Verordnung über die Informationstechnologie

und der kantonalen Verwaltung vom 27. November 19863 sowie Gesetzes über die Öffentlichkeit der Verwaltung und den Dat Abs. 3 des enschutz vom 23. Mai 20074, beschliesst:

1. Allgemeine Bestimmungen

Die Verordnung gilt für:

1. die Departemente, Staatskanzlei und Ämter der kantonalen Verwaltung;
2. die Benutzer der kantonalen IT;
3. berechtigte Dritte, soweit die Sicherheit, Funktionsfähigkeit und Verfügbarkeit der IT betroffen sind.

Ausnahmen Die Verordnung kommt namentlich nicht zur Anwendung bei:

1. Funk-, Alarmierungs-, Schliess- und Einsatzleitsystemen sowie der Notruftele- fonie der Kantonspolizei;
2. speziellen Informatikmitteln, die der polizeilichen Ermittlungsarbeit und wei- teren spezifischen Polizeitätigkeiten dienen;
3. eigenen Netzen der kantonalen Schulen;
4. kantonalen Anlagen der Gebäudetechnik;
5. kantonseigenen Anlagen, die ausschliesslich der Steuerung technischer Pro- zesse dienen.

Begriffe Im Sinne dieser Verordnung bedeuten:

1. Informationstechnologie (IT): die Steuerung, Planung und Einführung sowie der Betrieb und Unterhalt von Prozessen und Techniken, welche der elektro- nischen oder elektronisch unterstützten Bearbeitung von Informationen aller Art und deren Übermittlung inklusive Telekommunikation dienen;
2. Informatikmittel: Geräte, Einrichtungen und Dienste, insbesondere Kommuni- kationsnetzwerke, Betrieb- und Datenbearbeitungssysteme, Hard- und Soft- ware sowie Supportprogramme, die der elektronischen Erfassung, Verarbei- tung, Speicherung, Übermittlung, Auswertung, Archivierung oder Vernichtung von Informationen dienen;
3. Basisdienste: Informatikmittel, die der verwaltungsweiten Grundversorgung und der Zusammenarbeit dienen, insbesondere Basisinfrastruktur und Quer- schnittsanwendungen, ausgenommen Fachanwendungen;
4. Fachanwendungen: Informatikmittel, welche zur Steuerung und Abwicklung von Geschäftsabläufen und zur spezifischen Aufgabenerfüllung des zuständi- gen öffentlichen Organs erforderlich sind;
5. digitale Leistungen: Dienstleistungen im Bereich IT, für die das Amt für Infor- matik zuständig ist und die es selbst oder durch beauftragte Dritte für die Benutzer erbringt;
6. Benutzer: natürliche oder juristische Person, welche zur Erfüllung einer öf- fentlichen Aufgabe von einem Informatikmittel Gebrauch macht;
7. Informationen: alle Aufzeichnungen, welche die Erfüllung einer öffentlichen Aufgabe betreffen, unabhängig von ihrer Darstellungsform und ihrem Informa- tionsträger;
8. Informationssicherheit: alle Massnahmen zum Schutz von Informationen und Informatikmitteln, die zur Gewährleistung ihrer Vertraulichkeit, Integrität, Ver- fügbarkeit und Nachvollziehbarkeit dienen;
9. Informationssicherheits- und Datenschutzkonzept (ISDS-Konzept): strukturierte Beschreibung der Sicherheitsanforderungen an ein Informatikmittel, der geplanten und umgesetzten Sicherheitsmassnahmen sowie der verbleibenden Restrisiken;
10. IT-Sicherheit: organisatorische, personelle und technische Massnahmen im Bereich der Informationssicherheit, wie Sicherung der Stromversorgung und Netzwerkverbindungen, sichere Programme, Systeme zur Erkennung schädli- cher Software, Einrichtung einer klaren und sicheren Informationsstruktur und -ablage, Schulung der Benutzer;
11. IT-Grundschutz: minimale organisatorische, personelle und technische Si- cherheitsvorkehrungen im Bereich der IT-Sicherheit zur Gewährleistung des normalen Schutzbedarfs. II. Grundsätze

Die Zulässigkeit der Beschaffung setzt voraus, dass:

1. der Bedarf nicht durch bestehende Basisdienste oder Fachanwendungen gleichwertig abgedeckt werden kann;
2. bei vertraglichen Abreden anerkannte Standardverträge verwendet werden;
3. die Anforderungen an den Datenschutz und die Informationssicherheit ein- gehalten werden;
4. bestehende Standards zwecks Kompatibilität und Revisionstauglichkeit der Informatikmittel übernommen werden;
5. das IT-Vorhaben vorgängig durch das Amt für Informatik geprüft und das Er- gebnis berücksichtigt wurde;
6. die weitergehenden Vorgaben des Amts für Informatik beachtet werden.

