Art. 14 BinfV: Er bestimmt die IKT-Strategie des Bundes; überwacht die Umsetzung der IKT-Strategie
28
Erläuternder Bericht zu einem Bundesgesetz über die Informationssicherheit
und beschliesst bei Bedarf Massnahmen; legt die IKT-Standarddienste fest; erlässt Weisungen über die IKT-Sicherheit; und bewilligt Abweichungen von seinen Vorgaben. ISB: Das ISB entscheidet nach Art. 17 BinfV im Bereich der IKT-Sicherheit über Anträge der Departe- mente, der Bundeskanzlei und der Verwaltungseinheiten für Sonderregelungen bezüglich der Vergabe von sicherheitsrelevanten Rechten und Mandaten, insbesondere im Zusammenhang mit Firewalls, Zu- griffsrechten und Privilegien. Bei Gefährdung der Bundesverwaltung entscheidet es über spezifische IKT- Sicherheitsmassnahmen. Es klärt als Sachverständigenorgan im Auftrag eines Departements oder der Bundeskanzlei vermutete oder erfolgte Sicherheitsvorfälle ab. Es stellt den Informatiksicherheitsbeauf- tragten des Bundes. Es führt die Melde- und Analysestelle Informationssicherung (MELANI) in Zusam- menarbeit mit dem Nachrichtendienst des Bundes und leitet das Konsultativorgan Ausschuss Informa- tiksicherheit. Informatiksicherheitsbeauftragte: Für den dezentralen Vollzug müssen die Departemente und die Bun- deskanzlei je eine/n Informatiksicherheitsbeauftragte/n bezeichnen (Art. 19 Abs. 1 BinfV). Diese koordi- nieren alle Informatiksicherheitsaspekte innerhalb des Departements sowie mit den überdepartementalen Stellen. Auch die Verwaltungseinheiten sind verpflichtet, eine/n Informatiksicherheitsbeauftragte/n zu be- stimmen. Diese koordinieren alle Informatiksicherheitsaspekte innerhalb der Organisationseinheit sowie mit den departementalen Stellen. Ausschuss Informatiksicherheit (A-IS): Der A-IS ist das Konsultativorgan für das ISB zu allen IKT- Sicherheitsfragen (Art. 19 BinfV). Er dient auch der überdepartementalen Koordination. Er setzt sich aus den Informatiksicherheitsbeauftragten der Departemente und der Bundeskanzlei zusammen. Mit beraten- der Stimme können je ein Vertreter oder eine Vertreterin der EFK, des EDÖB sowie der Parlamentsdiens- te teilnehmen. Informatikrat des Bundes (IRB): Der IRB ist das Konsultativorgan für das ISB zu IKT-Geschäften (inkl. Geschäfte mit Bezug zur IKT-Sicherheit), die der Absprache mit den Departementen und der Bundes- kanzlei bedürfen, insbesondere für den Erlass von Vorgaben und für die Genehmigung von Ausnahmen von denselben (Art. 18 BinfV). Er setzt sich aus dem oder der Delegierten für die IKT-Steuerung und je einem namentlich bezeichneten Vertreter oder einer namentlich bezeichneten Vertreterin jedes Departe- ments und der Bundeskanzlei zusammen. Mit beratender Stimme können je ein Vertreter oder eine Ver- treterin der Eidgenössischen Finanzverwaltung (EFV), des EDÖB, der internen Leistungserbringer sowie der Parlamentsdienste teilnehmen. Eidgenössische Finanzkontrolle (EFK): Die EFK nimmt seit dem 1. Januar 2012 die Informatikrevision in der Bundesverwaltung wahr (Art. 28 BinfV). Neben dieser Grundorganisation gibt es viele Organe oder Stellen, die sich ebenfalls mit IKT-Sicherheit im Bund befassen. Nachfolgend werden nur diejenigen aufgeführt, die fachspezifische Zuständigkeiten und Verantwortungen haben, die für die IKT-Sicherheit der Bundesbehörden von Bedeutung sind. Nachrichten- dienstliche, strafrechtliche oder sonstige Stellen werden nicht erwähnt. Informations- und Objektsicherheit (IOS): Die in der Gruppe Verteidigung angesiedelte IOS ist für die IKT-Sicherheitsvorgaben des VBS und der Armee und für die Prüfung von deren Umsetzung zuständig. Insoweit nimmt sie auf Stufe Armee und teilweise VBS sehr ähnliche Aufgaben wie das ISB wahr. Melde- und Analysestelle Informationssicherung (MELANI): MELANI wurde vom Bundesrat im Jahr 2004 definitiv eingesetzt und mit dem Schutz der kritischen Informationsinfrastrukturen in der Schweiz beauftragt. Die vom ISB geleitete Kooperation (Art. 17 Abs. 1 Bst. i BinfV) von EFD, VBS und Privat- wirtschaft zum Schutz der KI basiert auf dem Modell der Public Private Partnership. Es handelt sich da- bei um eine enge Zusammenarbeit zwischen Verwaltung und Privatunternehmen der verschiedenen Wirt- schaftssektoren, die im Umfeld der Sicherheit von Computersystemen und des Internets sowie des Schut- zes der schweizerischen KI tätig sind. Sonderstab Informationssicherung (SONIA): SONIA tritt in Krisen, die durch Störungen in der Informa- tions- und Kommunikationsinfrastruktur ausgelöst wurden, zusammen. Er umfasst Entscheidträger aus Verwaltung, Kantonen und Wirtschaft (KI) und wird vom Delegierten für die Informatiksteuerung des Bundes (ISB) geleitet. Als Lagezentrum für SONIA fungiert MELANI. Computer Security Incident Response Team (CSIRT): Das beim EFD/BIT tätige CSIRT sorgt für die Si- cherung der zivilen Bundesnetze durch Überwachung, Prävention und Reaktion. Es arbeitet eng mit ande- ren Bundespartnern wie MELANI oder fedpol zusammen und hat folgende Kernaufgaben: Beobachten aktueller Bedrohungen und analysieren von Logfiles; Erteilung von Handlungsempfehlungen zur Risiko- minimierung, zur raschen Eingrenzung des Schadens im Falle von IKT-Sicherheitsvorfällen und zum
29
Erläuternder Bericht zu einem Bundesgesetz über die Informationssicherheit
Schutz der Daten, die dem BIT anvertraut wurden (operativer Schutz der zentralen IKT-Infrastrukturen des Bundes). Militärisches Computer Emergency Response Team (MilCERT): Das MilCERT sorgt als Pendant des CSIRT für die Sicherung der Netzwerke der Armee und des VBS. Es ist innerhalb der Führungsunterstüt- zungsbasis der Armee (FUB) im Zentrum Elektronische Operationen (ZEO) integriert, um als unabhängi- ge Einheit sicherheitsrelevante Vorfälle innerhalb des VBS und der Armee zu untersuchen. Informationssicherheit und Kryptologie (IS Krypt): Der Bereich IS Krypt ist ebenfalls bei der FUB/ZEO angesiedelt. Seine Kryptologen stellen die Kommunikationssicherheit von Armee, VBS und weiteren Einheiten der Bundesverwaltung sicher, indem sie kryptographische Verfahren und Systeme evaluieren und selber entwickeln. Seine Arbeit erstreckt sich von der Überprüfung von kryptologischen Grobkonzep- ten bis hin zur Analyse einzelner kryptologischer Funktionen, wofür profunde Kenntnisse der aktuellen kryptoanalytischen Forschung notwendig sind. Armasuisse, Wissenschaft und Technologie (W+T): Durch den Bereich Informatik und Cyberspace der W+T werden Risikoanalysen, Sicherheitsprüfungen und Audits im Bereich der organisatorischen und technischen Informationssicherheit durchgeführt. Die Dienste der W+T werden zunehmend auch von zi- vilen Stellen der Bundesverwaltung in Anspruch genommen, insbesondere für den Nachweis der Effekti- vität von Sicherheitskonzepten und der Schutzwirkung von Sicherheitsmassnahmen sowie für technische Verifikations- und Penetrationstests. W+T betreibt in diesem Bereich auch ein Monitoring der Technolo- gie- und Bedrohungsentwicklung. 1.3.1.4 Vergleich der Zuständigkeiten und Verantwortlichkeiten Die drei umschriebenen Fachorganisationen haben je einen beschränkten Auftrag im Bereich der Informati- onssicherheit zu erfüllen. In allen drei Bereichen sind die Departemente und die Bundeskanzlei für die Um- setzung der Vorgaben verantwortlich. Alle Bereiche haben darüber hinaus grundsätzlich den genau gleichen organisatorischen Aufbau: eine Vorgabestelle; Beauftragte auf den Stufen Departement / BK sowie Verwaltungseinheit; und ein überdepartementales Koordinationsgremium. Die verschiedenen Funktionsinhaber nehmen in ihren Fachbereichen grundsätzlich auch dieselben Aufgaben wahr. Die einzige wichtige Ausnahme stellen die verschiedenen Vorgabestellen dar, deren Befugnisse sich zum Teil stark unterscheiden. Die nachfolgende Tabelle liefert eine Übersicht über diese Situation. Sie schliesst auch die zwei anderen Bereiche ein, die einen direkten Konnex zur Informationssicherheit haben: die Objektsicherheit und das Risikomanagement. Vorgaben Dep/BK Verwaltungseinheit Koordination Informationsschutz GSK Informationsschutz- Informationsschutz- KOAISchB / KISchB beauftragte beauftragte/-berater Datenschutz EDÖB Datenschutzberater Datenschutzberater IDAG Datenschutz
IKT-Sicherheit BR / ISB Informatiksicherheits- Informatiksicherheits- ISB-Sec / A-IS beauftragte beauftragte Objektsicherheit fedpol / BSD Sicherheitsbeauftragte Sicherheitsbeauftragte Koordinationsausschuss Sicherheit Risikomanagement BR / GSK Risikomanager/in Risikocoach Koordinationsstelle EFV
1.3.1.5 Organisatorische Mängel Die heutige Organisation weist viele Lücken und Schwachstellen auf: Die Zuständigkeiten der verschiedenen Bereiche sind nicht immer klar und die Schnittstellen zwischen den einzelnen Fachgebieten der Informationssicherheit werden ungenügend gepflegt. Die unklaren Zuständigkeiten sind auf alle Ebenen ersichtlich. Für die elektronische Bearbeitung von be- sonders schützenswerten Personendaten oder klassifizierten Informationen ab der Klassifizierungsstufe VERTRAULICH ist beispielweise ein Informationssicherheits- und Datenschutz-Konzept (ISDS- Konzept) erforderlich. Ist dies eine Frage des Datenschutzes, des Informationsschutzes oder der IKT- Sicherheit und wer ist für die korrekte Einstufung der Informationen und für die Kontrolle der Umsetzung der Massnahmen zuständig? Ist der Schutz von Netzwerkleitungen eine Frage der Informatiksicherheit oder des Objektschutzes? Ist die Aktenvernichtung eine Frage des Informationsschutzes, des Datenschut-
30
Erläuternder Bericht zu einem Bundesgesetz über die Informationssicherheit
zes oder der physischen Sicherheit und wer definiert die Anforderungen? Wer setzt sie um? Ist ein USB- Stick ein Informationsträger im Sinne der ISchV oder ein IKT-Mittel im Sinne der BinfV? Die erwähnten Probleme zeitigen auch im internationalen Bereich direkte Auswirkungen. Aufgrund un- klarer Zuständigkeiten und Verantwortlichkeiten innerhalb der Bundesverwaltung konnte beispielweise bisher keine Lösung für die elektronische Übermittlung klassifizierter Informationen mit der EU gefun- den werden. Dementsprechend werden selbst Informationen der tiefsten EU-Klassifizierungsstufe bis heute ausschliesslich in Papierform ausgetauscht. Ähnliche Probleme sind auch bei der Zusammenarbeit mit der European Space Agency (ESA) vorhanden. Dabei stellt sich z.B. die Frage, wer für den Bereich Kommunikationssicherheit (COMSEC7) zuständig ist. Diese Frage hat grossen Einfluss auf die erfolgrei- che Teilnahme der schweizerischen Institutionen und Unternehmen an ESA Aktivitäten. Sie blieb aber bis jetzt unbeantwortet. Die Fachbereiche sind verpflichtet, Ausbildungs- und Sensibilisierungsmassnahmen durchzuführen. Häu- fig werden aber Sensibilisierungs- und Ausbildungsmassnahmen der verschiedenen Dienststellen nicht miteinander koordiniert, obschon sie ähnliche Inhalte enthalten. Es gibt zu viele Akteure, die teilweise über ungenügendes Fachwissen oder ungenügende personelle Res- sourcen verfügen. Bestehende Ressourcen werden teilweise schlecht genutzt. Die kritische Masse wird nirgends erreicht. Die Pflichtenhefte der Beauftragten aus den aufgeführten Teilbereichen enthalten nebst den Aufgaben aus dem Bereich Informationssicherheit meistens weitere Pflichten. Für die Wahrnehmung der Informations- sicherheitsaufgaben steht ihnen oft nur ein geringer Teil ihrer Arbeitszeit zur Verfügung. Sie können sich diesen Aufgaben deshalb nur beschränkt widmen. In der Folge verfügen sie auch nicht alle über das er- forderliche Fachwissen. Hierunter leidet die Sicherheit stark. In den Bereichen Informations- und Daten- schutz sind zudem hauptsächlich Juristen tätig, die in der Regel mit den Belangen der Informatiksicher- heit nur marginal vertraut sind. Sie tendieren dazu, die Problematik hauptsächlich als rechtliche Angele- genheit zu betrachten und sind oft nicht in der Lage, die tatsächliche Umsetzung der Sicherheitsanforde- rungen in IKT-Projekten zu begleiten oder zu überprüfen. Bei den Spezialisten aus dem Bereich IKT- Sicherheit verhält es sich umgekehrt. Sie kennen sich häufig in Sachen Informations- oder Datenschutz zu wenig gut aus. Diese Feststellungen sind ebenfalls für die Fachstellen gültig. Fast alle Fachstellen sind im Vergleich mit den zu erledigenden Arbeiten personell unterdotiert. Die kritische Masse wird nirgends erreicht. Teilwei- se fehlt ihnen überdies genügendes Fachwissen aus den anderen Bereichen. Zudem sind insbesondere im Bereiche der Informatiksicherheit sehr viele Akteure vorhanden, die ergänzende Aufgaben wahrnehmen. Diese Aufgaben und Dienste werden aber teilweise nicht koordiniert oder überhaupt nicht in Anspruch genommen (z.B. die Dienste der Kryptologen des VBS). Spezialisten der Informationssicherheit, sowohl im technischen Bereich als auch im Management, sind heute gefragter als je zuvor. Der Bund verfügt über solche Spezialisten. Vielfach nehmen diese aber nicht vollzeitlich Aufgaben aus dem Bereich der Informationssicherheit wahr. Es ist daher fraglich, ob diese knappen Ressourcen richtig eingesetzt werden. Die Befugnisse der verschiedenen Akteure sind häufig ungenügend. Gravierend erscheint die Erkenntnis, dass die Umsetzung beschlossener Massnahmen der Informationssi- cherheit nur äusserst selten überprüft wird. In der Regel sind nämlich weder die Fachstellen noch die ver- schiedenen Beauftragten befugt, Kontrollen durchzuführen. Ohne Kontrolle ist es aber nicht möglich, zu beurteilen, ob die Massnahmen wirksam sind oder ob Lücken und Schwachstellen vorhanden sind. Das Sicherheitsbewusstsein ist mangelhaft. In den Departementen und in der Bundeskanzlei werden die Themen der Informationssicherheit sehr un- terschiedlich gewichtet. Massgebend für die Sensibilisierung der Mitarbeitenden ist in erster Linie das Engagement der Vorgesetzten und insbesondere der Geschäftsleitungen. 1.3.1.6 Beurteilung des Standes und Folgen Die heutige Organisation wuchs aus sektoriellen gesetzlichen und materiellen Bedürfnissen. Sie lieferte lan- ge Zeit genügende Resultate. Mit der Entwicklung zu einer Informationsgesellschaft wurden aber die Bedro-
7 Unter COMSEC wird die Kommunikationssicherheit verstanden im Sinne der Anwendung von Sicherheitsmassnahmen auf die Telekommunikation, um zu verhindern, dass Unbefugte in den Besitz wertvoller Informationen gelangen, die aus dem Zugriff auf die Telekommunikation und deren Auswertung gewonnen werden könnten, oder um die Authentizität, die Vertraulichkeit und die Integrität der Telekommunikation sicherzustellen.
31
Erläuternder Bericht zu einem Bundesgesetz über die Informationssicherheit
hungen für Informationen und IKT-Mittel komplexer und dynamischer. Ihnen muss integral begegnet wer- den, was entsprechende rechtliche und organisatorische Vorkehren sowie erhöhtes Fachwissen und - kompe- tenz voraussetzt. Es ist offensichtlich, dass die Organisation des Bundes diesen Anforderungen nicht genügt. Folgende Punkte sind für die Verbesserung dieser Organisation wichtig: Die Verantwortung für die Umsetzung der Vorgaben muss bei der Führungsebene bleiben. Diese muss aber auf allen Ebenen kompetenter beraten und unterstützt werden. Die künftige Organisation der Informationssicherheit muss sich vermehrt auf die frühzeitige Erkennung und Behandlung der Risiken fokussieren. Dies setzt ein systematisches Risikomanagement im Bereich der Informationssicherheit voraus, das heute grösstenteils noch fehlt. Es verlangt aber auch eine bessere Kon- trolle bei der Umsetzung von risikomindernden Massnahmen. Die verschiedenen Fachorgane müssen soweit möglich zusammengeführt werden, um Synergien zu nut- zen und Skaleneffekte zu erzielen. So können auch die Zuständigkeitsprobleme systemisch gelöst und das interdisziplinäre Fachwissen erhöht werden. Eine vollständige Zusammenführung der Fachorgane ist je- doch nicht möglich. Bei den verbleibenden Fachorganen müssen aber die Zuständigkeiten und Verant- wortlichkeiten klarer definiert und die Koordination und der Wissensaustausch verbessert werden. Bei den verschiedenen Beauftragten kann durch zunehmende Professionalisierung eine Erhöhung der Kompetenzen erreicht werden. Die Professionalisierung würde verbessert, wenn die Managementaufga- ben der Informationssicherheit auf möglichst wenige Funktionsinhaber konzentriert würden. Besondere Aufmerksamkeit ist der Funktionstrennung und -zuordnung zu schenken. Die Beauftragten sollten nicht einem Fachbereich unterstellt sein, dessen Risiken sie objektiv und unabhängig beurteilen müssen. Sie sollten auch keine Aufgaben wahrnehmen, die sie in einen Interessenkonflikt verwickeln könnten. Die vorstehenden Ausführungen zeigen auf, dass eine Zusammenlegung der drei Ausschüsse anzustreben ist. Es liegt jedoch auf der Hand, dass die gewünschte Zusammenlegung der Ausschüsse nicht dazu führen soll, dass die einzelnen Themen (Klassifizierung, Datenschutz oder technische Sicherheit) nicht mehr spezi- ell behandelt werden. Diese Behandlung soll lediglich in einem konsolidierten Gremium stattfinden, das seine Agenda nach dem tatsächlichen Bedarf festlegt. 1.3.2 Neuregelung der Organisation auf Stufe Bund Die Vorlage trägt den Ergebnissen des bundesrätlichen Prüfauftrags bezüglich der heutigen Organisation der Informationssicherheit Rechnung. Die Lösung des Gesetzesentwurfs liefert die Grundlage für eine Klärung und Vereinfachung der diesbezüglichen Zuständigkeiten und Verantwortlichkeiten. Sie legt auch ein Schwergewicht auf die Kompetenzbildung der Stellen, die für den Vollzug zuständig sind, durch die Unter- stützung und Beratung durch Sachverständige und durch einen verstärkten Informationsaustauch zwischen diesen Stellen. Der Entwurf sieht in der Folge eine einzige Beauftragtenrolle (Informationssicherheitsbeauf- tragte/r), ein einziges Koordinationsorgan sowie eine Fachstelle des Bundes für Informationssicherheit, die alle Querschnittaufgaben der Informationssicherheit wahrnehmen sollen, vor. Mit der beantragten Neurege- lung sollen in der Bundesverwaltung die Vollzugsstrukturen der bisherigen Bereiche des Informationsschut- zes und der Informatiksicherheit vollständig zusammengelegt werden. 1.3.2.1 Informationssicherheitsbeauftragte Die neue Rolle des Informationssicherheitsbeauftragten ist für den Vollzug des Gesetzesentwurfs zentral. Diese neue Funktion ist vor allem eine Managementfunktion. Die Informationssicherheitsbeauftragten wer- den sich nicht primär mit hochtechnischen Informationssicherheitsfragen befassen, sondern im Auftrag ihrer Behörde (oder der Departemente und der BK) die Fachorganisation der Informationssicherheit steuern sowie die Umsetzung der beschlossenen Massnahmen überprüfen. Schwergewichte werden sie auch auf das Risi- komanagement sowie auf die Koordination mit anderen Bereichen legen müssen. Eine wirksame, risikoge- rechte Aufgabenerfüllung durch die Informationssicherheitsbeauftragten setzt - neben einer klaren Unterstüt- zung durch die Geschäftsleitung- eine enge Zusammenarbeit mit den Stellen, die für das allgemeine Risiko- management, den Datenschutz und die Sicherheit zuständig sind, voraus. Die Informationssicherheitsbeauf- tragten werden also als Drehscheibe zwischen der Geschäftsleitung und den Stellen, die für die Umsetzung der Massnahmen zuständig sind, agieren. Bei den Departementen und der Bundeskanzlei wird diese neue Funktion die bisher getrennten Rollen der Informationsschutzbeauftragten und Informatiksicherheitsbeauftragten ersetzen. Der Bundesrat soll auf Ver- ordnungsebene beschliessen, ob eine entsprechende Zusammenlegung der Funktionen auf Stufe Verwal- tungseinheit zweckmässig und erforderlich ist.
32
Erläuternder Bericht zu einem Bundesgesetz über die Informationssicherheit
1.3.2.2 Konferenz der Informationssicherheitsbeauftragten Es ist ein deklariertes Ziel dieses Gesetzes, ein möglichst einheitliches Sicherheitsniveau für die verschiede- nen Bundesbehörden und Organisationen zu erreichen. Aufgrund der verfassungsmässigen Unabhängigkeit der Behörden kann dieses einheitliche Sicherheitsniveau nur erreicht werden, wenn in Bezug auf die Infor- mationssicherheit trotz teilweise unterschiedlicher Bedürfnisse eine möglichst einheitliche Fachdoktrin herrscht. Aufgrund ihrer Stellung haben die Informationssicherheitsbeauftragten (Art. 84) umfassende Kenntnisse der Situation und der Probleme der Informationssicherheit in ihrem Zuständigkeitsbereich, insbe- sondere der Umsetzbarkeit und Wirksamkeit der Vorschriften und Massnahmen. Es bietet sich daher an, als Koordinationsorgan eine Konferenz dieser Beauftragten zu institutionalisieren. Die vorgesehene Konferenz der Informationssicherheitsbeauftragten wird sich hauptsächlich mit der behör- denübergreifenden Koordination des Vollzugs beschäftigen. Sie wird dabei eine wichtige Rolle für die Bil- dung einer einheitlichen Doktrin sowie für den nötigen Erfahrungsaustausch spielen. Die Informationssi- cherheitsbeauftragten der Departemente und der Bundeskanzlei sowie ein Vertreter des EDÖB sollen eben- falls Einsitz haben. Für strategische Fragen der Informationssicherheit soll die Konferenz auch Fachexperten aus den Kantonen, der Wissenschaft oder der Wirtschaft beiziehen können. Diese Konferenz wird für die Bundesverwaltung den heutigen Koordinationsausschuss für den Informations- schutz im Bund (ISchV) sowie den Ausschuss Informatiksicherheit (BinfV) ersetzen, wobei die technischen Angelegenheiten weiterhin in unterstellten Fachorganen behandelt werden sollen. 1.3.2.3 Fachstelle des Bundes für Informationssicherheit Die Informationssicherheit muss nach einem integralen Ansatz organisiert, gesteuert und überprüft werden, Aufgaben nach diesem Gesetz, die heute bereits bestehen, werden von verschiedenen Fachorganen wahrge- nommen. In der Folge werden sie nach einer sektoriellen Betrachtungsweise konzipiert und angegangen so- wie kaum aufeinander abgestimmt. Eine verbesserte Koordination alleine wird nicht genügen, um dem integ- ralen Ansatz der Informationssicherheit zu verwirklichen. Die Fachstelle ist in der Vorlage vor allem als Kompetenzzentrum für die behördenübergreifenden Aufgaben konzipiert. Es kommen ihr deshalb keine Weisungsbefugnisse zu: Sie handelt grundsätzlich immer auf Antrag oder im Auftrag einer verpflichteten Behörde. Ihr Auftrag ist unterstützend und beratend zu verstehen. Die konkreten behördenübergreifenden Aufgaben der Fachstelle werden abschliessend im Gesetz festgehal- ten. Nebst Beratung und Unterstützung soll die Fachstelle auch beauftragt werden können, die Risiken beim Einsatz neuartiger Technologien zu beurteilen oder im Rahmen wichtiger behördenübergreifender Projekte die Belange der Informationssicherheit zu steuern und zu koordinieren. Eine weitere Kernaufgabe der Fach- stelle soll (auf Antrag der verpflichteten Behörden) die Prüfung sicherheitsrelevanter Aspekte bestimmter Prozesse, Mittel und Dienstleistungen darstellen. Wird bestätigt, dass diese betreffenden Prozesse, Mittel oder Dienstleistungen die Standardanforderungen des Bundes erfüllen, können sie standardisiert werden und somit auch von anderen Behörden oder Organisationen des Bundes eingesetzt werden (Aufwandreduktion). Ferner soll sie auch beauftragt werden dürfen, Sicherheitskontrollen und -audits durchzuführen. Schliesslich soll die Fachstelle im internationalen Verhältnis als Ansprechstelle für Fachkontakte mit ausländischen und internationalen Stellen im Bereich der Informationssicherheit gelten. Diese Rolle ist für die Umsetzung völ- kerrechtlicher Verträge erforderlich (s. Art. 90 sowie Ziff. 4.2). Der Bundesrat soll auf Verordnungsebene die Organisation der Fachstelle regeln. Hierzu soll er bestimmen, welche Aufgaben die Fachstelle selbst oder in Zusammenarbeit mit anderen Bundesstellen erfüllen soll. Aktuell nehmen in der Bundesverwaltung viele Stellen Querschnittaufgaben im Bereich der Informationssi- cherheit wahr, die zum gesetzlichen Pflichtenheft der künftigen Fachstelle des Bundes gehören. Die Fach- stelle soll z.B. für die Bundesverwaltung bestimmte Aufgaben übernehmen, die heute durch das ISB-Sec und die IOS wahrgenommen werden. Die Aufgaben bestehender Verwaltungseinheiten werden demzufolge auf Verordnungsebene neu definiert und bestimmte Schnittstellen überprüft werden müssen. Der Bundesrat wird in diesem Zusammenhang selbstverständlich noch über die heikle Frage der administra- tiven Zuordnung der Fachstelle entscheiden müssen. Diese Frage soll im Interesse der Organisationsautono- mie des Bundesrates nicht auf formell-gesetzlicher Stufe beantwortet werden. Die Ansiedelung der Fachstel- le soll dem Bundesrat erst beantragt werden, wenn klar ist, welche Aufgaben und Kompetenzen ihr zugewie- sen werden, und ein detailliertes Konzept zur Umsetzung der gesetzlichen Vorgaben für die Bundesverwal- tung und die dadurch verpflichteten Organisationen des öffentlichen und privaten Rechts vorliegt. 1.3.3 Neuregelung für die Bundesverwaltung und weitere verpflichtete Organisationen Im behördenübergreifenden Rahmen verfügt die Fachstelle des Bundes für Informationssicherheit also bei Design über keine rechtliche Durchsetzungskraft. Für die Bundesverwaltung sowie für die verpflichteten
33
Erläuternder Bericht zu einem Bundesgesetz über die Informationssicherheit
Organisationen des öffentlichen und privaten Rechts, die den Vollzugsbestimmungen des Bundesrats unter- stehen, kann der Bundesrat hingegen der Fachstelle weitere Kompetenzen erteilen sowie ihre Verhältnisse zur Führungslinie und zu den Informationssicherheitsbeauftragten differenziert gestalten. Obschon die Ver- antwortung für die Umsetzung der Vorgaben grundsätzlich bei der Führungsebene bleiben muss, hat sich im Rahmen der Gesetzgebungsarbeiten eine klare Mehrheit der Beteiligten für eine verstärkte Durchsetzungs- kompetenz der Fachstelle, insbesondere im Bereich Kontrollen, ausgesprochen. In diesem Zusammenhang wurde von einigen Stellen verlangt, dass bereits jetzt Optionen zur Organisation des Vollzugs innerhalb der Bundesverwaltung mit Vor- und Nachteilen zugewiesen und zum Entscheid vor- gelegt werden. Dabei sollten ein Modell mit komplett dezentraler Vollzugsorganisation und reiner Koordina- tionsfunktion der Fachstelle sowie eines mit zentraler Weisungsbefugnis der Fachstelle gegenüber den In- formationssicherheitsbeauftragten der Departemente gegenübergestellt werden. Obschon die Erstellung und die Beurteilung solcher Umsetzungsmodelle zwingend notwendig sind, können derartige Fragen erst zu ei- nem späteren Zeitpunkt seriös beantwortet werden. Bevor über die detaillierte Umsetzung in der Bundesver- waltung entschieden werden kann, müssen die übergeordneten Grundsätze dieser Vorlage, ihre materiellen Inhalte sowie die behördenübergreifenden Verhältnisse geklärt werden. 2 Erläuterungen zu den einzelnen Artikeln 2.1 Bundesgesetz über die Informationssicherheit Titel In Bezug auf den Titel des Erlasses sind zwei Präzisierungen wichtig: Der Erlass stellt kein allgemeines Informationssicherheitsgesetz dar. Er richtet sich primär an die Bun- desbehörden sowie an zu bestimmende Organisationen des öffentlichen und privaten Rechts, die Aufga- ben des Bundes erfüllen. Dritte können zwar vom Gesetz erfasst werden, wenn sie mit Informationen oder mit Mitteln und Einrichtungen der Informations- und Kommunikationstechnologie (IKT-Mitteln) des Bundes umgehen. Dies geschieht jedoch nur durch die Anwendung der relevanten Bestimmungen durch eine Behörde oder eine Organisation des Bundes. Beim Begriff "Informationssicherheit" wird grundsätzlich auf die derzeit gängigen Normenwerke abge- stellt. Die Informationssicherheit umfasst demnach die Gesamtheit aller Anforderungen und Massnah- men, mit denen die Vertraulichkeit, die Integrität, die Verfügbarkeit und die Nachvollziehbarkeit von In- formationen sowie die Verfügbarkeit und die Integrität von IKT-Mitteln geschützt wird. Die Informati- onssicherheit darf nicht auf die IKT-Sicherheit reduziert werden. Sie umfasst nämlich alle Bearbeitungs- vorgänge, also auch Papierdokumente sowie mündliche Äusserungen, und nicht nur die Bearbeitung von Informationen mittels der elektronischen Infrastruktur des Bundes. Vom Begriff wird auch die Umset- zung der Schutzanforderungen der Datenschutzgesetzgebung oder anderer Gesetze, die Anforderungen an den Schutz von Informationen festlegen, erfasst. Ingress S. Ziff. 4.1. 2.1.1 Allgemeine Bestimmungen
Art. 1 Diese Bestimmung fasst den Zweck des Erlasses in allgemeiner Form zusammen. Abs. 1 weist darauf hin, dass sowohl die Informationen als solche als auch die IKT vom Gesetz erfasst wer- den. Der Begriff "Information" wird im vorliegenden Informationssicherheitsgesetz (ISG) nicht definiert, da im Erlass auf Legaldefinitionen verzichtet wird und der Begriff im ISG sich mit dem umgangssprachlichen Gebrauch deckt. Das Gesetz macht grundsätzlich auch keinen Unterschied zwischen "Informationen" und "Daten": Beide Begriffe werden unter den Begriff "Informationen" subsumiert. Im Gesetz wird der Begriff "Daten" nur dann verwendet, wenn Personendaten nach dem DSG betroffen sind. Mit dem Begriff "IKT- Mittel" werden im ISG alle Einrichtungen, Geräte, Systeme und Anwendungen erfasst, die zur elektroni- schen Bearbeitung (inkl. Speicherung und Kommunikation) von Informationen verwendet werden. Zur aus- drücklichen Erwähnung der IKT im Zweckartikel s. Ziff. 1.2.2.1. Abs. 2: Sicherheit ist kein Selbstzweck. Der Schutz der Informationen dient bestimmten öffentlichen Interes- sen bzw. Eigeninteressen des Bundes als Institution. Geschützt werden hier also primär die Interessen des Bundes bzw. der Schweiz und nicht diejenigen Dritter. Diese Interessen werden abschliessend aufgelistet (Bst. a-e). Die Liste orientiert sich im Wesentlichen an der bereits bestehenden Liste von Art. 7 Abs. 1 BGÖ. Diese nennt die Bereiche, in denen der Zugang zu amtlichen Dokumenten eingeschränkt, aufgeschoben oder
34
Erläuternder Bericht zu einem Bundesgesetz über die Informationssicherheit
verweigert werden kann. Die Liste von Art. 1 Abs. 2 ISG ist allerdings mit derjenigen des BGÖ nicht völlig identisch, da die Ziele und der Geltungsbereich des BGÖ und des vorliegenden Entwurfs nicht die Gleichen sind (zu den Verhältnissen zwischen ISG und BGÖ, s. Art. 3 Abs. 1). Das vorliegende Gesetz schützt folgende Interessen: Bst. a: Der Schutz der Entscheidungs- und Handlungsfähigkeit der Bundesbehörden durch Massnahmen der Informationssicherheit ist ein Kerninteresse dieses Gesetzes. Die Bundesbehörden sind für die Erfül- lung ihrer verfassungsmässigen und gesetzlichen Aufgaben immer mehr von der Verfügbarkeit, der Integ- rität sowie, in bestimmten Fällen, der Vertraulichkeit ihrer Informationen sowie vom zuverlässigen Funk- tionieren der Informatikinfrastruktur abhängig (s. auch Art. 7 Abs. 1 Bst. a und b BGÖ sowie Ziff. 2.2.2.1.1-2 der BGÖ-Botschaft). Bst. b: Mit diesem Interesse werden in erster Linie Informationen aus dem Bereich des Polizei-, Zoll-, Nachrichtendienst- und Militärwesens und der Landesversorgung sowie die Mittel, welche die Bundes- behörden zur Sicherstellung der inneren und äusseren Sicherheit einsetzen geschützt. Derartige Informa- tionen weisen oft einen erhöhten Bedarf an Vertraulichkeit auf, da ihr Missbrauch existenzgefährdende Folgen für den Staat, die Bevölkerung oder bestimmte Personen oder Personengruppen haben kann. Aus demselben Grund müssen die IKT-Mittel der Behörden, welche zur Unterstützung von kritischen Sicher- heitsaufgaben eingesetzt werden, auch in Krisenzeiten stets verfügbar und funktionstüchtig bleiben (s. auch Art. 7 Abs. 1 Bst. d BGÖ sowie Ziff. 2.2.2.1.3 der BGÖ-Botschaft). Bst. c: Die Aussenbeziehungen zählen gemeinsam mit den Sicherheitsfragen zu den sensitiven Bereichen staatlicher Tätigkeit. Im Vordergrund steht hier die Wahrung der Vertraulichkeit von Informationen. Ins- besondere die Informationsbeschaffung über Situationen und Vorgänge im Ausland sowie die Absichten ausländischer und internationaler Behörden sind für die Führung der Aussenpolitik und die Pflege der Aussenbeziehungen von grosser Bedeutung. Für die erfolgreiche Verhandlungsführung ist es entschei- dend, dass die entsprechenden Strategien und Absichten nicht zur Kenntnis der Gegenpartei oder der Öf- fentlichkeit gelangen. Ähnliches gilt für diplomatische Schritte im zwischenstaatlichen Verkehr. Zu er- wähnen ist schliesslich, dass die Schweiz auf Grund internationaler vertraglicher Verpflichtungen oder anerkannter Staatenpraxis gehalten sein kann, gewisse ausländische Dokumente nicht öffentlich zugäng- lich zu machen (s. auch Art. 7 Abs. 1 Bst. d BGÖ sowie Ziff. 2.2.2.1.4 der BGÖ-Botschaft). Bst. d: Die unberechtigte Bekanntgabe oder die Verfälschung bestimmter Informationen sowie aus die- sem Bereich die Störung von Informationssystemen der Bundesbehörden können zu erheblichem Schaden für die wirtschafts-, finanz- oder währungspolitischen Interessen der Schweiz führen. Beim heutigen un- erbittlichen internationalen Wettbewerb gewinnen diese wirtschaftlichen Interessen zusätzlich an Bedeu- tung (s. auch Art. 7 Abs. 1 Bst. f BGÖ sowie Ziff. 2.2.2.1.6 der BGÖ-Botschaft). Bst. e: Hier wird der Bereich Compliance, d.h. die Einhaltung der gesetzlichen und vertraglichen Ver- pflichtungen der Bundesbehörden zum Schutz von Informationen erfasst, die nicht unter die Bst. a-d fal- len. Die Bundesbehörden bearbeiten nämlich zur Erfüllung ihrer gesetzlichen Aufgaben sehr viele Infor- mationen, die sie aufgrund verschiedenster gesetzlicher Bestimmungen schützen müssen (z.B. DSG, RVOG, ParlG, NBG, BÖB, FHG, HMG, usw.) oder die sie von Dritten nur unter Bedingung der Gewähr- leistung eines angemessenen Schutzes. Berufs-, Geschäfts- und Fabrikationsgeheimnisse oder die Wah- rung der Vertraulichkeit und Integrität von Personendaten stellen zwar keine unmittelbaren Eigeninteres- sen des Bundes dar. Wenn bekannt wird, dass die Bundesbehörden ihre Verpflichtungen zum Schutz die- ser Informationen nicht einhalten, kann jedoch ihre Vertrauenswürdigkeit erheblich darunter leiden. Bst. e stellt somit ein Auffangbecken für alle Informationen dar, welche die Bundesbehörden bearbeiten und schützen, aber nicht unbedingt klassifizieren müssen. Er schützt überdies das Interesse der Bundesbehör- den an der Aufrechterhaltung ihrer hohen Vertrauenswürdigkeit. (s. auch Art. 7 Abs. 1 Bst. e, g und h BGÖ sowie Ziff. 2.2.2.1.5 und 2.2.2.1.7-8 der BGÖ-Botschaft).
