AS 2021 132
Verordnung über den Schutz vor Cyberrisiken in der Bundesverwaltung
AS 2021 www.bundesrecht.admin.ch Massgebend ist die signierte elektronische Fassung
Verordnung über den Schutz vor Cyberrisiken in der Bundesverwaltung (Cyberrisikenverordnung, CyRV)
Änderung vom 24. Februar 2021
Der Schweizerische Bundesrat verordnet:
I Die Cyberrisikenverordnung vom 27. Mai 20201 wird wie folgt geändert:
Art. 3 Bst. h In dieser Verordnung bedeuten: h. Informatikschutzobjekte: Anwendungen, Services, Systeme, Netzwerke, Da- tensammlungen, Infrastrukturen und Produkte der Informatik; mehrere glei- che oder zusammenhängende Objekte können zu einem Informatikschutzob- jekt zusammengefasst werden;
Art. 13 Abs. 3, 4 und 5 3 Die Departemente und die Bundeskanzlei bestimmen je eine Informatiksicherheits- beauftragte oder einen Informatiksicherheitsbeauftragten (ISBD), die oder der in di- rektem Auftrag der Departementsleitung handelt.
4 Die ISBD haben namentlich die folgenden Aufgaben:
a. Sie koordinieren die Informatiksicherheitsaspekte innerhalb des Departe- ments oder der Bundeskanzlei sowie mit den Stellen, die für die departements- übergreifende Koordination und Zusammenarbeit zuständig sind. b. Sie erarbeiten die notwendigen Grundlagen für die Umsetzung der Informa- tiksicherheitsvorgaben und für die Organisation auf der Stufe des Departe- ments oder der Bundeskanzlei.
1 SR 120.73
2021-0586 AS 2021 132
Cyberrisikenverordnung AS 2021 132
5 Die Departemente und die Bundeskanzlei regeln das Verhältnis zwischen der oder
dem ISBD und den Informatiksicherheitsbeauftragten der Verwaltungseinheiten (ISBO), namentlich die fachliche Führung in Sicherheitsfragen.
Art. 14 Verwaltungseinheiten und ihre Leistungserbringer 1 Die Verwaltungseinheiten bestimmen je eine oder einen ISBO, die oder der in di- rektem Auftrag der Leitung der Verwaltungseinheit handelt. Der Bereich Digitale Transformation und IKT-Lenkung der Bundeskanzlei (Bereich DTI der BK) bestimmt zusätzlich eine Informatiksicherheitsbeauftragte oder einen Informatiksicherheitsbe- auftragten für die Standarddienste. 2 Die ISBO und die oder der Informatiksicherheitsbeauftragte für die Standarddienste nehmen die folgenden Aufgaben wahr: a. Sie sorgen in den Verwaltungseinheiten für eine rasche Umsetzung der Infor- matiksicherheitsvorgaben und für die Anwendung der Sicherheitsverfahren b. Sie sorgen dafür, dass die Mitarbeiterinnen und Mitarbeiter bei Stellenantritt sowie periodisch für Themen der Informatiksicherheit sensibilisiert und ge- schult werden und die Zuständigkeiten sowie die Abläufe der Informatiksi- cherheit in ihrem Arbeitsumfeld je nach Stufe und Funktion kennen. c. Sie informieren die Leiterin oder den Leiter ihrer Verwaltungseinheit mindes- tens halbjährlich über den aktuellen Stand der Informatiksicherheit in ihrer Verwaltungseinheit. 3 Die Verwaltungseinheiten sind für die Sicherheit ihrer Informatikschutzobjekte ver- antwortlich. Sie nehmen die folgenden Funktionen wahr: a. Sie führen ein Inventar ihrer Informatikschutzobjekte und ergreifen die not- wendigen Sicherheitsmassnahmen; sie stellen namentlich sicher, dass diese für die einzelnen Informatikschutzobjekte in aktueller Form dokumentiert sind. b. Sie sind für die Einhaltung und die Umsetzung der Informatiksicherheitsvor- gaben, der Sicherheitsverfahren und der Beschlüsse des Bundesrates, des NCSC und der Departemente beziehungsweise der Bundeskanzlei in ihrem Zuständigkeitsbereich verantwortlich. c. Sie sind unter Vorbehalt von Artikel 12 Absatz 5 verantwortlich für die Be- wältigung von Cybervorfällen, die ihre Informatikschutzobjekte betreffen. d. Sie stellen sicher, dass beim Bezug von Leistungen bei einem externen Leis- tungserbringer die Informatiksicherheitsvorgaben Teil des Vertragsverhält- nisses mit diesem sind. e. Sie überprüfen in geeigneter Weise, ob die externen Leistungserbringer die Informatikvorgaben einhalten. f. Sie stellen sicher, dass die Verantwortlichkeiten für die Informatiksicherheit auf der betrieblichen Ebene in den Projekt- und Leistungsvereinbarungen zwi-
schen den Leistungserbringern und den Leistungsbezügern festgehalten sind.
