungen des Bundesrats Der Bundesrat regelt: a. die Aufgabenteilung, die Zusammenarbeit und den Austausch von Informati- onen zwischen den Stellen nach Artikel 74 Absatz 5 und dem NDB; b. die Bekanntgabe von Informationen an Betreiberinnen von kritischen Infra- strukturen, Dritte sowie ausländische und internationale Stellen; c. die Verantwortung für den Datenschutz in Zusammenhang mit dem Informa- tionssystem nach Artikel 78 sowie die Datensicherheit; d. die periodische Kontrolle der Bearbeitung von Personendaten im Informati- onssystem nach Artikel 78 durch eine externe Stelle.

6. Kapitel: Organisation und Vollzug

1. Abschnitt: Organisation

Art. 81 Informationssicherheitsbeauftragte

1 Die folgenden Behörden und Organisationen bezeichnen für ihren Zuständigkeits-

bereich eine Informationssicherheitsbeauftragte oder einen Informationssicherheits- beauftragten sowie eine Stellvertreterin oder einen Stellvertreter: a. Bundesrat; b. Verwaltungsdelegation der Bundesversammlung; c. eidgenössische Gerichte; d. Bundesanwaltschaft; e. Schweizerische Nationalbank; f. Departemente und Bundeskanzlei.

2 Die Informationssicherheitsbeauftragten haben folgende Aufgaben:

a. Sie beraten und unterstützen die zuständigen Stellen in ihrem Bereich bei der Erfüllung ihrer Aufgaben und Pflichten nach diesem Gesetz. b. Sie steuern im Auftrag ihrer Behörde oder Organisation die Fachorganisation der Informationssicherheit sowie das entsprechende Risikomanagement.

Informationssicherheitsgesetz AS 2022 232

c. Sie überprüfen im Auftrag ihrer Behörde oder Organisation die Einhaltung der Vorgaben der Informationssicherheit, erstatten Bericht und beantragen die erforderlichen Massnahmen. d. Sie können der Fachstelle des Bundes für Informationssicherheit sowie den Stellen nach Artikel 74 Absatz 5 sicherheitsrelevante Vorfälle melden. 3 Den Informationssicherheitsbeauftragten werden keine Aufgaben übertragen, die ei- nen Interessenkonflikt mit Aufgaben nach Absatz 2 zur Folge haben können.

Art. 82 Konferenz der Informationssicherheitsbeauftragten 1 Die Konferenz der Informationssicherheitsbeauftragten wird aus den Informations- sicherheitsbeauftragten nach Artikel 81 Absatz 1 sowie zwei Vertreterinnen oder Ver- tretern der Kantone und der oder dem Eidgenössischen Datenschutz- und Öffentlich- keitsbeauftragten gebildet.

2 Sie hat folgende Aufgaben:

a. Sie fördert den einheitlichen Vollzug dieses Gesetzes. b. Sie wirkt bei der Standardisierung der Anforderungen und Massnahmen nach Artikel 85 mit. c. Sie berät die Fachstelle des Bundes für Informationssicherheit in allen Fragen der Vollzugskoordination und in Belangen von strategischer Bedeutung. d. Sie sorgt für den Informationsaustausch insbesondere in Zusammenhang mit dem Risikomanagement sowie mit Problemen und Vorfällen im Bereich der Informationssicherheit. e. Sie sorgt für die Koordination mit den anderen Stellen, die Aufgaben im Be- reich der Informationssicherheit erfüllen.

3 Die Konferenz gibt sich ein Geschäftsreglement.

Art. 83 Fachstelle des Bundes für Informationssicherheit

1 Die Fachstelle des Bundes für Informationssicherheit hat folgende Aufgaben:

a. Sie berät und unterstützt die verpflichteten Behörden, deren Informationssi- cherheitsbeauftragte und die Kantone beim Vollzug dieses Gesetzes. b. Sie kann bei Gefährdungen der Informationssicherheit des Bundes Empfeh- lungen abgeben. c. Sie kann auf Antrag der verpflichteten Behörden Überprüfungen durchführen. d. Sie kann auf Antrag der verpflichteten Behörden die Risiken für die Informa- tionssicherheit beim Einsatz neuartiger Technologien beurteilen. e. Sie kann auf Antrag der verpflichteten Behörden und Organisationen prüfen, ob deren Prozesse, Mittel, Einrichtungen, Gegenstände und Dienstleistungen den Anforderungen an die Informationssicherheit entsprechen. f. Sie kann auf Antrag der verpflichteten Behörden die Informationssicherheit bei wichtigen behördenübergreifenden Projekten steuern und koordinieren.

