Bundesgesetz über die Informationssicherheit (Informationssicherheitsgesetz, ISG)

Die verpflichteten Behörden und Organisationen sorgen dafür, dass der Schutzbedarf der Informationen, für die sie zuständig sind, hinsichtlich einer allfälligen Beeinträchtigung der Interessen nach Artikel 1 Absatz 2 beurteilt wird.

Sie sorgen dafür, dass diese Informationen, ihrem Schutzbedarf entsprechend:

1. nur Berechtigten zugänglich sind (Vertraulichkeit);
2. verfügbar sind, wenn sie benötigt werden (Verfügbarkeit);
3. nicht unberechtigt oder unbeabsichtigt verändert werden (Integrität);
4. nachvollziehbar bearbeitet werden (Nachvollziehbarkeit).

Sie sorgen dafür, dass die Informatikmittel, die sie zur Erfüllung ihrer gesetzlichen Aufgaben einsetzen, vor Missbrauch und Störung geschützt werden.

Sie tragen dabei den Grundsätzen der Zweckmässigkeit, der Wirtschaftlichkeit und der Benutzerfreundlichkeit Rechnung.

Die verpflichteten Behörden sorgen in ihrem Zuständigkeitsbereich dafür, dass die Informationssicherheit nach dem Stand von Wissenschaft und Technik organisiert, umgesetzt und überprüft wird.

Sie legen fest:

1. ihre Ziele für die Informationssicherheit;
2. die Eckwerte für den Umgang mit Risiken;
3. die Folgen bei Missachtung der Vorschriften.

Die verpflichteten Behörden und Organisationen sorgen in ihrem Zuständigkeitsbereich dafür, dass die Risiken für die Informationssicherheit laufend beurteilt werden.

Sie treffen die erforderlichen Massnahmen, um die Risiken zu vermeiden oder auf ein tragbares Mass zu reduzieren.

Risiken, die getragen werden sollen, müssen nachweislich akzeptiert werden.

Arbeiten die verpflichteten Behörden und Organisationen mit Dritten zusammen, so sorgen sie dafür, dass die Anforderungen und Massnahmen nach diesem Gesetz in den entsprechenden Vereinbarungen und Verträgen festgehalten werden.

Sie sorgen für eine angemessene Überprüfung der Umsetzung der Massnahmen.

Die verpflichteten Behörden und Organisationen sorgen dafür, dass Verletzungen der Informationssicherheit rasch erkannt, deren Ursachen abgeklärt und allfällige Auswirkungen minimiert werden.

Die verpflichteten Behörden sorgen dafür, dass für allfällige schwerwiegende Verletzungen der Informationssicherheit, welche die Erfüllung unverzichtbarer Aufgaben des Bundes gefährden können, Vorsorgeplanungen erstellt und entsprechende Übungen durchgeführt werden.

Die verpflichteten Behörden und Organisationen können die zur Gewährleistung der Informationssicherheit zweckmässigen Personendaten, insbesondere in dafür vorgesehenen Informationssystemen (ISMS-Anwendungen), bearbeiten.

Sie können Personendaten nach Absatz 1 untereinander sowie mit nationalen, internationalen und ausländischen Organisationen des öffentlichen Rechts austauschen, sofern:

1. dies zur Gewährleistung der Informationssicherheit zweckmässig ist;
2. keine gesetzlichen oder vertraglichen Geheimhaltungspflichten verletzt werden;
3. die Vorgaben der Bundesgesetzgebung über den Datenschutz eingehalten werden; und
4. diese Organisationen gesetzliche Aufgaben im Bereich der Informationssicherheit wahrnehmen, die denjenigen der bekanntgebenden Behörde oder Organisation entsprechen.

Sie können ihre Informationssysteme, insbesondere die ISMS-Anwendungen, miteinander verknüpfen und Daten automatisch oder auf Anfrage über Schnittstellen austauschen.

Sie können zur Einreichung und Bearbeitung von Anträgen und Meldungen im Bereich der Informationssicherheit digitale Formulare betreiben und diese mit ihren ISMS-Anwendungen oder anderen Informationssystemen verknüpfen.

Sofern dies für die Bewältigung von Verletzungen der Informationssicherheit oder die Behebung von Schwachstellen erforderlich ist, können sie besonders schützenswerte Personendaten nach Artikel 5 Buchstabe c des Datenschutzgesetzes vom 25. September 2020¹⁴ (DSG) von Personen, die daran beteiligt oder davon betroffen sind respektive sein könnten:

1. bearbeiten;
2. untereinander sowie mit nationalen, internationalen und ausländischen Organisationen des öffentlichen Rechts austauschen, sofern die Bedingung nach Absatz 2 Buchstabe b erfüllt ist.

Sie dürfen die besonders schützenswerten Personendaten bis zwei Jahre nach der Bewältigung der Verletzungen der Informationssicherheit oder der Behebung der Schwachstellen aufbewahren, höchstens aber zehn Jahre.

Die Archivierung der Daten richtet sich nach den Vorschriften der Archivierungsgesetzgebung.

Die Bearbeitung von Personendaten durch das BACS ¹⁵ zur Erfüllung seiner Aufgaben richtet sich nach den Artikeln 75–79.

Die verpflichteten Behörden und Organisationen sorgen dafür, dass Informationen, welche die Kriterien nach Artikel 13 erfüllen, klassifiziert werden.

Die Klassifizierung ist auf das erforderliche Mindestmass zu beschränken und nach Möglichkeit zeitlich zu begrenzen.

Die verpflichteten Behörden legen fest, welche Personen und Stellen für das Klassifizieren der Informationen zuständig sind (klassifizierende Stellen).

Klassifizierungen dürfen nur von der klassifizierenden Stelle oder von der Stelle, die dieser übergeordnet ist, geändert oder aufgehoben werden.

Der Bundesrat regelt die Entklassifizierung von Archivgut.

Als «intern» werden Informationen klassifiziert, deren Kenntnisnahme durch Unberechtigte die Interessen nach Artikel 1 Absatz 2 Buchstaben a–d beeinträchtigen kann.

Als «vertraulich» werden Informationen klassifiziert, deren Kenntnisnahme durch Unberechtigte die Interessen nach Artikel 1 Absatz 2 Buchstaben a–d erheblich beeinträchtigen kann.

Als «geheim» werden Informationen klassifiziert, deren Kenntnisnahme durch Unberechtigte die Interessen nach Artikel 1 Absatz 2 Buchstaben a–d schwerwiegend beeinträchtigen kann.

Zugang zu klassifizierten Informationen erhalten nur Personen, die Gewähr dafür bieten, dass sie damit sachgerecht umgehen, und:

1. die Informationen zur Erfüllung einer gesetzlichen Aufgabe benötigen; oder
2. über eine vertraglich vereinbarte Zugangsberechtigung verfügen und die Informationen zur Erfüllung der ihnen übertragenen Aufgaben benötigen.

Der Zugang zu klassifiziertem Archivgut richtet sich nach den Bestimmungen der Archivierungsgesetzgebung.

Vorbehalten bleiben durch völkerrechtliche Verträge nach Artikel 87 geregelte Zugangsbeschränkungen.

Der Zugang zu klassifizierten Informationen in der Bundesversammlung, in den Parlamentsdiensten sowie in den Gerichten und Staatsanwaltschaften richtet sich nach dem jeweils anwendbaren Verfahrensrecht.

Vor dem Entscheid, den Zugang zu einer Information nach Absatz 1 zu ermöglichen, kann das zuständige parlamentarische Organ oder das zuständige Gericht die klassifizierende Stelle anhören.

Die verpflichteten Behörden legen ein Verfahren zur Gewährleistung der Informationssicherheit beim Einsatz von Informatikmitteln fest (Sicherheitsverfahren).

Das Sicherheitsverfahren umfasst insbesondere:

1. die Beurteilung des Schutzbedarfs der Informationen vor dem Einsatz von Informatikmitteln;
2. die Umsetzung von Sicherheitsmassnahmen und deren Überprüfung;
3. die Zuständigkeit für die Sicherheitsfreigabe von Informatikmitteln;
4. das Vorgehen bei Veränderung der Risiken.

Für die Durchführung des Sicherheitsverfahrens ist die verpflichtete Behörde oder Organisation zuständig, die den Einsatz der Informatikmittel beschliesst.

Die Sicherheitsstufe «Grundschutz» gilt für sämtliche Informatikmittel, sofern diese nicht höher eingestuft werden müssen.

Die Sicherheitsstufe «hoher Schutz» gilt für Informatikmittel, wenn:

1. eine Verletzung der Vertraulichkeit, Verfügbarkeit, Integrität oder Nachvollziehbarkeit der Informationen, die damit bearbeitet werden, die Interessen nach Artikel 1 Absatz 2 erheblich beeinträchtigen kann;
2. ein Missbrauch oder eine Störung des Informatikmittels die Interessen nach Artikel 1 Absatz 2 erheblich beeinträchtigen kann.

Die Sicherheitsstufe «sehr hoher Schutz» gilt für Informatikmittel, wenn:

1. eine Verletzung der Vertraulichkeit, Verfügbarkeit, Integrität oder Nachvollziehbarkeit der Informationen, die damit bearbeitet werden, die Interessen nach Artikel 1 Absatz 2 schwerwiegend beeinträchtigen kann;
2. ein Missbrauch oder eine Störung des Informatikmittels die Interessen nach Artikel 1 Absatz 2 schwerwiegend beeinträchtigen kann.