Regierungsrat Der Regierungsrat:

1. bestimmt und überwacht die mehrjährige strategische Ausrichtung der digita- len Verwaltung;
2. legt auf Antrag des Finanzdepartements die Organisation der Informatikmittel, IT-Vorhaben und Informationssicherheit fest;
3. erlässt Weisungen über die Informationstechnologie;
4. entscheidet bei Uneinigkeiten zwischen den Departementen, der Staatskanzlei, den Ämtern und dem Amt für Informatik.

Die Departemente, die Staatskanzlei und die Ämter sind für den Einsatz der ihnen bereitgestellten oder genehmigten Informatikmittel unter Einhaltung dieser Verordnung verantwortlich und:

1. treffen alle erforderlichen Massnahmen im Bereich der Informationssicherheit, um ihre Informationen und Informatikmittel vor missbräuchlichem Zugriff, un- befugter Bearbeitung, Beschädigung, Verlust und Funktionsbeeinträchtigung zu schützen oder schützen zu lassen;
2. koordinieren die Informatikbelange innerhalb ihres Zuständigkeitsbereichs und arbeiten mit dem Amt für Informatik unter Einhaltung der Weisungen und zentralen Führungsmethodik bei IT-Vorhaben zusammen;
3. melden IT-Vorhaben vor Beginn der Planung dem Amt für Informatik;
4. gewähren den Aufsichts- und Justizorganen im Umfang ihrer gesetzlichen Be- fugnisse und in Absprache mit dem Amt für Informatik Einsicht in die erfor- derlichen Informationen.

Die Departemente und die Staatskanzlei:

1. wirken bei Vorhaben im Bereich der Basisdienste mit;
2. bestimmen einen Beauftragten für Informationssicherheit (ISB) in ihrem Zu-

ständigkeitsbereich zur Aufgabenerfüllung nach 3 Die Ämter sind bei ihren Fachanwendungen im R Abs. 2. ahmen der Vorgaben des Amts für Informatik zuständig für:

1. deren Auswahl, Planung, Beschaffung und Einführung;
2. deren Betrieb, und Unterhalt;
3. die Informationssicherheit und den Datenschutz.

Finanzdepartement Dem Finanzdepartement obliegt:

1. die Entwicklung und Umsetzung der mehrjährigen strategischen Ausrichtung der digitalen Verwaltung;
2. die Beratung des Regierungsrates in allen Informatik- und Informationssicher- heitsbelangen;
3. die Umsetzung der Organisation der Informatikmittel, IT-Vorhaben und Informa- tionssicherheit;
4. die Bezeichnung des kantonalen Informationssicherheitsbeauftragten (KISB);
5. der Erlass von Vorgaben zur Steuerung und Abwicklung von IT-Vorhaben, ins- besondere von Projekten, Beschaffungen, Auslagerungen und Weiterentwick- lungen sowie der Informationssicherheit.
6. die Zusammenarbeit mit den Departementen, der Staatskanzlei, den Gerich- ten, Anstalten und Schulen zum Zweck einer geordneten und wirtschaftlichen Entwicklung der Informatik.

.113 SRSZ 1.2.2026 5

1. den Betrieb, den Unterhalt und die Weiterentwicklung der Basisdienste;
2. die Informationssicherung und -wiederherstellung;
3. die Fachaufsicht über den KISB;
4. die Bereitstellung wirtschaftlicher und wirksamer Informatikmittel;
5. die Gewährleistung einer angemessenen Redundanz und Standardisierung der Basisdienste;
6. den Beizug des Staatsarchivs bei der Planung von IT-Vorhaben;
7. die Genehmigung und Unterstützung von IT-Vorhaben;
8. die Bereitstellung eines IT-Ausbildungsangebotes für die Benutzer;
9. die Erarbeitung und Erbringung von digitalen Leistungen in Zusammenarbeit mit den Departementen, der Staatskanzlei und den Ämtern;
10. die Führung eines aktuellen, zentralen Benutzerverzeichnisses innerhalb der Telekommunikationssysteme.