Informationssicherheitsgesetz AS 2022 232

g. Sie ist Ansprechstelle für Fachkontakte mit inländischen, ausländischen und internationalen Stellen. h. Sie erstattet dem Bundesrat jährlich Bericht über den Stand der Informations- sicherheit des Bundes. 2 Die oder der Informationssicherheitsbeauftragte des Bundesrats ist gleichzeitig die Leiterin oder der Leiter der Fachstelle des Bundes für Informationssicherheit. 3 Der Bundesrat regelt die Organisation der Fachstelle des Bundes für Informations- sicherheit. Er kann ihr weitere Aufgaben für die Bundesverwaltung und die Armee zuweisen.

2. Abschnitt: Vollzug

Art. 84 Ausführungsbestimmungen 1 Die verpflichteten Behörden erlassen die für den Vollzug dieses Gesetzes erforder- lichen Ausführungsbestimmungen. Der Bundesrat kann den Erlass von Ausführungs- bestimmungen für Bundesratsgeschäfte der Bundeskanzlei übertragen. 2 Zuständigkeiten, die das vorliegende Gesetz den verpflichteten Behörden zuweist, werden für die Bundesversammlung durch die Verwaltungsdelegation der Bundesver- sammlung wahrgenommen. 3 Die Ausführungsbestimmungen des Bundesrats gelten für die verpflichteten Behör- den sinngemäss, sofern diese keine eigenen Ausführungsbestimmungen erlassen.

Art. 85 Standardanforderungen und -massnahmen 1 Der Bundesrat legt standardisierte Sicherheitsanforderungen sowie standardisierte organisatorische, personelle, technische und bauliche Massnahmen zur Gewährleis- tung der Informationssicherheit nach dem Stand von Wissenschaft und Technik fest.

2 Er kann diese Aufgabe delegieren.

3 Die Standardanforderungen und -massnahmen haben empfehlenden Charakter, so-

fern sie von den verpflichteten Behörden nicht für verbindlich erklärt werden.

Art. 86 Kantone

1 Die Kantone sorgen für die periodische Überprüfung der Umsetzung und Wirksam-

keit der Informationssicherheit nach Artikel 3. 2 Sie informieren die Fachstelle des Bundes für Informationssicherheit über die Er- gebnisse der Überprüfungen nach Absatz 1. 3 Sie bezeichnen für Fragen der Informationssicherheit je eine Dienststelle als An- sprechpartnerin für die verpflichteten Behörden. 4 Der Bundesrat legt fest, in welchen Fällen die Kantone die Leistungen der Fachstel- len nach diesem Gesetz für ihre eigene Informationssicherheit in Anspruch nehmen

Informationssicherheitsgesetz AS 2022 232

können. Die Leistungen sind gebührenpflichtig. Der Bundesrat legt die Höhe der Ge- bühren fest.

Art. 87 Völkerrechtliche Verträge Der Bundesrat ist ermächtigt, völkerrechtliche Verträge im Bereich der Informations- sicherheit abzuschliessen: a. zum Austausch von Informationen über Gefährdungen, Schwachstellen und Vorfälle im Bereich der Informationssicherheit, insbesondere von kritischen Infrastrukturen; b. zum Austausch von klassifizierten Informationen; c. zur Durchführung von Personensicherheitsprüfungen und Betriebssicher- heitsverfahren; d. zur Anerkennung von Sicherheitserklärungen; e. zur Durchführung von Kontrollen.

Art. 88 Evaluation 1 Der Bundesrat sorgt dafür, dass die Umsetzung, die Zweckmässigkeit, die Wirksam- keit und die Wirtschaftlichkeit dieses Gesetzes periodisch durch eine unabhängige Stelle, wie die Eidgenössische Finanzkontrolle, überprüft werden.

2 Er erstattet den zuständigen Kommissionen der Bundesversammlung regelmässig

Bericht.

7. Kapitel: Schlussbestimmungen

Art. 89 Änderung anderer Erlasse Die Änderung anderer Erlasse wird im Anhang 1 geregelt.

Art. 90 Übergangsbestimmungen

1 Nach bisherigem Recht klassifizierte Informationen werden an die Bestimmungen

dieses Gesetzes angepasst, sobald sie nach Inkrafttreten dieses Gesetzes zum ersten Mal bearbeitet werden. 2 Informatikmittel müssen innerhalb von zwei Jahren nach Inkrafttreten dieses Geset- zes eingestuft werden. Technische Massnahmen zur Gewährleistung der Informati- onssicherheit müssen innerhalb von sechs Jahren nach Inkrafttreten dieses Gesetzes umgesetzt werden.