Art. 2
Art. 2 erfasst den institutionellen bzw. verwaltungsorganisatorischen Anwendungsbereich. Abs. 1 legt fest, welche Behörden verpflichtet werden, das Gesetz in ihrem Zuständigkeitsbereich anzuwen- den. Als verpflichtete Behörden werden die Bundesversammlung bzw. die eidgenössischen Räte, der Bun- desrat, die eidgenössischen Gerichte (Bundesgericht, Bundesstrafgericht, Bundesverwaltungsgericht, Bun- despatentgericht), die Schweizerische Bundesanwaltschaft und ihre Aufsichtsbehörde sowie - im Interesse der Währungs- und Wirtschaftspolitik des Bundes - die Schweizerische Nationalbank genannt. Alle diese Institutionen unterstehen in ihrer Tätigkeit als Behörden keiner unmittelbaren Weisungsbefugnis einer ande- ren Behörde. Sie sollen aber infolge des behördenübergreifenden Informationsflusses für ihren eigenen orga- nisatorischen Zuständigkeitsbereich zur Anwendung dieses Erlasses verpflichtet werden. Sofern das Gesetz
35
Erläuternder Bericht zu einem Bundesgesetz über die Informationssicherheit
Rechtsetzungsdelegationen enthält, spricht es diese Behörden stets als "die verpflichteten Behörden" an. Zu den Gründen, weshalb alle Bundesbehörden vom Gesetz erfasst werden sollen, s. Ziff. 1.2.2.2. Es versteht sich, dass das Gesetz bei einzelnen Regelungen der verfassungsmässigen Stellung und den Be- sonderheiten der verschiedenen Behörden bzw. Institutionen Rechnung zu tragen hat. Es enthält daher z.B. Ausnahmen von der Pflicht zur Personensicherheitsprüfung (PSP) bei den vom Volk gewählten Personen sowie Ausnahmen bei bestimmten Vollzugszuständigkeiten, insbesondere im Bereich der eidgenössischen Gerichte. In denjenigen Bestimmungen des Erlasses, die nur Pflichten für bestimmte Behörden oder Organi- sationen enthalten, werden diese entsprechend spezifiziert (s. z.B. Art. 19, 33 Abs. 4, 35, 36 und 84 Abs. 1). Auf der Ebene des Gesetzes kann aber nicht die gesamte Vollzugsorganisation der verschiedenen Behörden und die Kompetenzen ihrer Organe bzw. Stellen festgelegt werden. Dies hat durch die entsprechende Voll- zugsrechtsetzung der einzelnen Behörden zu erfolgen. Abs. 2 berücksichtigt, dass die in Absatz 1 erwähnten Behörden sich nur beschränkt mit eigentlichen Voll- zugsaufgaben zu befassen haben und dass die ihnen unterstellten Organisationen im Bereich ihrer gesetzli- chen Aufgaben von den neuen Regelungen im Rahmen ihrer Zuständigkeiten unmittelbar verpflichtet sein sollen. Die Aufteilung zwischen Behörden und unterstellten Organisationen soll insbesondere sicherstellen, dass das unterschiedliche Organisationsrecht der erfassten Behörden von der neuen Regelung nicht angetas- tet wird. Einerseits sollen die verpflichteten Behörden selbst keine untergeordneten Vollzugsaufgaben über- nehmen müssen, andererseits sollen aber die erfassten Organisationen keine vom Organisationsrecht abwei- chenden Rechtsetzungs- oder Entscheidbefugnisse erhalten. Der Begriff "verpflichtete Organisationen" wird im Interesse der gesetzestechnischen Vereinfachung der nachfolgenden Artikel als Kurzbezeichnung einge- führt. Es handelt sich insbesondere um die Parlamentsdienste, die Verwaltungen der einzelnen eidgenössi- schen Gerichte, die Departemente, die Bundeskanzlei, die Bundesverwaltung einschliesslich der dezentralen Verwaltungseinheiten sowie die Armee. Bst. d sieht eine grundsätzliche Unterstellung unter das Gesetz vor für Organisationen des öffentlichen und privaten Rechts, die Verwaltungsaufgaben des Bundes im Sinne von Art. 2 Abs. 4 RVOG erfüllen und dabei der Aufsicht des Bundes unterstehen (s. dazu Art. 8 Abs. 4 und 5 RVOG). Es sind dies insbe- sondere Organisationen, die durch Gesetz gegenüber Privaten verfügungsbefugt sind. In diesem Zusam- menhang Voraussetzung für eine Unterstellung ist, dass diese Organisationen im Rahmen der Erfüllung ihrer Verwaltungsaufgaben sicherheitsempfindliche Tätigkeiten (s. Abs. 3) ausüben. Die Unterstellung gilt nur für diese Verwaltungsaufgaben. Es nicht praktikabel, im Rahmen des vorliegenden Erlasses ab- schliessend und auf Dauer die einzelnen unterstellten Organisationen zu bestimmen. Der Bundesrat soll deshalb auf Verordnungsebene festlegen, wer unterstellt ist und in welchem Ausmass (s. Art. 87 Abs. 4). Bst. e: Bund und Kantone sind für ihre jeweilige Aufgabenerfüllung auf eine sehr enge Zusammenarbeit angewiesen. Sie tauschen sehr viele Informationen untereinander aus. Darunter fallen auch klassifizierte Informationen des Bundes. Die IKT-Infrastrukturen und Systeme des Bundes und der Kantone werden zudem vermehrt untereinander vernetzt. Dadurch wird das Risiko erhöht, dass sich Angriffe sowie Be- drohungen im Zuständigkeitsbereich einer Behörde auf die Zuständigkeitsbereiche anderer Beteiligter ausbreiten. Die Kantone sind für ihre eigene Informationssicherheit selbst zuständig. Wenn sie aber Bun- desaufgaben unter unmittelbarer Aufsicht des Bundes erfüllen, dann gelten grundsätzlich die Vorgaben des Bundes auch für sie. Das Gesetz sieht eine Unterstellung der Kantone nach risikobasierten Kriterien vor: Sie sollen nur für die Erfüllung von Aufgaben unterstellt werden, wenn sie dabei im Auftrag des Bundes und unter seiner unmittelbaren Aufsicht sicherheitsempfindliche Tätigkeiten (s. Abs. 3) ausüben. Kantonale Behörden und Stellen, die Bundesrecht in eigener Kompetenz umsetzen, werden vom Gesetz nicht erfasst. Vom ISG nicht speziell geregelt ist die Vernetzung von kantonalen Netzwerken und Bun- desnetzwerken. In solchen Fällen müssen die Behörden des Bundes und der Kantone der Situation ange- passte Sicherheitsmassnahmen vereinbaren, die das vom Gesetz für die Bundesbehörden verlangte Schutzniveau materiell gewährleisten. Zum Vollzug durch die Kantone, s. Art. 89. Abs. 3 umschreibt den für die Anwendung dieses Gesetzes zentralen Begriff der "sicherheitsempfindlichen Tätigkeit". Die Ausübung einer sicherheitsempfindlichen Tätigkeit ist nämlich nicht nur Voraussetzung für die Anwendung des Gesetzes auf Organisationen des öffentlichen und privaten Rechts, die Verwaltungsauf- gaben erfüllen, und auf die Kantone, sondern auch für die Durchführung von Personensicherheitsprüfungen oder von Betriebssicherheitsverfahren bei Dritten, die mit Aufträgen des Bundes betraut werden sollen. Die sicherheitsempfindliche Tätigkeit wird im Kontext der Informationssicherheit definiert. Bei ihrem materiel- len Inhalt steht - wie im heutigen BWIS - der Umgang mit Informationen im Vordergrund. Bei ihrer Defini- tion wurde auf Parallelität zu den Regelungen über den Schutz klassifizierter Informationen sowie über die Sicherheit beim Einsatz von IKT-Mitteln geachtet.
36
Erläuternder Bericht zu einem Bundesgesetz über die Informationssicherheit
Bst. a: Mit der Anführung der Klassifizierungsstufe VERTRAULICH als Ausgangspunkt für die Definiti- on der sicherheitsempfindlichen Tätigkeit wird implizit festgelegt, dass die Sicherheitsempfindlichkeit ei- ner Tätigkeit erst dann angenommen wird, wenn die Interessen nach Art. 1 Abs. 2 mindestens erheblich beeinträchtigt werden können. Sicherheitsempfindlich beim Umgang mit klassifizierten Informationen ist zudem nicht der blosse "Zugang" zu diesen Informationen, sondern deren tatsächliche und berechtigte "Bearbeitung". Mit anderen Worten übt z.B. das Reinigungspersonal in der Regel keine sicherheitsemp- findliche Tätigkeit nach dem vorliegenden Gesetz aus, obwohl die Wahrscheinlichkeit gross ist, dass es während seiner Tätigkeit hin und wieder faktischen Zugang zu klassifizierten Informationen erhalten wird, weil die Mitarbeitenden die Sicherheitsvorschriften nicht immer einhalten. Erwähnt ist auch der Umgang mit klassifiziertem Material. Es handelt sich dabei um verschiedene Mate- rialien und Gegenstände, deren Existenz oder Beschaffenheit als solche vor der Kenntnisnahme durch Unberechtigte geschützt werden muss oder deren Eigenschaften klassifizierte Informationen vermitteln können: das Material ist bzw. enthält also die Information. Betroffen sind hauptsächlich Rüstungsgegen- stände, Waffensysteme oder integrierte Kommunikationssysteme. Häufig schreibt ein Drittstaat, der die Lieferung an die Schweiz bewilligt hat, eine Klassifizierung solcher Materialien und Gegenstände vor. Die Schweiz kennt entsprechende Klassifizierungen bis heute nur im Armeebereich; im Zivilbereich (z.B. Polizei und Grenzwachtkorps) fehlte bis anhin eine entsprechende Grundlage, die nun mit dieser Bestim- mung implizit geschaffen wird. Bst. b: Hier werden Tätigkeiten erfasst, die mit besonderen Zugriffsrechten auf IKT-Mittel der beiden höheren Sicherheitsstufen verbunden sind oder bei deren Ausübung Personen in der Lage sind, z.B. durch Datendiebstahl oder Sabotage die Interessen nach Art. 1 Abs. 2 erheblich zu beeinträchtigen. Die blosse Benützung dieser IKT-Mittel wird also nicht als sicherheitsempfindlich betrachtet (ob die Anwender eine sicherheitsempfindliche Tätigkeit ausüben entscheidet sich aufgrund der Inhalte der bearbeiteten Informa- tionen). Bst. b erfasst vor allem bestimmte Administratoren oder Anwendungsverantwortliche. Bst. c: Als sicherheitsempfindlich wird schliesslich der Zugang zu den in Art. 31 geregelten Sicherheits- zonen der Informationssicherheit bezeichnet, weil das Schadenspotenzial bei Spionage oder bei Sabotage in diesen Zonen aufgrund der darin befindlichen Informationen und IKT-Mittel sehr hoch ist. Abs. 3 enthält weitere Abweichungen von der bisherigen Regelung in Art. 19 Abs. 1 BWIS. So stellt nach dem vorliegenden Gesetz der regelmässige Zugang zu besonders schützenswerten Personendaten, deren Of- fenbarung die Persönlichkeitsrechte der Betroffenen schwerwiegend beeinträchtigen könnte, keine sicher- heitsempfindliche Tätigkeit mehr dar. Der Umgang mit Geschäfts- und Fabrikationsgeheimnissen soll eben- falls nicht als sicherheitsempfindlich im Sinne des ISG gelten. Zu beachten bleibt, dass ein Teil der Schutz- bedürfnisse im Bereich der Personendaten sowie der Geschäfts- und Fabrikationsgeheimnisse über die Rege- lungen im Bereich der IKT-Mittel abgedeckt wird. Eine andere wichtige Änderung im Vergleich zur heuti- gen Regelung liegt darin, dass das Element der Regelmässigkeit bei der Ausübung der aufgeführten Tätigkei- ten nicht Bestandteil der Sicherheitsempfindlichkeit dieser Tätigkeiten ist. Die einmalige Bearbeitung von als VERTRAULICH klassifizierten Informationen gilt also für das ISG bereits als sicherheitsempfindlich. Diese Änderung ist in Bezug auf die Sicherheitsüberprüfung von Dritten, die Aufträge des Bundes ausführen sol- len, notwendig. Da diese Kategorie von Personen ihre Tätigkeiten nicht ständig im Kontrollbereich der ver- pflichteten Behörden oder Organisationen ausüben werden, müssen für sie differenzierte Voraussetzungen für die Unterstellung unter die PSP gelten. Zum Verhältnis zu den Personensicherheitsprüfungen, s. Ziff. 1.2.4.
Art. 3 Abs. 1: Mit einem Vorbehalt für die Bestimmungen des BGÖ wird klar festgehalten, dass der Geltungsbe- reich des Öffentlichkeitsgesetzes durch die Regelung der Informationssicherheit in keiner Art und Weise eingeschränkt wird. Informationen, die nach dem ISG klassifiziert worden sind, fallen nicht unter den Vor- behalt von Art. 4 BGÖ (Spezialbestimmungen, die bestimmte Informationen als geheim bezeichnen). Dem- nach finden die Bestimmungen des BGÖ über den Zugang zu amtlichen Dokumenten auch auf Informatio- nen Anwendung, die nach dem ISG klassifiziert worden sind. Die Beurteilung von Dokumenten im Verfahren nach dem BGÖ erfolgt unabhängig von den Regelungen des ISG. Bei Gesuchen um Zugang zu amtlichen Dokumenten überprüft die zuständige Stelle also unabhängig von einem allfälligen Klassifizierungsvermerk, ob der Zugang zu gewähren, zu beschränken, aufzuschieben oder zu verweigern ist. Die Klassifizierung von Informationen kann bei der Beurteilung von Dokumenten nach BGÖ jedoch als Indiz für die Nichtöffentlichkeit des entsprechenden Dokuments gewertet werden. Der Entscheid zur Klassifizierung setzt nämlich eine Beurteilung des Schutzbedarfs der Information hinsichtlich einer Beeinträchtigung der öffentlichen Interessen nach Art. 1 Abs. 2 ISG voraus, die im Grunde genommen
37
Erläuternder Bericht zu einem Bundesgesetz über die Informationssicherheit
materiell einer Beurteilung über die Einschränkung, Aufschiebung und Verweigerung des Zugangs nach Art. 7 Abs. 1 BGÖ entsprechen müsste. Die Bestimmungen über die Klassifizierung sind inhaltlich so gestaltet, dass sie dem Ausnahmekatalog nach Art. 7 BGÖ inhaltlich nicht widersprechen müssten. Im Übrigen ist darauf hinzuweisen, dass der Anwendungsbereich des ISG im Grundsatz weiter als jener des BGÖ gefasst werden soll, indem das ISG für sämtliche Bundesbehörden anwendbar sein soll. Es konzentriert sich zudem nicht nur auf den Schutz der Vertraulichkeit, sondern schützt auch die Verfügbarkeit, Integrität und Nachvollziehbarkeit von Informationen. Abs. 2 regelt das Verhältnis des neuen Erlasses zu den zahlreichen Bundesgesetzen, die Anforderungen an den Schutz der Vertraulichkeit, Verfügbarkeit, Integrität oder Nachvollziehbarkeit von Informationen oder an die Verfügbarkeit und Integrität von IKT-Mitteln festlegen (s. Art. 4 Abs. 2 Bst. a-d). Die Bestimmungen des ISG sollen für solche Gesetze ergänzende Anwendung finden. Dies bedeutet, dass das ISG einen einheit- lichen Rahmen zur Beurteilung des Schutzbedarfs dieser Informationen und zur Umsetzung der spezialge- setzlichen Sicherheitsanforderungen an diese Informationen schafft. Das Beispiel des DSG vermag diesen Grundsatz zu erläutern. Das DSG enthält die Anforderungen an die rechtmässige Bearbeitung sowie an den Schutz von Personendaten. Es versteht sich, dass Personendaten im Aufgabenbereich der Bundesbehörden weiterhin nach den Regeln des Datenschutzgesetzes bearbeitet wer- den müssen und dürfen. Da allerdings das DSG selbst wenig detaillierte Vorschriften über organisatorische, personelle, technische und physische Schutzmassnahmen enthält, sollen die entsprechenden Vorschriften des vorliegenden Gesetzes auf die Bearbeitung von Personendaten als ergänzendes Recht angewendet werden. Sofern schliesslich Personendaten auch als wesentlich - etwa für die Wahrung der öffentlichen Sicherheit - zu beurteilen sind, sollen sie nach den entsprechenden Vorschriften des vorliegenden Gesetzes behandelt und gegebenenfalls klassifiziert werden. Abs. 3: Der Bundesrat hat in der NCS am Grundsatz der dezentralen Regulierung der KI festgehalten. Soweit sektorspezifisch formell-gesetzlicher Handlungsbedarf besteht, muss die entsprechende Fachgesetzgebung angepasst werden (s. Ziff. 1.1.2.2 und 1.2.6). Mit dem ISG verfügt der Bund aber über besondere Instrumen- te im Bereich der Informationssicherheit, auf welche gewisse Regulatoren und KI-Betreiber zugreifen möch- ten, insbesondere die PSP. Auf Interesse stossen z.T. auch die Bestimmungen über die Klassifizierung oder über die Sicherheit beim Einsatz von IKT. Bestimmte KI greifen bereits heute auf diese Instrumente des Bundes zu. Dies ist z.B. der Fall im Bereich der Kernkraftwerke, in welchem der Bund bestimmte Massnah- men der Informationssicherheit vorschreibt (s. Art. 5 und 24 KEG). Auch im Bereich der Luftraumüberwa- chung (Skyguide) werden bestimmte Angestellte vorgängig einer PSP unterzogen. Neu sollen auch gewisse Angestellte der nationalen Netzgesellschaft, die das Übertragungsnetz für Elektrizität auf gesamtschweizeri- scher Ebene betreibt (Swissgrid), der PSP unterstellt werden. Es wird deshalb festgehalten, dass die Spezial- gesetzgebung für eine Unterstellung unter das ISG (oder Teile davon) massgebend ist. Zur entsprechenden Änderung der Spezialgesetzgebung, s. auch Ziff. 2.9 und 2.10. 2.1.2 Allgemeine Massnahmen der Informationssicherheit
Art. 4
Art. 4 erfasst den materiellen Inhalt der Informationssicherheit sowie die wichtigsten Grundsätze, nach wel- chen sie umgesetzt werden muss. Er ergänzt somit den Zweckartikel (Art. 1), indem er die detaillierten Schutzziele darlegt. Abs. 1 hält fest, dass die verpflichteten Behörden und Organisationen den Schutzbedarf der Informationen, für die sie zuständig sind, beurteilen müssen. Der Schutzbedarf der Informationen wird hinsichtlich der po- tenziellen Beeinträchtigung der Interessen nach Art. 1 Abs. 2 erhoben und in Bezug auf die detaillierten Kri- terien von Abs. 2 definiert. Der spezifische sachbedingte Schutzbedarf wird implizit sehr häufig von anderen Gesetzen vorgegeben (s. auch Art. 1 Abs. 2 Bst. e sowie Art. 3 Abs. 2). Abs. 2: In sachlicher Hinsicht nennen Lehre und Praxis meistens vier jeweils nach den Umständen zu ge- wichtende Schutzkriterien der Informationssicherheit, nämlich die Wahrung der Vertraulichkeit, Integrität, Verfügbarkeit und Nachvollziehbarkeit der Informationen. Oft werden noch weitere Schutzkriterien erwähnt, die aber grundsätzlich durch die in Abs. 2 aufgeführten Kriterien oder allenfalls durch eine Kombination derselben abgedeckt werden, z. B. die Authentizität (in diesem Gesetz unter "Integrität" erfasst), die Zure- chenbarkeit oder die Nichtabstreitbarkeit (in diesem Gesetz von den Kriterien der "Integrität" und der "Nachvollziehbarkeit" abgeleitet). Bst. a: Der Grundsatz der Vertraulichkeit wird dahingehend konkretisiert, dass Informationen nur Berech- tigten zugänglich sein sollen. Der Kreis der Berechtigten ergibt sich aus dem Kontext der jeweiligen ge- setzlichen Aufgabenerfüllung sowie dem Inhalt und der Bedeutung der Information. Entsprechend kann
38
Erläuternder Bericht zu einem Bundesgesetz über die Informationssicherheit
der Kreis der Berechtigten auf wenige Personen beschränkt oder sehr gross sein. Wenn die Informationen öffentlich zugänglich gemacht werden sollen, ist der Kreis uneingeschränkt. Bst. b: Die Verfügbarkeit der Informationen ist nicht absolut zu verstehen, doch ist es für die Entscheid- und Handlungsfähigkeit der Behörden und Organisationen erforderlich, dass sie im Rahmen der gesetzli- chen Aufgabenerfüllung die notwendigen Informationen rechtzeitig abrufen können. Die Anforderungen an die Verfügbarkeit von Informationen sind höher, wenn diese für die Erfüllung von wesentlichen Auf- gaben stets und unterbruchlos verfügbar sein müssen. Dies gilt insbesondere dann, wenn diese Informati- onen elektronisch bearbeitet werden. Bst. c: Die Wahrung der Integrität (Unversehrtheit und Richtigkeit) der Informationen ist eine wichtige Teilaufgabe des Schutzes von Informationen, die - im Hinblick auf die Vertrauenswürdigkeit der Behör- den - auch für Informationen von Bedeutung ist, die zur Veröffentlichung bestimmt sind. Sie ist auch für das korrekte Funktionieren der IKT-Mittel entscheidend. Bst. d: Die nachvollziehbare Bearbeitung der Informationen ist insbesondere für alle öffentlichen Verfah- ren (Strafverfahren, Beschwerdeverfahren, usw.) von grosser Bedeutung, aber auch für die Wahrnehmung von Kontroll- und Aufsichtsfunktionen und das Vorgehen bei Missbräuchen. Die verpflichteten Behörden und Organisationen müssen also eine Beurteilung des Schutzbedarfs von Infor- mationen vornehmen und bestimmen, in welcher Hinsicht und wie stark die Informationen geschützt werden müssen (Sicherheitsanforderungen). Der Schutz der Vertraulichkeit ist z.B. nur erforderlich, wenn diese Ver- traulichkeit aus einem rechtlichen Grund (z.B. DSG, Geschäfts- oder Fabrikationsgeheimnisse Dritter oder
Art. 14 ISG) gewährleistet werden muss. Zu beachten ist aber auch, dass bestimmte Informationen höhere Anforderungen an den Schutz ihrer Integrität oder Verfügbarkeit haben können, ohne dass diese besonderen Anforderungen gesetzlich festgelegt sind, etwa dann, wenn die entsprechenden Informationen für die Aufga- benerfüllung einer Behörde unbedingt richtig bzw. verfügbar sein müssen. Dies trifft insbesondere für In- formationen und IKT-Mittel zu, die geschäftskritische Prozesse unterstützen. Der Schutzbedarf ergibt sich also auch aus der Wichtigkeit der Erfüllung der gesetzlichen Aufgaben, in welchen oder zu deren Unterstüt- zung die Informationen verwendet werden. Abs. 3: Der Schutz der Verfügbarkeit und der Integrität der IKT-Mittel stellt für eine integrale Informations- sicherheit eine wichtige Ergänzung der erwähnten vier Kriterien dar. Obwohl sich diese Anforderung grund- sätzlich bereits aus Abs. 2 Bst. b und c ergibt, wird die Anforderung nach einem angemessenen Schutz vor Missbrauch und Störung noch ausdrücklich erwähnt, weil die IKT-Unterstützung der Geschäftsprozesse im- mer mehr an Bedeutung gewonnen hat. Ihr gutes Funktionieren stellt heute sogar eine unentbehrliche Vo- raussetzung für die effiziente Aufgabenerfüllung der Bundesbehörden dar. Abs. 4: Die Informationssicherheit muss risikobasiert, zweckmässig und wirtschaftlich umgesetzt werden. Eine möglichst objektive Beurteilung der Risiken soll für die Umsetzung von Sicherheitsmassnahmen mass- gebend sein (s. Art. 6 und 7). Es versteht sich, dass eine absolute Sicherheit ein unerreichbares Ideal darstellt, und dass der Aufwand für die Behebung verbleibender kleinerer Sicherheitslücken unverhältnismässig hoch werden kann. Die zuständigen Behörden und Organisationen müssen daher darauf achten, dass ihre Mass- nahmen zweckmässig und wirtschaftlich sind. Entsprechend ist durch die Linie bei der Verfolgung der Schutzmassnahmen eine Güterabwägung zwischen Sicherheitskosten und -nutzen vorzunehmen. In diesem Kontext wird auch der Grundsatz der Benutzerfreundlichkeit aufgeführt. Personen, die Informati- onen bearbeiten oder mit IKT-Mitteln umgehen, müssen oft bestimmte Verhaltensvorschriften einhalten, damit die Informationssicherheit gewährleistet ist (z.B. muss die Bürotür abgeschlossen oder eine E-Mail verschlüsselt werden). Erschweren aber Sicherheitsmassnahmen die Aufgabenerfüllung der Mitarbeitenden zu sehr, ist erfahrungsgemäss die Wahrscheinlichkeit gross, dass sie entweder nicht eingehalten oder gar absichtlich umgegangen werden.
Art. 5 Sicherheit ist Chefsache. Art. 5 umschreibt den Inhalt der obersten Führungsverantwortung im Bereich der Informationssicherheit. Er richtet sich deshalb nur an die verpflichteten Behörden (Art. 2 Abs. 1), welche diese Verantwortung alleine tragen. In Abs. 1 werden die verpflichteten Behörden aufgefordert, die Informationssicherheit in ihrem Zuständig- keitsbereich zu organisieren. Bst. a: Die Informationssicherheit muss nach dem Stand der Lehre und der Technik organisiert, umgesetzt und überprüft werden. Mehrere unverbindliche Fachnormen formulieren sogenannte Best Practices in Bezug auf das Management der Informationssicherheit (z.B. DIN ISO/IEC Norm 27'001 und 27'002). Be- sonders wichtig an diesen Normen ist, dass sie einerseits in der Praxis erprobt wurden und dass sie ande-
39
Erläuternder Bericht zu einem Bundesgesetz über die Informationssicherheit
rerseits nach dem erforderlichen integralen Ansatz aufgebaut sind. Sie legen ausserdem Anforderungen für die Umsetzung von Sicherheitsmassnahmen fest, die auf die Bedürfnisse der jeweiligen Behörden, Organisation oder von Teilen derselben zugeschnitten werden können. Kleinere Behörden (z.B. Bundespatentgericht, Militärkassationsgericht und Aufsichtsbehörde der Bun- desanwaltschaft) werden selbstverständlich keine derartige Organisation alleine aufbauen können. Das Gesetz lässt es aber zu, dass z.B. die eidgenössischen Gerichte den Aufbau einer einzigen gemeinsamen Organisation beschliessen, welche gleichzeitig die Unabhängigkeit der verschiedenen Gerichte wahrt. Bst. b: Die Verwirklichung von Informationssicherheit betrifft viele Fachbereiche, z.B. die Finanzen (fi- nanzielle Auswirkungen der Organisation und der Massnahmen), die Personaldienste (Aufgaben des Per- sonals), die Bereiche Recht und Compliance (Rechtsgrundlagen der Informationssicherheit), die Informa- tik (Einflüsse der Informationssicherheit auf den Einsatz der IKT sowie Umsetzung der Anforderungen in IKT-Systemen) und den Bereich Risikomanagement und Controlling (Informationssicherheit als Teil des Risikomanagements). Eine wirksame Informationssicherheit verlangt deshalb, dass die erwähnten Fach- bereiche die Anliegen der Informationssicherheit mittragen, dass sie an der entsprechenden Beschlussfas- sung beteiligt werden und dass die Massnahmen fachbereichsübergreifend koordiniert werden. Abs. 2: Für die Sicherheit im Allgemeinen ist es wichtig, dass die Aufgaben und Zuständigkeiten klar und eindeutig geregelt werden. Dies gilt besonders für die Informationssicherheit, da viele Fachbereiche Anfor- derungen an die sichere Bearbeitung von Informationen festlegen oder für die Umsetzung des vorliegenden Gesetzes Teilverantwortungen tragen werden. Unklare Zuständigkeiten können dazu führen, dass wesentli- che Risiken nicht identifiziert werden, dass sich niemand für die Umsetzung bestimmter risikomindernder Massnahmen verantwortlich fühlt oder dass niemand die Risiken bewusst trägt. In Abs. 3 werden die verpflichteten Behörden aufgefordert, bestimmte Grundsätze, welche die Absicht der verpflichteten Behörde hinsichtlich der Informationssicherheit bekannt geben sollen, für ihren Zuständig- keitsbereich festzulegen. Bst. a: Die Ziele der verpflichteten Behörde geben das Sicherheitsniveau vor, das erreicht werden soll (SOLL-Zustand der Informationssicherheit). Diese Ziele setzen eine Kosten-Nutzen-Analyse voraus (wie viel Sicherheit will die Behörde haben und wie viel darf sie kosten) und sollen für die Erteilung der erfor- derlichen Ressourcen massgebend sein. Beispiel: Geschäftsgeheimnisse Dritter, die von den Behörden oder Organisationen des Bundes bearbeitet werden, müssen vor unberechtigter Kenntnisnahme geschützt werden. Will man diese Informationen gegen die aktivsten, ressourcenreichsten Nachrichtendienste der Welt schützen, dann sind die zu treffenden Massnahmen wesentlich kostspieliger als diejenigen, die man treffen wird, wenn die Behörde das relativ hohe Risiko in Kauf nimmt, dass diese fremden Nachrichten- dienste sich diese Informationen beschaffen werden. Die vorgesehenen Wirksamkeitsprüfungen (s. Art. 24 Abs. 2) richten sich an diesen Zielen aus. Bst. b: Hier soll insbesondere geregelt werden, wie die unterstellten Organisationen mit Risiken umgehen sollen, welche Risiken sie ohne weiteres tragen dürfen und welche Risiken der Behörde rapportiert wer- den müssen (Risikoakzeptanz). Auch wenn die meisten Risiken der Informationssicherheit auf der opera- tiven Ebene (Departement, Amt oder sogar unterstellte Einheit) behandelt und getragen werden können, können bestimmte Risiken eine strategische Ausprägung haben. Dies ist insbesondere der Fall bei Risiken in Zusammenhang mit als GEHEIM klassifizierten Informationen (Art. 14 Abs. 3) oder mit IKT-Mitteln der Sicherheitsstufe «sehr hoher Schutz» (Art. 21 Abs. 3). Strategische Risiken sollen der betroffenen Be- hörde kommuniziert werden, bevor ein Ereignis eintritt. Bst. c: In jeder Organisation gibt es immer wieder Personen, welche die Informationssicherheit nicht ernst nehmen und vorschriftswidrig oder unsorgfältig mit Informationen oder IKT-Mitteln umgehen. Sehr oft werden solche Verstösse a priori entschuldigt und entsprechend nicht untersucht. Diese Verstösse können jedoch erhebliche Auswirkungen zur Folge haben. Sie sollten also nicht einfach als Kavaliersdelikte be- trachtet werden. Die verpflichteten Behörden müssen deshalb die Vorschriften konsequent durchsetzen und die Folgen bei Missachtungen festlegen und erläutern. Abs. 4: Die verpflichteten Behörden müssen für die regelmässige und stufengerechte Information der Füh- rungskräfte und des Personals in Bezug auf die Belange der Informationssicherheit sorgen. Es geht z.B. da- rum, dass Änderungen in den Organisations- und Zuständigkeitsregelungen mitgeteilt werden, oder dass das Kader sowie die Fachspezialisten über die Ursachen und Folgen von Vorfällen informiert werden. Eine re- gelmässige Kommunikation muss erfolgen, weil das Kader und das Personal dadurch das Bekenntnis der Geschäftsleitung für die Informationssicherheit wahrnehmen und auf Änderungen reagieren können. Sie erlaubt es ihnen auch, in ihrem eigenen Zuständigkeitsbereich die Lehren aus Vorfällen zu ziehen. Kader und Personal sollten auch entsprechend geschult werden.