Daneben bestehen folgende Zuständigkeiten:

1. das Hochbauamt veranlasst und überwacht die notwendigen baulichen Instal- lationen im Telekommunikationsbereich in den Gebäuden der kantonalen Ver- waltung in Koordination mit dem Amt für Informatik;
2. die Staatskanzlei führt die Telefonzentrale und ein aktuelles, zentrales Tele- fonnummernverzeichnis;
3. die Kantonspolizei und der kantonale Führungsstab sind für ihre spezifischen Kommunikationsbedürfnisse besorgt. IV. Informationssicherheit 20

Die Schutzziele stellen sicher, dass Informationen und Informatikmittel:

1. nur für Berechtigte zugänglich sind (Vertraulichkeit);
2. bei Bedarf verfügbar sind (Verfügbarkeit);
3. nicht unberechtigt oder unbeabsichtigt verändert werden (Integrität) und
4. ihre Nutzung nachvollziehbar gewährleistet ist (Nachvollziehbarkeit).

Zur Erreichung der Schutzziele sind die Informationen und Informatikmittel ein- zuordnen nach:

1. normalem Schutzbedarf;
2. besonderem Schutzbedarf.

Es gelten folgende allgemeinen Sicherheitsgrundsätze:

1. Informatikmittel sind unter Beachtung der Informatiksicherheit gegen Verlust und unerwünschte Einwirkungen zu sichern;

Informationen sind in einem einfachen Prozess zu unterteilen in:

1. öffentlich: die Veröffentlichung erfolgt durch Freigabe des zuständigen öffent- lichen Organs, soweit keine Risiken für die Informationssicherheit bestehen;
2. intern: die Kenntnisnahme durch Unbefugte kann die Erfüllung öffentlicher Aufgaben beeinträchtigen;
3. vertraulich: die Kenntnisnahme durch Unbefugte kann die Erfüllung öffentli- cher Aufgaben erheblich beeinträchtigen;
4. geheim: die Kenntnisnahme durch Unbefugte kann die Erfüllung öffentlicher Aufgaben schwerwiegend beeinträchtigen.

Das Finanzdepartement:

1. erlässt Vorgaben zur Umsetzung des Schutzbedarfs und der Klassifikation;
2. genehmigt die zu verwendenden Informatikmittel mit besonderem Schutzbe- darf;
3. steuert die Gewährleistung der Schutzziele mittels eines Informationssicher- heits-Management-Systems (ISMS).

Die Departemente, die Staatskanzlei und die Ämter:

1. bestimmen für ihre Informationen und Informatikmittel den Schutzbedarf und die Klassifikation;
2. führen nach den Vorgaben des KISB je ein aktuelles ISDS-Konzept für Infor- mationen und Informatikmittel mit besonderem Schutzbedarf.

Der KISB nimmt insbesondere folgende Aufgaben wahr:

1. er führt und entwickelt das ISMS und erstellt die ISDS-Konzeptvorlage;
2. er berät und unterstützt die zuständigen Organe bei der operativen Umsetzung der Informationssicherheit;

.113 SRSZ 1.2.2026 7

1. er erstattet dem Finanzdepartement regelmässig Bericht über den Stand der Informationssicherheit in der kantonalen Verwaltung und informiert es über bekannte und neue Bedrohungen und über Massnahmen, die dagegen zu er- greifen sind;
2. er besorgt die fachliche Führung der ISB, erstellt ihr Pflichtenheft und be- stimmt ihre Aus- und Weiterbildung;
3. er erlässt Richtlinien und Empfehlungen für die Benutzer und schult und sensibilisiert diese regelmässig im Bereich der Informationssicherheit.

Die ISB sind insbesondere für die interne Umsetzung der Vorgaben im Bereich der Informationssicherheit und des ISMS zuständig.