3 Nach bisherigem Recht im Rahmen von Personensicherheitsprüfungen ausgestellte

Sicherheits- und Risikoerklärungen sowie nach bisherigem Recht ausgestellte Be- triebssicherheitserklärungen sind fünf Jahre ab deren Ausstellung gültig.

Informationssicherheitsgesetz AS 2022 232

Art. 91 Koordination mit anderen Erlassen Die Koordination mit anderen Erlassen wird im Anhang 2 geregelt.

Art. 92 Referendum und Inkrafttreten

1 Dieses Gesetz untersteht dem fakultativen Referendum.

2 Der Bundesrat bestimmt das Inkrafttreten.

Ständerat, 18. Dezember 2020 Nationalrat, 18. Dezember 2020 Der Präsident: Alex Kuprecht Der Präsident: Andreas Aebi Die Sekretärin: Martina Buol Der Sekretär: Pierre-Hervé Freléchoz

Ablauf der Referendumsfrist und Inkraftsetzung 1 Die Referendumsfrist für dieses Gesetz ist am 10. April 2021 unbenützt abgelau- fen.21 2 Artikel 87 des Informationssicherheitsgesetzes (Ziff. I) wird auf den 1. Mai 2022 in Kraft gesetzt.

3 Die übrigen Bestimmungen werden zu einem späteren Zeitpunkt in Kraft gesetzt.

6. April 2022 Im Namen des Schweizerischen Bundesrates Der Bundespräsident: Ignazio Cassis Der Bundeskanzler: Walter Thurnherr

21 BBl 2020 9975

Informationssicherheitsgesetz AS 2022 232

Anhang 1 (Art. 89)

Änderung anderer Erlasse

Die nachstehenden Erlasse werden wie folgt geändert:

1. Bundesgesetz vom 21. März 199722 über Massnahmen zur Wahrung

der inneren Sicherheit

Art. 2 Abs. 2 Bst. a Aufgehoben

4. Abschnitt (Art. 19–21)

Aufgehoben

Art. 24a Abs. 7 erster Satz 7 Das Informationssystem steht den für den Vollzug dieses Gesetzes zuständigen Stel- len von fedpol sowie den Polizeibehörden der Kantone, der Schweizerischen Zentral- stelle für Hooliganismus (Zentralstelle), den Zollbehörden und den für die Durchfüh- rung der Personensicherheitsprüfungen zuständigen Fachstellen nach Artikel 31 Absatz 2 des Informationssicherheitsgesetzes vom 18. Dezember 202023 über ein Abrufverfahren zur Verfügung. ...

2. Nachrichtendienstgesetz vom 25. September 2015 24

Art. 6 Abs. 1 Bst. a Ziff. 4

1 Die Informationsbeschaffung und -bearbeitung des NDB dient:

a. dem frühzeitigen Erkennen und Verhindern von Bedrohungen der inneren oder äusseren Sicherheit, die ausgehen von:

4. Angriffen auf die Trinkwasser- und Energieversorgung, Informations-,

Kommunikations- und Transportinfrastrukturen sowie weitere Prozesse, Systeme und Einrichtungen, die essenziell für das Funktionieren der Wirtschaft beziehungsweise das Wohlergehen der Bevölkerung sind (kritische Infrastrukturen),

22 SR 120 23 SR 128 24 SR 121

Informationssicherheitsgesetz AS 2022 232

Art. 51 Abs. 4 Bst. d

4 Die folgenden Personen haben im Abrufverfahren Zugriff auf die nachstehenden

Daten in INDEX NDB: d. die Mitarbeiterinnen und Mitarbeiter der für die Durchführung der Personen- sicherheitsprüfungen zuständigen Fachstellen nach Artikel 31 Absatz 2 des Informationssicherheitsgesetzes vom 18. Dezember 202025 auf die Daten nach Absatz 3 Buchstabe a zur Durchführung von Personensicherheitsprüfun- gen und von Prüfungen der Vertrauenswürdigkeit sowie zur Beurteilung des Gewaltpotenzials.

3. Asylgesetz vom 26. Juni 199826

Art. 29a Prüfung der Vertrauenswürdigkeit

1 Das SEM kann vor und während des Auftragsverhältnisses Dolmetscherinnen und

Dolmetscher sowie Übersetzerinnen und Übersetzer auf ihre Vertrauenswürdigkeit hin prüfen lassen.