40
Erläuternder Bericht zu einem Bundesgesetz über die Informationssicherheit
Art. 6
Art. 6 verpflichtet die Behörden und Organisationen, ein Risikomanagement im Bereich der Informationssi- cherheit zu betreiben (zum Risikomanagement, s. Ziff. 1.2.3.2). Abs. 1 legt fest, dass die verpflichteten Behörden und Organisationen die Risiken identifizieren, bewerten, beurteilen und überprüfen müssen, und zwar sowohl in ihrem eigenen Zuständigkeitsbereich als auch im Rahmen der Zusammenarbeit mit Dritten. Idealerweise sollten alle verpflichteten Behörden und Organisatio- nen einheitliche Methoden verwenden. Der Bundesrat wird hierzu Standardanforderungen und -massnahmen definieren (s. Art. 88). Dies im Wissen darum, dass die Kriterien für die Risikoakzeptanz, die für die Bewer- tung der Risiken massgebend sind, von den jeweiligen verpflichteten Behörden gestützt auf ihre eigenen Bedürfnisse an Informationssicherheit festgelegt werden (s. auch Art. 5 Abs. 3 Bst. a und b). Die Beurteilung der Risiken setzt profunde Kenntnisse der gesetzlichen Aufgaben und der entsprechenden kritischen Geschäftsprozesse, die regelmässige Beurteilung der Bedrohungen und Gefahren für die zu schüt- zenden Werte, die Analyse der Schwachstellen sowie die Einschätzung der Eintrittswahrscheinlichkeit und des potentiellen Schadensausmasses bestimmter Risiken voraus. Der Risikomanagementprozess im Bereich der Informationssicherheit muss laufend durchgeführt werden. Dies gilt insbesondere für den Informatikbe- reich, denn neue Malware wird täglich entwickelt. Anwendungen und Sicherheitssoftware müssen entspre- chend dauernd aktualisiert werden. Nach Abs. 2 müssen die erforderlichen Massnahmen zur Risikovermeidung oder -reduktion getroffen wer- den. Selbstverständlich können Risiken auch in Kauf genommen bzw. getragen werden (s. Abs. 3). Sie soll- ten aber nicht ignoriert werden. Risiken können vermieden werden, indem auf eine bestimmte, zu riskante Tätigkeit ganz verzichtet wird (z.B. wird auf ein Informatikvorhaben verzichtet, für welches die Umsetzung von risikogerechten Massnahmen wirtschaftlich nicht vertretbar ist; oder es wird beispielsweise untersagt, als GEHEIM klassifizierte Informationen mit vernetzten IKT-Mitteln zu bearbeiten). Die zu treffenden Mass- nahmen gehören zu folgenden Kategorien, die sich z.T. überschneiden: Organisatorische Massnahmen: z.B. Erlass von Rechtsgrundlagen, Festlegung der Sicherheitspolitik und -organisation, Zuteilung klarer Verantwortlichkeiten und Zuständigkeiten, Klassifizierung von Informati- onen, Trennung von sicherheitsempfindlichen Funktionen, Zutrittsregelungen und -kontrollen für Perso- nen, allgemeine Kontrollen, Zugriffsregelungen auf Systeme, Erstellung von Informationssicherheitskon- zepten für IKT-Mittel, Organisation der Behandlung von Vorfällen. Personelle Massnahmen: z.B. Ausbildung und Sensibilisierung, vertragliche Verpflichtung zur Einhal- tung der Informationssicherheit, Durchführung von PSP, regelmässige persönliche Gespräche mit Schlüs- selpersonen zur Förderung der bewussten Wahrnehmung von bestimmten Gefahren, Umschreibung und Durchsetzung von Sanktionen. Technische Massnahmen: z.B. Verschlüsselung von Informationen, Redundanz von wichtigen Diensten, Schutz vor Malware, starke Authentifizierung, Zugriffsschutz zu Netzwerken. Bauliche Massnahmen: z.B. Umzäunung von sicherheitsempfindlichen Perimetern, Verwendung von Sicherheitsschliesssystemen, Einrichtung von Sicherheitszonen und -räumen, Einsatz von Überwa- chungsanlagen. Abs. 3 legt fest, dass Risiken, die nach der Umsetzung der vorgesehenen Sicherheitsmassnahmen bestehen bleiben (sogenannte Restrisiken) oder Risiken, die nicht vermindert werden sollen, klar auszuweisen sind. Die Entscheidungsträger sind für ihre diesbezügliche Güterabwägung in dokumentierter Form auf diese Ri- siken und die potenziellen Auswirkungen hinzuweisen. Die verbleibenden Risiken müssen nachweisbar ak- zeptiert und auch entsprechend getragen werden. Abs. 4 hält fest, dass das Risikomanagement im Bereich der Informationssicherheit zwingend auf allen Stu- fen in den allgemeinen Risikomanagementprozess des Bundes integriert werden muss. Auch wenn das vor- liegend geforderte Risikomanagement fachspezifisch ist und deshalb von Fachspezialisten gesteuert und betrieben werden muss, bleibt die Informationssicherheit ein Anliegen, das die Bewirtschaftung von üblichen Geschäftsrisiken betrifft. Die verpflichteten Behörden müssen deshalb die Zusammenarbeit der Fachorgani- sation des allgemeinen Risikomanagements mit der Fachorganisation der Informationssicherheit regeln.
Art. 7 Abs. 1 verlangt, dass die Behörden und Organisationen sich bei der Festlegung ihrer Sicherheitsanforderun- gen und -massnahmen an den Standardanforderungen und -massnahmen des Bundesrats nach Art. 88 orien- tieren. Für Behörden und Organisationen, die dem Bundesrat nicht unterstellt sind, besteht keine Pflicht, diesen Standards zu folgen. Da ein wichtiges Ziel dieses Gesetzes darin besteht, behördenübergreifend mög- lichst einheitliche Sicherheitsstandards zu erreichen, wird der Bundesrat verpflichtet, standardisierte Anfor-
41
Erläuternder Bericht zu einem Bundesgesetz über die Informationssicherheit
derungen und Massnahmen nach dem Stand der Lehre und der Technik festzulegen. Die Wirtschaftlichkeit gebietet, dass nicht jede Behörde oder Organisation das Rad neu erfinden muss, wenn gute, in der Praxis erprobte Lösungen von einer anderen Behörde oder Organisation entwickelt oder gefunden worden sind. Abs. 2: Die Sicherheitsmassnahmen müssen sich nach dem Stand der Lehre und der Technik richten. Die Informationssicherheit ist ein relativ junger Aufgabenbereich, der sich regelmässig weiterentwickelt. Auch wenn die Organisationsgrundsätze eine bestimmte Stabilität und Reife erreicht haben, weil sie den allgemei- nen Organisationsgrundsätzen im Bereich des Risikomanagements entsprechen, werden regelmässig bessere organisatorische Massnahmen entwickelt, die wirksamer oder wirtschaftlicher sind. "Sich nach dem Stand der Lehre zu richten" bedeutet also im Kontext dieses Absatzes, dass die verpflichteten Behörden und Orga- nisationen erprobte organisatorische Lösungen und Ansätze (best practices) anwenden sollen. Neue Entwicklungen erfolgen im Bereich der technischen Informationssicherheit sehr rasch, insbesondere bei den IKT-Mitteln, aber auch bei der Sensorik (z.B. Feuer-, Hitze- oder Bewegungsdetektoren) oder bei der Schliesstechnik (z.B. Schliesssysteme für Türen). Es ist sehr wichtig, dass Sicherheitsmassnahmen nicht auf veralteten Technologien basieren, sondern gegen aktuelle Bedrohungen Wirkung zeigen.
Art. 8 Als Dritte gelten nach diesem Gesetz alle Behörden, Organisationen und Personen des öffentlichen oder privaten Rechts, die keine verpflichteten Behörden oder Organisation nach Art. 2 sind und deshalb grund- sätzlich unabhängig von diesen Behörden und Organisationen handeln. Die Bundesbehörden sind für ihre Aufgabenerfüllung häufig auf eine Mitwirkung der Privatwirtschaft oder anderer Stellen angewiesen. Die auftragserteilenden Behörden und Organisationen haben dafür zu sorgen, dass bei der Auftragserteilung und -ausführung die gesetzlich vorgesehenen Massnahmen eingehalten werden. Diese Zusammenarbeit mit Dritten sowie die einzuhaltenden Sicherheitsmassnahmen werden in der Regel vertraglich geregelt. Grundsätzlich sollten Dritte erst dann Zugang zu Informationen oder zu IKT-Mitteln des Bundes erhalten, wenn sie die erforderlichen Massnahmen umgesetzt haben. Das ISG verlangt von den ver- pflichteten Behörden und Organisationen auch, dass sie die Umsetzung der Massnahmen überprüfen. Schliesst der Auftrag die Ausübung einer sicherheitsempfindlichen Tätigkeit ein, so müssen die verpflichte- ten Behörden und Organisationen die erforderlichen PSP (s. Art. 32 ff.) einleiten bzw. die Durchführung eines BSV (s. Art. 56 ff.) beantragen.
Art. 9 Zu Vorfällen im Bereich der Informationssicherheit wird es auch in Zukunft kommen. Es ist deshalb nötig, einen einheitlichen und effektiven Ansatz für den Umgang mit solchen Vorfällen anzuwenden. Die ver- pflichteten Behörden und Organisationen müssen zunächst die erforderlichen Massnahmen treffen, um In- formationssicherheitsvorfälle überhaupt frühzeitig identifizieren zu können (z.B. regelmässige Kontrollen, Sensoren, Alarmanlagen, Netzwerküberwachung, regelmässige Auswertung von Log-Files, usw.). Sie müs- sen ein Verfahren festlegen, nach welchem vorgegangen werden soll, wenn Ereignisse oder Schwachstellen identifiziert werden, sowie klare Zuständigkeiten für die Behandlung der Vorfälle zuweisen. Interne und externe Mitarbeitende müssen zudem wissen, wie sie beim Eintreten eines Ereignisses zu reagieren haben, damit dessen Auswirkungen minimiert werden können. Damit aus Vorfällen gelernt wird, müssen die verpflichteten Behörden und Organisationen dafür sorgen, dass die Ursachen eines Vorfalls abgeklärt und ausgewertet werden. Die Identifizierung und Behandlung von Vorfällen soll so kontinuierlich verbessert werden.
Art. 10 Die Behörden müssen im Bereich der Informationssicherheit ein "Business Continuity Management" (BCM) betreiben. BCM bedeutet, dass alle notwendigen Vorkehrungen getroffen werden, damit die Behörden ihre Kernaufgaben selbst in ausserordentlichen Situationen termingerecht erfüllen können (s. auch Art. 6 Abs. 3 RVOG). Aufgrund der zunehmenden Abhängigkeit vom Einsatz der IKT zur Auftragserfüllung sind die Ri- siken und Vorsorgeplanungen im Bereich der Informationssicherheit zwingend in das allgemeine BCM der Behörden aufzunehmen. Das Gesetz verlangt die Erstellung solcher Vorsorgeplanungen nur für die unver- zichtbaren Aufgaben der verpflichteten Behörden, und nicht für diejenige der verpflichteten Organisationen. Für die Bundesverwaltung bedeutet dies, dass der Bundesrat dafür sorgen muss, dass die aus seiner strategi- schen Sicht kritischsten Aufgaben der Bundesverwaltung und der Armee identifiziert werden. Obschon sie vom Gesetz nicht dazu verpflichtet werden, sind die Departemente und die Verwaltungseinheiten frei, für ihre kritischen Aufgaben, die nicht vom Bundesrat erfasst werden, Vorsorgeplanungen zu erstellen.
Art. 11
42
Erläuternder Bericht zu einem Bundesgesetz über die Informationssicherheit
Zum Kontroll- und Auditwesen, s. Ziff. 1.2.3.3. Abs. 1 verlangt von den verpflichteten Behörden und Organisationen, dass sie die Einhaltung der Vorschrif- ten regelmässig überprüfen. Grundsätzlich obliegt diese Kontrolle den Linienvorgesetzten. Die Informations- sicherheitsbeauftragten werden aber gemäss Art. 84 Abs. 2 Bst. c ebenfalls Kontrollen und Audits im Auf- trag ihrer Behörde durchführen. Abs. 2 richtet sich nur an die verpflichteten Behörden. Eine periodische unabhängige Prüfung ist notwendig, denn sie soll sich hauptsächlich auf die Wirksamkeit der Organisation der Informationssicherheit fokussie- ren. Diese Organisation schliesst natürlich die Aufgaben derjenigen Personen ein, die für die ordentlichen Kontrollen zuständig sind. Der Entscheid sowohl über die Periodizität der Wirksamkeitsprüfung als auch über die Stelle, welche die Prüfung durchführen soll, obliegt der betroffenen Behörde. Die Behörden können z.B. ihre interne Revisionsstelle oder eine externe Firma oder Stelle beauftragen. Sie können auch die Fach- stelle des Bundes für Informationssicherheit (s. Art. 86 Abs. 1 Bst. c) beauftragen. Der Bundesrat kann zu- dem die EFK ersuchen, solche Prüfungen durchzuführen.
Art. 12 Abs. 1 legt fest, dass die Klassifizierung von Informationen zwingend ist, sofern die Kriterien zur Klassifi- zierung nach Art. 14 erfüllt sind. Heute ist jede verpflichtete Behörde grundsätzlich frei, ihr eigenes Klassifi- zierungssystem (wenn überhaupt), ihre eigenen Klassifizierungsgründe sowie ihre eigenen Bearbeitungsvor- schriften festzulegen. Einige Vorfälle in den letzten Jahren haben gezeigt, dass diese unterschiedliche Be- handlung klassifizierter Informationen zu erhöhtem Misstrauen führen kann. Eine einheitliche Regelung der Klassifizierungsstufen und -gründe ist nötig. Mit Abs. 2 soll auf Gesetzesebene festgehalten werden, dass die Klassifizierung von Informationen ange- sichts des Öffentlichkeitsprinzips sowie auch des mit der Klassifizierung verbundenen Aufwandes grundsätz- lich die Ausnahme darstellen soll. Abs. 3 hält fest, dass die Klassifizierung nach Möglichkeit zu befristen ist. Die Schutzwürdigkeit von Infor- mationen nimmt oftmals mit der Zeit ab oder erübrigt sich nach einem bestimmten Ereignis (z.B. Veröffent- lichung eines Berichts oder Ende einer bestimmten Massnahme). Die Klassifizierung derartiger (beispiels- weise nicht mehr aktueller) Informationen rechtfertigt sich dann nicht mehr. Sie würde bloss unnötigen Auf- wand verursachen oder zu Problemen nach der Archivierung der Informationen führen. Informationen, die für längere Zeit klassifiziert bleiben müssen, erfordern zudem zunehmend andere technische Schutzvorkeh- rungen als jene, die nur eine befristete Schutzwürdigkeit haben. Soweit eine Klassifizierung auf Zeit im Voraus nicht möglich ist, wird durch die in Abs. 4 enthaltene Pflicht, die Notwendigkeit der Klassifizierungen periodisch zu überprüfen, sichergestellt, dass Informationen nicht unnötig klassifiziert bleiben.
Art. 13 Abs. 1: Die verpflichteten Behörden müssen festlegen, wer für die Klassifizierung zuständig ist. In der Bun- desverwaltung wird diese Zuständigkeit heute der Verfasserin oder dem Verfasser eines Dokuments zuge- wiesen, weil sie am Besten den Schutzbedarf der Informationen sowie allfällige Risiken einschätzen können. Die Regelung des Bundesrats soll aber für die anderen Bundesbehörden nicht verbindlich sein. So können diese auch entscheiden, dass die Klassifizierung z.B. durch die Behördenleitung, durch eine zentrale zustän- dige Stelle oder nur durch die Linie erfolgen darf. Der Begriff "klassifizierende Stelle" ist insbesondere für den Entscheid betreffend den Kreis der berechtigten Empfänger, die Entklassifizierung, die Archivierung und die Vernichtung von klassifizierten Informationen wichtig, aber auch für allfällige vorläufige Schutz- massnahmen, die getroffen werden müssen, wenn klassifizierte Informationen gefährdet werden (s. Art. 18). In Abs. 2 wird die Verbindlichkeit der Klassifizierung geregelt. Ist eine Information klassifiziert, wird sie auf ihrem weiteren Weg sozusagen von dieser Klassifizierung begleitet. Wer Zugang zu einer solchen Informati- on erhält, muss die Vorgaben einhalten, die mit der Klassifizierung verbunden sind. Eine Änderung oder Aufhebung der Klassifizierung darf im Grundsatz nur von der Stelle vorgenommen werden, welche die Klas- sifizierung festgelegt hat. Es versteht sich, dass auch hier der Dienstweg, die Dienstaufsicht und die entspre- chenden Weisungsbefugnisse der vorgesetzten Stellen bzw. Aufsichtsbehörden zum Tragen kommen. Letzte- re können Entscheide der klassifizierenden Stelle gegebenenfalls korrigieren.
Art. 14 Zu den Zielen der Klassifizierungsregelung: s. Ziff. 1.2.3.4.
Art. 14 regelt die materiellen Voraussetzungen für die Klassifizierung von Informationen für alle verpflichte- ten Behörden und Organisationen und legt die Klassifizierungsstufen fest. Der vorgeschlagene Text be-
43
Erläuternder Bericht zu einem Bundesgesetz über die Informationssicherheit
schränkt sich auf eher allgemeine Kriterien für die Klassifizierung und nimmt direkten Bezug auf die in Art. 1 Abs. 2 Bst. a-d umschriebenen und zu schützenden öffentlichen Interessen. Der Verweis auf diese Interes- sen ist jedoch eingeschränkt: Der Schutz der öffentlichen Interessen nach Bst. e stellt keinen eigenen Grund zur Klassifizierung dar. Mit dem Schutz dieses Interesses soll nämlich die rechtmässige Bearbeitung von Informationen sichergestellt werden, deren Schutz in anderen Gesetzen vorgesehen oder mit Dritten durch Vertrag vereinbart wird. Personendaten nach dem DSG oder Geschäfts-, Fabrikations- oder Berufsgeheim- nisse werden also grundsätzlich nicht klassifiziert, es sei denn, dass einzelne Informationen zum Schutze eines Interesses nach Art. 1 Abs. 2 Bst. a-d klassifiziert werden müssen. Dasselbe gilt für Informationen, die bei den Gerichten oder Staatsanwaltschaften im Rahmen ihrer ordentlichen Verfahren bearbeitet werden. Die Mehrheit dieser Informationen sind Personendaten, die zwar schützenswert sind, die aber aufgrund des vor- liegenden Gesetzes nicht klassifiziert werden müssen. Hingegen können bzw. sollen die besonderen Mass- nahmen, die zum Schutz solcher Informationen getroffen werden, klassifiziert werden. Werden z.B. beson- ders schützenswerte Personendaten in einem Informationssystem bearbeitet, dann muss das entsprechende Informationssicherheitskonzept klassifiziert werden. Für die Klassifizierungsstufe selbst ist der Grad der Beeinträchtigung massgebend, den eine Kenntnisnahme durch Unberechtigte den Interessen nach Art. 1 Abs. 2 Bst. a-d zufügen kann. Für die Zuweisung zu einer Klassifizierungsstufe ist massgebend, ob die Kenntnisnahme durch Unberechtigte die betroffenen Interessen: beeinträchtigen kann: Klassifizierungsstufe INTERN; erheblich beeinträchtigen kann: Klassifizierungsstufe VERTRAULICH; schwerwiegend beeinträchtigen kann: Klassifizierungsstufe GEHEIM. Diese Qualifizierungen stellen unbestimmte Rechtsbegriffe dar, die unter Berücksichtigung der Risikopolitik noch zu konkretisieren sind. Obschon das Kriterium der Schwere der potenziellen Beeinträchtigung der Inte- ressen nach Art. 1 Abs. 2 Bst. a-d für die Klassifizierung massgebend ist, genügt es alleine nicht. Es muss auch eine vernünftige kausale Verbindung zwischen der unberechtigten Kenntnisnahme der Information und dieser potenziellen Beeinträchtigung der geschützten Interessen geben. Erforderlich ist somit, dass auch die Eintrittswahrscheinlichkeit des Schadens berücksichtigt wird. Die Klassifizierung einer Information ent- spricht also dem Ergebnis einer Risikobeurteilung und soll somit den tatsächlichen Schutzbedarf dieser In- formation wiedergeben. Bei der Beurteilung des Schutzbedarfs von Informationen politischer Natur ist besondere Zurückhaltung erforderlich. Zwar wird der Schutz der freien Meinungs- und Willensbildung der verpflichteten Behörden und Organisationen von Art. 1 Abs. 2 Bst. a (Entscheidungsfähigkeit) erfasst. In einer modernen Demokratie gehört es aber zur normalen Regierungstätigkeit, dass politische Ideen, Vorschläge, Konzepte und Entschei- de in der Öffentlichkeit besprochen und gegebenenfalls (auch heftig) kritisiert werden. Die Klassifizierung darf also nicht dazu dienen, bestimmte Sachverhalte der öffentlichen Debatte zu entziehen, wenn kein über- wiegendes öffentliches Interesse dafür besteht. Der hier aufgeführte Vorschlag mit drei Klassifizierungsstufen entspricht formell der heute geltenden Rege- lung der ISchV. Wie eingangs erwähnt, werden die Grenzwerte für die Klassifizierung in den jeweiligen Stufen aber erhöht (über das Verhältnis zum Öffentlichkeitsprinzip s. Art. 3 Abs. 1). Abs. 1: Eine Klassifizierung als INTERN wird verlangt, wenn eine Bekanntgabe der Information eine Beein- trächtigung der öffentlichen Interessen nach Art. 1 Abs. 2 Bst. a-d zur Folge hat. Als Kriterium zwischen "nicht klassifiziert" und "klassifiziert" gilt somit auch für eine bloss "einfache" Beeinträchtigung der betref- fenden Interessen, dass qualifizierte Anhaltspunkte vorliegen, welche die Klassifizierung als INTERN zu begründen vermögen. So darf der potenzielle Schaden, der durch eine Kenntnisnahme durch Unberechtigte entstehen kann, nicht einfach vernachlässigbar sein: Die Beeinträchtigung der Interessen nach Art. 1 Abs. 2 Bst. a-d muss vielmehr spürbar sein. Wenn es um sicherheitsrelevante Informationen im Sinne von Art. 1 Abs. 2 Bst. b geht, ist der Schwellen- wert für die Klassifizierung als INTERN meistens relativ rasch erreicht. INTERN wird auch am häufigsten für derartige Fälle verwendet. So können einzelne Sicherheitsunterlagen zu IKT-Mitteln oder einfache Ein- satzpläne von Sicherheitskräften in der Regel als INTERN klassifiziert werden. Es ist aber z.B. auch denk- bar, dass das Bekanntwerden eines Zeitplans für die Umsetzung einer konkreten Massnahme bestimmten Personen einen ungerechtfertigten Vorteil verschaffen könnte. Auch wenn damit die Massnahme als solche nicht verhindert würde, würde ihre gesetzeskonforme Umsetzung und somit die Entscheidungs- und Hand- lungsfähigkeit der betroffenen Bundesbehörde zumindest beeinträchtigt. Eine zeitlich befristete Klassifizie- rung des Zeitplans als INTERN wäre in diesem Fall gerechtfertigt.
44
Erläuternder Bericht zu einem Bundesgesetz über die Informationssicherheit
Pauschale Klassifizierungen als INTERN sind grundsätzlich vorschriftswidrig. Die (hypothetische) Praxis einer Organisationseinheit der Bundesverwaltung, wonach alle Besprechungsnotizen und Sitzungsprotokolle von vornherein als INTERN klassifiziert würden, ohne auf den tatsächlichen Schutzbedarf der Informationen einzugehen, widerspräche sowohl dem Geist des BGÖ als auch der Regelung von Abs. 1. Hingegen wäre beispielsweise die Klassifizierung von Sitzungsprotokollen mit operativem Inhalt aus dem Bereich von fed- pol gerechtfertigt. Allerdings können Informationen aus den Arbeiten parlamentarischer Kommissionen in der Regel als INTERN klassifiziert werden. Damit kann Klarheit darüber geschaffen werden, welche Infor- mationen aus der parlamentarischen Arbeit zum Schutz der freien Meinungs- und Willensbildung des Parla- ments nur für einen beschränkten Personenkreis bestimmt sind. Abs. 2: Für die Klassifizierung als VERTRAULICH wird verlangt, dass die Interessen nach Art. 1 Abs. 2 Bst. a-d bei einer unberechtigten Kenntnisnahme "erheblich beeinträchtigt" werden können. Im Vergleich zur heutigen Regelung, wonach bloss ein unqualifizierter "Schaden" verlangt wird (Art. 6 ISchV), stellt die vorgeschlagene Neuregelung eine Erhöhung der Anforderungen zur Klassifizierung dar. Die detaillierte Konkretisierung des Begriffs "erhebliche Beeinträchtigung" muss unter Berücksichtigung der Risikopolitik ebenfalls noch erfolgen. Mit dem gewählten Ausdruck wird jedoch ein deutlicher Schaden ver- langt, z.B.: Die freie Meinungs- und Willensbildung der verpflichteten Behörden wird vorübergehend unrechtmässig erschwert; Eine verpflichtete Organisation wird vorübergehend handlungsunfähig; Die Erfüllung bestimmter Aufgaben einer Behörde oder Organisation wird über längere Zeit erheblich erschwert; Bestimmte Ressourcen der Armee oder der Sicherheitsorgane des Bundes sind vorübergehend einsatzun- fähig; Die Position der Schweiz in Rahmen von internationalen Verhandlungen wird erheblich erschwert; Die Sicherheit von Personen oder Gruppen von Personen wird gefährdet; Dem Bund entsteht ein erheblicher finanzieller Schaden. Abs. 3: Für die Klassifizierung als GEHEIM (höchste Klassifizierungsstufe) wird verlangt, dass die Interes- sen nach Art. 1 Abs. 2 Bst. a-d bei einer unberechtigten Kenntnisnahme "schwerwiegend beeinträchtigt" werden können. Wie bei den Klassifizierungsstufen INTERN und VERTRAULICH muss auch bei dieser Klassifizierungsstufe der Schlüsselbegriff "schwerwiegende Beeinträchtigung" noch konkretisiert werden. Mit der gewählten Formulierung wird jedoch ein besonders grosser Schaden für den Bund verlangt, z.B.: Eine verpflichtete Behörde ist vorübergehend entscheidungs- oder handlungsunfähig oder ihre Entschei- dungs- oder Handlungsfähigkeit ist über längere Zeit besonders ernsthaft erschwert; Die Erfüllung unverzichtbarer Aufgaben einer verpflichteten Organisation wird vorübergehend verhindert oder über längere Zeit ernstlich erschwert; Wesentliche Ressourcen der Armee oder der Sicherheitsorgane des Bundes sind einsatzunfähig; Leib und Leben von Bevölkerungsgruppen werden gefährdet; Das Erbringen unverzichtbarer Dienstleistungen durch kritische Infrastrukturen wird unterbrochen; Besonders sicherheitsempfindliche Funktionen eines Kernkraftwerks werden sabotiert; Der Bund erleidet einen schwerwiegenden finanziellen Schaden.
Art. 15 Abs. 1 umschreibt die Voraussetzungen für den Zugang zu klassifizierten Informationen, der wiederum Vo- raussetzung für das Bearbeiten der entsprechenden Informationen ist. Der Grundsatz "Kenntnis nur wenn nötig" gilt für jede einzelne klassifizierte Information. Es besteht also kein allgemeines Recht, Zugang zu allen klassifizierten Informationen zu haben. Dies trifft auch für Prüf-, Kontroll- oder Aufsichtsorgane zu, die gegebenenfalls zwar ein allgemeines Informationsrecht haben, aber die für jede einzelne klassifizierte Information den Nachweis dafür erbringen müssen, dass sie zur Erfüllung ihres Auftrags tatsächlich von den betreffenden Informationen Kenntnis haben müssen. Bei einem vertraglich vereinbarten Zugangsrecht müs- sen die entsprechenden Verträge den Zugang zu klassifizierten Informationen vorsehen und deren Bearbei- tung regeln. "Gewähr bieten" für einen sachgerechten Umgang setzt voraus, dass die Personen, die klassifi- zierte Informationen bearbeiten sollen, entsprechend ausgebildet worden sind. Ferner müssen sie gegebenen- falls den Nachweis für die Fähigkeit erbringen, die erforderlichen technischen und physischen Sicherheits-
45
Erläuternder Bericht zu einem Bundesgesetz über die Informationssicherheit
massnahmen einhalten zu können. Für als VERTRAULICH oder GEHEIM klassifizierte Informationen kann zudem die Durchführung einer PSP (s. Art. 32 ff.) eine weitere Bearbeitungsvoraussetzung darstellen. Abs. 2: Die Mehrheit der Länder und internationalen Organisationen, mit welchen die Schweiz ein Abkom- men zum Austausch klassifizierter Informationen abgeschlossen hat, verlangt, dass ihre klassifizierten In- formationen ausschliesslich von Personen mit ihrem Bürgerrecht oder mit Schweizer Bürgerrecht bearbeitet werden (sogenannte "Drittstaatenausschluss-Klausel"). Derartige Informationen dürfen also Personen ande- rer Nationalität grundsätzlich nicht zugänglich gemacht werden. Vorbehalten bleibt eine vorgängige Bewilli- gung der Verfasserin bzw. des Verfassers der klassifizierten Informationen.
Art. 16 Abs. 1: Klassifizierte Informationen müssen so bearbeitet werden, dass sie vor unberechtigter Kenntnisnah- me geschützt werden. Dieser Schutz muss während der ganzen Dauer der Schutzwürdigkeit der betreffenden Informationen gewährleistet werden. Informationen, die klassifiziert sind, werden nicht archiviert, solange sie nach den Bestimmungen des ISG noch schutzwürdig sind. Gemäss Abs. 2 müssen klassifizierte Informationen einen Hinweis auf die klassifizierende Stelle enthalten. Dieser Hinweis ist insbesondere für die Entklassifizierung, die Archivierung und die Vernichtung von klassi- fizierten Informationen wichtig, aber auch für allfällige vorläufige Schutzmassnahmen, die getroffen werden müssen, wenn klassifizierte Informationen gefährdet sind (s. Art. 18). Abs. 3: Sofern die Schweiz mit einem bestimmten Land oder einer bestimmten internationalen Organisation ein Abkommen zum Austausch von klassifizierten Informationen abgeschlossen hat, wird die Bearbeitung der Informationen, die unter den Geltungsbereich dieses Abkommens fallen, nach den besonderen Vorschrif- ten dieses Vertrags geregelt. Liegt kein solcher Vertrag vor, richtet sich die Bearbeitung klassifizierter In- formationen aus dem Ausland nach den Vorschriften des ISG und seiner Ausführungserlasse.
Art. 17
Art. 17 Abs. 1 enthält einen Vorbehalt des Verfahrensrechts der Bundesversammlung sowie desjenigen der Gerichte und der Staatsanwaltschaften. Für die Bekanntgabe klassifizierter Informationen (z.B. im Rahmen der Verwendung derselben als Entscheidgrundlage oder als Beweismittel) soll das jeweilige Verfahrensrecht zur Anwendung kommen. Die Verfahrensgesetze des Bundes enthalten selbst Regelungen darüber, wie weit solche Informationen den Verfahrensbeteiligten zur Einsicht freigegeben werden bzw. wie weit sie im Rah- men öffentlicher Verfahren bekannt werden dürfen oder wie weit Zeugen die Aussage unter Hinweis auf gesetzliche Geheimhaltungspflichten verweigern können (s. etwa Art. 47, 150, 153 und 154 ParlG, Art. 56 Abs. 2 und 59 Abs. 2 BGG, Art. 16 Abs. 2, 18 Abs. 2, 27 und 28 VwVG, Art. 40 Abs. 3 VGG oder Art. 70, 170, 173 Abs. 2 und 194 Abs. 2 StPO sowie Art. 45, 48 Abs. 2, 77 MStP; s. auch Art. 58 der Verordnung vom 24. Oktober 1979 über die Militärstrafrechtspflege (SR 322.2)). Gemäss Abs. 2 kann allerdings vor dem Entscheid über eine Bekanntgabe klassifizierter Informationen der klassifizierenden Stelle Gelegenheit gegeben werden, sich zu den Klassifizierungsgründen zu äussern und zu den allfälligen Auswirkungen einer Bekanntgabe angehört zu werden. Das zuständige Organ bzw. Gericht entscheidet dann unter Würdigung der Umstände über das weitere Vorgehen.
Art. 18 Die hier formulierten Pflichten entsprechen inhaltlich den heute geltenden Artikeln 15 und 16 ISchV. Sofern die klassifizierende Stelle aus der Information nicht ersichtlich ist, hat die Meldung an die zuständige Auf- sichtsbehörde zu ergehen, welche im Rahmen ihres pflichtgemässen Ermessens das weitere Vorgehen be- stimmen muss.
Art. 19 Abs. 1 verlangt vorweg von den verpflichteten Behörden (und nicht von den Organisationen), dass sie ein Verfahren zur laufenden Umsetzung und Verbesserung der Informationssicherheit beim Einsatz von IKT- Mitteln festlegen. Das Verfahren muss die sicherheitsmässigen Aufgaben, Kompetenzen und Verantwortun- gen derjenigen Stellen festhalten, die den Einsatz von IKT-Mittel planen und beschliessen sowie IKT-Mittel entwickeln, betreiben, verwalten, ändern, warten, überprüfen und schliesslich ausser Betrieb setzen. Das Verfahren schliesst insbesondere die materiellen Regelungen von Art. 20-26 ein. Alle Bundesbehörden verwenden bereits heute ein solches Verfahren. Diese Verfahren müssen aber systema- tisiert und wo nötig ergänzt werden. Die wichtigsten Verfahrensetappen müssen vereinheitlicht werden. Oft wird zudem die Durchführung des Verfahrens nicht oder nur teilweise überprüft. Nur sehr selten werden die umgesetzten Massnahmen auf deren Wirksamkeit überprüft.
46
Erläuternder Bericht zu einem Bundesgesetz über die Informationssicherheit
Gemäss Abs. 2 obliegt die Zuständigkeit für die Durchführung des Sicherheitsverfahrens derjenigen Behörde oder Organisation, die den Einsatz von IKT-Mitteln in Auftrag gibt (Leistungsbezüger). Der Leistungsbezü- ger ist nämlich für die Geschäftsprozesse sowie für die Umsetzung der Sicherheitsanforderungen verantwort- lich. Er muss deshalb seine Geschäfts- und Sicherheitsanforderungen derjenigen Stelle, welche die IKT- Mittel betreibt (Leistungserbringer), klar kommunizieren. In Abs. 3 wird der Grundsatz festgelegt, dass das Sicherheitsverfahren (oder mindestens die betreffenden Verfahrensschritte) bei einer Veränderung der Risiken wiederholt werden muss. Informationssicherheit ist ein Zustand, der sich kontinuierlich und dynamisch verändert. Die verpflichteten Behörden müssen deshalb die periodische oder risikobasierte Überprüfung des Sicherheitszustands und die Wiederholung des Verfah- rens festlegen.