Die verpflichteten Behörden legen die Mindestanforderungen für die Sicherheitsstufen nach Artikel 17 fest.

Die Mindestanforderungen der Sicherheitsstufe «Grundschutz» müssen sämtliche Informatikmittel erfüllen.

Bei Informatikmitteln der Sicherheitsstufe «sehr hoher Schutz» muss die Wirksamkeit der Massnahmen periodisch geprüft werden.

Die verpflichteten Behörden und Organisationen gewährleisten die Sicherheit der Informatikmittel, die sie für sich selbst oder im Auftrag einer anderen Behörde oder Organisation betreiben.

Die Bearbeitung von Personendaten im Rahmen der Netzwerküberwachung richtet sich sinngemäss nach den Artikeln 57 i –57 q RVOG ¹⁶ .

Die verpflichteten Behörden und Organisationen sorgen dafür, dass Personen, die Zugang zu Informationen, Informatikmitteln, Räumlichkeiten und anderen Infrastrukturen des Bundes haben:

1. sorgfältig ausgewählt werden;
2. risikogerecht identifiziert werden;
3. stufengerecht aus- und weitergebildet werden;
4. gegebenenfalls zur Geheimhaltung verpflichtet werden.

Sie können biometrische Verifikationsmethoden verwenden, wenn dies zur risikogerechten Identifizierung von Personen erforderlich ist. Die biometrischen Daten werden nach dem Wegfall der Zugangsberechtigung vernichtet.

Sie können zudem die AHV-Nummer nach Artikel 50 c des Bundesgesetzes vom 20. Dezember 1946 ¹⁷ über die Alters- und Hinterlassenenversicherung (AHV-Nummer) systematisch als Personenidentifikator verwenden. ¹⁸

Die verpflichteten Behörden und Organisationen sorgen dafür, dass nur diejenigen Berechtigungen für den Zugang zu Informationen, Informatikmitteln, Räumlichkeiten und anderen Infrastrukturen des Bundes erteilt werden, welche die betreffenden Personen zur Erfüllung ihrer Aufgaben benötigen.

Die Berechtigungen werden entzogen, sobald die Anstellung oder der Vertrag endet oder die Aufgabe erfüllt ist. Sie dürfen ohne Vorankündigung gesperrt oder entzogen werden, wenn konkrete Anhaltspunkte für eine Gefährdung der Sicherheit vorliegen.

Die verpflichteten Behörden und Organisationen sorgen für einen angemessenen physischen Schutz der Informationen und Informatikmittel, für die sie zuständig sind, vor Missbrauch und Störung.

Die verpflichteten Behörden und Organisationen können Räumlichkeiten und Bereiche als Sicherheitszone bezeichnen, in denen:

1. häufig «vertraulich» oder «geheim» klassifizierte Informationen bearbeitet werden; oder
2. Informatikmittel der Sicherheitsstufe «hoher Schutz» oder «sehr hoher Schutz» betrieben werden.

Sie sind befugt:

1. das Mitführen bestimmter Gegenstände, insbesondere von Aufnahmegeräten, zu verbieten;
2. sicherheitsempfindliche Bereiche mit Aufnahmegeräten zu überwachen;
3. Taschen- und Personenkontrollen durchzuführen;
4. unangemeldet Raumkontrollen, auch in Abwesenheit der Angestellten, durchzuführen.

Sie können in Sicherheitszonen, in denen «geheim» klassifizierte Informationen häufig bearbeitet oder Informatikmittel der Sicherheitsstufe «sehr hoher Schutz» betrieben werden, störende Fernmeldeanlagen nach Artikel 34 Absatz 1 ^ter des Fernmeldegesetzes vom 30. April 1997 ¹⁹ (FMG) betreiben.

Vorbehalten bleiben die besonderen Vorschriften für Sicherheitszonen gemäss völkerrechtlichen Verträgen nach Artikel 87 sowie für Schutzzonen von Anlagen nach der Gesetzgebung über den Schutz militärischer Anlagen.

Die verpflichteten Behörden können zur zentralen Verwaltung der Daten zur Identifizierung von Personen, die Zugang zu Informationen, Informatikmitteln, Räumlichkeiten und anderen Infrastrukturen haben, Informationssysteme betreiben (Identitätsverwaltungs-Systeme).

Die Identitätsverwaltungs-Systeme prüfen die Identität und berechtigungsbezogene Eigenschaften von Personen, Maschinen und Systemen. Sie übermitteln das Resultat an die angeschlossenen Informationssysteme, damit diese die Berechtigungen ermitteln können.

Die verpflichteten Behörden bezeichnen für jedes Identitätsverwaltungs-System eine verantwortliche Stelle.

Die Identitätsverwaltungs-Systeme können mit den angeschlossenen Informationssystemen, mit Personal- und Benutzerverzeichnissen und mit anderen Identitätsverwaltungs-Systemen von verpflichteten Behörden Daten austauschen und abgleichen.

Der Austausch und Abgleich ist auf die Daten zu begrenzen, die im jeweiligen System bearbeitet werden dürfen.

Die verpflichteten Behörden erlassen Ausführungsbestimmungen insbesondere über:

1. den Datenschutz und die Datensicherheit;
2. die bearbeiteten Personendaten;
3. den Datenaustausch und -abgleich mit anderen Systemen;
4. die Protokollierung und die Weitergabe von Protokolldaten an die angeschlossenen Informationssysteme;
5. die periodische Kontrolle der Bearbeitung von Personendaten durch eine externe Stelle.

Die Personensicherheitsprüfung dient zur Beurteilung, ob ein Risiko für die Informationssicherheit bestehen könnte, wenn eine Person im Rahmen ihrer Funktion oder eines Auftrags eine sicherheitsempfindliche Tätigkeit ausübt.

Zu diesem Zweck werden sicherheitsrelevante Daten über die Lebensführung der zu prüfenden Person, insbesondere über ihre engen persönlichen Beziehungen und familiären Verhältnisse, ihre finanzielle Lage und ihre Beziehungen zum Ausland, bearbeitet.

Daten über die Ausübung verfassungsmässiger Rechte dürfen nur dann bearbeitet werden, wenn ein konkreter Verdacht besteht, dass die zu prüfende Person diese Rechte ausübt, um Tätigkeiten vorzubereiten oder auszuüben, welche die Interessen nach Artikel 1 Absatz 2 erheblich beeinträchtigen können.

Die verpflichteten Behörden erlassen für ihren Zuständigkeitsbereich eine Liste der Funktionen, welche die Ausübung einer sicherheitsempfindlichen Tätigkeit erfordern.

Sie prüfen periodisch die Richtigkeit der Liste und passen sie an.

Eine Personensicherheitsprüfung wird durchgeführt bei:

1. Angestellten des Bundes, externen Mitarbeitenden und Angehörigen der Armee, die eine Funktion ausüben, die in einer Liste nach Artikel 28 enthalten ist;
2. Angestellten eines Kantons, die eine sicherheitsempfindliche Tätigkeit ausüben;
3. Dritten, die für eine verpflichtete Behörde oder Organisation einen Auftrag ausführen, der die Ausübung einer sicherheitsempfindlichen Tätigkeit einschliesst;
4. Personen, die aufgrund eines völkerrechtlichen Vertrags nach Artikel 87 einer Personensicherheitsprüfung unterzogen werden müssen.

Soll eine Person von einer ausländischen Behörde oder internationalen Organisation mit der Ausübung einer sicherheitsempfindlichen Tätigkeit betraut werden, so wird die Personensicherheitsprüfung durchgeführt, sofern die Schweiz mit dem betreffenden Staat oder der betreffenden internationalen Organisation einen völkerrechtlichen Vertrag nach Artikel 87 abgeschlossen hat.

Personen, die eine Funktion ausüben, die noch nicht in einer Liste nach Artikel 28 enthalten ist, können mit Zustimmung der verpflichteten Behörde ausnahmsweise einer Personensicherheitsprüfung unterzogen werden. Die betreffende Liste muss bei nächster Gelegenheit angepasst werden.

Nicht durchgeführt wird die Personensicherheitsprüfung bei Anwärterinnen und Anwärtern auf folgende Funktionen:

1. Mitglied der Bundesversammlung;
2. Mitglied des Bundesrates, Bundeskanzlerin oder Bundeskanzler;
3. Richterin oder Richter eines eidgenössischen Gerichts;
4. Bundesanwältin oder Bundesanwalt;
5. Mitglied der Aufsichtsbehörde über die Bundesanwaltschaft;
6. ²⁰ Leiterin oder Leiter des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten;
7. General;
8. kantonale Magistratsperson, die vom Volk oder vom kantonalen Parlament gewählt wird.

Die verpflichteten Behörden ordnen den sicherheitsempfindlichen Tätigkeiten eine der folgenden Prüfstufen zu:

1. Grundsicherheitsprüfung: für sicherheitsempfindliche Tätigkeiten, bei deren vorschriftswidriger oder unsachgemässer Ausübung die Interessen nach Artikel 1 Absatz 2 erheblich beeinträchtigt werden können;
2. erweiterte Personensicherheitsprüfung: für sicherheitsempfindliche Tätigkeiten, bei deren vorschriftswidriger oder unsachgemässer Ausübung die Interessen nach Artikel 1 Absatz 2 schwerwiegend beeinträchtigt werden können.