2 Die Vertrauenswürdigkeitsprüfungen werden von den Fachstellen PSP nach Artikel

31 Absatz 2 des Informationssicherheitsgesetzes vom 18. Dezember 202027 (ISG)

durchgeführt. Das Verfahren richtet sich sinngemäss nach den Bestimmungen des ISG über die Grundsicherheitsprüfung.

3 Werden die Dolmetscherinnen und Dolmetscher sowie Übersetzerinnen und Über-

setzer gleichzeitig einer Personensicherheitsprüfung nach dem ISG unterzogen, so werden die beiden Verfahren vereinigt.

4 Das SEM trägt die Kosten der Vertrauenswürdigkeitsprüfungen.

Bisheriger Art. 29a

4. Bundespersonalgesetz vom 24. März 200028

Art. 20a Auszug aus dem Strafregister und dem Betreibungsregister Die Arbeitgeber können von Stellenbewerberinnen und Stellenbewerbern sowie von Angestellten verlangen, dass sie einen Auszug aus dem Strafregister und aus dem Be- treibungsregister vorlegen, sofern dies zur Wahrung der Interessen des Arbeitgebers erforderlich ist.

25 SR 128 26 SR 142.31 27 SR 128 28 SR 172.220.1

Informationssicherheitsgesetz AS 2022 232

Art. 20b Prüfung der Vertrauenswürdigkeit

1 Die Arbeitgeber nach Artikel 3 Absatz 1 Buchstaben a, b und e–g sowie Absatz 3

können Stellenbewerberinnen und Stellenbewerber sowie Angestellte auf deren Ver- trauenswürdigkeit hin prüfen lassen, wenn diese im Rahmen ihrer Funktion: a. die Schweiz im Ausland regelmässig vertreten sollen und dabei das Ansehen des Bundes erheblich beeinträchtigen könnten; b. in wesentlichen Finanz- oder Steuersachen Entscheide fällen oder Aufsichts- aufgaben wahrnehmen sollen und dabei die finanziellen Interessen des Bun- des erheblich beeinträchtigen könnten; c. Strafverfolgungs- oder polizeiliche Aufgaben wahrnehmen und dabei die öf- fentlichen Interessen des Bundes, insbesondere die Sicherheit der Bundesver- waltung, erheblich gefährden könnten.

2 Sie beschränken sich bei der Prüfung auf das erforderliche Mindestmass.

3 Die Vertrauenswürdigkeitsprüfungen werden von den Fachstellen nach Artikel 31

Absatz 2 des Informationssicherheitsgesetzes vom 18. Dezember 202029 (ISG) durch- geführt. Das Verfahren richtet sich sinngemäss nach den entsprechenden Bestimmun- gen des ISG.

4 Werden die Stellenbewerberinnen und Stellenbewerber sowie die Angestellten

gleichzeitig einer Personensicherheitsprüfung nach dem ISG unterzogen, so werden die beiden Verfahren vereinigt.

5. Zivilprozessordnung30

Art. 166 Abs. 1 Bst. c

1 Eine dritte Person kann die Mitwirkung verweigern:

c. zur Feststellung von Tatsachen, die ihr als Beamtin oder Beamter im Sinne von Artikel 110 Absatz 3 StGB oder als Behördenmitglied in ihrer amtlichen Eigenschaft anvertraut worden sind oder die sie bei Ausübung ihres Amtes oder bei Ausübung ihrer Hilfstätigkeit für eine Beamtin oder einen Beamten oder eine Behörde wahrgenommen hat; sie hat auszusagen, wenn sie einer Anzeigepflicht unterliegt oder wenn sie von ihrer vorgesetzten Behörde zur Aussage ermächtigt worden ist;

29 SR 128 30 SR 272

Informationssicherheitsgesetz AS 2022 232

6. Bundesgesetz vom 4. Dezember 194731 über den Bundeszivilprozess

Art. 42 Abs. 3

3 Für die Zeugnispflicht von Beamten und deren Hilfspersonen über

Wahrnehmungen in Ausübung ihres Amtes oder ihrer Hilfstätigkeit sind die einschränkenden Vorschriften des Verwaltungsrechtes des Bundes und der Kantone massgebend.