Art. 20 Die Schutzbedarfsanalyse nach Abs. 1 stellt den ersten Schritt im Sicherheitsverfahren dar. Eine Stelle, wel- che die Entwicklung, die Beschaffung oder die Änderung eines IKT-Mittels durchführt oder in Auftrag gibt, will dieses IKT-Mittel für bestimmte Zwecke und für eine festgelegte Lebensdauer einsetzen. Dieser erste Schritt in Bezug auf die Umsetzung der Informationssicherheit besteht darin, bei der Bestimmung des Ein- satzzwecks des IKT-Mittels die Geschäftsprozesse zu bestimmen, die mit dem einzusetzenden IKT-Mittel unterstützt werden sollen, sowie die Informationen zu identifizieren, die damit bearbeitet werden sollen. Zu diesem Zeitpunkt - also in der Planungsphase – muss der Leistungsbezüger den Schutzbedarf der Informati- onen gemäss Art. 4 Abs. 1 erheben sowie die potenziellen Auswirkungen einer Störung oder eines Miss- brauchs des einzusetzenden IKT-Mittels auf die Interessen nach Art. 1 Abs. 2 beurteilen. Bei der Beurteilung des Schutzbedarfs muss auch berücksichtigt werden, dass IKT-Mittel meistens in einer bestimmten techni- schen und/oder logischen Umgebung (sog. Architektur) vernetzt und betrieben werden. Die frühzeitige Iden- tifizierung von Vernetzungen und Abhängigkeiten hilft auch, die Sicherheitsmassnahmen dort umzusetzen, wo sie am wirksamsten sind. Heutzutage wird z.T. entweder keine Beurteilung des Schutzbedarfs vorgenommen oder sie wird erst dann eingeleitet, wenn das IKT-Mittel bereits in Betrieb ist. Die nachträgliche Umsetzung von Sicherheitsmass- nahmen ist in der Regel aber viel schwieriger zu bewerkstelligen und hat massiv höhere Kosten zur Folge. Aus der Schutzbedarfsanalyse ergeben sich die Anforderungen an den Schutz der Vertraulichkeit, Verfüg- barkeit, Integrität und Nachvollziehbarkeit der Informationen sowie an die Verfügbarkeit und die Integrität des IKT-Mittels. Die Schutzbedarfsanalyse ist auch massgebend für die Sicherheitseinstufung des IKT- Mittels nach Art. 21. In Abs. 2 wird der Fall einer Behörde oder Organisation geregelt, die eine neue Technologie (Hard- oder Software) - also nicht nur ein neues IKT-Mittel - einsetzen will. Hier soll die betroffene Behörde oder Orga- nisation die Risiken beurteilen, die mit dem Einsatz dieser neuen Technologie verbunden sind, bevor sie sie einsetzt. Es wird ferner verlangt, dass die Behörde oder Organisation ihre Risikobeurteilung der Fachstelle des Bundes für Informationssicherheit mitteilt. Mit der Orientierung der Fachstelle soll sichergestellt werden, dass neue Technologien möglichst nur einmal beurteilt werden und dass alle verpflichteten Behörden und Organisationen davon entsprechenden Nutzen ziehen können. Das Vorlegen der Risikobeurteilungen soll auch dazu dienen, die Konformität der neuen Technologien zu den bestehenden, auch strategischen, Grund- lagen zu prüfen. Die verpflichteten Behörden haben gemäss Art. 86 Abs. 1 Bst. d die Möglichkeit, die Fachstelle des Bundes zu beauftragen, diese Risikobeurteilung durchzuführen.
Art. 21
Art. 21 systematisiert und vereinheitlicht die Sicherheitseinstufung von IKT-Mitteln für alle verpflichteten Behörden und Organisationen. Die geltenden Vorschriften der Bundesverwaltung sehen nur zwei Stufen vor: einen generellen Schutzbedarf und einen erhöhten Schutzbedarf. Das neue Einstufungsmodell mit drei Stufen orientiert sich am Standard des Deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI). Die Sicherheitseinstufung ist in erster Linie eine Massnahme zur Identifizierung der Kritikalität eines be- stimmten IKT-Mittels in Bezug auf die öffentlichen Interessen nach Art. 1 Abs. 2. Die Zuweisung zu einer Sicherheitsstufe gibt auch vor, welche Sicherheitsanforderungen gelten und wie die Schutzmassnahmen de- finiert werden müssen (s. Art. 22-24). Der Bundesrat soll für jede Sicherheitsstufe in Bezug auf den Schutz der Vertraulichkeit, Integrität, Verfügbarkeit und Nachvollziehbarkeit standardisierte Sicherheitsanforderun- gen und -massnahmen festlegen (s. Art. 88). Die Standardisierung der Sicherheitsanforderungen und -massnahmen ist für einen effizienten und sicheren behördenübergreifenden Informationsaustausch zwin- gend notwendig. Sie hat wichtige Vorteile: Vorab werden den Entwicklungs- und Beschaffungsstellen von
47
Erläuternder Bericht zu einem Bundesgesetz über die Informationssicherheit
IKT-Mitteln klare zu erfüllende Sicherheitsanforderungen vorgelegt, welche ihnen bei der Implementierung der Sicherheit in die IKT-Mittel helfen werden. Sodann werden die Kosten der Sicherheit transparenter und einfacher berechenbar und planbar (Sicherheitskosten sind Projektkosten). Abs. 1: Die Sicherheitsstufe «Grundschutz» gilt für alle IKT-Mittel, die keine besonderen hohen Anforde- rungen an den Schutz der Informationen aufweisen (s. auch Art. 22). Personendaten, INTERN klassifizierte Informationen sowie weitere Informationen, die zwar in Bezug auf ihre Vertraulichkeit geschützt werden müssen, aber nicht einen hohen Schutz benötigen, werden mit so eingestuften Mitteln bearbeitet. Abs. 2: Für IKT-Mittel der Sicherheitsstufe «hoher Schutz» gelten - neben den Anforderungen des Grund- schutzes - besondere Sicherheitsanforderungen und -massnahmen, z.B. das Erfordernis der Erstellung eines Informationssicherheitskonzepts sowie die Durchführung einer PSP bei Personen, die solche Mittel betrei- ben, verwalten, warten oder überprüfen sollen. Bst. a: IKT-Mittel gehören in diese Sicherheitsstufe, wenn die Informationen, die damit bearbeitet werden sollen, hohe Anforderungen an die Vertraulichkeit, Verfügbarkeit, Integrität oder Nachvollziehbarkeit vorweisen. Die jeweiligen Anforderungen werden hinsichtlich einer potenziellen erheblichen Beeinträch- tigung der Interessen nach Art. 1 Abs. 2 beurteilt, die durch die Verletzung eines der vier genannten Schutzkriterien verursacht werden kann. Bei als VERTRAULICH klassifizierten Informationen ist die potenzielle Beeinträchtigung bereits in der Definition der Klassifizierungsstufe enthalten (erhebliche Be- einträchtigung). Die IKT-Mittel, mit welchen als VERTRAULICH klassifizierten Informationen bearbei- tet werden sollen, gehören somit in die Stufe «hoher Schutz». Dies trifft auch für IKT-Mittel zu, die für die Bearbeitung von besonders schützenswerten Personendaten oder von Geschäfts- oder Fabrikationsge- heimnissen benützt werden sollen, sofern der potenzielle Schaden bei einer Verletzung der Vertraulich- keit dieser Informationen erheblich ist. Bst. b: Wenn mit einem IKT-Mittel Geschäftsprozesse unterstützt werden, deren Ausfall zu einer erhebli- chen Beeinträchtigung der Handlungsfähigkeit einer Behörde führen kann, dann ist das IKT-Mittel eben- falls dieser Sicherheitsstufe zuzuweisen. Bst. b ist aber eigentlich bereits in Bst. a enthalten, denn IKT dienen ausschliesslich zur Bearbeitung von Informationen und haben keinen Selbstzweck. Die Störung und der Missbrauch der Funktionsfähigkeit des IKT-Mittels selbst werden aber als Einstufungsgrund in das Gesetz aufgenommen, weil diese Regelung für viele Nicht-Spezialisten wesentlich verständlicher ist. Abs. 3: IKT-Mittel gehören in die Stufe «sehr hoher Schutz», wenn die Informationen, die damit bearbeitet werden sollen, sehr hohe Anforderungen an die Vertraulichkeit, Verfügbarkeit, Integrität oder Nachvollzieh- barkeit aufweisen. Der Aufbau dieser Bestimmung ist identisch mit Abs. 2, wobei der potenzielle Schaden schwerwiegend sein muss. Es geht hier zum Beispiel um IKT-Mittel, mit welchen als GEHEIM klassifizierte Informationen bearbeitet werden, oder solche, deren Ausfall den Interessen nach Art. 1 Abs. 2 schwerwie- genden Schaden zufügen kann.
Art. 22 Abs. 1: Die Praxis hat gezeigt, dass mit einer Anzahl bestimmter und vordefinierter Anforderungen und Massnahmen die Risiken für eine Mehrheit der IKT-Mittel auf ein tragbares Mass reduziert werden können. Die Gesamtheit aller solchen Anforderungen und Massnahmen bildet den Grundschutz. Der Vorteil eines definierten und standardisierten Grundschutzes besteht darin, dass die Behörden und Organisationen für IKT-Mittel dieser Stufe keine detaillierten und aufwändigen Risikobeurteilungen durchführen müssen. Die verpflichteten Behörden müssen festlegen, welches minimale Sicherheitsniveau sie für alle ihre IKT-Mittel verlangen wollen. Die Festlegung eines Grundschutzes ist keine technische Angelegenheit, die von Fachex- perten beschlossen werden soll. Sie ist eine Führungsaufgabe, welche das Abwägen von Sicherheitszielen und Kosten voraussetzt. Je nach Stärke des Grundschutzes können nämlich die umzusetzenden organisatori- schen, personellen, technischen und physischen Massnahmen teurer oder weniger teuer ausfallen. Abs. 2 legt den Grundsatz fest, dass alle IKT-Mittel, unabhängig von der ihnen zugewiesenen Sicherheitsstu- fe, die Anforderungen des Grundschutzes erfüllen müssen. Der Grundschutz wird somit auch als Fundament definiert, auf welches IKT-Mittel der Sicherheitsstufen «hoher Schutz» und «sehr hoher Schutz» aufbauen müssen. Die Massnahmen des Grundschutzes müssen somit auch relativ flexibel und modular ausgestaltet werden. Sind bestimmte Massnahmen bei einem besonderen IKT-Mittel nicht umsetzbar, so müssen andere Massnahmen zur Anwendung kommen, die einen gleichwertigen Schutz ermöglichen.
Art. 23 Abs. 1: Für IKT-Mittel der Sicherheitsstufen «hoher Schutz» und «sehr hoher Schutz» genügen die Anforde- rungen und Massnahmen des Grundschutzes nicht. Für solche Mittel wird zuerst die Durchführung einer objektbezogenen Risikoanalyse verlangt. Das Schwergewicht liegt dabei auf dem Schutz derjenigen Krite-
48
Erläuternder Bericht zu einem Bundesgesetz über die Informationssicherheit
rien, welche erhöhte Schutzanforderungen haben. Wenn ein IKT-Mittel aufgrund erhöhter Anforderungen an die Verfügbarkeit in die Stufe «hoher Schutz» eingestuft wird, es aber gleichzeitig keine erhöhten Anforde- rungen an den Schutz der Vertraulichkeit aufweist, dann müssen in erster Linie die Risiken für die Verfüg- barkeit beurteilt werden. Nach der Risikoanalyse muss ein Informationssicherheitskonzept erstellt werden. Die Verantwortung dafür liegt beim Leistungsbezüger, wobei eine enge Zusammenarbeit mit dem Leistungs- erbringer erforderlich ist. Die Umsetzung der technischen Massnahmen liegt nämlich grundsätzlich im Zu- ständigkeitsbereich derjenigen Stelle, die das IKT-Mittel betreiben wird und deswegen über das technische Know-how verfügt. Abs. 2 legt die Zuständigkeiten für die Prüfung und Genehmigung des Informationssicherheitskonzeptes fest. Um sicherzustellen, dass das Informationssicherheitskonzept durch ausgewiesenes fachkundiges Personal geprüft wird, verlangt das Gesetz, dass diese Prüfung von der oder dem Informationssicherheitsbeauftragten (Art. 84) vorgenommen wird. Es geht dabei darum, zu prüfen, ob das Konzept die formellen, rechtlichen und geschäftlichen Anforderungen erfüllt, so dass es den tatsächlichen Stand der Informationssicherheit be- schreibt und die zu tragenden Restrisiken ausführlich ausweist. Idealerweise sollte die oder der Informations- sicherheitsbeauftragte die Erstellung des Informationssicherheitskonzepts begleiten, um allfällige Probleme frühzeitig zu erkennen und gezielt zu lösen. Anschliessend muss das Informationssicherheitskonzept durch die Behörde oder Organisation selbst genehmigt werden. Diese Genehmigung geschieht bereits in der Pla- nungs- oder Konzeptphase, also noch bevor das IKT-Vorhaben sich in der Realisierungsphase befindet. Da- mit soll sichergestellt werden, dass die Geschäftsleitung frühzeitig ihre Verantwortung in Bezug auf die In- formationssicherheit wahrnimmt. Sie soll nicht erst dann entscheiden müssen, wenn das IKT-Mittel kurz vor der Inbetriebnahme steht (s. Art. 25), und bereits wesentliche finanzielle Mittel eingesetzt worden sind. Abs. 3: Das Informationssicherheitskonzept ist nicht ein Dokument, das bloss einmal - bei der Planung des Einsatzes eines IKT-Mittels - erstellt werden muss und dann in unveränderter Form bestehen bleibt. Die ge- planten Massnahmen sind oft nicht identisch mit den tatsächlich umgesetzten Massnahmen. Deshalb muss das Informationssicherheitskonzept laufend aktualisiert werden, um den aktuellen Stand der Sicherheit zu beschreiben. Auch bei Veränderungen der Risiken muss es entsprechend angepasst werden.
Art. 24 Abs. 1 verlangt für alle IKT-Mittel, die sicherheitsmässig zur Inbetriebnahme freigegeben werden sollen, einen Beleg dafür, dass das Sicherheitsverfahren rechtmässig durchgeführt wurde und dass die Massnahmen des Grundschutzes oder gegebenenfalls des Informationssicherheitskonzepts umgesetzt worden sind. Wer diese Prüfung durchführen muss, müssen die verpflichteten Behörden festlegen. Abs. 2: Für IKT-Mittel der Sicherheitsstufe «sehr hoher Schutz» wird zusätzlich verlangt, dass die Wirksam- keit der umgesetzten Massnahmen geprüft wird. Bei dieser Wirksamkeitsprüfung werden tatsächliche An- griffe gegen das IKT-Mittel ausgeführt, um allfällige Sicherheitslücken und ausnutzbare Schwachstellen zu identifizieren und vor der Inbetriebnahme zu korrigieren (z.B. mittels Penetration Tests). Die Wirksamkeits- prüfung wird nur für IKT-Mittel der Stufe «sehr hoher Schutz» verlangt, weil sie mit einem nicht unerhebli- chen finanziellen Aufwand verbunden ist (0.5 bis 2% der gesamten Investitionskosten).
Art. 25 Abs. 1: Die Geschäftsleitung der leistungsbeziehenden Behörde oder Organisation trägt die Verantwortung für die Informationssicherheit. Es wird deshalb verlangt, dass die Behörden- oder Organisationsleitung ihre IKT-Mittel selbst sicherheitsmässig zum Einsatz freigibt. Abs. 2: Die Sicherheitsfreigabe bedeutet, dass die Behörde oder Organisation die identifizierten Restrisiken kennt und auch bereit ist, diese zu tragen. Ist sie der Meinung, die Restrisiken seien noch zu hoch, kann sie die Freigabe verweigern und die Umsetzung ergänzender risikomindernder Massnahmen verlangen.
Art. 26 Für eine wirksame Bewirtschaftung der Risiken ist es erforderlich, die Übersicht über alle eingesetzten IKT- Mittel zu wahren. Die verpflichteten Behörden und Organisationen müssen deshalb die IKT-Mittel, die sie einsetzen, in einem Inventar oder einem Portfolio erfassen. Alle IKT-Mittel müssen einer zuständigen Person oder Stelle zugerechnet werden können. Das Inventar soll unter anderem die Sicherheitseinstufung der IKT-Mittel, den Namen der zuständigen Per- son oder Stelle, die Sicherheitsunterlagen sowie auch alle erforderlichen Systeminformationen enthalten, die für die Wiederherstellung des Betriebs im Falle einer Störung oder eines Ausfalls des IKT-Mittels erforder- lich sind.
49
Erläuternder Bericht zu einem Bundesgesetz über die Informationssicherheit
Art. 27 Behörden, Organisationen oder Dritte, die im Auftrag der verpflichteten Behörden und Organisationen IKT- Mittel betreiben, sind für die Aufrechterhaltung der Informationssicherheit beim Betrieb derselben verant- wortlich. Die internen Leistungserbringer fallen alle unter den Anwendungsbereich dieses Gesetzes und müssen deshalb für ihre Tätigkeiten auch die Art. 19-26 anwenden. Externe Leistungserbringer dagegen gelten als Dritte im Sinne von Art. 8 und müssen vertraglich verpflichtet werden, die Massnahmen dieses Gesetzes einzuhalten. Die verpflichteten Behörden und Organisation, die den Betrieb von IKT-Mitteln in Auftrag geben, müssen ihre IKT-Mittel-bezogenen Anforderungen mit dem Leistungserbringer vereinbaren. Beim Betrieb muss der Leistungserbringer in Bezug auf die Informationssicherheit folgende Fähigkeiten und Aktivitäten sicherstellen: Netzwerkmanagement, z.B.: Rollen und Verantwortlichkeiten; Netzwerkdesign; Security-Audits; Trafficmanagement, z.B.: Konfiguration von Netzwerkdevices; Regelungen für Managementzugriffe, Verschlüsselung und Authentifizierung; Firewalls; externe Zugriffe; Zugriffe via Wireless Technologien; Netzwerkbetrieb, z.B.: detaillierte Leistungsbeschreibungen und Einhaltung der SLA; Monitoring (inkl. Netzwerküberwachung); Release-, Change-, Life-Cycle-Management; Incident- und Security- Management; Capacity- und Ressource-Management; Desaster- und Recovery-Management; Audit-Berichterstattung an die Leistungsbezüger.
Art. 28 Personen, die mit Informationen oder IKT-Mitteln des Bundes umgehen sollen, müssen bestimmte Anforde- rungen erfüllen. Es liegt in der Verantwortung des Arbeit- bzw. des Auftraggebers, dafür zu sorgen, dass die Arbeit- bzw. Auftragnehmer diese Anforderungen erfüllen. Bst. a: Bei der Auswahl der anzustellenden oder zu beauftragenden Personen müssen die Auswahlkrite- rien der Schutzwürdigkeit der Informationen oder der Kritikalität der IKT-Mittel entsprechen. Die Ar- beitgeber sind für ihre Personalentscheide verantwortlich. Die Unterstellung einer Person unter die PSP entbindet sie nicht von dieser Verantwortung. Bst. b: Die verpflichteten Behörden und Organisationen müssen ihre Angestellten und Auftragnehmer ausreichend ausbilden. Im Bereich der Informationssicherheit genügt eine einmalige Ausbildung nicht. Die Arbeit- und Auftragnehmer müssen regelmässig geschult und sensibilisiert werden. Besondere Auf- merksamkeit ist der Schulung der Vorgesetzten zu schenken. Bst. c: Sofern die Angestellten oder die Auftragnehmer mit Informationen umgehen sollen, die erhöhte Anforderungen an den Schutz der Vertraulichkeit aufweisen, müssen sie zur Geheimhaltung verpflichtet werden. Angestellte des Bundes, die dem BPG unterstellt sind, müssen aufgrund von Art. 22 BPG das Amtsgeheimnis wahren. Bei Dritten, die für den Bund Aufträge ausführen sollen, muss die Geheimhal- tungspflicht schriftlich im Vertrag festgehalten werden und bei ihrer Nichteinhaltung mit klaren Folgen verbunden sein.
Art. 29 Wer für eine Bundesbehörde arbeitet oder einen Auftrag ausführt, braucht zur Aufgabenerfüllung unter Um- ständen einen Zugang zu bestimmten Informationen, IKT-Mitteln oder Räumlichkeiten. Abs. 1 stellt einen zentralen Grundsatz der Informationssicherheit auf. Die Arbeit- und Auftragnehmer sollen nur diejenigen Berechtigungen erhalten, die sie zur Erfüllung ihrer Aufgaben tatsächlich benötigen. Das Risiko eines Miss- brauchs kann wesentlich reduziert werden, wenn eine Person nicht ohne Grund Informationen eines anderen Bereichs bearbeiten kann. Abs. 2 verlangt die laufende Verwaltung dieser Berechtigungen. Es kommt vor, dass ehemalige Angestellte oder Auftragnehmer nach Beendigung des Arbeitsverhältnisses, des Vertrags oder einer besonderen Aufgabe nicht aufgefordert werden, ihren Schlüssel oder ihren Badge zurückzugeben, oder dass ihr Benutzerkonto nicht gesperrt wird. Solche "ungültige" Berechtigungen können in der Folge benutzt werden, um gegen die Interessen des Arbeit- oder Auftraggebers zu handeln. Wenn eine Anstellung, ein Vertrag oder eine Aufgabe beendet ist, müssen die entsprechenden Berechtigungen entzogen werden. Besteht Grund zur Annahme, dass eine Gefährdung der Informationssicherheit vorliegt, müssen die Berechtigungen sofort gesperrt oder entzo- gen werden. Beide Massnahmen sollen dazu beitragen, das Risiko einer Innentat zu reduzieren. Abs. 3 verlangt einen geeigneten Prozess zur regelmässigen Überprüfung der Berechtigungen.
50
Erläuternder Bericht zu einem Bundesgesetz über die Informationssicherheit
Art. 30 Bei den physischen Schutzmassnahmen geht es darum, die Risiken durch physische Bedrohungen zu redu- zieren. Zu diesen Risiken gehören unter anderem menschliche Handlungen wie z.B. Spionage, Diebstahl, Vandalismus oder Sabotage. Dazu gehören aber auch Elementarschäden durch Hitze, Feuer, Wasser, Staub, Vibrationen, usw. Für die Beurteilung der Massnahmen des physischen Schutzes, den sogenannten Objekt- schutz, ist fedpol in Zusammenarbeit mit dem BBL zuständig. Für Teile des VBS und die Armee ist die IOS in Zusammenarbeit mit der armasuisse oder dem BBL zuständig. Abs. 1 legt den Grundsatz fest, dass die verpflichteten Behörden und Organisationen den physischen Schutz ihrer Informationen und IKT-Mittel in ihren Räumlichkeiten gewährleisten müssen. Zu verhindern ist insbe- sondere der unberechtigte Zugang zu den Informationen oder IKT-Mitteln etwa durch Zugangskontrollen, Videokameras, Schliesssysteme, Sicherheitsräume und -behältnisse, Akten- und Datenträgervernichtungsge- räte, Sichtschutz, usw. Gegen Elementarschäden werden z.B. Brandmeldeanlagen und automatische Lösch- anlagen eingesetzt. Abs. 2 regelt den Fall von Informationen oder IKT-Mitteln, die öffentlich zugänglich sind. Es handelt sich dabei einerseits um Informationen und IKT-Mittel, die von ihrem üblichen Standort (Büro) mitgenommen werden und die anschliessend - ausserhalb des üblichen Sicherheitsperimeters - angemessen geschützt wer- den müssen. Es handelt sich aber auch um Informationen und Einrichtungen, Verkabelungen und Versor- gungsleitungen, die nicht unter der ständigen Kontrolle der Behörde oder Organisation stehen. Besondere Aufmerksamkeit muss z.B. Zugangspunkten wie Anlieferungs- und Ladezonen geschenkt werden.
Art. 31 Der Begriff "Sicherheitszone" wird im ISG für Räumlichkeiten und Bereiche verwendet, in welchen häufig klassifizierte Informationen der Stufe VERTRAULICH oder GEHEIM bearbeitet oder IKT-Mittel der Si- cherheitsstufe «hoher Schutz» oder «sehr hoher Schutz» betrieben werden und die zu diesem Zweck beson- ders geschützt werden. Die Ausscheidung dieser Räume bzw. Bereiche als Sicherheitszone stellt eine physi- sche Massnahme der Informationssicherheit dar, die bereits heute beim Bund teilweise ergriffen wird, insbe- sondere zum Schutz von Serverräumen oder von bestimmten Führungsräumen. Eine Sicherheitszone muss vordefiniert werden, identifizierbar sein und entsprechend geschützt werden. Die Ausführungsbestimmungen des Bundesrats werden voraussichtlich zwei Arten von Sicherheitszonen definieren, je nach Kritikalität der Informationen oder IKT-Mittel. Die Massnahmen in den Sicherheitszonen der jeweiligen Stufen werden risikogerecht auszugestalten sein. Der Bundesrat und die für den Objektschutz zuständigen Bundesstellen (fedpol, BBL, IOS und armasuisse), werden in Zusammenarbeit mit der Fachstelle des Bundes für Informati- onssicherheit Standardmassnahmen für die Sicherheitszonen festlegen (s. Art. 88). In Abs. 1 werden zunächst die Voraussetzungen für die Bezeichnung einer Sicherheitszone nach dem ISG festlegt: Im zu bezeichnenden Bereich müssen häufig als VERTRAULICH oder GEHEIM klassifizierte In- formationen bearbeitet oder IKT-Mittel der Sicherheitsstufe «hoher Schutz» oder «sehr hoher Schutz» be- trieben werden. Im Gegensatz zur Gesetzgebung anderer Länder oder internationaler Organisationen (s. auch Abs. 5) besteht für die verpflichteten Behörden und Organisationen nach ISG aber keine Pflicht, solche Be- reiche als Sicherheitszone zu bezeichnen. Über ihre tatsächliche Einrichtung entscheidet die Risikobeurtei- lung. Abs. 2 legt fest, dass nur identifizierte und berechtigte Personen Zugang zu einer Sicherheitszone erhalten dürfen. Der Zugang muss also für die Erfüllung einer bestimmten Aufgabe erforderlich sein. Dies setzt ent- sprechende Zutrittskontrollen und die Protokollierung der Zutritte voraus. Abs. 3 regelt die besonderen Befugnisse der Behörde oder Organisation, die eine Sicherheitszone einrichtet: Bst. a: Für die Zutrittskontrolle darf die Behörde oder Organisation biometrische Identifikationsmethoden (z.B. Fingerabdruck oder Iris-Scan) verwenden. Diese Identifikationsmethoden sind wesentlich zuverläs- siger als die Identifikation mit einem normalen Ausweis. Sie kommen heute in gewissen Bereichen be- reits zum Einsatz. Bst. b: Die Mitnahme bestimmter Gegenstände in eine Sicherheitszone kann eingeschränkt werden. Die Mitnahme von Bild- oder Tonaufnahmegeräten (inkl. Smartphones oder Notebooks mit entsprechenden Funktionen) ist in der Regel nur mit besonderer Bewilligung erlaubt. Bst. c: Bereiche der Sicherheitszone, die für die Informationssicherheit besonders wichtig sind (z.B. die Zutrittszone zu einem besonderen Serverraum, der Administratorarbeitsplatz oder der Archivraum mit als GEHEIM klassifizierten Informationen), können mittels Videoaufnahmegeräten überwacht werden.
51
Erläuternder Bericht zu einem Bundesgesetz über die Informationssicherheit
Bst. d: Beim Ein- oder Ausgang kann die Behörde oder Organisation Taschen- oder Personenkontrollen durchführen lassen. Damit soll verhindert werden, dass Personen ohne Bewilligung Geräte in die Sicher- heitszone mitnehmen (s. Bst. b) oder Informationen (z.B. mit einem USB-Memorystick) entwenden. Bst. e: Zur Durchsetzung der Informationssicherheitsvorschriften sollen auch in einer Sicherheitszone Bürokontrollen möglich sein. Bei den Bürokontrollen wird unter anderem die Einhaltung der sogenannten "Clean Desk Policy" überprüft (es dürfen keine schutzwürdigen Informationen auf dem Schreibtisch oder anderswo herumliegen, der PC muss gesperrt oder ausgeschaltet sein, Datenträger müssen unter Ver- schluss gehalten werden, die Schubladen müssen geschlossen sein, der Abfallkorb darf keine klassifizier- ten Informationen enthalten, usw.). Die Kontrolle darf auch in Abwesenheit der betroffenen Personen, z.B. während der Nacht, stattfinden. Gemäss Abs. 4 soll die Behörde oder Organisation in bestimmten Sicherheitszonen die Möglichkeit haben, eine störende Fernmeldeanlage nach Artikel 34 Absatz 1ter des Fernmeldegesetzes vom 30. April 1997 (FMG; SR SR 784.10) zu betreiben, wenn dies erforderlich ist. Der tatsächliche Bedarf sowie die Bedingun- gen für den Betrieb einer solchen Störanlage werden nach dem FMG beurteilt. In Abs. 5 werden Vorschriften für Sicherheitszonen nach völkerrechtlichen Verträgen (Art. 90) sowie die entsprechenden Vorschriften zum Schutz militärischer Anlagen vorbehalten. In beiden Fällen stellt die Ein- richtung einer Sicherheits- bzw. Schutzzone keine Option, sondern eine Pflicht dar (s. z.B. ISA CH-EU). 2.1.3 Personensicherheitsprüfungen
Art. 32 Die Personensicherheitsprüfung (PSP) ist eine vorbeugende Massnahme zum Schutz vor Innentätern. Sie soll das Risiko einer Beeinträchtigung der Interessen nach Art. 1 Abs. 2 identifizieren, das mit der Ausübung einer sicherheitsempfindlichen Tätigkeit durch eine bestimmte Person verbunden ist. Es geht also darum, die Wahrscheinlichkeit einzuschätzen, dass eine bestimmte zu prüfende Person vorsätzlich oder fahrlässig die Interessen nach Art. 1 Abs. 2 beeinträchtigen wird. Dafür werden relevante Daten über die Lebensführung dieser Person erhoben. Gestützt auf diese Daten wird durch dafür ausgebildete Fachspezialisten (Risk Profi- ler) eine Beurteilung des Sicherheitsrisikos vorgenommen. Es versteht sich, dass eine solche Beurteilung nie absolut verlässlich sein kann. Nachdem sie von der Beurteilung des Risikos durch die zuständige Fachstelle PSP Kenntnis genommen hat, entscheidet alleine die verpflichtete Behörde oder Organisation, ob sie ein allfälliges erhöhtes Risiko tragen will, ob sie dieses mit bestimmten Auflagen reduzieren will oder ob sie es durch Nichtanstellung oder Kün- digung vermeiden will. Für das Verständnis der vorgeschlagenen Regelung sind zwei Punkte wesentlich: Die Beurteilung des Sicherheitsrisikos durch die zuständige Fachstelle PSP stellt eine Empfehlung dar. Für den Entscheid über eine allfällige Anstellung bzw. Beauftragung ist einzig die anstellende bzw. Auf- trag gebende Stelle zuständig. Das Risiko wird dementsprechend nie von der für die Beurteilung des Si- cherheitsrisikos zuständigen Fachstelle PSP getragen. Dies trifft sowohl bei einer Risikoerklärung (es be- steht ein Sicherheitsrisiko) als auch bei einer Sicherheitserklärung (es besteht kein Sicherheitsrisiko) zu. Vorgesetzte werden auch dann, wenn der geprüften Person eine Sicherheitserklärung ausgestellt wurde, nicht von ihrer Pflicht entbunden, allfällige erhöhte Risiken in Verbindung mit der geprüften Person zu identifizieren und gegebenenfalls zu bewältigen. Die PSP muss risikogerecht eingesetzt werden. Das vorliegende Gesetz legt klare Voraussetzungen für die Durchführung der Prüfung fest. Dies bedeutet nicht, dass diejenigen Funktionen, die bis anhin zusätz- lich geprüft wurden, weniger wichtig oder keinem erhöhten Risiko ausgesetzt wären. Für diese Funktio- nen und für alle anderen Funktionen, die nicht geprüft werden, wird die Verantwortung für die Beurtei- lung des Sicherheitsrisikos aber einzig und allein der Linie übertragen. Mit der vorgeschlagenen Einfüh- rung eines neuen Art. 20a BPG werden die Arbeitgeber nach Art. 3 BPG hierfür inskünftig über geeigne- te Mittel (Auszüge aus dem Strafregister sowie aus dem Betreibungs- und Konkursregister) verfügen.
Art. 33
Art. 33 regelt in Verbindung mit Art. 34 Abs. 1 die Unterstellung der Angehörigen der verpflichteten Behör- den und Organisationen. Die verpflichteten Behörden (also nicht die Organisationen nach Art. 2 Abs. 2) müssen für ihren Zuständigkeitsbereich eine Liste derjenigen Funktionen erlassen, für deren Aufgabenerfül- lung die Ausübung einer sicherheitsempfindlichen Tätigkeit erforderlich ist und die somit geprüft werden sollen. Für die materiellen Voraussetzungen für den Eintrag einer Funktion in die Funktionsliste wird aber nicht einfach das heutige System übernommen. Wie in Ziff. 1.2.4 erwähnt, wird zwar vom Kriterium der
52
Erläuternder Bericht zu einem Bundesgesetz über die Informationssicherheit
Regelmässigkeit, insbesondere bei der Bearbeitung von klassifizierten Informationen, abgesehen. Entschei- dend für die Unterstellung der Bundesangestellten unter die Personensicherheitsprüfung ist aber die Frage, ob die Inhaberin oder der Inhaber einer bestimmten Funktion für ihre oder seine Aufgabenerfüllung eine sicherheitsempfindliche Tätigkeit ausüben muss. Wenn eine solche Tätigkeit für die funktionsbedingte Auf- gabenerfüllung erforderlich ist, dann - und nur dann - muss die Funktion in die Liste der zu prüfenden Funk- tionen aufgenommen werden. Einige fiktive Beispiele vermögen die Umsetzung des Prinzips zu erläutern: Eine Mitarbeiterin des Bundesamts für Umwelt ist im Rahmen ihrer Aufgaben für die Umweltverträg- lichkeitsprüfung im Zusammenhang mit militärischen Bauten und Anlagen zuständig. Für ihre Aufgaben- erfüllung muss sie klassifizierte Informationen bearbeiten und manchmal Zugang zu militärischen Anla- gen haben. Ihre Funktion muss in die Funktionsliste aufgenommen werden. Ein Mitarbeiter der Eidgenössischen Finanzverwaltung muss ausnahmsweise die Auswirkungen eines als VERTRAULICH klassifizierten Antrags des EJPD an den Bundesrat beurteilen. Für solche Geschäfte sind normalerweise andere Mitarbeitende zuständig, die aber ferien- und krankheitshalber abwesend sind. Diese Aufgabe gehört grundsätzlich nicht zu seiner Funktion, die dementsprechend nicht auf der Liste aufgeführt werden darf. Das Reinigungspersonal einer Behörde hat hin und wieder ungewollten Zugang zu klassifizierten Infor- mationen, wenn es im Rahmen seiner ordentlichen Aufgabenerfüllung die Büros der Bundesangestellten reinigt und letztere die Informationsträger nicht vorschriftsgemäss aufbewahren oder entsorgen. Es gehört aber nicht zum Aufgabenbereich des Reinigungspersonals, klassifizierte Informationen zu bearbeiten. Es darf deshalb nicht in die Liste aufgenommen werden, es sei denn, es sei für die Reinigung innerhalb einer Sicherheitszone zuständig. Das Kriterium der Regelmässigkeit, auch wenn es de facto fast immer erfüllt sein wird, ist de iure irrelevant. Selbst wenn im Pflichtenheft einer Funktion nur 5% des Arbeitspensums für die Erfüllung sicherheitsemp- findlicher Aufgaben vorgesehen sind, soll diese Funktion in die Funktionsliste aufgenommen werden. Dies auch dann, wenn die betroffene Funktionsinhaberin vielleicht während einer längeren Periode gar keine sol- chen Aufgaben erfüllen muss. Die Eventualität der funktionsbedingten Ausübung einer sicherheitsempfindli- chen Tätigkeit ist hingegen kein Grund dafür, eine Funktion in die Funktionsliste aufzunehmen. Die Umsetzung dieses restriktiven Ansatzes setzt voraus, dass die verpflichteten Behörden und Organisatio- nen eine klare Übersicht über die internen und übergreifenden Geschäftsprozesse und Aufgabenbereiche haben, die notwendigerweise mit sicherheitsempfindlichen Tätigkeiten verbunden sind. Sich in diesem Be- reich einen Überblick zu verschaffen und diesen zu behalten, stellt gleichzeitig eine grundsätzliche Mass- nahme im Bereich des Risikomanagements der Informationssicherheit dar. Die Gründe für den Eintrag einer Funktion in die Funktionsliste sollen nachweisbar sein: Die Stellenbeschreibungen (oder Pflichtenhefte) der jeweiligen Funktionen sollen eine genaue Umschreibung der Aufgaben beinhalten, für deren Erfüllung die Ausübung einer sicherheitsempfindlichen Tätigkeit erforderlich ist. Zudem sollen die verpflichteten Behör- den und Organisationen unabhängig von einer allfälligen Unterstellung unter die Personensicherheitsprüfung die erforderlichen organisatorischen und personellen Massnahmen treffen, um den Kreis der Personen, die sicherheitsempfindliche Tätigkeiten ausüben müssen, auf das notwendige Minimum zu beschränken. Mit dem Begriff "erlassen" wird klar gestellt, dass es sich um eine formelle Rechtsetzungsdelegation an die verpflichteten Behörden handelt. Die Funktionslisten werden somit in Verordnungen oder Reglementen zu finden sein. In Bezug auf die Bundesverwaltung soll also grundsätzlich am heutigen System festgehalten werden, wonach der Bundesrat im Anhang zur PSPV diese Funktionen bezeichnet (s. Ziff. 1.2.4). Aufgrund der Zuständigkeitsregelungen gemäss RVOG wird er aber weiterhin die Departemente und die Bundeskanz- lei ermächtigen können, ihre eigenen, detaillierten Listen zu erlassen.