Die verpflichteten Behörden und die Kantone legen fest, welche Stellen zuständig sind für:

1. die Einleitung der Personensicherheitsprüfungen (einleitende Stellen);
2. den Entscheid über die Ausübung der sicherheitsempfindlichen Tätigkeit (entscheidende Stellen).

Der Bundesrat setzt für die Durchführung der Personensicherheitsprüfungen eine oder mehrere Fachstellen ein (Fachstellen PSP). Diese sind in ihrer Beurteilung weisungsungebunden.

Personensicherheitsprüfungen dürfen nur mit der Einwilligung der zu prüfenden Person durchgeführt werden.

Stellungspflichtige sowie Angehörige der Armee und des Zivilschutzes dürfen ohne deren Einwilligung geprüft werden.

Die zu prüfende Person ist verpflichtet, an der Feststellung des Sachverhalts mitzuwirken.

Bei Personen nach Artikel 29 Absatz 1 Buchstaben a und b muss die Personensicherheitsprüfung eingeleitet werden, bevor die Funktion übertragen wird.

Bei Personen nach Artikel 29 Absatz 1 Buchstabe a, die dem Bundesrat zur Wahl vorgeschlagen werden sollen, muss die Personensicherheitsprüfung abgeschlossen sein, bevor die Person zur Wahl vorgeschlagen wird.

Bei Personen nach Artikel 29 Absatz 1 Buchstabe c muss die Personensicherheitsprüfung abgeschlossen sein, bevor sie mit der Ausübung der sicherheitsempfindlichen Tätigkeit beauftragt wird.

Bei Personen nach Artikel 29 Absatz 1 Buchstabe d richtet sich der Zeitpunkt der Personensicherheitsprüfung nach den Bestimmungen des entsprechenden Vertrags.

Die Fachstelle PSP kann für die Grundsicherheitsprüfung aus folgenden Quellen Daten über die zu prüfende Person erheben:

1. aus dem Strafregister;
2. bei den Strafbehörden durch Einholen von Auskünften und Akten über laufende, abgeschlossene oder eingestellte Strafverfahren;
3. bei den Sicherheitsorganen des Bundes, dem Nachrichtendienst des Bundes (NDB), den Organen der Armee sowie weiteren Organen des Bundes, sofern diese Daten bearbeiten, die für die Beurteilung des Sicherheitsrisikos erforderlich sind;
4. aus den Registern und Akten der Sicherheitsorgane der Kantone sowie der Polizei;
5. aus den Registern der Betreibungs- und Konkursbehörden;
6. aus den Akten bisheriger Personensicherheitsprüfungen;
7. aus öffentlich zugänglichen Quellen.

Sie kann für die erweiterte Personensicherheitsprüfung zudem aus folgenden Quellen Daten erheben:

1. bei den eidgenössischen und kantonalen Steuerbehörden;
2. aus den Registern der Einwohnerkontrollen;
3. bei Finanzinstituten und Banken, mit welchen die zu prüfende Person Geschäftsbeziehungen unterhält;
4. durch Befragung der zu prüfenden Person.

Ergeben sich gestützt auf die erhobenen Daten konkrete Hinweise auf ein Sicherheitsrisiko oder sind für die Beurteilung nicht genügend Daten über einen hinreichenden Zeitraum vorhanden, so kann die Fachstelle PSP die zu prüfende Person befragen. Sie kann mit der Einwilligung der zu prüfenden Person auch Dritte befragen; sie macht die Drittperson darauf aufmerksam, dass die Auskunft freiwillig ist.

Daten über Dritte, die untrennbar mit Daten über die zu prüfende Person verbunden sind, dürfen nur bearbeitet werden, wenn dies für die Beurteilung des Sicherheitsrisikos unerlässlich ist. Die Fachstelle PSP informiert die betroffenen Dritten über die Bearbeitung.

Müssen die Daten bei einer ausländischen Behörde oder internationalen Organisation erhoben werden, so erfolgt dies über die zuständige Behörde oder Organisation nach Artikel 34.

Ergibt die Datenerhebung konkrete Hinweise auf das organisierte oder internationale Verbrechen, so konsultiert die Fachstelle PSP die kriminalpolizeilichen Zentralstellen des Bundes. Die Zentralstellen geben der Fachstelle PSP nur sicherheitsrelevante Personendaten bekannt.

Behörden und Organisationen des öffentlichen Rechts, bei denen Daten erhoben werden dürfen oder die am Verfahren mitwirken müssen, sind verpflichtet, unentgeltlich mitzuwirken.

Entsteht für Dritte durch die Mitwirkung ein erheblicher Aufwand, so werden sie dafür entschädigt.

Der Bund trägt die Kosten der Personensicherheitsprüfungen von Angestellten der Kantone nach Artikel 29 Absatz 1 Buchstabe b.

Die Fachstelle PSP stellt das Prüfverfahren ein, wenn die zu prüfende Person ihre Einwilligung zurückzieht oder für die Funktion oder für den Auftrag nicht mehr in Frage kommt.

Sie teilt die Einstellung des Prüfverfahrens der betreffenden Person und der einleitenden Stelle mit. Die betreffende Person gilt damit als nicht geprüft.

Ein Sicherheitsrisiko besteht, wenn aufgrund der erhobenen Daten konkrete Anhaltspunkte vorliegen, dass die geprüfte Person die sicherheitsempfindliche Tätigkeit mit hoher Wahrscheinlichkeit vorschriftswidrig oder unsachgemäss ausüben wird.

Die Wahrscheinlichkeit einer vorschriftswidrigen oder unsachgemässen Ausübung der sicherheitsempfindlichen Tätigkeit kann insbesondere dann als hoch gelten, wenn konkrete Anhaltspunkte für folgende persönliche Eigenschaften vorliegen:

1. mangelnde persönliche Integrität oder Vertrauenswürdigkeit;
2. Erpressbarkeit oder Bestechlichkeit; oder
3. beeinträchtigtes Urteils- oder Entscheidungsvermögen.

Das Sicherheitsrisiko muss ungeachtet des Verschuldens der geprüften Person aufgrund der tatsächlichen Umstände ihrer persönlichen Verhältnisse festgestellt werden.

Die Fachstelle PSP stellt das Ergebnis der Beurteilung als eine der folgenden Erklärungen mit der nachstehenden Bedeutung aus:

1. Sicherheitserklärung: Es besteht kein Sicherheitsrisiko.
2. Sicherheitserklärung mit Vorbehalt: Es besteht ein Sicherheitsrisiko, das mit Auflagen auf ein tragbares Mass reduziert werden kann. Die Fachstelle PSP empfiehlt entsprechende Auflagen.
3. Risikoerklärung: Es besteht ein Sicherheitsrisiko.
4. Feststellungserklärung: Für die Beurteilung des Sicherheitsrisikos sind nicht genügend Daten über einen hinreichenden Zeitraum vorhanden.

Bevor die Fachstelle PSP eine Erklärung nach Absatz 1 Buchstaben b–d ausstellt, gibt sie der geprüften Person die Möglichkeit zur Stellungnahme.

Die Fachstelle PSP teilt ihre Erklärung der geprüften Person sowie der entscheidenden Stelle schriftlich mit.

Bei den vom Bundesrat zu wählenden Personen teilt die Fachstelle PSP ihre Erklärung dem antragstellenden Departement mit.

Sie kann einer anderen entscheidenden Stelle die Erklärung mitteilen, wenn die geprüfte Person:

1. für eine andere sicherheitsempfindliche Tätigkeit nach diesem Gesetz einer Personensicherheitsprüfung untersteht;
2. einer Prüfung der Vertrauenswürdigkeit nach einem anderen Bundesgesetz untersteht;
3. als Angehörige der Armee einer Prüfung nach Artikel 113 des Militärgesetzes vom 3. Februar 1995²¹ untersteht.

Liegen der Fachstelle PSP bereits vor Abschluss der Beurteilung konkrete Anhaltspunkte vor, dass ein Sicherheitsrisiko bestehen könnte, so kann sie den Stellen nach den Absätzen 1–3 sowie der zu prüfenden Person die vorläufigen Erkenntnisse schriftlich mitteilen.

Die Erklärungen der Fachstellen PSP haben empfehlenden Charakter.

Die Stelle nach Artikel 31 Absatz 1 Buchstabe b entscheidet nach Kenntnisnahme der Erklärung ob die geprüfte Person die sicherheitsempfindliche Tätigkeit ausüben darf.

Sie kann die Ausübung der sicherheitsempfindlichen Tätigkeit mit Auflagen verbinden.

Sie teilt ihren Entscheid der Fachstelle PSP mit.

Auf die Durchführung der Personensicherheitsprüfung kann verzichtet werden, wenn für die betreffende Person bereits eine Erklärung derselben oder der höheren Prüfstufe ausgestellt wurde:

1. für eine andere sicherheitsempfindliche Tätigkeit nach diesem Gesetz;
2. im Rahmen einer Prüfung der Vertrauenswürdigkeit nach einem anderen Bundesgesetz.

Die Personensicherheitsprüfung wird wie folgt wiederholt:

1. Grundsicherheitsprüfung: frühestens nach fünf, spätestens aber nach zehn Jahren;
2. erweiterte Personensicherheitsprüfung: frühestens nach drei, spätestens aber nach fünf Jahren.

Der Bundesrat kann für Funktionen der Armee und des Zivilschutzes von der Wiederholung der Grundsicherheitsprüfung absehen.