7. Strafgesetzbuch32

Art. 320 Verletzung 1. Wer ein Geheimnis offenbart, das ihm in seiner Eigenschaft als Mit- des Amtsgeheim- nisses glied einer Behörde oder als Beamter anvertraut worden ist oder das er in seiner amtlichen oder dienstlichen Stellung oder als Hilfsperson ei- nes Beamten oder einer Behörde wahrgenommen hat, wird mit Frei- heitsstrafe bis zu drei Jahren oder Geldstrafe bestraft. Die Verletzung des Amtsgeheimnisses ist auch nach Beendigung des amtlichen oder dienstlichen Verhältnisses oder der Hilfstätigkeit straf- bar.

2. Der Täter ist nicht strafbar, wenn er das Geheimnis mit schriftlicher

Einwilligung seiner vorgesetzten Behörde offenbart hat.

Art. 365 Abs. 2 Bst. d

2 Das Register dient der Unterstützung von Behörden des Bundes und

der Kantone bei der Erfüllung folgender Aufgaben: d. Beurteilung des Sicherheitsrisikos im Rahmen der Personen- sicherheitsprüfungen nach dem Informationssicherheitsgesetz vom 18. Dezember 202033 (ISG) und im Rahmen der Prüfungen der Vertrauenswürdigkeit nach der Spezialgesetzgebung;

2 Folgende Behörden dürfen durch ein Abrufverfahren Einsicht in die

Personendaten über Urteile nach Artikel 366 Absätze 1, 2 und 3 Buch- staben a und b nehmen: i. die für die Durchführung der Personensicherheitsprüfungen zuständigen Fachstellen nach Artikel 31 Absatz 2 ISG34 (Fach- stellen PSP);

31 SR 273 32 SR 311.0 33 SR 128 34 SR 128

Informationssicherheitsgesetz AS 2022 232

2bis Folgende Behörden dürfen durch ein Abrufverfahren auch Einsicht in die Personendaten über Urteile nach Artikel 366 Absatz 3 Buchstabe c nehmen: b. die Fachstellen PSP;

4 Personendatenüber hängige Strafverfahren dürfen nur durch die

Behörden nach Absatz 2 Buchstaben a–e, i, j, l und m bearbeitet wer- den.

8. Strafprozessordnung35

Art. 170 Abs. 1 1 Beamtinnen und Beamte im Sinne von Artikel 110 Absatz 3 StGB 36 und ihre Hilfs- personen sowie Mitglieder von Behörden und ihre Hilfspersonen können das Zeugnis über Geheimnisse verweigern, die ihnen in ihrer amtlichen Eigenschaft anvertraut worden sind oder die sie bei der Ausübung ihres Amtes oder ihrer Hilfstätigkeit wahr- genommen haben.

9. Militärstrafgesetz vom 13. Juni 192737

Art. 77 Verletzung 1. Wer ein Geheimnis offenbart, das ihm in dienstlicher oder amtlicher des Dienst- geheimnisses Eigenschaft anvertraut wird oder das er in seiner dienstlichen oder amt- lichen Stellung oder als Hilfsperson eines solchen Geheimnisträgers wahrnimmt, wird mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft. In leichten Fällen erfolgt disziplinarische Bestrafung.

2. Die Verletzung des Dienst- oder Amtsgeheimnisses ist auch nach

Beendigung des dienstlichen oder amtlichen Verhältnisses oder der Hilfstätigkeit strafbar.

35 SR 312.0 36 SR 311.0 37 SR 321.0

Informationssicherheitsgesetz AS 2022 232

10. Militärstrafprozess vom 23. März 197938

Art. 77 Abs. 2 2 Ein Beamter oder seine Hilfsperson darf nur mit Zustimmung der vorgesetzten Be- hörde über ein Amtsgeheimnis (Art. 320 StGB39) als Zeuge einvernommen oder zur Herausgabe von Amtsakten angehalten werden. Im Übrigen gelten das eidgenössische und das kantonale Verwaltungsrecht.

11. Bundesgesetz vom 13. Juni 200840 über die polizeilichen

Informationssysteme des Bundes

Art. 15 Abs. 4 Bst. f Aufgehoben

Art. 17 Abs. 4 Einleitungssatz und Bst. l

4 Zugriff auf diese Daten mittels Abrufverfahren haben:

l. die für die Durchführung der Personensicherheitsprüfungen zuständigen Fachstellen nach Artikel 31 Absatz 2 des Informationssicherheitsgesetzes vom 18. Dezember 202041 zur Beurteilung des Sicherheitsrisikos im Rahmen einer Personensicherheitsprüfung, einer Prüfung der Vertrauenswürdigkeit o- der einer Beurteilung des Gewaltpotenzials.