Art. 34 Abs. 1: Art. 34 legt fest, wer geprüft werden muss. Bst. a: Bei Angestellten der verpflichteten Behörden und Organisationen werden nur diejenigen Personen unterstellt, deren Funktion in den Funktionslisten nach Art. 33 enthalten sind. Die Funktionsliste ist also verbindlich. Die Ausnahmen werden in Abs. 3 und 4 geregelt. Bst. b: Für Dritte wird die Prüfung durchgeführt, wenn sie im Rahmen eines Auftrages an der Ausübung einer sicherheitsempfindlichen Tätigkeit beteiligt werden. Bst. c: Die Voraussetzung für die Durchführung der PSP im internationalen Verhältnis werden durch die entsprechenden völkerrechtlichen Verträge geregelt. Grundsätzlich gilt die Regel von Abs. 2.
53
Erläuternder Bericht zu einem Bundesgesetz über die Informationssicherheit
Abs. 2: Der Grundsatz von Abs. 1 Bst. b gilt auch für Personen, die im Auftrag einer ausländischen oder einer internationalen Behörde eine sicherheitsempfindliche Tätigkeit ausüben sollen. Abs. 3 regelt den Fall einer Funktion, welche die Kriterien nach Art. 33 erfüllt aber noch nicht in die ent- sprechende Liste aufgenommen worden ist. In diesem Fall kann die Prüfung durchgeführt werden, sofern die verpflichtete Behörde zustimmt. Die Liste muss danach angepasst werden. Abs. 4: Bei Mitgliedern von Behörden, die vom Volk oder als Magistratspersonen von der Bundesversamm- lung gewählt werden, darf keine vorgängige Personensicherheitsprüfung durchgeführt werden, auch wenn diese Personen oft die sicherheitsempfindlichsten Tätigkeiten ausüben.
Art. 35 In Bezug auf die Prüfstufen enthält das BWIS keine präzise Regelung. Das Legalitätsprinzip verlangt aber aufgrund des tiefen Eingriffs in die Grundrechte der zu prüfenden Personen, die mit der Durchführung der PSP verbunden sind, dass die wichtigsten Modalitäten des Eingriffs auf Gesetzessebene festgehalten werden. Da die Prüfstufen für die Schwere des Eingriffs massgebend sind, müssen sie im Gesetz geregelt werden. Die Vorlage sieht neu (s. Ziff. 1.2.4) folgende zwei Prüfstufen vor: Bst. a: Die Grundsicherheitsprüfung gilt für sicherheitsempfindliche Tätigkeiten, bei deren vorschrifts- widriger oder unsachgemässer Ausübung die Interessen nach Art. 1 Abs. 2 erheblich beeinträchtigt wer- den können. Es handelt sich also aufgrund des erwähnten Schadenspotenzials implizit um: (a) die Bear- beitung von als VERTRAULICH klassifizierten Informationen; (b) die Verwaltung, den Betrieb, die Überprüfung oder die Wartung von IKT-Mitteln der Sicherheitsstufe «hoher Schutz»; und (c) den Zugang zu Sicherheitszonen, in welchen Tätigkeiten nach (a) und (b) ausgeübt werden. Für den Zugang zu Schutzzonen 2 einer militärischen Anlage ist ebenfalls eine PSP dieser Stufe erforderlich. Bst. b: Die erweiterte PSP gilt entsprechend für (a) die Bearbeitung von als GEHEIM klassifizierten In- formationen; (b) die Verwaltung, den Betrieb, die Überprüfung oder die Wartung von IKT-Mitteln der Sicherheitsstufe «sehr hoher Schutz»; und (c) den Zugang zu Sicherheitszonen, in welchen Tätigkeiten nach (a) und (b) ausgeübt werden. Für den Zugang zu Schutzzonen 3 einer militärischen Anlage ist eben- falls eine PSP dieser Stufe erforderlich. Es obliegt den verpflichteten Behörden, die Prüfstufen für die entsprechenden Funktionen und Aufträge fest- zulegen.
Art. 36 Die Fachstellen PSP können in keinem Fall von sich aus eine PSP einleiten und durchführen; sie benötigen immer einen entsprechenden Auftrag. Einerseits kann es nicht Sache der höchsten Behörden sein, sämtliche Prüfverfahren direkt einzuleiten, andererseits sollte aber auch nicht jede Dienststelle von sich aus solche Aufträge erteilen können. Art. 36 sieht daher vor, dass die verpflichteten Behörden je für ihren Zuständig- keitsbereich diejenigen Stellen bezeichnen, welche zur Einleitung der Prüfverfahren und der entsprechenden Auftragserteilung an die Fachstellen PSP ermächtigt sind. Es handelt sich dabei um eine formelle Kompe- tenz. In diesem Zusammenhang ist darauf hinzuweisen, dass die einleitenden Stellen häufig nicht identisch mit den Stellen sind, welche nach der Prüfung in Anwendung von Art. 44 über die Übertragung der sicher- heitsempfindlichen Aufgabe entscheiden (übertragende Stellen). Der Bundesrat kann auch, soweit er dies für zweckmässig erachtet, bestimmte Dritte zur Einleitung von PSP ermächtigen. Dies betrifft insbesondere Betriebe, die häufig sicherheitsempfindliche Tätigkeiten für den Bund ausüben und im Besitz einer Betriebssicherheitserklärung nach Art. 68 sind. Es kann auch für die Kan- tone oder Organisationen nach Art. 2 Abs. 2 Bst. e der Fall sein.
Art. 37 Die Durchführung der PSP erfordert grundsätzlich die Einwilligung der betroffenen Person (Abs. 1). Einzig im Bereich der Armee oder des Zivilschutzes dürfen nach Abs. 2 PSP ohne Zustimmung der betroffenen Person durchgeführt werden. Diese Ausnahme ist notwendig, weil andernfalls Angehörige der Armee oder des Zivilschutzes sich ihrer Dienstpflicht entziehen könnten, indem sie die Durchführung der Prüfung durch Verweigerung der Einwilligung verhindern würden.
Art. 38 Das geltende Recht (Art. 19 Abs. 3 BWIS) verlangt, dass die PSP durchgeführt wird, bevor das Amt oder die Funktion übertragen oder der Auftrag erteilt wird. Eine Durchsetzung der (an sich zweckmässigen) geltenden Regelung kann jedoch in der Praxis ohne eine wesentliche Aufstockung der personellen Ressourcen der Fachstellen nicht umgesetzt werden. Deshalb wird in Abs. 1 die Regel für Angestellte der verpflichteten
54
Erläuternder Bericht zu einem Bundesgesetz über die Informationssicherheit
Behörden und Organisationen abgeschwächt: Es wird nur noch verlangt, dass für diese Personengruppe die PSP eingeleitet wird, bevor die Funktion übertragen wird. Den Arbeitgebern steht es selbstverständlich nach wie vor offen, auf die Erklärung der Fachstelle PSP zu warten, bevor sie die betroffene Person anstellen. In der Praxis werden sie wohl in der Regel im Arbeitsvertrag eine Klausel einfügen, wonach die Ausstellung einer Sicherheitserklärung mit Vorbehalt (Art. 43 Abs. 1 Bst. b), einer Risikoerklärung (Art. 43 Abs. 1 Bst. c) oder einer Feststellungserklärung (Art. 43 Abs. 1 Bst. d) einen Grund für eine sofortige Auflösung des Arbeitsverhältnisses darstellen kann. Zur vorläufigen Risikominderung können die Arbeitgeber einen Aus- zug aus dem Strafregister oder aus dem Betreibungsregister (Art. 20a BPG) verlangen. Abs. 2 entspricht geltendem Recht (Art. 19 Abs. 3 BWIS) und ist eine Folge der Untersuchung der Ge- schäftsprüfungskommission des Nationalrates in Bezug auf die seinerzeitige Ernennung von Korpskomman- dant R. Nef zum Chef der Armee. Die aufgeführte Regelung wurde mit Änderung des BWIS vom 23.12.2011 beschlossen und ist am 1. Juli 2012 in Kraft getreten. Abs. 3 regelt den Zeitpunkt der PSP für Dritte, die für eine verpflichtete Behörde oder Organisation einen sicherheitsempfindlichen Auftrag ausführen sollen. In diesem Fall soll die heutige Regelung weiterhin gel- ten: die PSP muss abgeschlossen sein, bevor die Person mit der Ausübung der sicherheitsempfindlichen Tä- tigkeit betraut werden darf. Der Grund für die unterschiedliche rechtliche Behandlung zwischen den internen Angestellten und den Dritten liegt beim besonderen Verhältnis der Bundesangestellten zum Bund. Von An- gehörigen des Bundes kann grundsätzlich von einer erhöhten Loyalität gegenüber den Interessen des Bundes ausgegangen werden. Zudem arbeiten Angestellte des Bundes meistens direkt beim Arbeitgeber, was eine einfachere Kontrolle ermöglicht. Gemäss Abs. 4 richtet sich der Zeitpunkt der PSP bei Personen, die aufgrund eines internationalen Abkom- mens geprüft werden müssen, nach den Vorschriften dieses Abkommens. Auch wenn es nicht ausdrücklich im Abkommen geregelt ist, wird in diesen Fällen immer verlangt, dass eine Sicherheitserklärung ausgestellt wird, bevor eine sicherheitsempfindliche Tätigkeit ausgeübt wird.
Art. 39 Diese Bestimmung regelt die Datenerhebung für die beiden Prüfstufen. Die Datenerhebung orientiert sich weitgehend an der heutigen Gesetzgebung und Praxis. Aufgrund der Reduktion von drei auf nur noch zwei Prüfstufen wurde die Datenerhebung innerhalb der Prüfstufen so reorganisiert, dass die Grundprüfung insbe- sondere durch die Möglichkeit einer Abfrage aus den Registern der Betreibungs- und Konkursbehörden ver- stärkt wird. Bei der Datenerhebung handelt sich für beide Prüfstufen um eine "Kann"-Vorschrift. Die Fachstellen müssen also nicht unbedingt auf alle verfügbaren Mittel zugreifen, um das Risiko zu beurteilen. Dies ist insbesondere bei der erweiterten Prüfung wichtig, weil die Reduktion von drei auf zwei Stufen nicht dazu führen soll, dass die Kosten der PSP massiv erhöht werden. Der Bundesrat, der die Ausführungsbestimmungen zu den PSP erlassen wird, wird darin auch festlegen können, wann welche Daten erhoben werden müssen. Abs. 1: Für die Grundprüfung können folgende Quellen konsultiert werden: Bst. a-d: Das Strafregister sowie die Datensammlungen des Nachrichtendienstes sowie der Polizei- und Sicherheitsbehörden des Bundes und der Kantone können Hinweise auf die Vertrauenswürdigkeit und die allfällige Vorbelastung einer Person enthalten. Den Fachstellen PSP wird im BPI das Recht auf online- Zugang zum nationalen Polizeiindex eingeräumt (s. Ziff. 2.6). Die Daten der angeschlossenen kantonalen Polizeiorgane erschliessen sich ihr nun auf einfache und effiziente Art und Weise. Selbstverständlich sind allfällige Ergebnisse im Hinblick auf die vorgesehene Tätigkeit der geprüften Person zu gewichten und in den entsprechenden Zusammenhang zu stellen. Bst. e: Die Informationen aus den Registern der Betreibungs- und Konkursbehörden werden benötigt, um die finanzielle Situation der zu prüfenden Personen im Hinblick auf ein allfälliges Sicherheitsrisiko wie z.B. Bestechlichkeit beurteilen zu können. Bst. f sieht neu vor, dass auch die Unterlagen und Ergebnisse früherer Sicherheitsprüfungen beigezogen werden dürfen. Bst. g: Hier soll explizit festgehalten werden, dass die Fachstellen PSP auch auf Daten aus öffentlich zu- gänglichen Quellen (z.B. aus dem Internet, mit Suchmaschinen wie Google) zurückgreifen können. Ent- sprechender Bedarf ergibt sich einerseits aus der vorgesehenen Funktion und allfälligen einzelfallbezoge- nen Hinweisen. Informationen aus Sozialen Netzwerken, die nicht an die Allgemeinheit gerichtet, son- dern nur für geschlossene Personenkreise bestimmt sind, dürfen jedoch nicht erhoben werden. Abs. 2: Bei der erweiterten PSP können zusätzlich zu den Quellen nach Abs. 1 folgende Quellen konsultiert werden:
55
Erläuternder Bericht zu einem Bundesgesetz über die Informationssicherheit
Bst. a: Daten aus den eidgenössischen und kantonalen Steuerregistern können zusätzliche Erkenntnisse über die wirtschaftliche Situation der geprüften Personen liefern, etwa bei offensichtlichen Diskrepanzen zwischen Lebenshaltung und Steuerleistung. Bst. b: Die Daten aus den Registern der Einwohnerkontrolle werden nicht immer erhoben, weil sie oft nur einen begrenzten Mehrwert haben. Sie können aber situativ für die Beurteilung der persönlichen Situation der Betroffenen wichtige Hinweise liefern. Bst. c: In der erweiterten Prüfung wird die finanzielle Situation der zu prüfenden Person detailliert ge- prüft. Deshalb können Daten bei Finanzinstituten und Banken, mit welchen die zu prüfende Person Ge- schäftsbeziehungen unterhält, systematisch erhoben werden. Bst. d: Die persönliche Befragung dient dazu, Sachverhalte anzusprechen, die aus den Registerabfragen nicht oder nur unklar hervorgehen. Abs. 3 regelt die Datenerhebung im Ausland. Die Daten, die nach den Absätzen 1 und 2 in der Schweiz er- hoben werden dürfen, dürfen bei Bedarf ebenfalls im Ausland erhoben werden. Abs. 4 verlangt, dass die Fachstellen PSP für die Beurteilung des Sicherheitsrisikos auf genügend massge- bende Daten über einen hinreichenden Zeitraum zurückgreifen können müssen. Sind diese Anforderungen nicht erfüllt, kann nicht beurteilt werden, ob ein Sicherheitsrisiko vorliegt. Gegebenenfalls wird die betroffe- ne Person nach Abs. 5 ergänzend befragt. Dies kann z.B. dann der Fall sein, wenn sich die zu prüfende Per- son vor der Prüfung längere Zeit in einem Land aufgehalten hat, in dem keine oder keine zuverlässige Da- tenerhebung möglich ist. Der Ausdruck "hinreichenden Zeitraum" ist bewusst offen formuliert worden. Die heutige Regelung von Art. 19 Abs. 3 PSPV, wonach die Fachstellen PSP mindestens auf Daten von fünf Jahren bis zur Einleitung der Grundprüfung und zehn Jahren bis zur Einleitung der erweiterten Prüfung zu- rückgreifen können müssen, wurde teilweise als unverhältnismässig und zu absolut kritisiert. Zwei Lösungs- ansätze sind deshalb denkbar: Entweder präzisiert der Bundesrat im Rahmen seiner Ausführungsbestimmun- gen zu den PSP den Ausdruck "genügend Daten über einen hinreichenden Zeitraum" oder die Auslegung dieses Ausdrucks bleibt im Ermessen der Fachstellen PSP. Abs. 5 sieht vor, dass die Fachstellen PSP die zu prüfende Person unabhängig von der Prüfstufe persönlich befragen können, wenn sicherheitsrelevante Umstände im Rahmen der Datenerhebung entdeckt werden. Eine solche Befragung kann auch dann stattfinden, wenn die Fachstelle PSP im Sinne von Abs. 4 nicht genügend Daten über einen hinreichenden Zeitraum erheben konnte. Diese persönliche Befragung ist nicht zu vermi- schen mit der Befragung nach Abs. 2 Bst. d. Letztere kann ohne Anhaltspunkte für ein Sicherheitsrisiko durchgeführt werden und ist im Befragungsumfang nicht eingeschränkt. Zur Abklärung besonderer sicher- heitsrelevanter Umstände oder zum Erhalt ergänzender Daten über einen längeren Zeitraum kann die Fach- stelle PSP auch Drittpersonen befragen. Solche Befragungen dürfen nur mit dem Einverständnis der zu prü- fenden Person und der betroffenen Drittpersonen durchgeführt werden. Abs. 6: Es kommt vor, dass die für die Beurteilung des Risikos erforderlichen Daten nicht nur die geprüften Personen betreffen, sondern auch Drittpersonen. Dies kann beispielsweise bei Bankkontenauszügen einer verheirateten Person der Fall sein. Abs. 6 sieht daher vor, dass diese Personendaten ebenfalls bearbeitet wer- den dürfen, sofern sie untrennbar mit den Daten über die zu prüfende Person verbunden und für die Beurtei- lung des Risikos unerlässlich sind. Der Aufwand, der mit dem jeweiligen Einholen der Einwilligung der Drittperson zur Datenbearbeitung verbunden ist, wäre für die Fachstellen PSP unverhältnismässig gross. Aus Transparenzgründen sollen also die Fachstellen PSP diese Drittpersonen über die Datenbearbeitung infor- mieren. Ist die Information nicht oder nur mit unverhältnismässigem Aufwand möglich, ist Art. 18a Abs. 4 Bst. b DSG anwendbar.
Art. 40 Die Mitwirkung von Behörden am Verfahren soll weiterhin unentgeltlich stattfinden (Abs. 1). Dritte, z.B. Banken oder Kreditinstitute, die zur Mitwirkung beigezogen werden, sollen entschädigt werden, wenn der dadurch verursachte Aufwand erheblich ist. Erheblich wird ein solcher Aufwand insbesondere dann, wenn er über die Erstellung von Kontoauszügen u. dgl. hinausgeht und besonders intensive Recherchen durch die ersuchten Dritte erfordert. Der Bundesrat wird die Voraussetzungen und die Höhe solcher Entschädigungen in den Ausführungsbestimmungen regeln.
Art. 41 Abs. 1: Ein bereits eingeleitetes Prüfverfahren wird eingestellt, wenn die zu prüfende Person im Verlaufe des Verfahrens ihre Zustimmung zurückzieht oder die Mitwirkung verweigert oder wenn sie aus einem anderen Grund für die anvisierte Funktion oder für den in Frage stehenden Auftrag nicht mehr in Frage kommt (z.B. Insolvenz der Firma, für welche die zu prüfende Person hätte tätig werden sollen).
56
Erläuternder Bericht zu einem Bundesgesetz über die Informationssicherheit
Abs. 2 sieht vor, dass sowohl die zu prüfende Person als auch die einleitende Stelle über die Einstellung des Verfahrens informiert werden. Die betroffene Person gilt in der Folge als nicht sicherheitsgeprüft und darf die in Frage stehende sicherheitsempfindliche Tätigkeit nicht ausüben bzw. die entsprechende Funktion nicht übernehmen. Abs. 3 legt fest, dass nach einer Einstellung des Prüfverfahrens die bei der Fachstelle PSP bereits erhobenen Daten und Akten zu vernichten sind. Vernichtet werden die erhobenen Daten, nicht jedoch die Einstellungs- erklärung und das Vernichtungsprotokoll. Weder die Einstellungserklärung noch das Vernichtungsprotokoll dürfen aber Daten enthalten, die für die betroffene Person nachteilig sein könnten. Die Ausführungsbestim- mungen des Bundesrats werden die Aufbewahrungsdauer der Einstellungserklärung und des Vernichtungs- protokolls regeln.
Art. 42 In der Vergangenheit wurde verschiedentlich bemängelt, dass die geltende Regelung im BWIS nicht aus- drücklich erwähnt, was als Sicherheitsrisiko anzusehen ist. Deshalb soll nun eine entsprechende Norm auf- genommen werden, welche die Rechtsprechung des Bundesverwaltungsgerichts und des Bundesgerichts sinngemäss wiedergibt. Es versteht sich, dass es keine reinen quantitativen Beurteilungsmethoden gibt, wenn es darum geht, das Risiko in Bezug auf menschliche Handlungen oder Unterlassungen einzuschätzen. Des- halb wird eine qualitative Methode angewendet, bei welcher das Vorhandensein und das Zusammenwirken von Risikofaktoren bewertet werden. Abs. 1: Das Risiko ist in der Lehre das Produkt der Eintrittswahrscheinlichkeit eines Ereignisses und der Auswirkungen dieses Ereignisses. Der für die Unterstellung unter die PSP massgebende Ausdruck "sicher- heitsempfindliche Tätigkeit" enthält in seiner Definition die Auswirkungen, deren Eintreten vermieden wer- den soll. Es handelt sich dabei um eine "erhebliche bzw. schwerwiegende Beeinträchtigung der Interessen nach Art. 1 Abs. 2". Wenn die zu prüfende Person die Aufgaben, die ihr zugewiesen werden sollen, vor- schriftskonform und sachgemäss erfüllt, so kann der Schaden ihretwegen nicht eintreten. Das zu vermeiden- de Ereignis ist also e contrario die vorschriftswidrige oder unsachgemässe Ausübung der sicherheitsemp- findlichen Tätigkeit durch die betroffene Person. Ein Sicherheitsrisiko muss somit im Sinne des vorliegenden Gesetzes angenommen werden, wenn die Wahrscheinlichkeit hoch ist, dass die geprüfte Person die sicher- heitsempfindliche Tätigkeit vorschriftswidrig oder unsachgemäss ausüben wird und dadurch die Interessen nach Art. 1 Abs. 2 mindestens erheblich beeinträchtigen wird. Abs. 2 macht klar, dass die Fachstellen PSP sich primär auf die Eintrittswahrscheinlichkeit des Ereignisses fokussieren. Bei der Bewertung einer solchen Wahrscheinlichkeit wird es sich zwangsläufig immer um eine Prognose handeln, die mit Unsicherheiten behaftet ist. Grundlage für diese Prognose bildet die Gesamtheit aller Umstände, wie beispielsweise die Persönlichkeit der betroffenen Person, ihr Vorleben und ihre Lebens- verhältnisse, soweit diese Rückschlüsse auf ihr künftiges Verhalten zulassen. In Abs. 2 werden deshalb die Risikofaktoren konkretisiert, die zur Annahme einer hohen Wahrscheinlichkeit für eine Beeinträchtigung führen, indem er persönliche Eigenschaften umschreibt, die besonders risikoträchtig sind. Die Aufzählung orientiert sich inhaltlich an der heutigen Praxis der Fachstellen PSP sowie an der Rechtsprechung des Bun- desverwaltungsgerichts und des Bundesgerichts. Die Umschreibungen zielen zwar im Grundsatz auf möglichst objektiv feststellbare Eigenschaften, doch können diese häufig nur aus Indizien oder aus dem Kontext abgeleitet werden und überschneiden sich parti- ell. Mit Integrität und Vertrauenswürdigkeit werden vorweg der Charakter sowie die Gewohnheiten und Be- ziehungen einer Person zu ihrem Umfeld anvisiert. Diese Eigenschaften sind bei der Ausübung einer sicher- heitsempfindlichen Tätigkeit die Eignungserfordernisse schlechthin. Liegen diese Eigenschaften vor, kann mit hoher Wahrscheinlichkeit darauf vertraut werden, dass die mit einer solchen Tätigkeit betraute Person loyal zu ihrer Aufgabe steht und die Sicherheitsinteressen des Arbeitgebers oder der Institution wahrt. Wel- che der Indizien und Zusammenhänge die fehlende Vertrauenswürdigkeit einer Person, ihre mutmassliche Erpressbarkeit oder ihr beeinträchtigtes Beurteilungs- und Entscheidungsvermögen belegen, kann auf der Ebene des Gesetzes nicht spezifiziert, sondern muss letztlich in jeder einzelnen Beurteilung ermittelt und dargelegt werden. Abs. 3 stellt klar, dass ein Sicherheitsrisiko auch ohne ein Verschulden der betroffenen Person vorliegen kann. Bei der PSP handelt es sich um eine vorbeugende Massnahme zum Schutz überwiegender öffentlicher Interessen vor vorsätzlichen und fahrlässigen Innentaten, die auf eine objektive Gefährdung und nicht auf ein schuldhaftes Verhalten abstellt. Dies im Gegensatz etwa zum Strafrecht, bei dem die Schuld immer Voraus- setzung für eine Strafe ist. Anders als im Strafrecht (in dubio pro reo) rangiert somit im Zweifel die Sicher- heit des Staates bzw. das Landesinteresse vor den Interessen der betroffenen Person. Es wird ebenfalls fest- gehalten, dass die Annahme eines Sicherheitsrisikos durch Fakten und tatsächliche Umstände um die zu be-
57
Erläuternder Bericht zu einem Bundesgesetz über die Informationssicherheit
urteilende Person begründet werden muss. Reine Konjekturen, insbesondere wenn sie die politische Gesin- nung der zu prüfenden Person betreffen, sind nicht zulässig. Abs. 4 soll schliesslich die Unabhängigkeit der Fachstellen PSP für die Beurteilung des Sicherheitsrisikos sicherstellen. Die PSP darf nicht für politische Machenschaften missbraucht werden.
Art. 43 Abs. 1 regelt die verschiedenen Erklärungen der Fachstellen PSP, in welchen das Ergebnis der Beurteilung festgehalten wird: Bst. a: Wenn die Fachstelle PSP zum Schluss kommt, dass die geprüfte Person im Hinblick auf die si- cherheitsempfindliche Tätigkeit unbedenklich ist, stellt sie eine Sicherheitserklärung aus. Bst. b: Stellt die Fachstelle PSP fest, dass von einer geprüften Person bei der Ausübung der sicherheits- empfindlichen Tätigkeit gewisse Sicherheitsrisiken ausgehen, dass diese aber mit bestimmten Auflagen reduziert werden können, stellt sie eine Sicherheitserklärung mit Vorbehalt aus und empfiehlt der über- tragenden Stelle entsprechende Auflagen. Bst. c: Wenn sie zum Schluss kommt, dass die Ausübung der sicherheitsempfindlichen Tätigkeit durch die geprüfte Person ein Risiko darstellt, stellt die Fachstelle PSP eine Risikoerklärung aus. Bst. d: Kann aufgrund der ungenügenden Datenerhebung im Sinne von Art. 39 Abs. 4 eine Person nicht nach den "règles de l'art" beurteilt werden, so erlässt die Fachstelle PSP eine Feststellungserklärung. Abs. 3: Obwohl der formelle Anspruch auf rechtliches Gehör bei einem Realakt (s. Art. 51 Abs. 3) an sich nicht ohne weiteres zum Tragen kommt, soll Abs. 3 sicherstellen, dass die betroffene Person ihre Interessen bereits in diesem Verfahrensstadium angemessen wahren kann. Die Bestimmung sieht daher vor, dass der bzw. dem Geprüften vor der Ausstellung der Erklärungen nach Bst. b-d Gelegenheit zur Stellungnahme zu geben ist. Faktisch heisst dies, dass beim Vorliegen eines Erklärungsentwurfs nach Bst. b-d die betroffene Person in geeigneter Form über den Inhalt zu orientieren und ihr eine angemessene Frist zur Stellungnahme einzuräumen ist.
Art. 44 Gemäss Abs. 1 muss die Erklärung der geprüften Person sowie der Stelle, die für die Übertragung der si- cherheitsempfindlichen Tätigkeit zuständig ist, schriftlich mitgeteilt werden. Auch wenn die Erklärung keine Verfügung im Sinne von Art. 5 VwVG darstellt (s. Art. 51 Abs. 3), muss die betroffene Person die Möglich- keit haben, die Ergebnisse der Beurteilung zur Kenntnis zu nehmen und allenfalls den Erlass einer Verfü- gung zu beantragen. Dieser Absatz entspricht grundsätzlich geltendem Recht (Art. 21 Abs. 2-4 BWIS). Abs. 2 legt fest, dass die Mitteilung der Beurteilung bei Personen, die vom Bundesrat zu wählen sind, an das antragstellende Departement zu gehen hat. Abs. 3 regelt den Fall, in welchem eine PSP eingeleitet wird, die betroffene Person aber im Zusammenhang mit einer anderen Tätigkeit nach Bst. a-c ebenfalls einer Prüfung untersteht (z.B. nach Art. 20b BPG). In diesem Fall soll die Fachstelle PSP die jeweilige übertragende Stelle über das Ergebnis der Hauptprüfung informieren können. Die Regelung der Prüfung der Vertrauenswürdigkeit nach Art. 20b BPG sowie nach
Art. 14 MG verlangt, dass beide Verfahren vereinigt werden, wenn eine Person aufgrund des vorliegenden Gesetzes ebenfalls einer PSP unterzogen werden soll. Abs. 4 ermöglicht es den Fachstellen PSP, bei potenziell gewalttätigen Angehörigen der Armee die nach Artikel 113 MG für das Überlassen oder den Entzug der persönlichen Armeewaffe zuständige Stelle über das Ergebnis ihrer Beurteilung zu informieren. Stellt die Fachstelle PSP im Rahmen einer Prüfung fest, dass die betroffene Person, die militärdienstpflichtig ist, ein erhöhtes Gewaltpotenzial aufweist, soll sie die militäri- schen Instanzen informieren, damit diese über den Entzug der Armeewaffe entscheiden können.
Art. 45
Art. 45 sieht vor, dass bei einem begründeten Sicherheitsvorbehalt und bei Dringlichkeit die Fachstellen PSP im Sinne der Gefahrenprävention die zuständigen Stellen nach Art. 44 bereits über ihre Erkenntnisse infor- mieren dürfen, bevor das Verfahren abgeschlossen ist. Die zuständige Stelle kann daraufhin vorsorgliche Sicherheitsmassnahmen treffen. Dies entspricht dem geltenden Art. 20 PSPV.
Art. 46 Abs. 1 legt fest, dass die für die Übertragung der sicherheitsempfindlichen Tätigkeit bzw. Funktion zuständi- ge Stelle (übertragende Stelle) nicht an die Erklärung der Fachstelle PSP gebunden ist. Dies entspricht dem heutigen Art. 21 Abs. 4 BWIS. Es ist nicht Aufgabe der Fachstellen PSP, die Verantwortung der Linie für Personalentscheide zu treffen oder einzuschränken, sondern lediglich, die entscheidende Behörde über das
58
Erläuternder Bericht zu einem Bundesgesetz über die Informationssicherheit
Risiko zu informieren, dass mit der Übertragung einer sicherheitsempfindlichen Tätigkeit an eine bestimmte Personen verbunden ist. Abs. 2: Vor ihrem Entscheid muss aber die übertragende Stelle von der Erklärung der Fachstelle PSP Kennt- nis nehmen, denn nur dann kann sie ihren Entscheid unter Berücksichtigung der allfälligen Risiken treffen. Abs. 3 ermächtigt die übertragende Stelle, insbesondere gestützt auf die Empfehlungen der Fachstelle PSP, für die Ausübung der sicherheitsempfindlichen Tätigkeit Auflagen zu machen. Diese Auflagen stellen risi- komindernde Massnahmen dar, welche meistens personalrechtlicher Natur sind. Die übertragende Stelle kann z.B. verlangen, dass die betroffene Person regelmässig ihre finanzielle Lage offenlegt oder sich Dro- gentests unterzieht usw. Wichtig ist in diesem Zusammenhang die Präzisierung, dass sich diese Auflagen ausschliesslich auf die Ausübung der sicherheitsempfindlichen Tätigkeit richten müssen und nicht auf die Ausübung anderer Aufgaben beziehen dürfen. Beschliesst z.B. die übertragende Stelle, dass die betroffene Person die sicherheitsempfindliche Tätigkeit nicht ausüben darf, aber für andere, sicherheitsmässig nicht relevante Aufgaben eingesetzt wird, dann dürfen keine Auflagen mehr festgelegt werden. Meistens werden die geeignetsten Auflagen von der Fachstelle PSP empfohlen. Die übertragende Stelle ist aber an diese Auf- lagen nicht gebunden und kann selber Auflagen bestimmen. Weicht die zuständige Stelle jedoch von den empfohlenen Auflagen ab, dann muss sie die Fachstelle PSP schriftlich informieren (s. Art. 47 Bst. b).
Art. 47 Dieser Artikel statuiert eine Mitteilungspflicht der übertragenden Stelle. Wenn sie einen Entscheid trifft, der von der Beurteilung der Fachstelle PSP abweicht, muss sie dies der Fachstelle PSP mitteilen. Die Mitteilung kann durch einen Vermerk im Informationssystem zur PSP nach Art. 52-54 stattfinden. Es geht darum, dass die Fachstelle PSP den Überblick über die Praxis der übertragenden Stellen behält und die notwendigen Leh- ren zieht.
Art. 48 Wenn für die zu prüfende Person bereits eine noch gültige und gleichwertige Erklärung ausgestellt wurde, soll aus Gründen der Verfahrensökonomie nach Möglichkeit kein neues Prüfverfahren durchgeführt werden.
Art. 48 sieht deshalb vor, dass in diesem Fall darauf verzichtet werden kann. In der Praxis stellt diese Rege- lung in der Regel kein Problem dar, wenn eine Sicherheitserklärung für die gleiche oder eine höhere Prüfstu- fe ausgestellt wurde. Probleme können sich aber beispielsweise dann ergeben, wenn einer bestimmten Person für eine höhere Prüfstufe eine Sicherheitserklärung mit Vorbehalt oder eine Risikoerklärung ausgestellt wur- de. Es ist nämlich durchaus möglich, dass für die Bearbeitung von als GEHEIM klassifizierten Informatio- nen ein Sicherheitsrisiko besteht, dass aber dieses Risiko in Bezug auf die Bearbeitung von als VERTRAU- LICH klassifizierten Informationen tragbar ist. Der Bundesrat wird diese "Kann"-Vorschrift auf Verord- nungsebene konkretisieren müssen.
Art. 49 Ausländische Sicherheitsbehörden gewähren ausschliesslich sicherheitsgeprüften Personen Zugang zu klassi- fizierten Informationen, klassifiziertem Material oder Schutz- und Sicherheitszonen. Die zuständige schwei- zerische Behörde darf die in derartigen Fällen erforderliche Personensicherheitsbescheinigung ausschliess- lich Personen, die eine Sicherheitserklärung erhalten haben, ausstellen.