Hat die einleitende oder die entscheidende Stelle Grund anzunehmen, dass seit der letzten Prüfung neue Risiken entstanden sind, so kann sie bei der Fachstelle PSP mit schriftlicher Begründung eine Wiederholung der Personensicherheitsprüfung verlangen.

Die geprüfte Person hat nach Erhalt der Erklärung nach Artikel 39 Absatz 1 30 Tage Zeit, um:

1. Einsicht in die Prüfungsunterlagen zu nehmen;
2. die Berichtigung falscher Daten oder die Vernichtung nicht mehr aktueller Daten zu verlangen;
3. einen Bestreitungsvermerk anbringen zu lassen.

Die Einschränkung des Auskunftsrechts richtet sich nach Artikel 26 DSG ²² . ²³

Die Erklärung stellt einen Realakt nach Artikel 25 a des Verwaltungsverfahrensgesetzes vom 20. Dezember 1968 ²⁴ dar. Die geprüfte Person kann gegen eine Erklärung nach Artikel 39 Absatz 1 Buchstaben b–d innerhalb von 30 Tagen nach deren Erhalt beim Bundesverwaltungsgericht Beschwerde führen.

Ist das Bundesgericht oder das Bundesverwaltungsgericht die entscheidende Stelle, so gilt Artikel 36 Absätze 2 und 4 des Bundespersonalgesetzes vom 24. März 2000 ²⁵ sinngemäss.

Das Beschwerdeverfahren richtet sich im Übrigen nach den allgemeinen Bestimmungen über die Bundesrechtspflege.

Die Fachstellen PSP betreiben ein Informationssystem. Dieses dient der Durchführung von:

1. Personensicherheitsprüfungen;
2. Beurteilungen des Gefährdungs- oder Missbrauchspotenzials bezüglich der persönlichen Waffe;
3. Zuverlässigkeitskontrollen;
4. Prüfungen der Vertrauenswürdigkeit.²⁶

Jede Fachstelle PSP ist für die rechtmässige Bearbeitung der Personendaten im Informationssystem verantwortlich.

Im Informationssystem können besonders schützenswerte Personendaten nach Artikel 5 Buchstabe c DSG ²⁷ bearbeitet werden, sofern dies zur Beurteilung des Sicherheitsrisikos erforderlich ist. ²⁸

Anhand der Daten des Informationssystems darf ein Profiling, einschliesslich eines Profilings mit hohem Risiko, nach DSG durchgeführt werden, um die nachfolgenden persönlichen Aspekte einer natürlichen Person zu den Bearbeitungszwecken nach Absatz 1 zu analysieren, zu bewerten, zu beurteilen oder vorherzusagen:

1. Sicherheitsrisiko;
2. Gefährdungs- und Missbrauchspotenzial bezüglich der persönlichen Waffe.²⁹

Das Informationssystem enthält folgende Daten:

1. ³⁰ Daten zur Identität der zu prüfenden oder geprüften Personen, einschliesslich der AHV-Nummer und der Passnummer;
2. die Daten nach den Artikeln 34 und 35;
3. die Beurteilung des Sicherheitsrisikos;
4. die Erklärung nach Artikel 39 Absatz 1;
5. den Entscheid der entscheidenden Stelle;
6. Daten und Akten aus Beschwerdeverfahren;
7. Listen und Statistiken, die Daten nach den Buchstaben a–f enthalten.

Werden Daten nach Absatz 4 ausserhalb des Informationssystems bearbeitet, so muss dies im Informationssystem vermerkt werden.

Die Daten nach Absatz 4 können automatisch und systematisch durch Abfrage der folgenden Informationssysteme erhoben werden:

1. ³¹ Strafregister-Informationssystem VOSTRA nach dem Strafregistergesetz vom 17. Juni 2016³²;
2. nationaler Polizeiindex nach Artikel 17 des Bundesgesetzes vom 13. Juni 2008³³ über die polizeilichen Informationssysteme des Bundes;
3. INDEX NDB nach Artikel 51 des Nachrichtendienstgesetzes vom 25. September 2015³⁴;
4. ³⁵ die Datenbanken der Zentralstelle Waffen nach Artikel 32a Absatz 1 des Waffengesetzes vom 20. Juni 1997³⁶.

Die folgenden Stellen haben im Abrufverfahren Zugriff auf die nachstehenden Daten im Informationssystem:

1. einleitende Stellen: auf die Daten nach Artikel 45 Absatz 4 Buchstabe b, die sie anlässlich der Einleitung der Prüfung selber erfasst haben, sowie die Daten nach Artikel 45 Absatz 4 Buchstaben a, d und e;
2. entscheidende Stellen: auf die Daten nach Artikel 45 Absatz 4 Buchstaben a, d und e;
3. Informationssicherheitsbeauftragte nach Artikel 81 zur Erfüllung ihrer Kontrollaufgaben: auf die Daten nach Artikel 45 Absatz 4 Buchstaben a, d und e;
4. Stellen des Bundes und der Kantone, bei denen Daten nach Artikel 37 erhoben werden: auf die Daten nach Artikel 45 Absatz 4 Buchstabe a.

Die folgenden Stellen haben über eine Schnittstelle Zugriff auf die nachstehenden Daten im Informationssystem:

1. die Fachstelle nach Artikel 51 Absatz 2 zur Durchführung des Betriebssicherheitsverfahrens nach den Artikeln 49–73 über das Informationssystem nach Artikel 70: auf die Daten nach Artikel 45 Absatz 4 Buchstaben a, d und e;
2. die Gruppe Verteidigung:1.zur Erfüllung ihrer Aufgaben nach Artikel 13 des Bundesgesetzes vom 3. Oktober 2008³⁷ über die militärischen Informationssysteme (MIG) über das Personalinformationssystem der Armee nach Artikel 12 MIG: auf die Daten nach Artikel 45 Absatz 4 Buchstaben a, d und e,2.zur Erfüllung ihrer Aufgaben nach Artikel 19 MIG über das Informationssystem Rekrutierung nach Artikel 18 MIG: auf die Daten nach Artikel 45 Absatz 4 Buchstaben a und e,3.zur Erfüllung ihrer Aufgaben nach Artikel 157 MIG über das Informationssystem Besuchsanträge nach Artikel 156 MIG: auf die Daten nach Artikel 45 Absatz 4 Buchstaben a und e,4.zur Erfüllung ihrer Aufgaben nach Artikel 163 MIG über das Informationssystem Zutrittskontrolle nach Artikel 162 MIG: auf die Daten nach Artikel 45 Absatz 4 Buchstaben a und e;
3. die Stelle, die für die Sicherheitsbescheinigung im internationalen Verhältnis nach Artikel 48 Buchstabe c zuständig ist: auf die Daten nach Artikel 45 Absatz 4 Buchstaben a, d und e.

Die Fachstellen PSP können zudem Daten nach Artikel 45 Absatz 4 Buchstaben a und e weiteren Stellen des Bundes bekanntgeben, sofern dies zur Kontrolle des Zutritts zu einer Sicherheitszone erforderlich ist.

Sie können den verpflichteten Behörden und Organisationen Listen und Statistiken nach Artikel 45 Absatz 1 Buchstabe g bekanntgeben, sofern dies zur Erfüllung von deren Kontrollaufgaben nach diesem Gesetz erforderlich ist.

Die Fachstellen PSP können Befragungen nach Artikel 34 Absätze 2 Buchstabe d und 3 mit technischen Geräten aufnehmen und auf Datenträgern aufbewahren.

Sie bewahren die Daten so lange auf, wie die betreffende Person die sicherheitsempfindliche Tätigkeit ausübt, längstens jedoch zehn Jahre.

Die Archivierung der Daten richtet sich nach den Vorschriften der Archivierungsgesetzgebung.

Wird das Prüfverfahren eingestellt, tritt eine geprüfte Person die vorgesehene Funktion nicht an oder lehnt sie den Auftrag ab, so werden alle mit der Personensicherheitsprüfung zusammenhängenden Daten und Akten spätestens nach drei Monaten vernichtet.

Der Bundesrat regelt:

1. das Verfahren der Personensicherheitsprüfung;
2. die Organisation der Fachstellen PSP;
3. die Sicherheitsbescheinigung für Personen im internationalen Verhältnis;
4. die Verantwortung für den Datenschutz in Zusammenhang mit dem Informationssystem nach Artikel 45 sowie die Datensicherheit;
5. die periodische Kontrolle der Bearbeitung von Personendaten durch eine externe Stelle.

Das Betriebssicherheitsverfahren dient zur Gewährleistung der Informationssicherheit bei der Erfüllung von öffentlichen Aufträgen durch Unternehmen und Subunternehmen oder Teile davon (Betriebe), sofern die Aufträge die Ausübung einer sicherheitsempfindlichen Tätigkeit einschliessen (sicherheitsempfindliche Aufträge).

Das Betriebssicherheitsverfahren kann durchgeführt werden bei Betrieben:

1. die einen sicherheitsempfindlichen Auftrag einer verpflichteten Behörde oder Organisation ausführen sollen;
2. mit Sitz in der Schweiz, die sich um einen Auftrag bewerben, für den sie eine Betriebssicherheitsbescheinigung nach Artikel 66 benötigen.

Das Verfahren darf nur mit Einwilligung des Betriebs durchgeführt werden.