12. Militärgesetz vom 3. Februar 199542

Art. 1 Abs. 2 Bst. c 2 Sie unterstützt die zivilen Behörden im Inland, wenn deren Mittel nicht mehr aus- reichen: c. beim Schutz von Personen und besonders schutzwürdigen Sachen, insbeson- dere der Trinkwasser- und Energieversorgung, von Informations-, Kommuni- kations- und Transportinfrastrukturen sowie von weiteren Prozessen, Syste- men und Einrichtungen, die essenziell für das Funktionieren der Wirtschaft beziehungsweise das Wohlergehen der Bevölkerung sind (kritische Infra- strukturen);

38 SR 322.1 39 SR 311.0 40 SR 361 41 SR 128 42 SR 510.10

Informationssicherheitsgesetz AS 2022 232

Art. 14 Prüfung der Vertrauenswürdigkeit 1 Die Angehörigen der Armee können auf ihre Vertrauenswürdigkeit hin geprüft wer- den, wenn sie im Rahmen ihrer Funktion: a. die Schweiz im Ausland regelmässig vertreten sollen und dabei das Ansehen des Bundes erheblich beeinträchtigen könnten; b. in wesentlichen finanziellen Angelegenheiten Entscheide fällen oder Auf- sichtsaufgaben wahrnehmen sollen und dabei die finanziellen Interessen des Bundes erheblich beeinträchtigen könnten. 2 Der Bundesrat legt fest, welche Funktionen geprüft werden müssen. Er beschränkt sich dabei auf das erforderliche Mindestmass. 3 Die Vertrauenswürdigkeitsprüfungen werden von der Fachstelle nach Artikel 31 Ab- satz 2 des Informationssicherheitsgesetzes vom 18. Dezember 202043 (ISG) durchge- führt. Das Verfahren richtet sich sinngemäss nach den entsprechenden Bestimmungen des ISG.

4 Werden die Angehörigen der Armee gleichzeitig einer Personensicherheitsprüfung

nach dem ISG unterzogen, so werden die beiden Verfahren vereinigt.

Art. 113 Abs. 6

6 Das Verfahren richtet sich sinngemäss nach den Bestimmungen über die Grundsi-

cherheitsprüfung nach Artikel 30 Buchstabe a ISG44. Ist gleichzeitig aus anderen Gründen eine Grundsicherheitsprüfung durchzuführen, so werden die beiden Verfah- ren vereinigt.

Art. 150 Abs. 4 Aufgehoben

13. Bundesgesetz vom 3. Oktober 200845 über die militärischen

Informationssysteme

Art. 14 Abs. 1 Bst. gbis und m 1 Das PISA enthält folgende Daten der Stellungspflichtigen, der Militärdienstpflichti- gen, des für die Friedensförderung vorgesehenen Personals sowie von Zivilpersonen, die von der Truppe betreut oder für einen befristeten Einsatz der Armee beigezogen werden: gbis. Daten über die Durchführung der Prüfung der Vertrauenswürdigkeit nach Artikel 14 des Militärgesetzes vom 3. Februar 199546 (MG), mit Entscheid;

43 SR 128 44 SR 128 45 SR 510.91 46 SR 510.10

Informationssicherheitsgesetz AS 2022 232

m. Daten aus Strafverfahren gegen Angehörige der Armee und Stellungspflich- tige sowie Meldungen nach Artikel 113 Absätze 7 und 8 MG, sofern ernstzu- nehmende Anzeichen oder Hinweise bestehen, dass die betroffene Person sich selbst oder Dritte mit der persönlichen Waffe gefährden könnte.

5. Kapitel 1. und 2. Abschnitt (Art. 144–155)

Aufgehoben

14. Kernenergiegesetz vom 21. März 200347

3 Um zu verhindern, dass die nukleare Sicherheit von Kernanlagen und Kernmateria- lien durch unbefugtes Einwirken beeinträchtigt oder Kernmaterialien entwendet wer- den, müssen Sicherungsmassnahmen getroffen werden. 3bis Die Klassifizierung und die Bearbeitung von Informationen richten sich nach den Vorschriften der Gesetzgebung über die Informationssicherheit beim Bund.

15. Stromversorgungsgesetz vom 23. März 200748

Art. 20a Prüfung der Vertrauenswürdigkeit 1 Personen, die von der nationalen Netzgesellschaft in kritischen oder höchstkriti- schen Funktionen eingesetzt werden, werden zur Beurteilung des Sicherheitsrisikos periodisch auf ihre Vertrauenswürdigkeit hin geprüft.