Art. 50 Abs. 1 regelt die ordentliche Wiederholung der PSP. Im Gesetz wird darauf verzichtet, feste Wiederholungs- intervalle vorzuschreiben. Es setzt lediglich Leitplanken zur Wiederholung der Prüfung. Grund dafür ist, dass die Wiederholung inskünftig vermehrt dem tatsächlichen Sicherheitsbedarf entsprechend erfolgen soll. Der Bundesrat sollte in seinen Ausführungsbestimmungen die Wiederholungen detailliert regeln. Er kann aber diese Kompetenz selbstverständlich auch den verpflichteten Behörden und Organisationen überlassen, indem er nichts vorschreibt. Abs. 2 verleiht sowohl der einleitenden Stelle als auch der übertragenden Stelle die Möglichkeit, eine Wie- derholung der PSP ausserhalb der gesetzlichen Wiederholungszyklen zu veranlassen. Grund für eine solche vorzeitige Wiederholung ist die Entstehung neuer Risiken bei der betroffenen Person, z.B. die Eröffnung eines Strafverfahrens gegen sie, das einen Bezug zur sicherheitsempfindlichen Tätigkeit aufweist. Diese Re- gelung entspricht dem geltendem Verordnungsrecht (s. Art. 18 Abs. 2 PSPV). Im Rahmen seiner Kompetenz zum Erlass ergänzenden Rechts zum Verfahren der PSP (s. Art. 55), wird der Bundesrat auch entscheiden müssen, ob er weitere vorzeitige Wiederholungen der Prüfung einführen will. Eine Nachprüfung könnte z.B. bei Sicherheitserklärungen mit Vorbehalt nützlich sein, um die Wirksamkeit der angeordneten Auflagen zu prüfen.
59
Erläuternder Bericht zu einem Bundesgesetz über die Informationssicherheit
Art. 51 Abs. 1 und 2 regeln die Einsicht in die Prüfungsunterlagen sowie die Berichtigung falscher Daten durch die geprüfte Person. Die Regelung entspricht trotz angepasster Formulierung geltendem Recht (s. Art. 21 Abs. 2 BWIS). Abs. 3: Nach geltendem Recht werden die Erklärungen der Fachstellen PSP in Form einer Verfügung erlas- sen (s. Art. 20 Abs. 3 BWIS sowie Art. 22 PSPV). Die Qualifizierung der Erklärungen als Verfügung ist rechtlich aber falsch, denn sie haben nur empfehlenden Charakter (s. Art. 21 Abs. 4 BWIS sowie Art. 46 Abs. 1 ISG). Die Rechte der geprüften Personen werden nur dann berührt, wenn die übertragenden Stellen anschliessend die Funktion oder den Auftrag nicht übertragen. Die Erklärungen entsprechen rechtlich eher dem Resultat eines Assessments, das die Behörden und Organisationen vor der Anstellung von Schlüsselper- sonen häufig durchführen lassen. Auch die Beurteilung der Assessoren wird nicht in Form einer anfechtbaren Verfügung mitgeteilt, weil der Arbeitgeber frei entscheiden kann. Die Erklärungen der Fachstellen PSP stel- len Realakte im Sinne von Art. 25a VwVG dar. Für die vorliegende Situation bedeutet dies, dass die be- troffene Person innert 30 Tagen nach Erhalt der Erklärung von der Fachstelle PSP eine anfechtbare Verfü- gung verlangen kann. Der weitere Verlauf des Verfahrens richtet sich nach dem VwVG. Die vorgesehene Regelung wird den Aufwand für die PSP von Stellungspflichtigen im Rahmen der militärischen Rekrutie- rung verkleinern. Die Fachstellen PSP werden die Ergebnisse der Beurteilung den Stellungspflichtigen ein- fach mitteilen können und nur bei Bestreitung derselben eine vollständige Verfügung erlassen.
Art. 52
Art. 52 entspricht grundsätzlich geltendem Recht (s. Art. 144-149 MIG). Abs. 1 hält fest, dass die Fachstellen PSP zur Durchführung und Bewirtschaftung der PSP ein Informations- system einsetzen müssen. Abs. 2: Jede Fachstelle PSP ist für die rechtmässige Bearbeitung der Daten, die sie bearbeitet, verantwort- lich. Abs. 3: Bei diesen Daten können auch besonders schützenswerte Personendaten und Persönlichkeitsprofile vorhanden sein (Art. 3 Bst. c und d DSG). Abs. 4 führt die Daten auf, die im Informationssystem bearbeitet werden. Abs. 5: Daten, die ausserhalb des Informationssystems bearbeitet werden, müssen darin vermerkt werden. Es handelt sich dabei insbesondere um Papierdokumente und Tonaufnahmen im Rahmen der Befragungen.
Art. 53
Art. 53 entspricht grundsätzlich geltendem Recht (s. Art. 144-149 MIG). Abs. 1: Abrufverfahren Bst. a: Die Fachstellen PSP haben Zugriff auf sämtliche Daten, für die sie zuständig sind. Bst. b: Die einleitenden Stellen erhalten nur Zugriff auf diejenigen Daten, die sie anlässlich der Einleitung selbst erfasst haben, sowie auf das Ergebnis der PSP. Bst. c legt fest, auf welche Daten die übertragenden Stellen Zugriff haben. Bst. d regelt, auf welche Daten die Informationssicherheitsbeauftragten zur Erfüllung ihrer Kontrollauf- gaben Zugriff haben. Bst. e: Organisationen des Bundes und der Kantone, bei denen Daten erhoben werden, haben nur Zugriff auf Daten zur Identität der zu prüfenden oder geprüften Person. Diese Daten benötigen sie, um überhaupt zu wissen, über welche Person sie Nachforschungen anstellen und Daten liefern sollen. Abs. 2: Schnittstellen Bst. a regelt, auf welche Daten die Fachstelle für Betriebssicherheit Zugriff hat. Bst. b: Damit der Armeestab (wie bis anhin) Anträge für Besuche ins Ausland mit Zugang zu klassifizier- ten Informationen effizient bearbeiten kann, sollen Daten nach Art. 52 Abs. 4 Bst. a und d über eine Schnittstelle ins Informationssystem Besuchsanträge transferiert werden. Bst. c Ziff. 1-3 regelt, auf welche Daten der Führungsstab der Armee zur Kontrolle des Zutritts zu Sicher- heitszonen, zur Erfüllung seiner gesetzlichen Aufgaben in Bezug auf das Personalinformationssystem der Armee und zur Durchführung der Rekrutierung der Stellungspflichtigen sowie des für die Friedensförde- rung vorgesehenen Personals Zugriff hat.
60
Erläuternder Bericht zu einem Bundesgesetz über die Informationssicherheit
Abs. 3: Weitere Organisationen des Bundes (insbesondere IKT-Leistungserbringer) brauchen die Ergebnisse der PSP, um den Zugang zu Sicherheitszonen zu kontrollieren. Abs. 4: Die Fachstellen PSP geben den verpflichteten Behörden und Organisationen Listen und Statistiken nur bekannt, wenn sie diese zur Erfüllung ihrer Kontrollaufgaben nach diesem Gesetz benötigen. Derartige Listen werden also nur bei entsprechendem Bedarf geliefert. Die Bekanntgabe solcher Listen erfolgt aus- serhalb des Informationssystems nach Art. 52.
Art. 54
Art. 54 entspricht grundsätzlich geltendem Recht (s. Art. 144-149 MIG sowie PSPV). Abs. 1 schafft die rechtliche Grundlage für die Tonaufnahme der Befragungen. Abs. 2: Die Aufbewahrungsdauer soll zehn Jahre nicht überschreiten. Falls eine Person bereits mehreren Prüfungen unterzogen wurde, so sind diejenigen Daten, welche Prüfungen betreffen, die länger als zehn Jah- re zurückliegen, zu löschen. Abs. 3 regelt die Vernichtung von Daten einer bereits geprüften Person, welche die Stelle nicht antritt (s. auch Art. 41). Abs. 5: Daten, die ausserhalb des Informationssystems bearbeitet werden (s. Art. 52 Abs. 5), müssen gemäss Abs. 2 und 3 aufbewahrt und vernichtet werden. Bei der Vernichtung dieser Daten sind gleichzeitig die Vermerke im System zu löschen. Abs. 6: Sind Akten nach den Archivierungsvorschriften zu archivieren, dürfen sie nicht vernichtet werden.
Art. 55 In Art. 55 werden diejenigen Bereiche aufgeführt, in denen der Bundesrat ergänzendes bzw. gesetzesvertre- tendes Recht erlassen soll. Es handelt sich dabei also nicht bloss um Ausführungsbestimmungen, für die der Bundesrat auf Grund von Art. 182 BV ohne weiteres zuständig ist. Bst. a-b: Hinsichtlich der Organisation ist zu bemerken, dass es heute zwei Fachstellen PSP gibt. Die eine ist bei der Bundeskanzlei angesiedelt und prüft zu Handen des Bundesrats das Top-Kader sowie die An- gestellten der anderen Fachstelle PSP. Sie führt deshalb zurzeit ausschliesslich erweiterte PSP mit Befra- gung durch. Die andere Fachstelle PSP ist im VBS im Armeestab, bei der Informations- und Objektsi- cherheit angesiedelt und führt die überwiegende Mehrheit der Prüfungen durch. Bst. b belässt die Mög- lichkeit mehrerer Fachstellen, überlässt es aber dem Bundesrat, ob er an dieser Organisation festhalten will. Bst. c-d: der Bundesrat muss in Anwendung von Art. 16 Abs. 2 DSG ergänzendes Recht zum Daten- schutz im Rahmen der PSP erlassen. Betroffen sind insbesondere die Organisation der Zuständigkeiten und Verantwortungen für den Datenschutz (inkl. Datensicherheit) im Zusammenhang mit dem Informati- onssystem nach Art. 52 sowie die periodische unabhängige Kontrolle der Rechtmässigkeit der Datenbear- beitung. 2.1.4 Betriebssicherheitsverfahren
Art. 56 Zum Zweck des BSV, s. Ziff. 1.2.5.
Art. 57 Abs. 1: Als "Betrieb" im Sinne des Gesetzes wird nicht unbedingt das ganze Unternehmen erfasst. Betroffen sind vielmehr nur diejenigen Teile und Personen des Unternehmens, die tatsächlich mit dem sicherheitsemp- findlichen Auftrag betraut werden. Bst. a führt den Hauptanwendungsfall auf: Die Absicht einer verpflichteten Behörde oder Organisation, einen sicherheitsempfindlichen Auftrag nach Art. 56 einem Unternehmen zu erteilen, das sich darum be- wirbt. Das BSV stellt grundsätzlich eine nationale Angelegenheit dar. Deshalb müssen sich Betriebe mit Sitz im Ausland, die sich um einen sicherheitsempfindlichen Auftrag aus der Schweiz bewerben wollen, durch denjenigen Staat prüfen lassen, in dem sich ihr Sitz befindet. Die Zuständigkeiten und Prüfmodali- täten sind Bestandteil der entsprechenden völkerrechtlichen Vereinbarungen nach Art. 90. In derartigen Fällen wird bei den ausländischen Sicherheitsbehörden mittels eines sog. "Facility Security Clearance In- formation Sheet" der Nachweis für eine Betriebssicherheitserklärung (BSE) des Auftragnehmers bzw. - falls der betreffende Betrieb noch nicht geprüft wurde - das Einleiten des Prüfverfahrens verlangt. Abs. 1 Bst. b erfasst umgekehrt den Fall von Betrieben mit Sitz in der Schweiz, die sich für einen Auftrag aus dem Ausland bewerben wollen und den dortigen Behörden eine Sicherheitserklärung der Behörden
61
Erläuternder Bericht zu einem Bundesgesetz über die Informationssicherheit
ihres Sitzstaates vorweisen müssen. Dieses Verfahren und die damit verbundene Zertifizierung stellen ei- ne amtliche Tätigkeit dar, die nicht an die Privatwirtschaft übertragen werden kann, weil die ausländi- schen Behörden ausnahmslos ein amtliches "Sicherheitssiegel" des Sitzstaates des Betriebs verlangen. Abs. 2 hält fest, dass ein BSV in jedem Fall nur mit Zustimmung des betroffenen Betriebs durchgeführt wer- den kann. In der Praxis stellt die erforderliche Zustimmung des Betriebs zur Durchführung des BSV aller- dings nie ein Problem dar, weil die Betriebe ein finanzielles Interesse an der Auftragserteilung haben. Abs. 3: Im Anwendungsfall von Abs. 1 Bst. b hat der Bund kein unmittelbares Selbstinteresse an der Durch- führung des Verfahrens. Der Bundesrat wird die Frage der Kosten auf Verordnungsebene regeln.
Art. 58 Abs. 1: Das BSV wird nur durchgeführt, wenn bestimmte Kriterien und Voraussetzungen (z.B. Zustimmung) erfüllt werden. Erfüllt der Betrieb diese Kriterien im Laufe des BSV nicht mehr, wird das Verfahren einge- stellt. Dies kann nach Bst. d z.B. auch dann der Fall sein, wenn der Betrieb im Falle seines Konkurses oder der Zerstörung der Betriebsstätte durch einen Brand den Auftrag überhaupt nicht mehr erfüllen kann. Abs. 2 schreibt vor, dass nach der Einstellung des Verfahrens sämtliche mit diesem zusammenhängenden Daten und Akten zu vernichten sind.
Art. 59 Abs. 1 hält vorab fest, dass die BSV durch eine „Fachstelle für Betriebssicherheit“ (Fachstelle BS) durchge- führt werden. Innerhalb des Bundes soll sich also (wie bis anhin) eine einzige Stelle mit diesen Verfahren befassen. Die Fachstelle BS wird nur auf Antrag (und nicht Auftrag) einer verpflichteten Behörde oder Or- ganisation tätig. Letztere sind aber verpflichtet, einen entsprechenden Antrag zu stellen, falls sie einen si- cherheitsempfindlichen Auftrag an einen Betrieb vergeben wollen. Abs. 2: Die verpflichteten Behörden müssen in ihrem Zuständigkeitsbereich bestimmen, wer den Antrag zur Einleitung stellt. Je nach ihren organisatorischen Bedürfnissen kann dies eine zentrale Stelle sein oder jede Stelle, die über die Kompetenz verfügt, sicherheitsempfindliche Aufträge an Unternehmen der Privatwirt- schaft zu vergeben. Abs. 3 regelt die Zuständigkeit bei einem sicherheitsempfindlichen Auftrag einer ausländischen oder interna- tionalen Behörde. Das Verfahren wird in der Regel mittels einer Anfrage seitens der ausländischen Sicher- heitsbehörde (engl. Facility Security Clearance Information Sheet, FSCIS) an die Sicherheitsbehörden und einer Bestätigung des interessierten Betriebs eingeleitet. Die Anfrage wird mittels eines standardisierten Ab- laufs beantwortet. Die Einzelheiten dieser Verfahren sind durch Verordnung zu regeln.
Art. 60 Abs. 1: Nach Eingang des Antrags zur Durchführung des BSV prüft die Fachstelle BS zunächst, ob die Vo- raussetzungen zur Einleitung des Verfahrens (z.B. Vorliegen eines sicherheitsempfindlichen Auftrags) vor- liegen und leitet gegebenenfalls das BSV ein. Abs. 2: Können die Risiken für die Informationssicherheit im konkreten Fall durch andere Massnahmen hin- reichend minimiert werden, kann die Fachstelle BS aus Gründen der Verwaltungsökonomie auf die Durch- führung des BSV verzichten. Wenn der Auftrag z.B. unter Aufsicht der auftragserteilenden Stelle in deren Räumlichkeiten ausgeführt wird und dem Auftragnehmer (Betrieb) keine Unterlagen ausgehändigt werden, reichen beispielsweise unter Umständen entsprechende PSP aus. Verzichtet die Fachstelle BS auf die Durch- führung des BSV, so empfiehlt sie auch die Sicherheitsmassnahmen, die sie für zweckmässig betrachtet. In diesem Fall verfügt die Fachstelle BS über keine Durchsetzungskompetenzen mehr.
Art. 61 Nach der Einleitung des Verfahrens nimmt die Fachstelle BS Kontakt mit der auftragserteilenden Stelle (Auftraggeberin) auf und bespricht die Details des Auftrags. Sie legt in Absprache mit der Auftraggeberin die Anforderungen an die Informationssicherheit für die Auftragserfüllung fest. Soweit bereits im Rahmen des Vergabeverfahrens die Ausübung einer sicherheitsempfindlichen Tätigkeit notwendig ist, werden auch bereits für diese Phase die Anforderungen festgehalten. Dies ist insbesondere regelmässig dann der Fall, wenn für die Erstellung einer Offerte während des Vergabeverfahrens die Kenntnisnahme von klassifizierten Informationen erforderlich ist.
Art. 62 Der Begriff "Eignung" ist im Sinne der Systematik des öffentlichen Beschaffungsrechts zu verstehen. Zwar stellt die Gewährleistung der Informationssicherheit kein ausdrückliches Eignungskriterium nach Art. 9 BöB dar, der Entwurf fügt es aber für die Ausführung sicherheitsempfindlicher Aufträge ein.
62
Erläuternder Bericht zu einem Bundesgesetz über die Informationssicherheit
Abs. 1: Die Auftraggeberin hat der Fachstelle BS alle für den Zuschlag in Frage kommenden Betriebe zu melden. Abs. 2: Die Fachstelle BS beurteilt hierauf, ob diese Betriebe zur Ausführung des sicherheitsempfindlichen Auftrags geeignet sind, oder ob durch die Erteilung des Auftrages an einen bestimmten Betrieb oder an be- stimmte Betriebe ein Sicherheitsrisiko nach Art. 64 geschaffen würde. Besteht ein Sicherheitsrisiko in Bezug auf eine Anbieterin, ist diese alsdann in Bezug auf die Informationssicherheit ungeeignet. Abs. 3: Die Fachstelle BS muss für die Beurteilung der Eignung weisungsungebunden sein. Es geht hier darum, dass diese Beurteilung frei von wirtschaftspolitischen Interessen getroffen wird (s. auch Art. 42 Abs. 4 für die PSP).
Art. 63
Art. 63 schafft die formell-gesetzliche Grundlage für die Datenerhebung zur Beurteilung der sicherheitsmäs- sigen Eignung der Betriebe nach Art. 62 Abs. 2. Abs. 1 listet auf, welche Daten die Fachstelle BS zur Beurteilung der Eignung erheben kann. Die Modalitä- ten solcher Anfragen und der entsprechenden Auskunftserteilung sind auf Verordnungsebene zu regeln. Nach Bst. a werden die erforderlichen Daten im Wesentlichen beim Betrieb selbst mit dessen Einver- ständnis erhoben (s. auch Art. 57). Bst. b schafft eine formell-gesetzliche Grundlage für Rückfragen der Fachstelle BS beim Nachrichten- dienst des Bundes. Bst. c ermöglicht es der Fachstelle BS, bei Bedarf Daten über die Firma aus dem Handelsregister oder im Internet zu erheben. Solche Recherchen können wichtige Hinweise zur Vertrauenswürdigkeit der Firma liefern (s. Art. 39 Abs. 1 Bst. g für die PSP). Abs. 2: Von dieser Möglichkeit wird sie z.B. dann Gebrauch machen, wenn sich ausländische Firmen bei den Bundesbehörden um einen sicherheitsempfindlichen Auftrag bewerben.
Art. 64 Diese Bestimmung stellt das Pendant zu Art. 42 (Beurteilung des Sicherheitsrisikos bei der PSP) dar. Die Risikobeurteilungsmechanismen sind grundsätzlich identisch. Nach Abs. 1 besteht dann ein Sicherheitsrisiko, wenn konkrete Anhaltspunkte dafür vorliegen, dass der Be- trieb mit hoher Wahrscheinlichkeit den sicherheitsempfindlichen Auftrag vorschriftswidrig oder unsachge- mäss ausführen würde. Abs. 2 listet anschliessend die drei wichtigsten Gründe für eine hohe Wahrscheinlichkeit einer vorschrifts- widrigen oder unsachgemässen Ausführung des Auftrags auf. Bst. a: Dies kann z.B. dann der Fall sein, wenn erhobene Daten zeigen, dass der Betrieb Straftaten began- gen hat, die für die Informationssicherheit relevant sind. Bst. b: Mit dieser Bestimmung soll der Transfer sicherheitsempfindlicher Informationen an Betriebe ver- hindert werden, die durch ihre Eigentumsverhältnisse, ihre Organisationsstrukturen oder ihre Geschäfts- beziehungen beispielsweise von ausländischen Nachrichtendiensten oder Organisationen mit kriminellem Hintergrund gesteuert werden. Bst. c: Wenn der Betrieb aus einer einzelnen Person besteht (Einzelfirma) oder wenn für die Auftragser- füllung bestimmte Personen unentbehrlich sind (z.B. weil diese Personen Fachexperten sind, die nicht er- setzt werden können, oder weil sie den Betrieb führen und der Auftrag ohne ihren Einsatz nicht erfüllt werden kann), kann die Ausstellung einer Risikoerklärung im Rahmen der PSP für diese Betriebsangehö- rigen zur Folge haben, dass der Betrieb als Ganzes als Sicherheitsrisiko beurteilt werden muss. Abs. 3 hält fest, dass das erwähnte Risiko durch die tatsächlichen Umstände des betroffenen Betriebs be- gründet sein muss. Unerheblich ist dabei, ob den Betrieb selbst oder seine Angehörigen irgendein Verschul- den trifft, z.B., wenn die Firma, welcher der Betrieb gehört, von Personen mit nachrichtendienstlichem oder kriminellem Hintergrund gesteuert wird.
Art. 65 Abs. 1: Die Fachstelle BS eröffnet dem betreffenden Betrieb ihre Beurteilung in Bezug auf die Eignung. Ist der Betrieb mit der Risikobeurteilung nicht einverstanden, kann er gegen diese Verfügung Beschwerde beim Bundesverwaltungsgericht erheben (Art. 76 Abs. 3). Die Auftraggeberin kann das Submissionsverfahren bzw. ihre Vertragsverhandlungen mit allen Betrieben, bei denen kein Sicherheitsrisiko erkennbar ist, weiter- führen. Sie ist nicht zur Beschwerde berechtigt und wird deshalb über die Beurteilung nur informiert.
63
Erläuternder Bericht zu einem Bundesgesetz über die Informationssicherheit
Abs. 2: Erkennt die Fachstelle BS in Bezug auf einen oder mehrere Betriebe Sicherheitsrisiken, darf die Auf- traggeberin diesem bzw. diesen hingegen weder den Zuschlag erteilen noch den Vertrag mit einem solchen Betrieb abschliessen. Sie schliesst den bzw. die betreffenden Betriebe als sicherheitsmässig ungeeignet aus dem Vergabeverfahren aus. Die Auftraggeberin ist also an die Beurteilung der Fachstelle BS gebunden. Der Grund dafür besteht darin, dass ein Unternehmen oder Betrieb, dem eine Betriebssicherheitserklärung ausge- stellt wird, ein staatliches "Sicherheitssiegel" erhält. Die Wahrung der Integrität dieses Siegels kann nur dann sichergestellt werden, wenn der Entscheid über die Eignung von Fachspezialisten getroffen wird.
Art. 66 Abs. 1: Sobald die Auftraggeberin den Zuschlag erteilt hat, informiert sie die Fachstelle BS. Diese leitet die weiteren Schritte des Verfahrens ein. Abs. 2: Damit die erforderliche Informationssicherheit im Betrieb, der die sicherheitsempfindliche Tätigkeit ausführen soll, sichergestellt ist, müssen entsprechende organisatorische, personelle, technische und physi- sche Massnahmen getroffen werden. In einem Sicherheitskonzept wird deshalb festgehalten, wie die von der Fachstelle BS nach der Einleitung des Verfahrens mit der Auftraggeberin bereits definierten Anforderungen an die Informationssicherheit umgesetzt werden müssen (s. Art. 61). Abs. 3: In der Regel haben die Betriebe in verschiedensten Bereichen bereits Sicherheitsmassnahmen getrof- fen, die durch die Fachstelle BS nur noch überprüft und wo nötig ergänzt werden müssen. Alle erforderli- chen Massnahmen, die bereits getroffenen sowie die zusätzlich nötigen, werden im Konzept nach Abs. 2 festgehalten. Die notwendigen Daten erhebt die Fachstelle BS direkt beim Betrieb.
Art. 67 Abs. 1: Bei Mitarbeitenden, die eine sicherheitsempfindliche Tätigkeit ausüben sollen, wird eine PSP durch- geführt. Diese Personen werden gestützt auf Art. 34 Abs. 1 Bst. b und gegebenenfalls Bst. c oder Art. 34 Abs. 2 überprüft. Die Prüfstufe richtet sich nach Art. 35. Abs. 2: die Fachstelle BS entscheidet im Anschluss an die PSP verbindlich, ob die geprüfte Person mit der sicherheitsempfindlichen Tätigkeit betraut werden darf.
Art. 68 Abs. 1: Sobald der Betrieb die erforderlichen Sicherheitsmassnahmen getroffen und damit das Sicherheits- konzept nachweislich umgesetzt hat, stellt ihm die Fachstelle BS eine Betriebssicherheitserklärung (BSE) aus. Die BSE ist eine Verfügung nach Art. 5 VwVG. Abs. 2: Wird das Sicherheitskonzept durch den Betrieb nicht umgesetzt, was in der bisherigen Praxis nur äusserst selten vorkam, werden die Anforderungen an die Informationssicherheit nicht erfüllt. Deshalb ver- weigert die Fachstelle BS in derartigen Fällen die BSE und verfügt die Einstellung des Verfahrens. Die Fachstelle BS muss dem Betrieb eine Nachfrist gewähren, um seinen Pflichten nachzukommen, bevor die Verweigerung der BSE verfügt werden darf. Abs. 3: Die Erteilung bzw. Nichterteilung der BSE stellt - anders als die Sicherheitserklärung im Bereich der PSP - eine Verfügung dar, weil sie für die Beteiligten unmittelbare Rechtswirkungen entfaltet (s. Art. 69 ff.). Ist der Betrieb mit der Verfügung der Fachstelle BS nicht einverstanden, steht ihm die Beschwerde an das Bundesverwaltungsgericht offen (Art. 76 Abs. 1). Die Verfügung wird auch der Auftraggeberin mitgeteilt, weil sie den Betrieb, dem die BSE verweigert wird, nicht mit dem sicherheitsempfindlichen Auftrag betrauen darf (Art. 69). Zu diesem Zeitpunkt hat die Auftraggeberin möglichweise bereits viel Geld in das Projekt investiert. Sie ist in diesem Fall (im Gegensatz zu Art. 65 Abs. 1) also auch zur Beschwerde berechtigt. Abs. 4: Mit der Befristung der Geltungsdauer der BSE auf fünf Jahre soll sichergestellt werden, dass regel- mässig eine Neubeurteilung der sicherheitsmässigen Eignung nach Art. 62 ff. vorgenommen wird. Mit dieser kann wesentlichen Änderungen beim Betrieb, die einen Einfluss auf die Informationssicherheit haben, Rech- nung getragen werden.
Art. 69 Die Auftraggeberin ist an den Entscheid der Fachstelle BS gebunden. Sie darf einen Betrieb, dem die BSE verweigert wird, nicht mit einem sicherheitsempfindlichen Auftrag betrauen (s. Art. 68 Abs. 3). Umgekehrt sind Betriebe mit einer gültigen BSE berechtigt, sicherheitsempfindliche Aufträge auszuführen, wenn sie den entsprechenden Zuschlag erhalten und der Vertrag zustande kommt. Die BSE muss vorliegen, bevor die Auftraggeberin den Betrieb den Auftrag ausführen lässt. Diese Regelung entspricht dem Grundsatz von Art. 38 Abs. 3 im Bereich der PSP.
64
Erläuternder Bericht zu einem Bundesgesetz über die Informationssicherheit
Art. 70 Abs. 1: Betriebe mit einer BSE sind zur Mitwirkung und Zusammenarbeit verpflichtet. Ihre wichtigste Pflicht besteht darin, die Massnahmen des Sicherheitskonzepts laufend umzusetzen. Nach Abs. 2 müssen diese Betriebe zudem der Fachstelle BS alle Änderungen melden, die für die Wahrung der Informationssicherheit bei der Erfüllung des sicherheitsempfindlichen Auftrages wesentlich sind. Z.B. sind neue Mitarbeiter zu melden, die mit der Ausübung von sicherheitsempfindlichen Tätigkeiten betraut werden sollen, damit bei ihnen eine PSP durchgeführt wird. Weiter muss der Betrieb die Fachstelle BS und die Auftraggeberin unverzüglich informieren, wenn sich ein sicherheitsrelevanter Vorfall ereignet hat.
Art. 71 Abs. 1 ermächtigt die Fachstelle BS, die Einhaltung der auftragsrelevanten, im Sicherheitskonzept vorgese- henen Sicherheitsmassnahmen im Betrieb zu kontrollieren. Sie kann diejenigen Bereiche des Betriebs, in denen der sicherheitsempfindliche Auftrag ausgeführt wird, überprüfen. Sie kann auch Einsicht in die auf- tragsrelevanten Unterlagen des Betriebs nehmen. Die Überprüfung kann naturgemäss auch unangemeldet erfolgen. Sie darf nur in Begleitung bzw. in Anwesenheit einer zum Betrieb gehörenden Person, in der Regel mit dem Sicherheitsbeauftragten, durchgeführt werden. Abs. 2: Die Fachstelle BS kann beim Vorliegen konkreter Anhaltspunkte für eine Gefährdung der Informati- onssicherheit die erforderlichen Schutzmassnahmen treffen. Die Fachstelle BS kann z.B. die sofortige Ein- schliessung oder Rückgabe bestimmter Unterlagen oder Materialien verfügen. Falls die Informationssicher- heit anderweitig nicht gewährleistet werden kann, ist sie gar befugt, bestimmte Unterlagen oder Materialien sicherzustellen. Dies gilt auch für Fälle, in denen nach dem Konkurs eines Betriebs noch vorhandene Unter- lagen oder IKT-Mittel rasch aus der Konkursmasse ausgeschieden werden müssen.
Art. 72 Abs. 1: Bei der Vergabe neuer sicherheitsempfindlicher Aufträge gelten Betriebe mit einer BSE als geeignet im Sinne von Art. 62. Ihre Eignung wird nicht neu beurteilt. Es kommt ein vereinfachtes Verfahren zur An- wendung, das der Bundesrat auf Verordnungsebene regeln wird. Nach Abs. 2 ist in derartigen Fällen jedoch zu prüfen, ob das bestehende Sicherheitskonzept angepasst wer- den muss. Dies wäre beispielsweise dann der Fall, wenn der betreffende Betrieb bis anhin "nur" VER- TRAULICH klassifizierte Informationen bearbeiten musste, nun aber neu auch GEHEIM klassifizierte In- formationen bearbeiten muss.
Art. 73 Betriebe mit Sitz in der Schweiz, die sich für einen sicherheitsempfindlichen Auftrag aus dem Ausland be- werben wollen, müssen den dortigen Behörden eine Sicherheitserklärung der Schweizer Behörden vorweisen (s. Art. 57 Abs. 1 Bst. b und Art. 68 Abs. 1). Die Fachstelle BS stellt Betrieben mit einer BSE deshalb auf ihren Antrag hin eine entsprechende Bescheinigung aus.
Art. 74 Abs. 1: Die BSE wird widerrufen, wenn der Betrieb seine Pflichten nach Art. 70 nicht erfüllt oder im Rah- men einer Wiederholung des Verfahrens eine neue Beurteilung nach Art. 62 ein Sicherheitsrisiko ergibt. Der Widerruf hat nach Abs. 2 in Form einer Verfügung zu erfolgen, gegen die nach Art. 76 Abs. 3 die Be- schwerde an das Bundesverwaltungsgericht offensteht. Das Beschwerderecht steht auch der Auftraggeberin zu, da ein Widerruf auch für sie nachteilig sein kann. Sie kann beispielsweise ein erhebliches finanzielles Interesse daran haben, dass die BSE nicht widerrufen wird.
Art. 75 Das BSV wird wiederholt, wenn beim Ablauf der Gültigkeitsdauer der BSE noch ein sicherheitsempfindli- cher Auftrag hängig ist und durch den Betrieb bearbeitet wird. Während des Wiederholungsverfahrens wird die Auftragserfüllung nicht gestoppt. Ist der Auftrag fast erfüllt und wurden keine neuen Aufträge erteilt, wird die Fachstelle BS aus Gründen der Verfahrensökonomie das Verfahren nicht wiederholen. Besteht kon- kreter Grund zur Annahme, dass in Folge wesentlicher Änderungen beim Betrieb neue Sicherheitsrisiken entstanden sind, ist das Verfahren ebenfalls zu wiederholen.
Art. 76 Abs. 1 gewährt den Organen des Betriebs verschiedene Rechte (Einsicht, Berichtigung, Entfernung, Bestrei- tung) analog Art. 51 Abs. 1 bei den PSP.
65
Erläuternder Bericht zu einem Bundesgesetz über die Informationssicherheit
Nach Abs. 2 kann gegen Verfügungen der Fachstelle BS beim Bundesverwaltungsgericht Beschwerde ge- führt werden. Mit dieser Norm wird ausdrücklich festgehalten, dass vorliegend die Ausnahmebestimmung von Art. 32 Abs. 1 Bst. a des Verwaltungsgerichtsgesetzes (grundsätzliche Unzulässigkeit der Beschwerde gegen Verfügungen auf dem Gebiet der inneren und äusseren Sicherheit des Landes) nicht zur Anwendung kommt. Beruht jedoch eine Verfügung der Fachstelle BS auf nachrichtendienstlichen Informationen, die nicht an den Betrieb oder an die Öffentlichkeit gelangen sollen, dann finden die entsprechenden Verfahrens- bestimmungen Anwendung (Art. 27 und 28 VwVG).
Art. 77 Abs. 1: Die Fachstelle BS setzt ein Informationssystem zur Durchführung und Bewirtschaftung des BSV ein. Dieses System existiert seit Jahren und wurde kürzlich völlig neu konzipiert. Die heutige Rechtsgrundlage für das System (Art. 150 ff. MIG) soll aus systematischen Gründen in das vorliegende Gesetz verschoben werden. Abs. 2: Weil das System besonders schützenswerte Personendaten und Persönlichkeitsprofile enthalten kann, bedarf es einer Grundlage in einem formellen Gesetz (Art. 17 Abs. 2 DSG), welche Art. 77-80 schaffen. Abs. 3 führt abschliessend alle im Informationssystem gespeicherten Daten auf. Abs. 4 regelt die Verantwortung für die rechtmässige Bearbeitung der Daten im System und die Sicherheit des Systems selbst.
Art. 78
Art. 78 liefert die notwendige Grundlage, um gewisse Daten aus dem Informationssystem bestimmten Stel- len zugänglich zu machen. Bst. a: Die Auftraggeberinnen erhalten Zugang zu den Daten, die sie betreffen sowie zur Liste mit allen Betrieben, die über eine BSE verfügen. Dies ermöglicht es ihnen, sich rasch einen Überblick darüber zu verschaffen, ob ein Betrieb bereits über eine BSE verfügt. Bst. b: Der Bundesrat kann in seinem Ausführungsrecht bestimmte Betriebe ermächtigen, selbst PSP für ihren Bereich einzuleiten. In diesem Fall müssen diese Betriebe Zugang zu bestimmten Daten des Infor- mationssystems erhalten. Bereits mit dem heutigen System können zudem die Sicherheitsbeauftragen ge- wisser Betriebe den Prüfungsentscheid und die Sicherheitsstufe (Prüfstufe) der Mitarbeitenden ihres Be- triebs abrufen.
Art. 79 Die Regelung der Datenaufbewahrung und -vernichtung entspricht mutatis mutandis der für die PSP vorge- schlagenen Regelung (s. Art. 54).