1. Gebrauch und Missbrauch von Informatikmitteln 25

Als missbräuchlich gilt insbesondere:

1. die Einrichtung, der Anschluss oder die Installation nicht genehmigter Infor- matikmittel;
2. die Manipulation von Informatikmitteln des Kantons;
3. Vorkehrungen zur Störung des Betriebs der Informatikmittel;
4. die Erstellung, Speicherung, Ausführung und Verbreitung von Fernsteue- rungs-, Spionage- und Virenprogrammen;
5. der Versand von Informationen in Form von E-Mails oder in anderen Formaten in Täuschungs- oder Belästigungsabsicht und privater Massenversendungen;
6. die unbefugte Weitergabe und Bearbeitung von Informationen mit beleidigen- dem, diskriminierendem, rassistischem, pornografischem oder sonstigem he- rabsetzendem Inhalt;
7. das widerrechtliche Kopieren von Informationen oder Software jeglicher Art. VI. Schutz- und Kontrollmassnahmen

Zur Vermeidung und Behebung von Schäden oder Missbrauch kann das Amt für Informatik namentlich:

1. ein geeignetes Überwachungs- oder Analysewerkzeug einsetzen;
2. den Zugang zu bestimmten Internetadressen oder Telefonnummern beschrän- ken oder verhindern;
3. den Zugang zu oder den Betrieb von Informatikmitteln zeitweise oder dauer- haft einschränken;
4. eine Schwachstellenanalyse durch Einsatz anerkannter Methoden und Werk- zeuge durchführen oder durch beauftragte Dritte durchführen lassen.

Beim Benutzen der Informatikmittel können jederzeit Kommunikationsrandda- ten und Systemprotokolle aufgezeichnet werden:

1. bei der Anmeldung am PC;
2. beim Zugriff auf Basisdienste und Fachanwendungen;
3. beim E-Mailverkehr;
4. beim Internet-Zugriff;
5. bei Telefonieverbindungen.

Die Aufzeichnungen dienen insbesondere:

1. zur Kontrolle der Einhaltung dieser Verordnung;
2. zur Behebung von Störungen bei den IT-Systemen;
3. zur Optimierung von Prozessen.

Das Amt für Informatik:

1. führt die benutzerbezogenen Auswertungen durch;
2. sichert die entsprechenden Protokolle;
3. informiert den Vorsteher des Departements oder der Staatskanzlei umgehend über das Ergebnis der Auswertungen.

Vorbehaltene Massnahmen Vorbehalten bleiben dringliche, notwendige und verhältnismässige benutzerbe­ zogene Auswertungen sowie die Weitergabe von Informationen:

1. an zur Schadenminderung beauftragte Dritte;
2. an die Aufsichts- und Justizorgane im Umfang ihrer gesetzlichen Befugnisse.

Vernichtung von Aufzeichnungen und Auswertungen Die Vernichtung von Aufzeichnungen und Auswertungen nach spätestens sechs Monaten unterbleibt, wenn diese unverändert aufbewahrt werden müssen:

1. zu Beweiszwecken;
2. zur Durchführung einer behördlichen oder gerichtlichen Untersuchung;
3. zum Schutz der öffentlichen Sicherheit. VII. Auslagerung

Die Auslagerung setzt eine schriftliche Vereinbarung voraus, die mindestens fol- gende Punkte regelt:

1. Inhalt der Leistungen der Parteien;
2. Wahrung des Amtsgeheimnisses sowie besonderer Geheimhaltungspflichten;
3. Verantwortlichkeiten;
4. verwendete Techniken, einschliesslich Entwicklung und Wartung;
5. Zugriffs- und Zutrittsrechte;
6. Informationssicherheits- und Datenschutzkonzept;
7. Standorte der Hardware und der Informationsbearbeitung;
8. Kontrollrechte und Aufsicht;
9. Beizug von Dritten;
10. Leistungsstörungen und Konventionalstrafe;
11. angemessene Massnahmen;
12. Aufbewahrung und Archivierung;
13. Sicherstellung des Eigentums an Informationen und Hilfsprogrammen zur Weiterverwendung bei Auflösung des Vertrages;
14. Rückführung und Löschung der Informationen im Fall der Vertragsauflösung.

Die Auslagerung von Informatikmitteln oder digitalen Leistungen von übergeord- neter Bedeutung bedarf der Genehmigung des Regierungsrates. Dazu gehören insbesondere Auslagerungen:

1. von Basisdiensten;
2. an Organe des Bundes;
3. an Organe anderer Kantone.