2 Der Bundesrat legt fest, welche Personengruppen geprüft werden müssen. Er be-

schränkt sich dabei auf das erforderliche Mindestmass. 3 Die Vertrauenswürdigkeitsprüfungen werden von der Fachstelle nach Artikel 31 Ab- satz 2 des Informationssicherheitsgesetzes vom 18. Dezember 202049 (ISG) durchge- führt. Das Verfahren richtet sich sinngemäss nach den entsprechenden Bestimmungen des ISG. 4 Die nationale Netzgesellschaft ersucht um Prüfung. Das Ergebnis ist ihr mitzuteilen und kurz zu begründen.

47 SR 732.1 48 SR 734.7 49 SR 128

Informationssicherheitsgesetz AS 2022 232

16. Strafregistergesetz vom 17. Juni 201650

Art. 46 Bst. e Folgende angeschlossene Behörden können durch ein Abrufverfahren in alle im Be- hördenauszug 2 erscheinenden Daten (Art. 38) Einsicht nehmen, soweit dies für die Erfüllung der nachstehend genannten Aufgaben notwendig ist: e. die Fachstellen für Personensicherheitsprüfungen nach Artikel 31 Absatz 2 des Informationssicherheitsgesetzes vom 18. Dezember 202051 (ISG):

1. für die Beurteilung des Risikos im Rahmen von Personensicherheitsprü-

fungen nach dem ISG,

2. für Beurteilungen des Gefährdungs-und Missbrauchspotenzials nach

dem Militärgesetz vom 3. Februar 199552,

3. für weitere Beurteilungen des Risikos im Rahmen der in der Spezialge-

setzgebung vorgesehenen Prüfungen;

Art. 51 Bst. f Aufgehoben

Art. 59 Meldungen an die Gruppe Verteidigung 1 Die registerführende Stelle meldet der Gruppe Verteidigung zu den in Absatz 2 er- wähnten Zwecken unverzüglich folgende neu in VOSTRA eingetragenen Daten von Stellungspflichtigen und Angehörigen der Armee: a. schweizerische Grundurteile wegen eines Verbrechens oder Vergehens; b. ausländische Grundurteile; c. freiheitsentziehende Massnahmen; d. Entscheide betreffend Nichtbewährung.

2 Die Gruppe Verteidigung darf die gemeldeten Daten für folgende Zwecke verwen-

den: a. Prüfung einer Nichtrekrutierung, einer Zulassung zur Rekrutierung, eines Ausschlusses aus der Armee, einer Wiederzulassung zur Armee, einer Degra- dation oder der Eignung für eine Beförderung oder Ernennung nach dem b. Prüfung von Hinderungsgründen für die Überlassung der persönlichen Waffe nach dem MG.

50 SR 330; BBl 2016 4871

51 SR 128 52 SR 510.10 53 SR 510.10

Informationssicherheitsgesetz AS 2022 232

3 Die Meldung erfolgt über eine elektronische Schnittstelle zwischen dem Personal- informationssystem der Armee und des Zivilschutzes (PISA) und VOSTRA. Die Auf- bereitung der Daten nach Absatz 1 erfolgt automatisiert und unter Verwendung der Versichertennummer.

Informationssicherheitsgesetz AS 2022 232

Anhang 2 (Art. 91)

Koordination anderer Erlasse

1. Bundesgesetzes vom 21. März 1997 über Massnahmen zur Wahrung

der inneren Sicherheit (BWIS) Unabhängig davon, ob zuerst die vorliegende Änderung des BWIS 54 (Anhang 1

Ziff. 1) oder die Änderung des BWIS im Rahmen des Bundesgesetzes vom 25. Septem-

ber 202055 über polizeiliche Massnahmen zur Bekämpfung von Terrorismus (Ziff. I Ziff. 1) in Kraft tritt, lautet mit Inkrafttreten des später in Kraft tretenden Gesetzes sowie bei gleichzeitigem Inkrafttreten, die nachstehende Bestimmung wie folgt:

Art. 24a Abs. 7 erster Satz 7 Das Informationssystem steht den für den Vollzug dieses Gesetzes zuständigen Stel- len von fedpol sowie den Polizeibehörden der Kantone, der EZV und den für die Durchführung der Personensicherheitsprüfungen zuständigen Fachstellen nach Arti- kel 31 Absatz 2 des Informationssicherheitsgesetzes vom 18. Dezember 202056 über ein Abrufverfahren zur Verfügung. ...