Die Betriebe nach Absatz 1 Buchstabe b tragen die Kosten des Verfahrens.

Das Betriebssicherheitsverfahren wird eingestellt, wenn der Betrieb:

1. seine Einwilligung zurückzieht oder am Verfahren nicht mitwirkt;
2. sein Angebot zurückzieht;
3. für den Auftrag nicht mehr in Frage kommt.

Die für die Durchführung des Betriebssicherheitsverfahrens zuständige Fachstelle (Fachstelle BS) teilt dem Betrieb und der den Auftrag vergebenden Behörde oder Organisation (Auftraggeberin) die Einstellung des Verfahrens mit.

Verpflichtete Behörden und Organisationen beantragen der Fachstelle BS die Einleitung des Verfahrens, wenn sie beabsichtigen, einen sicherheitsempfindlichen Auftrag zu vergeben.

Die verpflichteten Behörden legen fest, welche Stellen für die Antragstellung zuständig sind.

Für Betriebe nach Artikel 50 Absatz 1 Buchstabe b stellt die zuständige ausländische Behörde oder internationale Organisation den Antrag.

Die Fachstelle BS prüft den Antrag und leitet das Verfahren ein.

Sie kann im Einvernehmen mit der Auftraggeberin auf die Einleitung verzichten, wenn das Sicherheitsrisiko mit anderen Massnahmen auf ein tragbares Mass reduziert werden kann. Sie empfiehlt entsprechende Massnahmen.

Die Fachstelle BS legt in Absprache mit der Auftraggeberin die Anforderungen an die Informationssicherheit für das Vergabeverfahren und die Auftragserfüllung fest.

Die Auftraggeberin teilt der Fachstelle BS mit, welche Betriebe für die Ausführung des sicherheitsempfindlichen Auftrags in Frage kommen.

Die Fachstelle BS beurteilt, ob diese Betriebe zur Ausführung des sicherheitsempfindlichen Auftrags geeignet sind oder ob ein Sicherheitsrisiko besteht.

Sie ist in ihrer Beurteilung weisungsungebunden.

Die Fachstelle BS kann zur Beurteilung der Eignung Daten erheben:

1. beim Betrieb;
2. beim NDB;
3. aus öffentlich zugänglichen Quellen.

Sie kann ausländische und internationale Dienststellen um die Zustellung entsprechender Daten ersuchen. Anfragen an ausländische Nachrichtendienste erfolgen über den NDB.

Ein Sicherheitsrisiko besteht, wenn aufgrund der erhobenen Daten konkrete Anhaltspunkte vorliegen, dass der Betrieb den sicherheitsempfindlichen Auftrag mit hoher Wahrscheinlichkeit vorschriftswidrig oder unsachgemäss ausführen wird.

Die Wahrscheinlichkeit einer vorschriftswidrigen oder unsachgemässen Ausführung des sicherheitsempfindlichen Auftrags kann insbesondere dann als hoch gelten, wenn:

1. der Betrieb mangelnde Integrität oder Vertrauenswürdigkeit aufweist;
2. der Betrieb von ausländischen Staaten oder Organisationen des öffentlichen oder privaten Rechts kontrolliert oder beeinflusst wird und diese Kontrolle oder dieser Einfluss nicht mit dem Schutz der Interessen nach Artikel 1 Absatz 2 vereinbar ist;
3. für Personen des Betriebs, die für die Ausführung des sicherheitsempfindlichen Auftrags unentbehrlich sind, eine Risikoerklärung ausgestellt wurde.

Das Sicherheitsrisiko muss ungeachtet eines Verschuldens aufgrund der tatsächlichen Umstände und Verhältnisse des betroffenen Betriebs festgestellt werden.

Die Fachstelle BS teilt ihre Beurteilung der Auftraggeberin mit und eröffnet sie dem Betrieb durch Verfügung.

Kommt die Fachstelle BS zum Schluss, dass die Ausführung des sicherheitsempfindlichen Auftrags mit einem Sicherheitsrisiko verbunden ist, so schliesst die Auftraggeberin den Betrieb vom Vergabeverfahren aus.

Ist die Ausführung des sicherheitsempfindlichen Auftrags bei allen in Frage kommenden Betrieben mit einem Sicherheitsrisiko verbunden, so kann die Auftraggeberin trotzdem einem dieser Betriebe den Auftrag erteilen. Die Fachstelle BS stellt das Betriebssicherheitsverfahren ein. Die Auftraggeberin wendet die Massnahmen nach den Artikeln 59, 60, 63 und 64 sinngemäss an.

Die Auftraggeberin teilt der Fachstelle BS mit, welcher Betrieb den Zuschlag erhält.

Der Betrieb erstellt nach den Vorgaben der Fachstelle BS ein Sicherheitskonzept.

Die Fachstelle BS prüft das Sicherheitskonzept. Sie kann die dazu erforderlichen Daten schriftlich erheben oder den Betrieb inspizieren.

Personen des Betriebs, die für eine sicherheitsempfindliche Tätigkeit vorgesehen sind, werden einer Personensicherheitsprüfung unterzogen.

Die Fachstelle BS ist für den Entscheid nach Artikel 41 Absatz 2 zuständig. Wird das Verfahren eingestellt, weil sich kein Betrieb für die Ausführung des Auftrags eignet (Art. 58 Abs. 3), so ist die Auftraggeberin für den Entscheid zuständig.

Die Fachstelle BS stellt dem Betrieb eine Betriebssicherheitserklärung in Form einer Verfügung aus, sobald dieser das Sicherheitskonzept nachweislich umgesetzt hat.

Sie verweigert dem Betrieb die Betriebssicherheitserklärung und stellt das Betriebssicherheitsverfahren ein, wenn er das Sicherheitskonzept nicht umsetzt. Sie erlässt eine entsprechende Verfügung.

Die Verfügungen nach den Absätzen 1 und 2 werden der Auftraggeberin mitgeteilt.

Die Auftraggeberin ist an die Verfügung der Fachstelle BS gebunden; vorbehalten bleibt Artikel 58 Absatz 3.

Die Gültigkeit der Betriebssicherheitserklärung beträgt fünf Jahre.

Die Auftraggeberin darf den sicherheitsempfindlichen Auftrag erst ausführen lassen, wenn die Fachstelle BS die Betriebssicherheitserklärung ausgestellt hat.

Betriebe, die über eine Betriebssicherheitserklärung verfügen, müssen die Massnahmen des Sicherheitskonzepts laufend umsetzen.

Sie melden der Fachstelle BS und der Auftraggeberin unverzüglich alle sicherheitsrelevanten Änderungen und Vorfälle.

Die Fachstelle BS ist befugt:

1. Bereiche, in denen der sicherheitsempfindliche Auftrag ausgeführt wird, ohne Vorankündigung zu inspizieren;
2. auftragsrelevante Unterlagen einzusehen.

Liegen konkrete Anhaltspunkte vor, dass die Informationssicherheit in einem Betrieb gefährdet ist, so kann die Fachstelle BS umgehend die erforderlichen Schutzmassnahmen treffen und insbesondere Unterlagen und Material sicherstellen.

Betriebe, die über eine Betriebssicherheitserklärung verfügen, gelten für weitere sicherheitsempfindliche Aufträge als geeignet. Die Fachstelle BS prüft, ob das Sicherheitskonzept angepasst werden muss.

Die Fachstelle BS stellt dem Betrieb auf dessen Antrag hin eine internationale Betriebssicherheitsbescheinigung aus.

Die Fachstelle BS widerruft die Betriebssicherheitserklärung, wenn:

1. der Betrieb seine Pflichten nach Artikel 63 nicht erfüllt;
2. sich im Rahmen einer Wiederholung des Verfahrens ein Sicherheitsrisiko ergibt.

Sie teilt den Widerruf mittels Verfügung dem Betrieb und der Auftraggeberin mit.

Wird die Betriebssicherheitserklärung widerrufen, so zieht die Auftraggeberin den Auftrag umgehend zurück; vorbehalten bleibt Artikel 58 Absatz 3. Der Betrieb hat keinen Anspruch auf Entschädigung.

Das Betriebssicherheitsverfahren wird wiederholt, wenn:

1. im Zeitpunkt des Ablaufs der Gültigkeit der Betriebssicherheitserklärung ein sicherheitsempfindlicher Auftrag hängig ist;
2. konkrete Anhaltspunkte vorliegen, dass in Folge wesentlicher Änderungen im Betrieb neue Sicherheitsrisiken entstanden sind.

Der Betrieb hat nach Eröffnung einer Verfügung der Fachstelle BS 30 Tage Zeit, um:

1. Einsicht in die Unterlagen zu nehmen;
2. die Berichtigung falscher Daten oder die Vernichtung nicht mehr aktueller Daten zu verlangen;
3. einen Bestreitungsvermerk anbringen zu lassen;
4. beim Bundesverwaltungsgericht Beschwerde zu führen.

Die Einschränkung des Auskunftsrechts richtet sich nach Artikel 26 DSG ³⁸ . ³⁹

Die Fachstelle BS betreibt zur Durchführung und Bewirtschaftung des Betriebssicherheitsverfahrens ein Informationssystem.