Art. 80 Der Bundesrat muss die erforderlichen ergänzenden Bestimmungen zum BSV erlassen. 2.1.5 Informationssicherheit bei kritischen Infrastrukturen (KI) Zur Nationalen Strategie zum Schutz der Schweiz vor Cyber-Risiken, s. Ziff. 1.1.2.2 sowie 1.2.6.
Art. 81-83 regeln die Aufgaben des Bundes zur Unterstützung der KI-Betreiber im Bereich der Informations- sicherheit. Für die Teilnahme an der öffentlich-privaten Partnerschaft im Rahmen von MELANI und den Bezug der Dienstleistungen des Bundes ist keine spezialgesetzliche Unterstellung unter das Gesetz im Sinne von Art. 3 Abs. 3 erforderlich. Die Zusammenarbeit erfolgt auf freiwilliger Basis.
Art. 81 Gemäss Abs. 1 betrifft die Unterstützung durch den Bund insbesondere die frühe Erkennung und Bewertung der Bedrohungen und Gefahren für schutzwürdige Informationen und Informationssysteme, die entsprechen- de Beurteilung der Risiken, die Erkennung von Vorfällen, die Wiederherstellung der Informationssicherheit in der Folge von Vorfällen sowie die Nachbearbeitung von Vorfällen. Es handelt sich für die KI-Betreiber um wichtige Dienstleistungen des Bundes. Gemäss Abs. 2 führt der Bund einerseits einen nationalen Frühwarnungsdienst, welcher die Bedrohungslage im Bereich der Informationssicherheit laufend analysiert und Informationen über identifizierte Bedrohungen und Gefahren zuhanden der KI-Betreiber aufbereitet, um deren Informationssicherungs- und Risikomanage- mentprozess zu unterstützen. Andererseits betreibt er eine Anlaufstelle für präventive und reaktive Mass- nahmen im Bereich der technischen Informationssicherheit (Governmental Computer Emergency Response Team, GovCERT), welche technische Analysen – zum Beispiel von Schadsoftware – vornehmen und Emp- fehlungen für konkrete technische Massnahmen zur Abwehr von Gefahren oder zur Erkennung von Vorfäl-
66
Erläuternder Bericht zu einem Bundesgesetz über die Informationssicherheit
len abgeben kann. Die mit Aufgaben nach Abs. 2 beauftragten Stellen dürfen zur Erkenntnisgewinnung auch verwundbare Systeme (Honeypots) in Netzwerken simulieren. Gemäss Abs. 3 sorgt der Bundesrat dafür, dass ein sicherer Informationsaustausch zwischen Bund und KI- Betreibern sowie zwischen den Betreibern selbst stattfinden kann. Bedrohungen und Gefahren betreffen häu- fig nicht nur ein einzelnes Ziel, sondern mehrere in einem bestimmten Sektor tätige Organisationen oder gar sektorübergreifend alle KI-Betreiber. Die Inanspruchnahme der Dienstleistungen nach Art. 81 und die Teil- nahme an der öffentlich-privaten Partnerschaft beruht dennoch vollständig auf Freiwilligkeit. Der Grundsatz des Handelns in Eigenverantwortung der KI wird also implizit wiederholt. Durch einen permanenten Infor- mationsaustausch sollen Transparenz und Vertrauen geschaffen werden. Dadurch gewinnen nicht nur die KI- Betreiber an Know-How, sondern auch die Bundesbehörden in ihrer Eigenschaft als Inhaberinnen und Be- treiberinnen von KI. Sie können wichtige Informationen zur Beurteilung ihrer eigenen Risiken und zur Ab- wehr von Gefahren erhalten.
Art. 82 Informationen bezüglich Gefahren und Indikatoren für Vorfälle im Bereich der Informationssicherheit bein- halten regelmässig Angaben zu Adressierungselementen im Fernmeldebereich (z.B. IP-Adressen, E-Mail- Adressen, Domainnamen). Diesen Adressierungselementen ist inhärent, dass sie sich (zumindest theoretisch) auf bestimmte oder bestimmbare Personen, respektive auf Geräte oder Fernmeldeanschlüsse beziehen, wel- che wiederum einer bestimmten oder bestimmbaren Person zugeordnet werden können. Entsprechend sind Adressierungselemente potenziell als Personendaten zu betrachten und es bedarf gemäss Art. 4 Abs. 3 und 17 Abs. 1 DSG einer gesetzlichen Grundlage für ihre Bearbeitung. Abs. 1 sieht entsprechend vor, dass die für die Aufgaben nach Art. 81 zuständigen Stellen Personendaten bearbeiten dürfen. Die Identifikation der betroffenen Person ist allerdings insbesondere bei im Ausland re- gistrierten Adressierungselementen regelmässig nicht oder nur mit erheblichem Aufwand möglich. Sie ist aber für die Gefahrenabwehr auch gar nicht nötig. Da also typischerweise keine Identifikation stattfindet, kann die Datenbearbeitung den betroffenen Personen weder ersichtlich gemacht, noch können sie über die Bearbeitung informiert werden. Der vorliegende Artikel ist entsprechend als Lex Specialis zu Art. 4 Abs. 4 DSG zu sehen. Liegt hingegen der Verdacht vor, dass ein (Schweizer) Adressierungselement respektive ein dieses Adressierungselement verwendendes Gerät durch Unberechtigte missbraucht wird, und dass dadurch eine Gefahr entsteht, kann gegebenenfalls der rechtmässige Nutzer oder die rechtmässige Nutzerin des Adressierungselements identifiziert und über den Missbrauch informiert werden. Die Identifikation muss jedoch nicht zwangsläufig durch die zuständigen Behörden erfolgen: Beispielsweise kann im Fall von dyna- mischen IP-Adressen die vermittelnde Fernmeldedienstanbieterin informiert werden, damit diese die ent- sprechenden Angaben den betroffenen Kunden weiterleiten kann. Den Kunden wird dadurch ermöglicht, Massnahmen zur Unterbindung weiteren Missbrauchs zu ergreifen und bei Vorliegen einer Straftat diese anzuzeigen. In Abs. 2 wird die Kompetenz zur Datenbearbeitung für Personendaten eingeräumt, welche im Zusammen- hang mit administrativen und strafrechtlichen Verfolgungen und Sanktionen stehen. Solche Personendaten gelten gemäss Art. 3 Bst. c Ziff. 4 DSG als besonders schützenswerte Personendaten und staatliche Stellen bedürfen gemäss Art. 17 Abs. 2 DSG einer formell-gesetzlichen Grundlage, damit sie diese bearbeiten dür- fen. Der Austausch von Informationen über kriminelle Infrastrukturen und Missbrauch von Adressierungs- elementen kann für die Abwehr von Gefahren oder die Erkennung von Vorfällen notwendig sein. Auch wenn der Umstand nicht kommuniziert wird, dass ein Verfahren betreffend eines Adressierungselements eingelei- tet oder eine Sanktion verhängt wurde, kann ein Informationsempfänger aus der Angabe, dass ein Adressie- rungselement für kriminelle Zwecke verwendet wurde, schliessen, dass ein entsprechendes Verfahren läuft. Die in diesem Absatz festgehaltene Kompetenz soll verhindern, dass dieser Austausch nicht mehr stattfinden kann, sobald eine Strafuntersuchung oder eine administrative Sanktion bezüglich eines Adressierungsele- mentes eingeleitet wird. Abs. 3 räumt Betreibern von IKT-Mitteln sowie Anbieterinnen von IKT-Diensten die Möglichkeit ein, In- formationen, welche im Zusammenhang mit Gefahren und Vorfällen im Bereich der Informationssicherheit stehen, freiwillig an die zuständigen Stellen nach Art. 81 zu melden. Aufgrund dieser Bestimmung dürfen sie zur Abwehr von Gefahren und entsprechend zur Verhinderung von Schäden Angaben über von ihnen er- brachte Dienstleistungen, Vermittlungen und andere Vorgänge machen. Sie ermöglicht ihnen dadurch auch die rechtmässige Bearbeitung entsprechender Personendaten. Da durch eine solche Bekanntgabe von Daten die Wahrung von Verteidigungsrechten in einem allfälligen Verfahren beeinträchtigt werden kann, sind ent- sprechend beschaffte Daten nicht für gerichtliche Zwecke verwertbar. Auf gerichtliche Verfahren finden die jeweiligen Regeln für die Beweiserhebung weiterhin Anwendung.
67
Erläuternder Bericht zu einem Bundesgesetz über die Informationssicherheit
Art. 83 Der Bundesrat soll auf Verordnungsstufe die Aufgabenteilung und die Zusammenarbeit der Stellen regeln, welche die Aufgaben nach Art. 81 wahrnehmen. Diese sollen gegenüber den KI-Betreibern einheitlich auf- treten. Es steht dem Bundesrat demgegenüber frei, wie er diese Stellen intern organisieren will, um die Auf- gaben des Bundes möglichst effizient wahrnehmen zu können. Im künftigen Bundesgesetz über den Nach- richtendienst des Bundes sind Kompetenzen des Nachrichtendienstes des Bundes im Bereich Schutz der KI vorgesehen. Die entsprechende Aufgabenteilung und Zusammenarbeit soll im Detail vom Bundesrat festge- legt werden können. Aufgrund der Besonderheiten, welche mit der Bearbeitung von nachrichtendienstlichen Informationen einhergehen, soll der Bundesrat deren Austausch zwischen Bundesstellen sowie deren Be- kanntgabe an KI-Betreiber spezifisch regeln. Die zuständigen Stellen sind nicht zwangsläufig im selben De- partement anzusiedeln. Um Transparenz zu schaffen und Rechtssicherheit zu gewährleisten, regelt der Bun- desrat die Datenbearbeitung sowie den Austausch von Daten zwischen diesen Stellen, wie auch die dabei zu berücksichtigende Datensicherheit. 2.1.6 Organisation und Vollzug
Art. 84 Zur Rolle der Informationssicherheitsbeauftragten: s. Ziff. 1.3.2.1. Abs. 1: Das Gesetz greift aufgrund des überwiegenden Bedarfs nach einer integralen Steuerung der Umset- zung des vorliegenden Gesetzes in die Organisationsautonomie der Behörden ein: Es verlangt, dass die ver- pflichteten Behörden sowie die Departemente und die Bundeskanzlei für ihren Zuständigkeitsbereich eine/n Informationssicherheitsbeauftragte/n (international: Chief Information Security Officer, CISO) sowie eine angemessene Stellvertretung bezeichnen. Da einerseits eine wirksame integrale Steuerung der Informations- sicherheit sowohl politisches, rechtliches, organisatorisches als auch technisches Wissen voraussetzt und andererseits durch die Informationssicherheitsbeauftragten sehr viele Aufgaben wahrgenommen werden müssen, verlangt die praktische Umsetzung, dass mindestens zwei Personen pro Behörde diese Aufgaben wahrnehmen. Es wird jedoch nicht verlangt, dass beide Personen in vollem Umfang dafür eingesetzt werden. Der Bundesrat selbst muss ebenfalls seine Informationssicherheitsbeauftragten bezeichnen. Hingegen soll die Aufsichtsbehörde der Bundesanwaltschaft aufgrund ihres begrenzten Personalbestandes nicht dazu verpflich- tet werden. Die eidgenössischen Gerichte werden nicht einzeln aufgeführt, weil es unverhältnismässig wäre, von den personalmässig ebenfalls relativ kleinen Gerichten (z.B. Bundespatentgericht und Militärkassations- gericht) solche Stellen zu verlangen. Das Gesetz lässt es also zu, dass die eidgenössischen Gerichte z.B. eine einzige Stelle und Stellvertretung für alle Gerichte bezeichnen oder einen anderen Ansatz wählen, der die Behördenautonomie wahrt. Die Bundesämter und die dezentrale Bundesverwaltung werden durch das Gesetz ebenfalls nicht verpflichtet, eine Informationssicherheitsbeauftragte oder einen Informationssicherheitsbeauf- tragten zu bezeichnen. Der Bundesrat muss im Rahmen der Erfüllung seiner Organisationspflicht auf Ver- ordnungsebene entscheiden, wie die Informationssicherheit bis auf diese Stufe organisiert und gesteuert wer- den soll. Abs. 2 umschreibt in allgemeiner Form den Aufgabenbereich und die Zuständigkeit der Informationssicher- heitsbeauftragten: Bst. a betont, dass die Entscheidkompetenzen und die Verantwortung für die Entscheidungen im Bereich der Informationssicherheit nach wie vor bei der Linie, also bei den zuständigen Behörden und den ihnen nachgeordneten Stellen liegen sollen. Die Informationssicherheitsbeauftragten sollen die Linie aber fach- lich beraten und unterstützen. Bst. b legt fest, dass die Informationssicherheitsbeauftragten im Auftrag ihrer Behörde oder Organisation die Informationssicherheit sowie das entsprechende Risikomanagement fachtechnisch steuern müssen. Bst. c sieht vor, dass die Informationssicherheitsbeauftragten eine allgemeine Pflicht zur Überprüfung der Einhaltung der Vorschriften dieses Gesetzes haben, dass sie ihrer Behörde Bericht erstatten und bei fest- gestelltem Handlungsbedarf Antrag stellen müssen. Bst. d hält fest, dass die Informationssicherheitsbeauftragten festgestellte sicherheitsrelevante Vorfälle sowohl der Fachstelle des Bundes für Informationssicherheit (Art. 86), der Konferenz der Informationssi- cherheitsbeauftragten (Art. 85) als auch den Stellen, welche die Aufgaben bezüglich Informationssicher- heit bei KI wahrnehmen, melden können. Es wird also im behördenübergreifenden Rahmen auf eine Mel- depflicht verzichtet. Die Mitteilung solcher Vorfälle ist zwar sehr empfehlenswert, aber die Behördenau- tonomie soll nicht tangiert werden.
68
Erläuternder Bericht zu einem Bundesgesetz über die Informationssicherheit
Abs. 3: Die Informationssicherheitsbeauftragten müssen in ihrer Stellung und ihrer Aufgabenwahrnehmung unabhängig sein und dürfen keinen materiellen Interessenkonflikten ausgesetzt werden. Eine fehlende Funk- tionstrennung führt in der Praxis immer wieder zu Problemen beim Vollzug der Sicherheitsvorgaben. So ist z.B. heute noch die Mehrheit der IKT-Sicherheitsbeauftragten den IKT-Leitungen unterstellt. Dabei verfol- gen die IKT-Verantwortlichen oft andere Prioritäten als die Sicherheit und aufgrund der Dringlichkeit und/oder der Kosten wird in Projekten regelmässig auf die Umsetzung der erforderlichen Sicherheitsmass- nahmen verzichtet. Die Informationssicherheitsbeauftragten sollten auch nicht mit dem unmittelbaren Be- trieb von IKT-Mitteln beauftragt oder als Leiter von Projekten, die nicht primär die Informationssicherheit betreffen, eingesetzt werden, denn genau bei solchen Aufgabenkumulationen kollidieren die anderen Anfor- derungen des Betriebs regelmässig mit einer möglichst objektiven Beurteilung der Sicherheitsrisiken. Die genaue Ansiedlung der Funktion ist den Behörden bzw. den Departementen und der BK überlassen. Die Lehre, gestützt auf praktische Erfahrungen, zeigt jedoch, dass die Informationssicherheitsbeauftragten am Effektivsten sind, wenn sie relativ nah an der Behördenleitung angesiedelt werden, weil sie so am besten die Geschäftsprozesse überblicken und die Geschäftsanforderungen beurteilen können. Es wäre zudem wün- schenswert, die Informationssicherheitsbeauftragten so anzusiedeln, dass sie eine enge Koordination mit den bestehenden Risikomanagern, Datenschutzberatern, Sicherheitsbeauftragten (Objektsicherheit) und, gegebe- nenfalls, Öffentlichkeitsberatern sicherstellen können.
Art. 85 Zur Konferenz, s. Ziff. 1.3.2.2. Abs. 1 legt fest, wer in dieser Konferenz ständiges Mitglied ist. Insbesondere müssen die Departemente und die Bundeskanzlei vertreten sein. Abs. 2 umschreibt die Aufgaben der Konferenz, die alle einer wirkungsvollen Koordination des Vollzugs dienen. Die neu zu schaffende Fachstelle des Bundes für Informationssicherheit (s. Art. 86) soll die Konfe- renz bei allen wichtigen Belangen der Informationssicherheit konsultieren und einbeziehen. Besonders wich- tig ist die Beratung der Fachstelle durch die Konferenz in Fragen der Informationssicherheitsstrategie. Die Konferenz soll auch dazu dienen, Trends oder Risiken zu erkennen und entsprechende Massnahmen voraus- schauend zu konzipieren. Nur so können wirksame Lösungen gefunden sowie die erforderliche Akzeptanz geschaffen werden. Wichtig erscheint auch, dass die Koordination mit dem EDÖB ausdrücklich als Auftrag festgehalten ist (Bst. d). Die Konferenz kann für ihre Abklärungen und ihre Meinungsbildung auch Vertreter der Kantone sowie unabhängige Experten beiziehen. Abs. 3 bestimmt, dass die Konferenz ihre eigene Organisation und Geschäftsprozesse bestimmen soll. Auch über ihre Leitung soll sie selbst entscheiden.
Art. 86 Zur Fachstelle des Bundes für Informationssicherheit, s. Ziff. 1.3.2.3. Abs. 1 enthält einen Katalog der behördenübergreifenden Aufgaben und Kompetenzen der künftigen Fach- stelle: Bst. a verpflichtet die Fachstelle zur Beratung der verpflichteten Behörden und deren Informationssicher- heitsbeauftragten. Diese können auch die fachliche Unterstützung der Fachstelle anfordern, insbesondere bei der Aufarbeitung von Vorfällen im Bereich der Informationssicherheit. Nach Bst. b soll die Fachstelle bei unmittelbaren Gefährdungen der Informationssicherheit vorbeugende Schutzmassnahmen empfehlen können. Bst. c: Die verpflichteten Behörden bzw. die von diesen ermächtigten Stellen können die Fachstelle be- auftragen, bei ihnen bestimmte Kontrollen und Audits im Bereich der Informationssicherheit durchzufüh- ren. Die Fachstelle darf von sich aus keine solchen Überprüfungen durchführen. Insbesondere für techni- sche Sicherheitsaudits ist hohes Fachwissen erforderlich, das nicht alle verpflichteten Behörden für sich beschaffen sollten: Die Bereitstellung eines Expertenpools ist wirtschaftlicher. Bst. d: Die verpflichteten Behörden und Organisationen, die neuartige Technologie einsetzen wollen, sind gemäss Art. 20 verpflichtet, eine Risikobeurteilung durchzuführen. Für Technologien, die besonders wichtig oder die einen breiten Anwendungsbereich haben können, sollen sie der Fachstelle beantragen dürfen, diese Risikoanalyse durchzuführen. Bst. e ermächtigt die Fachstelle, auf Antrag der verpflichteten Behörden und Organisationen die Eignung bestimmter Prozesse, Mittel, Einrichtungen, Gegenstände und Dienstleistungen auf sicherheitsrelevante Aspekte zu prüfen. Es geht hier um die sicherheitsmässige Standardisierung von Prozessen, Mitteln, Ein- richtungen, Gegenständen und Dienstleistungen. Im Bereich der technischen Informationssicherheit ha-
69
Erläuternder Bericht zu einem Bundesgesetz über die Informationssicherheit
ben z.B. die IKT-Leistungserbringer ein Interesse daran, zu wissen, ob die technischen Lösungen, die sie entwickeln, die Anforderungen des Bundes erfüllen. Ist das der Fall, dann können sie sie für andere Pro- jekte oder IKT-Mittel wesentlich einfacher einsetzen. Dasselbe gilt auch z.B. für Tresore oder für Dienst- leistungen. Die Verantwortung, auch wenn die Anforderungen erfüllt sind, bleibt jedoch immer bei der Behörde oder Organisation, die solche Mittel einsetzt. Diese Kompetenz ist auch für das internationale Verhältnis erforderlich: Die Fachstelle soll die heute fehlende, international übliche Rolle der National Accreditation Authority wahrnehmen (s. Ziff. 4.2). Bst. f: Wenn wichtige behördenübergreifende Projekte mit wesentlichem Bezug zur Informationssicher- heit in Angriff genommen werden, soll die Fachstelle auf Antrag der verpflichteten Behörden die Steue- rung und Koordination der Informationssicherheitsbelange innerhalb derselben übernehmen. Bst. g: Da das entsprechende Fachwissen für den Bund in der vorgesehenen Fachstelle zusammengefasst werden soll, soll sie auch die Ansprechstelle des Bundes für die inländischen, ausländischen und interna- tionalen Stellen im Bereich der Informationssicherheit sein. Sie wird auch die erforderlichen Rollen im internationalen zwischenbehördlichen Rahmen wahrnehmen (s. Ziff. 4.2.). Andere Behörden oder Orga- nisationen werden aber weiterhin Fachkontakte in diesem Bereich pflegen dürfen. Bst. h: Die Fachstelle soll dem Bundesrat jährlich Bericht erstatten. Gemäss Abs. 3 muss der Bundesrat in seinem Ausführungsrecht die Organisation der Fachstelle regeln. Hierzu wird er festlegen müssen, welche Aufgaben die Fachstelle selbst ausübt oder in Zusammenarbeit mit anderen Bundesstellen erfüllen soll. Der Bundesrat wird in diesem Zusammenhang selbstverständlich auch die Frage ihrer Ansiedelung entscheiden müssen.
Art. 87 Abs. 1: Die Autonomie der verpflichteten Behörden soll nicht in Frage gestellt werden. Sie sollen den Aus- führungsbestimmungen des Bundesrats nicht unterstellt werden. Im Gegenzug müssen sie die für den Voll- zug dieses Gesetzes erforderlichen Ausführungsbestimmungen für ihren Bereich selbst erlassen. Es wird hier auch festgehalten, dass der Bundesrat den Erlass von Ausführungsbestimmungen in Bezug auf den Umgang mit Bundesratsgeschäften an die Bundeskanzlei delegieren darf (s. auch Art. 15 Abs. 2 RVOG). Abs. 2: Mit dieser Regelung und Art. 70 ParlG hat die Bundesversammlung alle nötigen Bestimmungen, damit sie und die Parlamentsdienste das ISG und seine Ausführungsbestimmungen direkt anwenden können. In Abs. 3 wird ein sogenanntes "Opting-out" festgelegt: Die Ausführungsbestimmungen des Bundesrats nach Abs. 1 gelten für alle verpflichteten Behörden sinngemäss, sofern sie keine eigenen Ausführungsbestimmun- gen erlassen. Es versteht sich, dass der Bundesrat die anderen Behörden anhört, bevor er seine Ausführungs- bestimmungen erlässt. Dass der Bundesrat für den Erlass der erforderlichen Ausführungsbestimmungen zur Personensicherheitsprüfung und zum Betriebssicherheitsverfahren allein zuständig ist, ergibt sich daraus, dass diese Stellen Teil der Bundesverwaltung sind, deren Organisation Sache des Bundesrates ist. Abs. 4: Bevor Organisationen des öffentlichen oder privaten Rechts nach Art. 2 Abs. 2 Bst. e dem Gesetz unterstellt werden können, muss beurteilt werden, ob sie sicherheitsempfindliche Tätigkeiten des Bundes ausüben. Der Bundesrat soll für diese Organisationen diese Beurteilung vornehmen und anschliessend den detaillierten Geltungsbereich auf Verordnungsstufe festlegen. Dies kann in den Ausführungsbestimmungen zur Spezialgesetzgebung erfolgen oder in den Ausführungserlassen zu diesem Gesetz. Der Bundesrat kann bei Bedarf nur Teile des Gesetzes von diesen Organisationen anwenden lassen (z.B. Bestimmungen über die Klassifizierung, über den Einsatz der IKT oder über die Personensicherheitsprüfungen).
Art. 88 Abs. 1: Um das erforderliche einheitliche Sicherheitsniveau zu erreichen, soll der Bundesrat Standardanfor- derungen und -massnahmen nach dem Stand der Lehre und der Technik festlegen. Es handelt sich dabei nicht um grundsätzliche organisatorische Anforderungen und Massnahmen, sondern vorab um Anforderun- gen untergeordneter Natur, z.B.: Standard für die Erhebung des Schutzbedarfs von Informationen in Bezug auf die vier Kriterien von Art. 4 Abs. 2; Standardmethode für die Risikobewertung nach Art. 6 Abs. 1; Standards für organisatorische, personelle, technische und bauliche Massnahmen nach Art. 6 Abs. 2; Standardanforderungen für bestimmte Prozesse und Mittel zum Schutz klassifizierter Informationen nach den Art. 12-18;
70
Erläuternder Bericht zu einem Bundesgesetz über die Informationssicherheit
Standardanforderungen und -massnahmen für den Grundschutz, für die Erstellung von Informationssi- cherheitskonzepten sowie für die Sicherheit von IKT-Mitteln der Sicherheitsstufen «hoher Schutz» und «sehr hoher Schutz» nach den Art. 19-27; usw. Abs. 2: Der Bundesrat soll die Erarbeitung und Verabschiedung der Standards wenn nötig an untergeordnete Stellen delegieren. Dies betrifft in erster Linie die Fachstelle des Bundes für Informationssicherheit, aber auch z.B. fedpol im Bereich des Objektschutzes. Die IKT-Leistungserbringer des Bundes sollten ebenfalls technische Sicherheitsstandards erarbeiten können und diese gegebenenfalls zwecks Standardisierung durch die Fachstelle auf ihre Eignung für den Bund prüfen lassen (s. Art. 86 Abs. 1 Bst. e). Eine solche Delegation durch den Bundesrat soll aber nicht umfassend erfolgen. Bestimmte technische Massnahmen können wesent- liche finanzielle Folgen nach sich ziehen, die nicht unbedingt von untergeordneten Stellen beschlossen wer- den sollten. Der Bundesrat soll also auch bei einer allfälligen Delegation sicherstellen, dass er die weitrei- chenden und kostspieligsten Massnahmen selbst beschliesst. Abs. 3: Die Standards sind für die anderen verpflichteten Behörden nicht verbindlich.
Art. 89 Abs. 1: In Fällen, in denen die Kantone bzw. ihre entsprechenden Behörden und Dienststellen vom Gesetz erfasst werden (s. Art. 2 Abs. 2 Bst. f), müssen sie die erforderlichen Sicherheitsmassnahmen nach diesem Gesetz treffen. Die Bundesstellen erhalten damit aber keine unmittelbaren Weisungsbefugnisse, sondern die Kantone sind für den Vollzug in ihrem Zuständigkeitsbereich grundsätzlich selbst verantwortlich. Abs. 2: Der Bundesrat soll die Überprüfung der Umsetzung der Massnahmen sowie die Durchführung von Personensicherheitsprüfungen für kantonale Angestellte in seinem Ausführungsrecht regeln. Insbesondere wird er regeln müssen, wie die Umsetzung der Vorschriften durch die Kantone durch die Bundesbehörden gegebenenfalls kontrolliert wird. Es versteht sich, dass er dabei der staatsrechtlichen Stellung der Kantone und insbesondere ihrer Organisationsautonomie Rechnung tragen wird. In Abs. 3 werden die Kantone verpflichtet, für solche Fälle je eine Dienststelle als Ansprechpartner für die zuständigen verpflichteten Behörden und Organisationen zu bezeichnen. Damit soll sichergestellt werden, dass der Informationsaustausch systematisch stattfindet und die Umsetzung der Massnahmen nach diesem Gesetz koordiniert erfolgt.
Art. 90 Die völkerrechtlichen Verträge im Bereich der Informationssicherheit enthalten vorweg technische Regelun- gen über die wechselseitige Anerkennung nationaler Vorschriften und Abläufe (bspw. das Personensicher- heitsprüfungs- oder Betriebssicherheitsverfahren), Konkordanzlisten über die Anwendung von Klassifizie- rungen sowie Regelungen über die Durchführung gegenseitiger Kontrollen. Es kann zudem erforderlich sein, dass zum Schutz von Informationen, die dem Bund von anderen Staaten oder internationalen Organisationen zur Verfügung gestellt werden, Vereinbarungen zu treffen sind, die in einzelnen Punkten (z.B. Vorausset- zungen für die Klassifizierung, für den Zugang zu oder die Bearbeitung von klassifizierten Informationen oder für die Erteilung der Sicherheitserklärungen) von den gesetzlichen Vorschriften abweichen. Der Liefe- rant der Informationen kann in solchen Fällen verlangen, mit den empfangenden Bundesbehörden gegebe- nenfalls einen strengeren oder weniger strengen Schutz seiner Informationen zu vereinbaren. Entsprechend sind in den Vollzugs- und Organisationsbestimmungen, welche die jeweiligen Vertragsschlusskompetenzen zuweisen, die notwendigen Vorbehalte zu verankern. Aus Gründen der Verwaltungsökonomie soll der Bun- desrat ermächtigt werden, solche Informationssicherheitsabkommen direkt abzuschliessen. Eine zunehmende internationale Vernetzung und Zusammenarbeit ist zur Minimierung von Risiken der In- formationssicherheit erforderlich. Die Umsetzung der NCS verlangt deshalb, dass der Austausch von Erfah- rungen, Forschungs- und Entwicklungsarbeiten, vorfallbezogenen Informationen sowie Ausbildungs- und Übungstätigkeiten verstärkt wird (s. auch Ziff. 1.1.2.2). Der Bundesrat soll deshalb auch ermächtigt werden, völkerrechtliche Verträge zum Austausch von Informationen über Gefährdungen, Schwachstellen und Vor- fälle, insbesondere bei KI, abzuschliessen. Es handelt sich hier vor allem um untergeordnete organisatorische und technische Angelegenheiten (z.B. Zusammenarbeit mit anderen GovCERTs; s. Art. 81).
Art. 91 Jedes Gesetz muss periodisch auf seine tatsächliche Umsetzung sowie seine Zweckmässigkeit, Wirksamkeit und Wirtschaftlichkeit, evaluiert werden. Nach Abs. 1 soll der Bundesrat dafür zuständig sein. Die Bundes- versammlung muss die Kommission bestimmen, welche die Berichte des Bundesrats behandeln soll (Abs. 2).
Art. 92 Aufgrund der neuen Regelung müssen andere Bundesgesetze angepasst werden.
71
Erläuternder Bericht zu einem Bundesgesetz über die Informationssicherheit
Art. 93 Die Personen- und Betriebssicherheitserklärungen nach bisherigem Recht sollen aus Gründen der Verfah- rensökonomie bis zu ihrem Ablauf gültig bleiben. Der Bundesrat soll die Übergangsfristen zur Anpassung der Vorschriften über die Bearbeitung von klassifizierten Informationen sowie über die Gewährleistung der Informationssicherheit beim Einsatz von IKT festlegen. 2.2 Bundesgesetz über Massnahmen zur Wahrung der inneren Sicherheit
Art. 2 Abs. 4 Bst. c sowie Art. 19 - 21 Die PSP soll neu schwergewichtig im ISG geregelt werden. Die entsprechenden Bestimmungen des BWIS müssen daher aufgehoben werden. 2.3 Archivierungsgesetz
Art. 6 Abs. 2 Die Archivierung von Unterlagen des Bundes wird durch das BGA einheitlich geregelt. Als Unterlagen gel- ten insbesondere „alle aufgezeichneten Informationen, unabhängig vom Informationsträger, die bei der Er- stellung öffentlicher Aufgaben des Bundes empfangen oder erstellt worden sind“ (Art. 3 Abs. 1 BGA). Die Dienststellen des Bundes haben dem Bundesarchiv alle Unterlagen zur Archivierung anzubieten, „die sie nicht mehr ständig benötigen“ (Art. 6 BGA). Informationen, die klassifiziert sind, fallen heute auch unter die Archivierungsgesetzgebung. Ihr Schutz wird in diesem Zusammenhang durch Schutzfristen nach Art. 9 ff BGA sichergestellt. Der neue Absatz 2 von Artikel 6 BGA regelt das Verhältnis zwischen dem BGA und dem ISG. Die Bestim- mung dient der klaren Abgrenzung der Anwendungsbereiche der beiden involvierten Gesetze. Das BGA regelt die Archivierung, weshalb dieses Verhältnis nicht im ISG, sondern im BGA selbst geregelt wird. Klas- sifizierte Informationen werden nach Art. 6 Abs. 2 BGA nicht zur Archivierung angeboten, solange sie nach den Bestimmungen des ISG noch schutzwürdig sind. Sobald sie aber in Anwendung der Bestimmungen der Gesetzgebung über die Informationssicherheit entklassifiziert werden können, müssen sie zur Archivierung angeboten werden. Die Klassifizierung und Entklassifizierung richtet sich dabei nach den Bestimmungen des ISG. Klassifizierte Informationen haben mehrheitlich eine zeitlich begrenzte Schutzwürdigkeit und sollen nach den üblichen Regeln des BGA archiviert werden können. Dabei versteht sich, dass die Klassifizierung nicht verwendet werden darf, um sich der Archivierungspflicht zu entziehen. 2.4 Bundespersonalgesetz
Art. 20a Die Erhöhung des Schwellenwerts für die Durchführung von PSP nach dem ISG soll dazu dienen, diese Massnahme nur noch für Tätigkeiten einzusetzen, die tatsächlich eine erhöhte Sicherheitsempfindlichkeit vorweisen. Es besteht jedoch trotz des Gesetzes die Gefahr, dass der Schwellenwert für die PSP in der Praxis herabgesetzt wird bzw. die Anforderungen an die Notwendigkeit einer PSP reduziert werden, wenn die ver- pflichteten Behörden und Organisationen keine anderen Instrumente zur Verfügung haben, um die Vertrau- enswürdigkeit von Bewerberinnen und Bewerbern sowie von Angestellten zu prüfen. Der neue Art. 20a BPG soll den Arbeitgeberinnen und Arbeitgebern entsprechende Mittel anbieten: Sie sollen die Möglichkeit ha- ben, von Stellenbewerberinnen und Stellenbewerbern sowie den Angestellten zu verlangen, dass sie einen Auszug aus dem Strafregister und aus dem Betreibungsregister vorlegen. Dies sollte jedoch nicht standard- mässig erfolgen, sondern nur sofern dies für die Wahrung der Interessen der Arbeitgeber erforderlich ist. Der Bundesrat soll dazu Ausführungsbestimmungen erlassen.