2. Bundespersonalgesetz vom 24. März 2000 (BPG)

Unabhängig davon, ob zuerst die vorliegende Änderung des BPG57 (Anhang 1 Ziff. 4) oder die Änderung des BPG im Rahmen des Strafregistergesetzes vom 17. Juni 201658 (Anhang 1 Ziff. 1) in Kraft tritt, lautet mit Inkrafttreten des später in Kraft tretenden Gesetzes sowie bei gleichzeitigem Inkrafttreten die nachstehende Bestimmung des BPG wie folgt:

Art. 20a Auszug aus dem Strafregister und dem Betreibungsregister Die Arbeitgeber können von Stellenbewerberinnen und Stellenbewerbern sowie von Angestellten verlangen, dass sie einen Auszug aus dem Strafregister und aus dem Be- treibungsregister vorlegen, sofern dies zur Wahrung der Interessen des Arbeitgebers erforderlich ist.

54 SR 120 55 AS 2021 565 56 SR 128 57 SR 172.220.1

58 SR 330; BBl 2016 4871

Informationssicherheitsgesetz AS 2022 232

3. Strafgesetzbuch

Mit Inkrafttreten des Strafregistergesetzes vom 17. Juni 201659 lauten die nachfolgen- den Bestimmungen des Strafgesetzbuches60 (Anhang 1 Ziff. 7) wie folgt:

Art. 365 Abs. 2 Bst. d Gegenstandlos oder Aufgehoben

Gegenstandlos oder Aufgehoben

4. Strafregistergesetzes vom 17. Juni 2016 (StReG)

Mit Inkrafttreten des StReG61 wird die nachstehende Bestimmung des vorliegenden Informationssicherheitsgesetzes vom 18. Dezember 202062 wie folgt geändert:

Art. 45 Abs. 6 Bst. a

6 Die Daten nach Absatz 4 können automatisch und systematisch durch Abfrage der

folgenden Informationssysteme erhoben werden: a. Strafregister-Informationssystem VOSTRA nach dem Strafregistergesetz vom 17. Juni 201663;

5. Datenschutzgesetz vom 25. September 2020 (DSG)

Mit Inkrafttreten des DSG64 lauten die nachstehenden Bestimmungen des Informati- onssicherheitsgesetzes vom 18. Dezember 202065 wie folgt:

Art. 44 Abs. 2

2 Die Einschränkung des Auskunftsrechts richtet sich nach Artikel 26 des Daten-

schutzgesetzes vom 25. September 202066 (DSG).

59 SR 330; BBl 2016 4871

60 SR 311.0

61 SR 330; BBl 2016 4871

62 SR 128 63 SR 330

64 SR 235.1; BBl 2020 7631

65 SR 128 66 SR 235.1

Informationssicherheitsgesetz AS 2022 232

Art. 45 Abs. 3

3 Im Informationssystem können besonders schützenswerte Personendaten nach Arti-

kel 5 Buchstabe c DSG67 bearbeitet werden, sofern dies zur Beurteilung des Sicher- heitsrisikos erforderlich ist.

Art. 69 Abs. 2

2 Die Einschränkung des Auskunftsrechts richtet sich nach Artikel 26 DSG68.

Art. 70 Abs. 2

2 Im Informationssystem können besonders schützenswerte Personendaten nach Arti-

kel 5 Buchstabe c DSG69 bearbeitet werden, sofern dies zur Durchführung des Betriebssicherheitsverfahrens erforderlich ist.

Art. 75 Abs. 4 zweiter Satz

4 ... Vorbehalten bleibt Artikel 20 DSG 70.

6. Bundesgesetz vom 13. Juni 2008 über die polizeilichen

Informationssysteme des Bundes (BPI) Unabhängig davon, ob zuerst die vorliegende Änderung des BPI71 (Anhang 1 Ziff. 11) oder die Änderung des BPI im Rahmen des Bundesbeschlusses vom 18. Dezember

202072 über die Genehmigung und die Umsetzung der Notenaustausche zwischen der

Schweiz und der EU betreffend die Übernahme der Rechtsgrundlagen über die Ein- richtung, den Betrieb und die Nutzung des Schengener Informationssystems (An- hang 1 Ziff. 5) in Kraft tritt, lautet mit Inkrafttreten des später in Kraft tretenden Erlasses sowie bei gleichzeitigem Inkrafttreten die nachstehende Bestimmung wie folgt:

Art. 15 Abs. 4 Bst. f Aufgehoben

67 SR 235.1 68 SR 235.1 69 SR 235.1 70 SR 235.1 71 SR 361 72 AS 2021 365