Im Informationssystem können besonders schützenswerte Personendaten nach Artikel 5 Buchstabe c DSG ⁴⁰ bearbeitet werden, sofern dies zur Durchführung des Betriebssicherheitsverfahrens erforderlich ist. ⁴¹

Das Informationssystem enthält folgende Daten:

1. die Daten nach den Artikeln 56 und 59 Absatz 3;
2. das Ergebnis der Beurteilung nach Artikel 55 Absatz 2;
3. die Ergebnisse der für das Betriebssicherheitsverfahren erforderlichen Personensicherheitsprüfungen nach Artikel 60 Absatz 1;
4. den Entscheid der Fachstelle BS nach Artikel 60 Absatz 2;
5. die Namen aller Betriebe mit einer Betriebssicherheitserklärung;
6. die Massnahmen allfälliger Kontrollen nach Artikel 64;
7. Daten und Akten aus Beschwerdeverfahren.

Die Fachstelle BS ist für die Sicherheit des Informationssystems sowie die rechtmässige Bearbeitung der Personendaten verantwortlich.

Die folgenden Stellen haben im Abrufverfahren Zugriff auf die nachstehenden Daten:

1. Auftraggeberinnen: auf die Daten nach Artikel 70 Absatz 3 Buchstaben b und d–g;
2. betroffene Betriebe, sofern sie vom Bundesrat gestützt auf Artikel 31 Absatz 1 Buchstabe a ermächtigt worden sind, in ihrem Zuständigkeitsbereich Personensicherheitsprüfungen einzuleiten: auf die Daten nach Artikel 70 Absatz 3 Buchstabe d.

Die Fachstelle BS kann zudem Daten nach Artikel 70 Absatz 3 Buchstaben b–d weiteren Stellen des Bundes bekanntgeben, sofern dies zur Gewährleistung der Informationssicherheit erforderlich ist.

Die Fachstelle BS bewahrt die Daten so lange auf, wie der betroffene Betrieb im Besitz einer Betriebssicherheitserklärung ist, längstens jedoch zehn Jahre.

Die Archivierung der Daten richtet sich nach den Vorschriften der Archivierungsgesetzgebung.

Wird das Betriebssicherheitsverfahren eingestellt, so werden alle damit zusammenhängenden Daten und Akten spätestens nach drei Monaten vernichtet.

Der Bundesrat regelt:

1. das Betriebssicherheitsverfahren im Einzelnen;
2. die Anwendung des Betriebssicherheitsverfahrens auf Subunternehmen;
3. die Organisation der Fachstelle BS;
4. die Datensicherheit im Informationssystem nach Artikel 70;
5. die periodische Kontrolle der Bearbeitung von Personendaten durch eine externe Stelle.

Zum Schutz der Schweiz vor Cyberbedrohungen erstellt das BACS technische Analysen zur Bewertung und Abwehr von Cybervorfällen und Cyberbedrohungen sowie zur Identifikation und Behebung von Schwachstellen.

Gestützt auf die Analysen nimmt das BACS insbesondere folgende Aufgaben wahr:

1. Sensibilisierung und Warnung der Öffentlichkeit in Bezug auf Cyberbedrohungen;
2. Warnung von betroffenen Behörden, Organisationen und Personen bei unmittelbaren Cyberbedrohungen oder laufenden Cyberangriffen;
3. Veröffentlichung von Informationen zur Cybersicherheit sowie von Empfehlungen für präventive und reaktive Massnahmen gegen Cybervorfälle;
4. Entgegennahme und Bearbeitung von Meldungen zu Cybervorfällen und Cyberbedrohungen;
5. Unterstützung von Betreiberinnen kritischer Infrastrukturen.

Das BACS nimmt Meldungen zu Cybervorfällen und Cyberbedrohungen entgegen. Die Meldungen können anonym erfolgen.

Das BACS analysiert die Meldungen bezüglich ihrer Bedeutung für den Schutz der Schweiz vor Cyberbedrohungen. Es gibt auf Antrag eine Empfehlung zum weiteren Vorgehen ab, sofern dafür keine weiteren Analysen und Abklärungen erforderlich sind.

Erhält das BACS Kenntnis von einer Schwachstelle, so informiert es umgehend die Herstellerin der betroffenen Hard- oder Software und setzt ihr zur Behebung der Schwachstelle eine angemessene Frist. Es weist sie darauf hin, dass eine Missachtung beschaffungsrechtlich sanktioniert werden kann (Art. 44 Abs. 1 Bst. f ^bis des Bundesgesetzes vom 21. Juni 2019 ⁴⁶ über das öffentliche Beschaffungswesen) und dass das BACS nach Fristablauf Informationen zur Schwachstelle nach Artikel 73 c Absatz 2 veröffentlichen kann.

Das BACS kann Informationen zu Cybervorfällen veröffentlichen, sofern dies dem Schutz vor Cyberbedrohungen dient. Diese Informationen dürfen nur dann Aufschluss über die betroffene natürliche oder juristische Person geben, sofern diese einwilligt und es sich um missbräuchlich verwendete Identifikationsmerkmale und Adressierungselemente handelt.

Das BACS kann Informationen zu Schwachstellen unter Angabe der betroffenen Hard- oder Software veröffentlichen, sofern die Herstellerin einwilligt oder die Schwachstelle nicht innert der Frist nach Artikel 73 b Absatz 3 behoben hat.

Das BACS kann Informationen aus Meldungen an Behörden und Organisationen weiterleiten, die im Bereich der Cybersicherheit tätig sind. Diese Informationen dürfen nur dann Personendaten umfassen, wenn die betroffene Person einwilligt.

Ergeben sich aus der Meldung eines Cybervorfalls oder dessen Analyse Informationen, die für das frühzeitige Erkennen und Verhindern von Bedrohungen der inneren oder äusseren Sicherheit, für die Beurteilung der Bedrohungslage oder für die nachrichtendienstliche Frühwarnung zum Schutz kritischer Infrastrukturen nach Artikel 6 Absätze 1 Buchstabe a, 2 und 5 des Nachrichtendienstgesetzes vom 25. September 2015 ⁴⁹ (NDG) erforderlich sind, so leitet das BACS diese Informationen an den NDB weiter.

Erhalten Mitarbeiterinnen und Mitarbeiter des BACS im Zusammenhang mit einer Meldung oder deren Analyse Hinweise auf eine mögliche Straftat, so zeigen sie diese abweichend von Artikel 22 a Absatz 1 des Bundespersonalgesetzes vom 24. März 2000 ⁵⁰ ausschliesslich der Leiterin oder dem Leiter des BACS an. Diese oder dieser kann Anzeige bei den Strafverfolgungsbehörden erstatten, sofern dies aufgrund der Schwere der möglichen Straftat geboten scheint.

Strafrechtlich geschützte Geheimnisse darf das BACS nur nach den Vorgaben von Artikel 320 des Strafgesetzbuches ⁵¹ weiterleiten.

Das BACS unterstützt die Betreiberinnen kritischer Infrastrukturen beim Schutz vor Cyberbedrohungen.

Es stellt ihnen insbesondere folgende Hilfsmittel unentgeltlich und zur freiwilligen Nutzung zur Verfügung:

1. ein Kommunikationssystem für den sicheren Informationsaustausch;
2. technische Informationen zu aktuellen Cyberbedrohungen sowie Empfehlungen für präventive und reaktive Massnahmen gegen Cybervorfälle;
3. technische Instrumente und Anleitungen zur Erkennung von Cybervorfällen, die auf den erhöhten Schutzbedarf kritischer Infrastrukturen ausgerichtet sind.

Es kann sie bei der Bewältigung von Cybervorfällen und der Behebung von Schwachstellen beraten und unterstützen, wenn die Funktionsfähigkeit der betroffenen kritischen Infrastruktur gefährdet ist und, sofern es sich um private Betreiberinnen handelt, die Beschaffung gleichwertiger Unterstützung auf dem Markt nicht rechtzeitig möglich ist.

Es kann zur Analyse eines Cybervorfalls mit dem Einverständnis der betroffenen Betreiberin auf deren Informationen und Informatikmittel zugreifen.

Behörden und Organisationen nach Artikel 74 b müssen dafür sorgen, dass dem BACS Cyberangriffe auf ihre Informatikmittel gemeldet werden.

Das BACS erteilt interessierten Behörden und Organisationen Auskunft darüber, ob sie der Meldepflicht unterstellt sind und erlässt auf Antrag eine entsprechende Verfügung.

Durch die Meldung eines Cyberangriffs haben die meldepflichtigen Behörden und Organisationen Anspruch auf die Unterstützung des BACS bei der Vorfallbewältigung nach Artikel 74 Absatz 3.

Die Meldepflicht dient ausschliesslich dazu, dass das BACS Angriffsmuster auf kritische Infrastrukturen frühzeitig erkennen und dadurch mögliche Betroffene warnen und ihnen geeignete Präventions- und Abwehrmassnahmen empfehlen kann.