Art. 20b Das ISG beschränkt seine Regelung der PSP auf sicherheitsempfindliche Tätigkeiten beim Umgang mit klas- sifizierten Informationen und IKT-Mitteln sowie beim Zugang zu bestimmten Sicherheitszonen. Diese Tä- tigkeiten dürften den grössten Teil der erforderlichen PSP betreffen. Es verbleiben aber weitere Tätigkeiten im Aufgabenbereich der Bundesbehörden, bei denen wesentliche Interessen des Bundes erheblich beein- trächtigt werden können, ohne dass die Tätigkeiten unmittelbar den Umgang mit Informationen oder IKT- Mitteln betreffen. Für das Personal des Bundes (mit Ausnahme der Armee und der Nationalbank) gehören solche Regelungen in das BPG. Mit der Einfügung einer neuen Bestimmung über die Prüfung der Vertrau- enswürdigkeit in Art. 20b BPG soll ein identifizierter Prüfbedarf abgedeckt werden. Nach Bst. a kann der Bundesrat Bewerberinnen und Bewerber sowie Angestellte prüfen lassen, die re- gelmässig die Schweiz im Ausland vertreten sollen und dabei das Ansehen des Bundes erheblich beein- trächtigen könnten. Es handelt sich hierbei primär um das diplomatische und konsularische Personal des
72
Erläuternder Bericht zu einem Bundesgesetz über die Informationssicherheit
EDA. Eskann aber auch das Personal anderer Departemente betroffen sein, das ähnliche Funktionen wahrnimmt (z.B. beim SECO). Nach. Bst. b kann er auch Bewerberinnen und Bewerber sowie Angestellte prüfen lassen, die Entschei- dungskompetenzen oder Aufsichtsaufgaben in wesentlichen Finanz- oder Steuerangelegenheiten erfüllen sollen und dabei die finanziellen Interessen des Bundes erheblich beeinträchtigen könnten (z.B. Ange- stellte, die Entscheidungskompetenzen bei der Vergabe wesentlicher öffentlicher Aufträge haben, oder Personen, die besonders empfindliche Aufgaben in Zusammenhang mit dem Finanzhaushalt erfüllen). Abs. 2: Der Bundesrat soll in seinem Ausführungsrecht zum BPG die Personengruppen festlegen, die einer Prüfung der Vertrauenswürdigkeit unterzogen werden sollen. Diese Prüfung soll nur bei ausgewiesenem Bedarf angeordnet werden. Die vorliegende Bestimmung darf nicht dazu dienen, die Einschränkung der Prüfgründe nach dem ISG umzugehen. Abs. 3: Es ist nicht sinnvoll, für die Prüfung der Vertrauenswürdigkeit ein besonderes Verfahren einzufüh- ren, da die abzuklärenden Fragen vom Grundsatz her die gleichen sind, wie bei der Informationssicherheit. Für die Durchführung der Prüfung soll daher auf die Regelung im ISG zurückgegriffen werden. Mit der Übernahme des Verfahrens werden insbesondere auch der Grundsatz des Einverständnisses der betroffenen Person für die Durchführung der Prüfung, die Grundsätze der Datenerhebung, und die Regelungen über die Folgen der Beurteilung zur Anwendung kommen. Abs. 4: Wenn die nach dieser Bestimmung zu prüfende Person gleichzeitig einer PSP nach dem ISG unter- zogen werden soll, so sollen im Interesse der Verfahrensökonomie die beiden Verfahren vereinigt werden. 2.5 Strafgesetzbuch
Art. 365 Abs. 2 Bst. d Bei der Anpassung dieses Artikels handelt es sich um eine rein formelle Angelegenheit. Da die PSP neu nicht mehr im BWIS sondern im ISG geregelt werden sollen, müssen die Bestimmungen über die zugriffsbe- rechtigten Stellen sowie den Zweck der Datenerhebung aus dem Strafregister entsprechend angepasst wer- den. Neu wird als Zweck für die Datenerhebung auch die Beurteilung des Sicherheitsrisikos im Rahmen von Prüfungen der Vertrauenswürdigkeit nach der Spezialgesetzgebung aufgeführt. Die Erwähnung der Prüfung des Gewaltpotenzials ist hingegen bereits in Bst. n und p geregelt.
Art. 367 Abs. 2 Bst. i und Abs. 2bis Bst. b S. Erläuterungen zu Art. 365 Abs. 2 Bst. d. 2.6 Bundesgesetz über die polizeilichen Informationssysteme des Bundes
Art. 15 Abs. 4 Bst. f sowie Art. 17 Abs. 4 Bst. l Bei der Anpassung dieser beiden Artikel handelt es sich um eine rein formelle Angelegenheit. Da die PSP neu nicht mehr im BWIS sondern im ISG geregelt werden sollen, müssen die Bestimmungen über die zu- griffsberechtigten Stellen sowie den Zweck der Datenerhebung aus dem Automatisierten Polizeifahndungs- system und dem Nationalen Polizeiindex entsprechend angepasst werden. Neu werden als Zweck für die Datenerhebung zusätzlich die Beurteilung des Sicherheitsrisikos im Rahmen von Prüfungen der Vertrauens- würdigkeit nach der Spezialgesetzgebung sowie die Beurteilung des Gewaltpotenzials im Rahmen von Prü- fungen des Gewaltpotenzials aufgeführt. 2.7 Militärgesetz
Art. 14 Der Entwurf des ISG beschränkt seine vorgeschlagene Regelung der PSP auf gewisse sicherheitsempfindli- che Tätigkeiten (s. oben zu Art. 20b BPG). Auch bei der Armee gibt es aber weitere Tätigkeiten, bei denen das Ansehen des Bundes und seiner Institutionen oder wesentliche finanzielle Interessen des Bundes erheb- lich beeinträchtigt werden können. Abs. 1 sieht deshalb entsprechend dem vorgeschlagenen Art. 20b BPG vor, dass der Bundesrat im Rahmen seiner Ausführungsbestimmungen zum MG zwei Aufgabenbereiche einer Prüfung der Vertrauenswürdigkeit unterstellen kann: Nach Bst. a kann er Angehörige der Armee prüfen lassen, die regelmässig die Schweiz im Ausland ver- treten sollen und dabei das Ansehen des Bundes erheblich beeinträchtigen könnten. Es handelt sich hier vor allem um Angehörige der Armee, die im Rahmen von Auslandeinsätzen die Schweiz vertreten oder die Aufgaben im Bereich der militärischen Diplomatie erfüllen.
73
Erläuternder Bericht zu einem Bundesgesetz über die Informationssicherheit
Nach. Bst. b kann er zudem Angehörige der Armee prüfen lassen, die Entscheidungskompetenzen oder Aufsichtsaufgaben in wesentlichen Finanzangelegenheiten erfüllen sollen und dabei die finanziellen Inte- ressen des Bundes erheblich beeinträchtigen könnten. Abs. 2: Der Bundesrat soll in seinem Ausführungsrecht zum MG die Personengruppen festlegen, die einer solchen Prüfung unterzogen werden sollen. Die Unterstellung ist nur bei ausgewiesenem Bedarf anzuordnen, damit eine Umgehung der Einschränkung der Prüfgründe nach dem ISG vermieden wird. Abs. 3: Wie bei der im BPG vorgeschlagenen Regelung ist es nicht sinnvoll, für diese Prüfung ein besonde- res Verfahren einzuführen, da die abzuklärenden Fragen vom Grundsatz her die gleichen sind, wie bei der Informationssicherheit. Für die Durchführung der Prüfung soll daher auf die Regelung im ISG zurückgegrif- fen werden. Mit der Übernahme des Verfahrens werden insbesondere auch die Grundsätze der Datenerhe- bung und die Regelungen über die Folgen der Beurteilung zur Anwendung kommen. Abs. 4: Wenn die nach dieser Bestimmung zu prüfende Person gleichzeitig einer PSP nach dem ISG unter- zogen werden soll, sollen im Interesse der Verfahrensökonomie die beiden Verfahren vereinigt werden.
Art. 113 Abs. 5 Mit der Beschränkung der PSP nach dem ISG auf sicherheitsempfindliche Tätigkeiten beim Umgang mit Informationen und IKT-Mitteln wird es erforderlich, die Prüfung des Gewaltpotenzials für Angehörige der Armee, die eine Waffe tragen sollen, auf eine spezialgesetzliche Grundlage zu stellen. Für das Verfahren soll die Regelung des ISG sinngemäss Anwendung finden. Sind zwei Verfahren eingeleitet, sollen sie aus Grün- den der Verfahrensökonomie vereinigt werden.
Art. 150 Abs. 4 Aufhebung Die in dieser Vorschrift bisher enthaltene Kompetenz zum Abschluss von Staatsverträgen zur Wahrung der militärischen Geheimhaltung ist neu in Art. 90 ISG enthalten. Es wird denn auch häufig nicht mehr zwischen ziviler und militärischer Geheimhaltung unterschieden, sondern ein Abkommen für beide Sektoren bzw. über die Geheimhaltung im Allgemeinen abgeschlossen. Zur Sicherstellung der Einheitlichkeit des Rechts ist daher Art. 150 Abs. 4 des Militärgesetzes aufzuheben. 2.8 Bundesgesetz über die militärischen Informationssysteme 5. Kapitel 1. und 2. Abschnitt (Artikel 144–155) Die Informationssysteme zur PSP und zum BSV werden heute im MIG geregelt. Neu werden beide Informa- tionssysteme direkt im ISG geregelt (Art. 52-54 für die PSP und Art. 77-79 für das BSV). Die beiden ent- sprechenden Abschnitte im MIG müssen deshalb aufgehoben werden. 2.9 Kernenergiegesetz
Art. 5 Abs. 3 Der geltende Art. 5 Abs. 3 KEG sieht bereits heute vor, dass die Sicherungsmassnahmen soweit erforderlich klassifiziert werden müssen. Die Änderung soll sicherstellen, dass die Klassifizierung dieser Massnahmen sowie die Bearbeitung der entsprechenden klassifizierten Informationen sich nach dem ISG richten.
Art. 24 Die geltende Regelung von Art. 24 KEG sieht bereits Zuverlässigkeitskontrollen für Personen vor, die in Funktionen eingesetzt werden, welche für die nukleare Sicherheit und die Sicherung der Kernanlage wesent- lich sind. Bei diesen Personen wird gestützt auf die PSPVK eine PSP durchgeführt. Mit der Neufassung wird der Wortlaut von Art. 24 KEG an die neue Terminologie für Prüfungen der Vertrauenswürdigkeit angepasst, da die Prüfung in sinngemässer Anwendung der Bestimmungen über die PSP des ISG durchgeführt wird. 2.10 Stromversorgungsgesetz
Art. 26a Die nationale Netzgesellschaft, die das Übertragungsnetz für Elektrizität auf gesamtschweizerischer Ebene betreibt (Swissgrid), verlangt seit Jahren, dass bei gewissen Personalgruppen PSP durchgeführt werden. An- gesichts der Kritikalität des Übertragungsnetzes und des entsprechenden Bedarfs an Sabotageschutz soll ins StromVG eine neue Bestimmung über die Durchführung von Prüfungen der Vertrauenswürdigkeit bei be- sonderen Personengruppen eingefügt werden. Abs. 1 legt den Grundsatz der Prüfung der Vertrauenswürdigkeit von Angestellten der nationalen Netzgesell- schaft fest, die Aufgaben erfüllen sollen, die für die Sicherheit des Übertragungsnetzes auf gesamtschweize- rischer Ebene und dessen zuverlässigen und leistungsfähigen Betrieb wesentlich sind.
74
Erläuternder Bericht zu einem Bundesgesetz über die Informationssicherheit
Nach Abs. 2 soll der Bundesrat den Personenkreis bestimmen, der geprüft werden muss. Dabei soll er sich auf Funktionen beschränken, die bei Sabotagehandlungen oder -unterlassungen einen erheblichen Schaden anrichten können. Abs. 3: Das Prüfverfahren richtet sich nach den Bestimmungen des ISG über die PSP. Abs. 4 hält sich an die ähnliche Regelung nach Art. 24 KEG. Die Geschäftsleitung von Swissgrid sowie die Regulatoren (BFE und ElCom) als übertragende Stellen sollen Zugang zu den Daten der Prüfung erhalten.
2.11 Nationalbankgesetz
Art. 16, Sachüberschrift und Abs. 5 Aufgrund ihrer geld- und währungspolitischen Aufgaben (s. auch Art. 1 Abs. 2 Bst. d) soll die Nationalbank als verpflichtete Behörde nach Art. 2 Abs. 1 ISG gelten. Mit der Anpassung von Art. 16 NBG wird aus- drücklich darauf verwiesen, dass das ISG für die Nationalbank gelten soll. Die Sachüberschrift des Artikels wird entsprechend angepasst. 3 Auswirkungen 3.1 Auswirkungen auf den Bund Informationen werden geschützt, weil eine Verletzung ihrer Vertraulichkeit, Verfügbarkeit, Integrität oder Nachvollziehbarkeit (s. Art. 4) die Rechte von Dritten verletzen (z.B. Personendaten oder Geschäfts- und Fabrikationsgeheimnisse), wesentliche öffentliche Interessen beeinträchtigen (z.B. die Handlungsfähigkeit der Bundesbehörden, die nationale Sicherheit, die internationalen Beziehungen oder die Landesversorgung) oder der betroffenen Organisation einen Schaden zufügen (z.B. Produktivitätsverlust oder Betriebsstörungen) kann. Informationssicherheit hat zum Ziel, möglichst effektiv und günstig die Eintrittswahrscheinlichkeit und gegebenenfalls das Ausmass eines solchen - auch finanziellen - Schadens zu reduzieren. Ihre Kosten müssen also mit der entsprechenden Reduktion der Risiken abgewogen werden. Das Gesetz wird nach heutiger Einschätzung eine wesentliche und nachhaltige Verbesserung der Informati- onssicherheit im Bund bewirken. Es regelt in erster Linie das Management der Informationssicherheit und wird dessen Effizienz erhöhen: Ein effizientes Management verbessert nämlich die Sicherheit oft effektiver, wirtschaftlicher und nachhaltiger als Investitionen in technische Massnahmen. Die Praxis hat zudem gezeigt, dass eine Optimierung des Managements der Informationssicherheit - insbesondere wenn letzteres auf ein effektives Risikomanagement gestützt ist - mittelfristig sogar zu Kosteneinsparungen beitragen kann. Der Entwurf sieht zudem mehrere organisatorische Massnahmen vor, die im Vergleich zu heute nicht nur einen besseren Schutz der Informationen bewirken werden, sondern auch zu relativen Kosteneinsparungen führen sollen, sofern sie konsequent umgesetzt werden. So soll z.B. die Erhöhung der Schwellenwerte für die Klas- sifizierung die Anzahl klassifizierter Informationen und somit den entsprechenden Aufwand reduzieren (s. Ziff. 1.2.3.4). Bei den Personensicherheitsprüfungen (PSP) werden gleichzeitig der Schwellenwert für die Durchführung einer PSP erhöht und die Anzahl Tätigkeiten, für deren Ausübung eine PSP erforderlich (und zulässig) ist, reduziert. Es sollen also inskünftig weniger PSP durchgeführt werden (s. Ziff. 1.2.4). Ferner werden z.B. die vorgeschlagene Standardisierung von Sicherheitsanforderungen und -massnahmen (s. Art. 88), der verbesserte Informationsaustausch zwischen den Bundesbehörden und die Unterstützung der Bun- desbehörden durch die Fachstelle des Bundes für Informationssicherheit (s. Art. 84-86) dazu beitragen, dass das Rad nicht bei jedem Projekt neu erfunden werden muss. Die Neuregelung wird schliesslich die internati- onale Zusammenarbeit im Sicherheitsbereich erleichtern (s. Ziff. 4.2). Die notwendige Verbesserung der Informationssicherheit beim Bund wird Kosten nach sich ziehen. Diese können jedoch erst nach der Durchführung der Vernehmlassung sachgemäss abgeschätzt werden. Hierzu sind nämlich Organisations- und Ressourcierungsvarianten in Bezug auf die Informationssicherheitsbeauf- tragten und die Fachstelle des Bundes für Informationssicherheit sowie präzisere Angaben über die Anzahl der bestehenden IKT-Mittel, die inskünftig in die Sicherheitsstufe «sehr hoher Schutz» gehören werden, erforderlich. Der Bundesrat wird die finanziellen und personellen Auswirkungen des Entwurfs in seiner Bot- schaft transparent auslegen. Die Kosten, die vom Gesetz direkt verursacht werden, müssen klar von den Kosten derjenigen Massnahmen unterschieden werden, welche die jeweiligen Bundesbehörden im Rahmen des Vollzugs frei beschliessen können. Das Gesetz regelt nämlich nur das Management der Informationssicherheit und legt weder ein zu erreichendes Sicherheitsniveau noch - mit wenigen Ausnahmen (s. unten) - detaillierte Massnahmen fest. Es ist deshalb nicht direkt umsetzbar: Die Bundesbehörden müssen für ihren Zuständigkeitsbereich eigene Aus- führungsbestimmungen erlassen und verfügen dabei - ausser im organisatorischen Bereich - über fast unein-
75
Erläuternder Bericht zu einem Bundesgesetz über die Informationssicherheit
geschränkten Handlungsspielraum (s. Art. 87 Abs. 1). In diesem Rahmen müssen sie das Sicherheitsniveau festlegen, das sie erreichen wollen (s. Art. 5 Abs. 3 Bst. a), und daraus abgeleitet auf Verordnungs-, Wei- sungs- oder sogar Projektebene die erforderlichen organisatorischen, personellen, technischen und baulichen Anforderungen und Massnahmen beschliessen, um dieses Niveau zu erreichen. Je höher das zu erreichende Sicherheitsniveau festgelegt wird, desto höher werden die Kosten der Sicherheitsmassnahmen ausfallen. Auf diese Kosten hat das Gesetz selbst keinen Einfluss. Sie können deshalb bei der Beurteilung der finanziellen und personellen Auswirkungen des Gesetzes auch nicht beziffert werden. Alle Bundesbehörden sind bereits heute verpflichtet, Massnahmen zur Gewährleistung der Informationssi- cherheit zu treffen. Massgebend für die Beurteilung der Kosten sind dementsprechend diejenigen Bestim- mungen des Gesetzes, die neue Aufgaben festlegen oder bestehende Aufgaben und Prozesse ändern. Nach- folgend werden die fünf wichtigsten Kostentreiber des Entwurfs aufgeführt: 1. Organisation, Steuerung, Umsetzung und Überprüfung der Informationssicherheit (Art. 5 Abs. 1 Bst. a): Die vom Gesetz verlangte Neuorganisation wird einen nicht zu unterschätzenden organisatorischen Auf- wand nach sich ziehen und finanzielle Ressourcen erfordern. Insbesondere in der Aufbau- und der Ein- führungsphase wird Fachwissen, das den Bundesbehörden heute teilweise fehlt, beschafft werden müssen. Für das Management und den Betrieb einer solchen internen Organisation werden die Informationssi- cherheitsbeauftragten zuständig sein. Das Gesetz sieht für jede Behörde sowie für die Departemente und die BK mindestens zwei Informationssicherheitsbeauftragte vor. Die Wahrnehmung dieser Aufgaben soll mehrheitlich mit den bestehenden personellen Ressourcen erfolgen. Der tatsächliche personelle Bedarf wird aber unterschiedlich ausfallen und von der Grösse der Behörde oder Organisation (Personalbestand), von ihrem Aufgabenbereich sowie von der Anzahl und der Kritikalität der von ihr eingesetzten IKT- Mittel abhängen. 2. Verstärktes Kontroll- und Auditwesen (Art. 11 Abs. 2 sowie z.B. Art. 24 Abs. 2): Für die Durchführung von Kontrollen, einer geschäftsüblichen Führungsaufgabe, ist grundsätzlich die Linie zuständig. Die In- formationssicherheitsbeauftragten werden im Auftrag ihrer Behörde oder Organisation auch selbst Kon- trollen und Audits durchführen. Das Gesetz sieht jedoch zwei neue Arten von Kontrollen vor, die finanzi- elle bzw. personelle Auswirkungen nach sich ziehen werden: eine unabhängige periodische Prüfung der Wirksamkeit der getroffenen Massnahmen (Art. 11 Abs. 2) sowie eine technische Prüfung der Wirksam- keit für die kritischsten IKT-Mittel (Art. 24 Abs. 2). Die daraus entstehenden Kosten werden von der Pe- riodizität solcher Prüfungen abhängen. Als Grössenordnung können folgende Angaben geliefert werden: Externe Audits (Art. 11 Abs. 2): Gemäss Angaben der EFK sind erfahrungsgemäss für eine kleine Querschnittsprüfung ca. 100 Personentage und für eine grosse Querschnittsprüfung ca. 300 Personen- tage notwendig. Technische Wirksamkeitsprüfungen (Art. 24 Abs. 2): Im Bund werden schätzungsweise 50 bis 70 IKT- Systeme eingesetzt, die inskünftig der neuen Sicherheitsstufe «sehr hoher Schutz» zugeordnet werden und somit einer derartigen Prüfung unterzogen werden müssen. Erfahrungsgemäss entsprechen die Auditkosten (Personalkosten) dabei in der Regel zwischen 0.5% und 2% der gesamten Investitions- kosten für das zu auditierende IKT-System. 3. Personensicherheitsprüfungen (PSP; Art. 32-55): Ein Ziel dieses Gesetzes besteht darin, die PSP zu har- monisieren und zu straffen. Mit den vorgeschlagenen Anpassungen sollen inskünftig weniger PSP durch- geführt werden und die entsprechenden Kosten deshalb mittelfristig gesenkt werden. 4. Betriebssicherheitsverfahren (BSV; Art. 56-80): Heute setzt das VBS zur Durchführung des Betriebssi- cherheitsverfahrens für militärisch klassifizierte Aufträge zwei Vollzeitstellen ein. Die vom Bundesrat vorgeschlagene Erweiterung des BSV auf den zivilen Bereich und auf die anderen Bundesbehörden wird zu einer Zunahme der betreuten Betriebe und damit zu einem zusätzlichen personellen Aufwand führen. Betriebe, die sich um Aufträge ausländischer Behörden bewerben und dafür eine Betriebssicherheitserklä- rung brauchen, werden die Kosten des durchzuführenden BSV zu tragen haben (Art. 57 Abs. 3) 5. Fachstelle des Bundes für Informationssicherheit (Art. 86): Die Schaffung dieser neuen Fachstelle wird Reorganisationskosten nach sich ziehen. Diese hängen von der administrativen Zuordnung der Fachstelle sowie vom Ausmass der Zusammenlegung bestehender Fachorgane ab. Obwohl die Fachstelle ihre Auf- gaben mehrheitlich mit bestehenden personellen Ressourcen der Bundesverwaltung erfüllen soll, wird ein personeller Mehrbedarf vorhanden sein. Die Fachstelle wird nämlich nicht nur für die Bundesverwaltung, sondern auch für die anderen Bundesbehörden tätig sein. Sie wird überdies neue Aufgaben erfüllen müs- sen, namentlich: Durchführung von Kontrollen und Audits (Art. 86 Abs. 1 Bst. c): S. oben "verstärktes Kontroll- und Auditwesen".
76
Erläuternder Bericht zu einem Bundesgesetz über die Informationssicherheit
Prüfung der sicherheitsmässigen Eignung bestimmter Prozesse, Mittel und Dienstleistungen (Art. 86 Abs. 1 Bst. e): Diese neue Aufgabe ist für die angestrebte Standardisierung sowie für die internationa- le Zusammenarbeit notwendig. Steuerung und Koordination der Informationssicherheit bei wichtigen behördenübergreifenden Projek- ten (Art. 86 Abs. 1 Bst. f). Mit dieser neuen Aufgabe soll einerseits sichergestellt werden, dass bei derartigen Projekten die Zuständigkeiten klar geregelt werden, andererseits aber auch, dass anerkannte Experten das Projekt sicherheitsmässig begleiten. Erarbeitung oder Festlegung von standardisierten Sicherheitsanforderungen und Massnahmen nach dem Stand der Lehre und der Technik (Art. 88 Abs. 1 und 2). Diese Massnahme ist für einen mög- lichst einheitlichen Vollzug notwendig. Sie kann aber auch zu Kosteneinsparungen führen (s. oben). Der Bundesrat wird die Organisation der Fachstelle auf Verordnungsebene regeln (Art. 86 Abs. 3). Dabei wird er auch entscheiden, welche bestehenden Organe zusammengelegt werden sowie wie und mit welchen Mitteln die Fachstelle ihre Aufgaben erfüllen wird. 3.2 Auswirkungen auf die Kantone und Gemeinden Die Kantone sind nur betroffen, soweit sie im unmittelbaren Auftrag und unter Aufsicht des Bundes sicher- heitsempfindliche Tätigkeiten ausüben (s. Art. 2 Abs. 2 Bst. f sowie Art. 89). Sie müssen in diesem Fall die nach diesem Gesetz erforderlichen Sicherheitsmassnahmen treffen und sind zudem verpflichtet, eine Dienst- stelle als Ansprechpartner für die zuständigen Bundesbehörden zu bezeichnen. Der Bundesrat soll die Durch- führung der Personensicherheitsprüfungen bei Bediensteten der Kantone sowie die Überprüfung der Umset- zung der Massnahmen durch die Kantone auf Verordnungsstufe regeln. Er wird dabei die Autonomie der Kantone berücksichtigen. Die Auswirkungen auf die Kantone werden also gering ausfallen. 3.3 Auswirkungen auf die Volkswirtschaft Dritte werden nur indirekt vom Gesetz erfasst, das heisst, wenn sie im Rahmen eines Vertrags mit Informati- onen oder IKT-Mitteln des Bundes umgehen sollen. Betriebe, die sich für zivile Aufträge des Bundes bewer- ben, die eine sicherheitsempfindliche Tätigkeit einschliessen, werden aufgrund der Einführung des einheitli- chen Betriebssicherheitsverfahrens einem solchen Verfahren unterstellt. Mit dieser Unterstellung ist zwar ein geringer zusätzlicher administrativer Aufwand verbunden. Umgekehrt wird dadurch jedoch die Wettbe- werbsfähigkeit von Schweizer Unternehmen verbessert, weil das Gesetz die Grundlage für die Abgabe be- hördlicher Sicherheitserklärungen zu Gunsten Privater schafft, die sich für ausländische oder internationale klassifizierte Aufträge bewerben und dafür eine nationale Sicherheitserklärung benötigen (s. Art. 56-80). Die Volkswirtschaft wird zudem vom verbesserten Schutz von Geschäfts- und Fabrikationsgeheimnissen, die den Bundesbehörden anvertraut werden, profitieren. 3.4 Auswirkungen auf die Gesellschaft Die Gesellschaft ist in zweifacher Hinsicht betroffen. Einerseits wird ihr Vertrauen in die sichere Bearbei- tung von Informationen durch die Bundesbehörden erhöht. Sie erhält die Gewissheit, dass der Bund die sie betreffenden Informationen (insbesondere Personendaten sowie Geschäfts- und Fabrikationsgeheimnisse) als wichtig betrachtet und sie entsprechend schützt. Andererseits werden die Grundsätze der Klassifizierung von Informationen offen gelegt. Dies ist insbesondere in Bezug auf das Öffentlichkeitsprinzip wichtig, dessen Wirkung durch das vorliegende Gesetz keinesfalls beeinträchtigt werden darf. 3.5 Verhältnis zu nationalen Strategien des Bundesrates 3.5.1 Strategie für eine Informationsgesellschaft in der Schweiz Der vorliegende Vorentwurf wurde im Vorhaben-Katalog Informationsgesellschaft 2011–2015 (Stand Juni 2013) unter dem Handlungsfeld "Sicherheit und Vertrauen" aufgenommen. Das Gesetz wird klare Grundla- gen für die Umsetzung der Sicherheitsanforderungen in den Projekten, die vom Bund durchgeführt werden, schaffen. Zur Strategie: S. Ziff. 1.2.1.1. 3.5.2 Nationale Strategie zum Schutz der Schweiz vor Cyber-Risiken (NCS) Zur NCS: S. Ziff. 1.1.2.2; zum Verhältnis zwischen der NCS und dem Entwurf: s. Ziff. 1.2.6; zur Unterstüt- zung der KI-Betreiber im Bereich der Informationssicherheit: s. Art. 81-83. 3.5.3 Nationale Strategie zum Schutz kritischer Infrastrukturen (SKI-Strategie) Die SKI-Strategie vom 27. Juni 2012 (BBl 2012 7715) hat zum Ziel, die Resilienz der Schweiz im Zusam- menhang mit KI zu verstärken. Die Strategie bezeichnet dazu verschiedene Massnahmen in zwei Bereichen. Der Selbstschutz wird verbessert, indem die zuständigen Stellen integrale Schutzkonzepte erarbeiten und
77
Erläuternder Bericht zu einem Bundesgesetz über die Informationssicherheit
umsetzen. Darin werden infrastrukturspezifische Risiken identifiziert und reduziert. Im Infrastrukturübergrei- fenden Bereich werden die Zusammenarbeit der Akteure (Behörden, Betreiber) aus den verschiedenen KI- Sektoren verbessert und die Verletzlichkeit von Gesellschaft, Wirtschaft und Staat durch schwerwiegende Ausfälle verringert. Zu diesem Zweck werden Planungen zur Schadensbewältigung bei schwerwiegenden Ausfällen und zur subsidiären Unterstützung der KI-Betreiber bei solchen Ereignissen erarbeitet. Der Bun- desrat will die KI-Betreiber in ihren eigenen Schutzbestrebungen unterstützen. Dabei soll auch die grösst- mögliche Resilienz im Hinblick auf die Informationssicherheit erreicht werden. Verschiedene Massnahmen der SKI-Strategie zielen direkt auf Anliegen der verbesserten Informationssi- cherheit. So sieht z.B. ihre Massnahme 7 die Schaffung von formell-gesetzlichen Grundlagen zur Sicher- heitsüberprüfung von ausgewähltem Personal der KI-Betreiber vor. Die Durchführung von Sicherheitsprü- fungen soll grundsätzlich im Sinne der NCS in der Spezialgesetzgebung vorgesehen werden (s. Ziff. 1.1.2.2 sowie Art. 3 Abs. 3). Mit dem Entwurf wird auch die Schaffung einer Grundlage zur Durchführung von Ver- trauenswürdigkeitsprüfungen bei bestimmten Angestellten der Swissgrid im StromVG beantragt (s. Art. 26a StromVG). Das ISG unterstützt somit auch die Umsetzung der SKI-Strategie. 4 Rechtliche Aspekte 4.1 Verfassungsmässigkeit Nach Art. 42 BV benötigt der Bundesgesetzgeber für seine Regelungen eine (ausdrückliche oder implizite) Verfassungsgrundlage. Für die angestrebte Gesetzgebung im Bereich der Informationssicherheit bestehen hinreichende Verfassungsgrundlagen. Formal handelt es sich bei den zu erlassenden Regelungen vorweg um Organisationsbestimmungen für die Bundesbehörden. Das Organisationsrecht des Bundes wird zwar als Ge- setzgebungskompetenz beim Katalog der Kompetenzausscheidung zwischen Bund und Kantonen in der BV nicht ausdrücklich erwähnt, doch führt Art. 164 Abs. 1 Bst. g BV bei den Zuständigkeiten der Bundesver- sammlung "die Organisation und das Verfahren der Bundesbehörden" unter den Gegenständen auf, die in der Form des Bundesgesetzes zu erlassen sind (s. etwa den Ingress zum ParlG). Im Weiteren wird in der gelten- den Organisationsgesetzgebung auch etwa auf Art. 173 Abs. 2 BV verwiesen, welcher der Bundesversamm- lung alle Geschäfte zuweist, die in die Zuständigkeit des Bundes fallen und keiner anderen Behörde zuge- wiesen sind (s. etwa den Ingress (mit Fussnote 1) zum RVOG, zum BGÖ sowie zum ZNDG). Inhaltlich sollen die Regelungen primär der Wahrung der Sicherheit des Landes im Innern und gegen aussen dienen sowie die Entscheidungs- und Handlungsfähigkeit der Behörden schützen. Insofern stützen sich die Regelungen auch auf Art. 54 Abs. 1 und 2 BV (Beziehungen zum Ausland und Wahrung der äusseren Si- cherheit) sowie auf Art. 57 Abs. 1 BV, der den Bund und die Kantone beauftragt, "... im Rahmen ihrer Zu- ständigkeiten für die Sicherheit des Landes ..." zu sorgen (s. etwas den Ingress zum BWIS). Nicht unter die erwähnten Ziele fallen die Bestimmungen zum Betriebssicherheitsverfahren, soweit sie für Betriebe vorgesehen sind, die eine Betriebssicherheitserklärung benötigen, um sich für klassifizierte Aufträ- ge ausländischer oder internationaler Behörden bewerben zu können. Diese Regelung wird durch Art. 101 BV abgedeckt, der die Grundlage für die Förderung der Aussenwirtschaft bildet. Die Bestimmungen zum Schutz der KI können sich sowohl auf die Grundlagen im Bereich der inneren und äusseren Sicherheit als auch auf die Kompetenzen des Bundes im Bereich der Landesversorgung (Art. 102 BV) abstützen. Für die Armee kann auf Art. 60 BV verwiesen werden, der die Organisation der Armee zur Bundessache erklärt. 4.2 Vereinbarkeit mit internationalen Verpflichtungen der Schweiz Die Schweiz unterhält mit verschiedenen Staaten und internationalen Organisationen Informationsschutzver- einbarungen (ISA) bzw. Sicherheitsabkommen (Security Agreements bzw. Security Arrangements; s. SR 0.514). Mit diesen Staatsverträgen hat sich die Schweiz zur Einhaltung gewisser Standards zum Schutz klas- sifizierter Informationen verpflichtet. Neben der EU hat die Schweiz auch ISA mit der NATO (1997) im Rahmen des Engagements "Partnerschaft für den Frieden" sowie mit der ESA (2004) abgeschlossen. Diese Verträge enthalten einerseits materielle Bestimmungen wie beispielsweise einheitliche Schutzmechanismen für das Bearbeiten von klassifizierten Informationen oder die gegenseitige Anerkennung von Sicherheitsbe- scheinigungen. Andererseits enthalten sie auch organisatorische und strukturelle Standards. So wird jeweils die für die Umsetzung der Sicherheitsmassnahmen zuständige Stelle genannt (National Security Authority oder Designated Security Authority). Insbesondere im COMSEC-Bereich werden solche nationale Anlauf- stellen verlangt, welche einheitliche Standards im IKT-Bereich festlegen (National Accreditation Authority bzw. Security Accreditation Authority). Die Fachstelle des Bundes für Informationssicherheit (Art. 86) wird diese Aufgaben und die Verantwortlichkeiten im internationalen Verhältnis übernehmen.
78
Erläuternder Bericht zu einem Bundesgesetz über die Informationssicherheit
4.3 Erlassform Der Bundesrat ist bereits in seinem Beschluss vom 12. Mai 2011 zur Erarbeitung von formell-gesetzlichen Grundlagen für den Informationsschutz davon ausgegangen, dass die wesentlichen Regelungen über die In- formationssicherheit in der Form des Bundesgesetzes festzulegen sind. Einerseits handelt es sich um wesent- liche Organisations- und Verfahrensregelungen für die Bundesbehörden (Art. 164 Abs. 1 Bst. g BV), die infolge der Notwendigkeit der einheitlichen Geltung auch behördenübergreifende Wirkungen entfalten müs- sen. Andererseits handelt es sich um Bestimmungen, die insbesondere im Bereich der Sicherheitsprüfungen erhebliche Eingriffe in grundrechtlich geschützte Positionen zur Folge haben. 4.4 Delegation von Rechtsetzungsbefugnissen Die vom Gesetz verpflichteten Behörden werden insbesondere bei der Regelung der Aufgaben, Zuständig- keiten und organisatorischen Massnahmen in ihren Zuständigkeitsbereichen Ausführungsrecht erlassen müs- sen. Es handelt sich dabei im Grossen und Ganzen nicht um gesetzesvertretendes Verordnungsrecht im Sinne der anerkannten Delegationsgrundsätze, sondern um eigentliches (selbständiges) Ausführungsrecht, dessen materielle Grundzüge im Gesetz angelegt sind und das Privaten keine unmittelbaren Rechte einräumt oder Pflichten auferlegt. Die Verfassung selbst spricht den verpflichteten Behörden grundsätzlich die Kompetenz zum Erlass derartigen Ausführungsrechts zu. Deshalb wird es im Gesetzesentwurf nicht detailliert aufge- führt. Ausdrückliche Delegationsnormen enthält das Gesetz hingegen dort, wo es: den Erlass von Ausführungsbestimmungen oder gesetzesvertretendem Verordnungsrecht durch die be- troffenen Behörden zur Pflicht macht (z.B. Art. 5 Abs. 1, Art. 19 Abs. 1, Art. 22 Abs. 1, usw.); den Bundesrat zum selbständigen Abschluss völkerrechtlicher Verträge ermächtigt (Art. 90).
79