Die Meldepflicht gilt für:

1. Hochschulen nach Artikel 2 Absatz 2 des Hochschulförderungs- und -koordinationsgesetzes vom 30. September 2011⁵³;
2. Bundes-, Kantons- und Gemeindebehörden sowie interkantonale, kantonale und interkommunale Organisationen, mit Ausnahme der Gruppe Verteidigung, wenn die Armee Assistenzdienst nach Artikel 67 oder Aktivdienst nach Artikel 76 des Militärgesetzes vom 3. Februar 1995⁵⁴ leistet;
3. Organisationen mit öffentlich-rechtlichen Aufgaben in den Bereichen Sicherheit und Rettung, Trinkwasserversorgung, Abwasseraufbereitung und Abfallentsorgung;
4. Unternehmen, die in den Bereichen Energieversorgung nach Artikel 6 Absatz 1 des Energiegesetzes vom 30. September 2016⁵⁵, Energiehandel, Energiemessung oder Energiesteuerung tätig sind, mit Ausnahme der Bewilligungsinhaber gemäss Kernenergiegesetz vom 21. März 2003⁵⁶, sofern ein Cyberangriff auf eine Kernanlage erfolgt;
5. Unternehmen, die dem Bankengesetz vom 8. November 1934⁵⁷, dem Versicherungsaufsichtsgesetz vom 17. Dezember 2004⁵⁸ oder dem Finanzmarktinfrastrukturgesetz vom 19. Juni 2015⁵⁹ unterstehen;
6. Gesundheitseinrichtungen, die auf der kantonalen Spitalliste nach Artikel 39 Absatz 1 Buchstabe e des Bundesgesetzes vom 18. März 1994⁶⁰ über die Krankenversicherung aufgeführt sind;
7. medizinische Laboratorien mit einer Bewilligung nach Artikel 16 Absatz 1 des Epidemiengesetzes vom 28. September 2012⁶¹;
8. Unternehmen, die für die Herstellung, das Inverkehrbringen und die Einfuhr von Arzneimitteln eine Bewilligung nach dem Heilmittelgesetz vom 15. Dezember 2000⁶² haben;
9. Organisationen, die Leistungen zur Absicherung gegen die Folgen von Krankheit, Unfall, Arbeits- und Erwerbsunfähigkeit, Alter, Invalidität und Hilflosigkeit erbringen;
10. die Schweizerische Radio- und Fernsehgesellschaft;
11. Nachrichtenagenturen von nationaler Bedeutung;
12. Anbieterinnen von Postdiensten, die nach Artikel 4 Absatz 1 des Postgesetzes vom 17. Dezember 2010⁶³ bei der Postkommission registriert sind;
13. Eisenbahnunternehmen nach Artikel 5 oder 8c des Eisenbahngesetzes vom 20. Dezember 1957⁶⁴ sowie Seilbahn-, Trolleybus-, Autobus- und Schifffahrtsunternehmen mit einer Konzession nach Artikel 6 des Personenbeförderungsgesetzes vom 20. März 2009⁶⁵;
14. Unternehmen der Zivilluftfahrt, die über eine Bewilligung des Bundesamtes für Zivilluftfahrt verfügen, sowie die Landesflughäfen gemäss Sachplan Infrastruktur der Luftfahrt;
15. Unternehmen, die nach dem Seeschifffahrtsgesetz vom 23. September 1953⁶⁶ Güter auf dem Rhein befördern, sowie Unternehmen, welche die Registrierung, Ladung oder Löschung im Hafen Basel betreiben;
16. Unternehmen, welche die Bevölkerung mit unentbehrlichen Gütern des täglichen Bedarfs versorgen und deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen führen würde;
17. Anbieterinnen von Fernmeldediensten, die beim Bundesamt für Kommunikation nach Artikel 4 Absatz 1 FMG⁶⁷ registriert sind;
18. Registerbetreiberinnen und Registrare von Internet-Domains nach Artikel 28b FMG;
19. Anbieterinnen und Betreiberinnen von Diensten und Infrastrukturen, die der Ausübung der politischen Rechte dienen;
20. Anbieterinnen und Betreiberinnen von Cloudcomputing, Suchmaschinen, digitalen Sicherheits- und Vertrauensdiensten sowie Rechenzentren, sofern sie einen Sitz in der Schweiz haben;
21. Herstellerinnen von Hard- oder Software, deren Produkte von kritischen Infrastrukturen genutzt werden, sofern die Hard- oder Software einen Fernwartungszugang hat oder zu einem der folgenden Zwecken eingesetzt wird:1.Steuerung und Überwachung von betriebstechnischen Systemen und Prozessen,2.Gewährleistung der öffentlichen Sicherheit.

Bei Behörden und Organisationen, die auch Tätigkeiten ausüben, die nicht unter Absatz 1 fallen, besteht keine Meldepflicht für Cyberangriffe, die sich ausschliesslich auf diese Tätigkeiten auswirken.

Die Meldepflicht nach Absatz 1 gilt für Cyberangriffe, die sich in der Schweiz auswirken, auch wenn sich die betroffenen Informatikmittel im Ausland befinden.

Der Bundesrat nimmt Behörden und Organisationen von der Meldepflicht nach Artikel 74 b aus, wenn durch Cyberangriffe ausgelöste Funktionsstörungen nur geringe Auswirkungen auf das Funktionieren der Wirtschaft oder das Wohlergehen der Bevölkerung haben.

Ein Cyberangriff muss gemeldet werden, wenn er:

1. die Funktionsfähigkeit der betroffenen kritischen Infrastruktur gefährdet;
2. zu einer Manipulation oder zu einem Abfluss von Informationen geführt hat;
3. über einen längeren Zeitraum unentdeckt blieb, insbesondere wenn Anzeichen dafür bestehen, dass er zur Vorbereitung weiterer Cyberangriffe ausgeführt wurde; oder
4. mit Erpressung, Drohung oder Nötigung verbunden ist.

Die Meldung muss innert 24 Stunden nach der Entdeckung des Cyberangriffs erfolgen.

Sie muss Informationen zur meldepflichtigen Behörde oder Organisation, zur Art und Ausführung des Cyberangriffs, zu seinen Auswirkungen, zu ergriffenen Massnahmen und, soweit bekannt, zum geplanten weiteren Vorgehen enthalten.

Sind zum Zeitpunkt der Meldung nicht alle erforderlichen Informationen bekannt, so ergänzt die meldepflichtige Behörde oder Organisation die Meldung, sobald sie über neue Informationen verfügt.

Wer die Meldepflicht für eine Behörde oder Organisation zu erfüllen hat, muss im Rahmen der Meldung keine Angaben machen, die sie oder ihn strafrechtlich belasten.

Das BACS informiert die meldepflichtige Behörde oder Organisation, sobald alle Angaben zur Erfüllung der Meldepflicht vorliegen.

Für die elektronische Meldung von Cyberangriffen stellt das BACS ein sicheres System zur Übermittlung der Meldung zur Verfügung.

Das System muss den meldepflichtigen Behörden und Organisationen ermöglichen, die Meldung des Cyberangriffs oder seiner Auswirkungen gesamthaft oder in Teilen an weitere Behörden zu übermitteln.

Sind zur Erfüllung einer Meldepflicht gegenüber weiteren Behörden Informationen erforderlich, die über Artikel 74 e hinausgehen, so muss das System den meldepflichtigen Behörden und Organisationen ermöglichen, diese Informationen direkt an die betreffenden Behörden zu übermitteln, ohne dass das BACS darauf Zugriff hat.

Bestehen Anzeichen für eine Verletzung der Meldepflicht, so informiert das BACS die meldepflichtige Behörde oder Organisation darüber und setzt ihr eine angemessene Frist, um der Meldepflicht nachzukommen.

Kommt die meldepflichtige Behörde oder Organisation ihrer Pflicht innert dieser Frist nicht nach, so erlässt das BACS eine Verfügung, setzt darin eine neue Frist und verweist auf die Strafdrohung nach Artikel 74 h .

Mit Busse bis zu 100 000 Franken wird bestraft, wer einer vom BACS unter Hinweis auf die Strafdrohung dieses Artikels erlassenen rechtskräftigen Verfügung oder dem Entscheid einer Rechtsmittelinstanz vorsätzlich nicht Folge leistet.

Bei Widerhandlungen nach Absatz 1 in Geschäftsbetrieben ist Artikel 6 des Bundesgesetzes vom 22. März 1974 ⁶⁸ über das Verwaltungsstrafrecht (VStrR) anwendbar.

Fällt eine Busse von höchstens 20 000 Franken in Betracht und würde die Ermittlung der nach Artikel 6 VStrR strafbaren Personen Untersuchungsmassnahmen bedingen, die im Hinblick auf die verwirkte Strafe unverhältnismässig wären, so kann die Behörde von einer Verfolgung dieser Personen absehen und an ihrer Stelle den Geschäftsbetrieb zur Bezahlung der Busse verurteilen.

Bei einer Widerhandlung gegen eine Verfügung des BACS obliegt die Verfolgung und die Beurteilung den Kantonen.

Das BACS kann zur Erfüllung seiner Aufgaben Personendaten bearbeiten, einschliesslich Adressierungselemente nach Artikel 3 Buchstabe f FMG⁷¹ und damit zusammenhängende besonders schützenswerte Personendaten, die Informationen enthalten über:

1. religiöse, weltanschauliche oder politische Ansichten; die Bearbeitung ist nur zulässig, wenn sie für die Bewertung von konkreten Bedrohungen und Gefahren im Bereich der Cybersicherheit erforderlich ist;
2. administrative oder strafrechtliche Verfolgungen und Sanktionen.

Bei der Bearbeitung von Personendaten oder bei konkreten Hinweisen auf den Missbrauch einer Identität oder auf die unberechtigte Verwendung von Adressierungselementen informiert das BACS die betroffenen Personen, sofern dies nicht mit unverhältnismässigem Aufwand verbunden ist und keine überwiegenden öffentlichen Interessen entgegenstehen.

Das BACS und die Betreiberinnen kritischer Infrastrukturen können Personendaten untereinander austauschen, sofern dies zum Schutz vor Cyberbedrohungen erforderlich ist.

Das BACS und die Fernmeldedienstanbieterinnen können Adressierungselemente und damit zusammenhängende Personendaten untereinander austauschen, sofern dies zum Schutz vor Cyberbedrohungen erforderlich ist.

Das BACS unterstützt den NDB mit periodischen Auswertungen zu Anzahl, Art und Ausmass von Cyberangriffen sowie, auf Anfrage, mit technischen Analysen von Cyberbedrohungen.

Es gewährt dem NDB zum Zweck des frühzeitigen Erkennens und Verhinderns von Bedrohungen der inneren oder äusseren Sicherheit, zur Beurteilung der Bedrohungslage und zur nachrichtendienstlichen Frühwarnung zum Schutz kritischer Infrastrukturen nach Artikel 6 Absätze 1 Buchstabe a, 2 und 5 NDG ⁷⁴ Zugriff auf Informationen, welche die Identität und die Vorgehensweise der Verursacherinnen und Verursacher von Cyberangriffen betreffen.

Es gewährt den Strafverfolgungsbehörden Zugriff auf Informationen, welche die Identität und die Vorgehensweise der Verursacherinnen und Verursacher von Cyberangriffen betreffen.

Es gewährt den kantonalen Stellen, die für die Cybersicherheit zuständig sind, Zugriff auf Informationen, die für den Schutz vor Cyberbedrohungen erforderlich sind.

Das BACS kann mit ausländischen und internationalen Stellen, die für die Cybersicherheit zuständig sind, Informationen austauschen, die Aufschluss über die Identität und die Vorgehensweise der Verursacherinnen und Verursacher von Cyberangriffen geben, wenn sie diese zur Erfüllung von Aufgaben benötigen, die denjenigen des BACS entsprechen. Umfasst der Informationsaustausch auch Personendaten, sind Artikel 16 und 17 DSG ⁷⁶ zu beachten.

Der Informationsaustausch nach Absatz 1 ist nur dann zulässig, wenn die ausländischen und internationalen Stellen die bestimmungsgemässe Verwendung gewährleisten.

Das BACS bewahrt Personendaten nur so lange auf, wie dies zur Erkennung von Cyberbedrohungen oder zur Bewältigung von Cybervorfällen zweckmässig ist, höchstens jedoch fünf Jahre ab der letzten Verwendung zu diesem Zweck. Bei besonders schützenswerten Personendaten beträgt die Frist zwei Jahre. ⁷⁸

Die Archivierung der Daten richtet sich nach den Vorschriften der Archivierungsgesetzgebung.

Die folgenden Behörden und Organisationen bezeichnen für ihren Zuständigkeitsbereich eine Informationssicherheitsbeauftragte oder einen Informationssicherheitsbeauftragten sowie eine Stellvertreterin oder einen Stellvertreter:

1. Bundesrat;
2. Verwaltungsdelegation der Bundesversammlung;
3. eidgenössische Gerichte;
4. Bundesanwaltschaft;
5. Schweizerische Nationalbank;
6. Departemente und Bundeskanzlei.

Die Informationssicherheitsbeauftragten haben folgende Aufgaben:

1. Sie beraten und unterstützen die zuständigen Stellen in ihrem Bereich bei der Erfüllung ihrer Aufgaben und Pflichten nach diesem Gesetz.
2. Sie steuern im Auftrag ihrer Behörde oder Organisation die Fachorganisation der Informationssicherheit sowie das entsprechende Risikomanagement.
3. Sie überprüfen im Auftrag ihrer Behörde oder Organisation die Einhaltung der Vorgaben der Informationssicherheit, erstatten Bericht und beantragen die erforderlichen Massnahmen.
4. Sie können der Fachstelle des Bundes für Informationssicherheit sowie den Stellen nach Artikel 74 Absatz 5 sicherheitsrelevante Vorfälle melden.

Den Informationssicherheitsbeauftragten werden keine Aufgaben übertragen, die einen Interessenkonflikt mit Aufgaben nach Absatz 2 zur Folge haben können.

Die Konferenz der Informationssicherheitsbeauftragten wird aus den Informationssicherheitsbeauftragten nach Artikel 81 Absatz 1 sowie zwei Vertreterinnen oder Vertretern der Kantone und der oder dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten gebildet.

Sie hat folgende Aufgaben:

1. Sie fördert den einheitlichen Vollzug dieses Gesetzes.
2. Sie wirkt bei der Standardisierung der Anforderungen und Massnahmen nach Artikel 85 mit.
3. Sie berät die Fachstelle des Bundes für Informationssicherheit in allen Fragen der Vollzugskoordination und in Belangen von strategischer Bedeutung.
4. Sie sorgt für den Informationsaustausch insbesondere in Zusammenhang mit dem Risikomanagement sowie mit Problemen und Vorfällen im Bereich der Informationssicherheit.
5. Sie sorgt für die Koordination mit den anderen Stellen, die Aufgaben im Bereich der Informationssicherheit erfüllen.

Die Konferenz gibt sich ein Geschäftsreglement.

Die Fachstelle des Bundes für Informationssicherheit hat folgende Aufgaben:

1. Sie berät und unterstützt die verpflichteten Behörden, deren Informationssicherheitsbeauftragte und die Kantone beim Vollzug dieses Gesetzes.
2. Sie kann bei Gefährdungen der Informationssicherheit des Bundes Empfehlungen abgeben.
3. Sie kann auf Antrag der verpflichteten Behörden Überprüfungen durchführen.
4. Sie kann auf Antrag der verpflichteten Behörden die Risiken für die Informationssicherheit beim Einsatz neuartiger Technologien beurteilen.
5. Sie kann auf Antrag der verpflichteten Behörden und Organisationen prüfen, ob deren Prozesse, Mittel, Einrichtungen, Gegenstände und Dienstleistungen den Anforderungen an die Informationssicherheit entsprechen.
6. Sie kann auf Antrag der verpflichteten Behörden die Informationssicherheit bei wichtigen behördenübergreifenden Projekten steuern und koordinieren.
7. Sie ist Ansprechstelle für Fachkontakte mit inländischen, ausländischen und internationalen Stellen.
8. Sie erstattet dem Bundesrat jährlich Bericht über den Stand der Informationssicherheit des Bundes.

Die oder der Informationssicherheitsbeauftragte des Bundesrats ist gleichzeitig die Leiterin oder der Leiter der Fachstelle des Bundes für Informationssicherheit.

Der Bundesrat regelt die Organisation der Fachstelle des Bundes für Informationssicherheit. Er kann ihr weitere Aufgaben für die Bundesverwaltung und die Armee zuweisen.

Die verpflichteten Behörden erlassen die für den Vollzug dieses Gesetzes erforderlichen Ausführungsbestimmungen. Der Bundesrat kann den Erlass von Ausführungsbestimmungen für Bundesratsgeschäfte der Bundeskanzlei übertragen.

Zuständigkeiten, die das vorliegende Gesetz den verpflichteten Behörden zuweist, werden für die Bundesversammlung durch die Verwaltungsdelegation der Bundesversammlung wahrgenommen.

Die Ausführungsbestimmungen des Bundesrats gelten für die verpflichteten Behörden sinngemäss, sofern diese keine eigenen Ausführungsbestimmungen erlassen.

Der Bundesrat legt standardisierte Sicherheitsanforderungen sowie standardisierte organisatorische, personelle, technische und bauliche Massnahmen zur Gewährleistung der Informationssicherheit nach dem Stand von Wissenschaft und Technik fest.

Er kann diese Aufgabe delegieren.

Die Standardanforderungen und -massnahmen haben empfehlenden Charakter, sofern sie von den verpflichteten Behörden nicht für verbindlich erklärt werden.

Die Kantone sorgen für die periodische Überprüfung der Umsetzung und Wirksamkeit der Informationssicherheit nach Artikel 3.

Sie informieren die Fachstelle des Bundes für Informationssicherheit über die Ergebnisse der Überprüfungen nach Absatz 1.

Sie bezeichnen für Fragen der Informationssicherheit je eine Dienststelle als Ansprechpartnerin für die verpflichteten Behörden.

Der Bundesrat legt fest, in welchen Fällen die Kantone die Leistungen der Fachstellen nach diesem Gesetz für ihre eigene Informationssicherheit in Anspruch nehmen können. Die Leistungen sind gebührenpflichtig. Der Bundesrat legt die Höhe der Gebühren fest.

Der Bundesrat ist ermächtigt, völkerrechtliche Verträge im Bereich der Informationssicherheit abzuschliessen:

1. zum Austausch von Informationen über Gefährdungen, Schwachstellen und Vorfälle im Bereich der Informationssicherheit, insbesondere von kritischen Infrastrukturen;
2. zum Austausch von klassifizierten Informationen;
3. zur Durchführung von Personensicherheitsprüfungen und Betriebssicherheitsverfahren;
4. zur Anerkennung von Sicherheitserklärungen;
5. zur Durchführung von Kontrollen.

Der Bundesrat sorgt dafür, dass die Umsetzung, die Zweckmässigkeit, die Wirksamkeit und die Wirtschaftlichkeit dieses Gesetzes periodisch durch eine unabhängige Stelle, wie die Eidgenössische Finanzkontrolle, überprüft werden.

Er erstattet den zuständigen Kommissionen der Bundesversammlung regelmässig Bericht.