Cyberrisikenverordnung AS 2021 132
g. Sie sorgen dafür, dass Personen, auf die diese Verordnung nicht anwendbar ist, nur dann Zugriff auf die Informatikinfrastruktur des Bundes erhalten, wenn sie sich verpflichten, die Informatiksicherheitsvorgaben einzuhalten.
4 Die Leistungserbringer nehmen folgende Funktionen wahr:
a. Sie stellen ihren Leistungsbezügern auf Verlangen alle nötige Informationen für den Schutz ihrer Informatikschutzobjekte in geeigneter Form zu. b. Sie stellen sicher, dass sie über die nötigen Kapazitäten verfügen zur techni- schen Analyse und zur Bewältigung von Cybervorfällen, die sie selber oder ihre Leistungsbezüger betreffen. c. Sie melden ihren Leistungsbezügern unverzüglich entdeckte Schwachstellen und Sicherheitsvorfälle, die deren Informatikschutzobjekte betreffen. d. Sie definieren in Zusammenarbeit mit den Leistungsbezügern einen Prozess für die Bewältigung von Cybervorfällen; darin werden namentlich die Ent- scheidkompetenzen für Sofortmassnahmen geregelt. 5 Kann ein Cybervorfall nicht im Rahmen des definierten Prozesses bewältigt werden, so informieren die Betroffenen das NCSC, um das weitere Vorgehen zu bestimmen. 6 Die Verwaltungseinheiten konsultieren das NCSC bei sicherheitsrelevanten Infor- matikvorgaben sowie -vorhaben.
7 Sie sind für die Entwicklung, Umsetzung und Prüfung von Standards und Regulie-
rungen in Bezug auf die Cybersicherheit in ihren Bereichen verantwortlich. Das NCSC stellt ihnen im Rahmen der Möglichkeiten Expertinnen und Experten aus dem Pool nach Artikel 12 Absatz 1 Buchstabe g zur Verfügung.
Einfügen nach Art. 14
Art. 14a Mitarbeiterinnen und Mitarbeiter Die Mitarbeiterinnen und Mitarbeiter der Bundesverwaltung, die Informatikmittel nutzen, sind für deren vorschriftsgemässe Handhabung verantwortlich.
Gliederungstitel nach Art. 14a 3a. Kapitel: Sicherheitsverfahren
Art. 14b Schutzbedarfsanalyse 1 Die Verwaltungseinheiten stellen sicher, dass alle Informatikschutzobjekte über eine aktuelle Schutzbedarfsanalyse verfügen. Bei IT-Projekten müssen sie die Schutzbe- darfsanalyse vor der Projektfreigabe durchführen. 2 In der Schutzbedarfsanalyse beurteilen sie die Aspekte der Vertraulichkeit, der Ver- fügbarkeit, der Integrität, der Nachvollziehbarkeit und der Gefährdung durch nach- richtendienstliche Ausspähung.
Cyberrisikenverordnung AS 2021 132
Art. 14c Grundschutz Die Verwaltungseinheiten setzen die Vorgaben für den Grundschutz für alle Informa- tikschutzobjekte um und dokumentieren die Umsetzung.
Art. 14d Erhöhter Schutz 1 Ergibt die Schutzbedarfsanalyse einen erhöhten Schutzbedarf, so definieren die Ver- waltungseinheiten, zusätzlich zur Umsetzung der Sicherheitsvorgaben für den Grund- schutz und basierend auf einer Risikoanalyse, weitere Sicherheitsmassahmen, doku- mentieren diese und setzen sie um. 2 Die Verwaltungseinheiten weisen Risiken aus, die nicht oder nur ungenügend redu- ziert werden können (Restrisiken), und dokumentieren diese. Die Projektauftraggebe- rin oder der Projektauftraggeber, die oder der Geschäftsprozessverantwortliche sowie die Leitung der Verwaltungseinheit nehmen die Restrisiken zur Kenntnis und bestäti- gen dies schriftlich. 3 Der Entscheid darüber, ob bekannte Restrisiken in Kauf genommen werden, obliegt der Leiterin oder dem Leiter der zuständigen Verwaltungseinheit.
Art. 14e Periodizität
1 Die Sicherheitsverfahren sind mindestens alle fünf Jahre durchzuführen.
2 Bei sicherheitsrelevanten Änderungen am Informatikschutzobjekt oder an der Be-
drohungslage sind sie unverzüglich durchzuführen.
Gliederungstitel vor Art. 14f 3b. Kapitel: Dezentral anfallende Kosten
1 Die dezentral anfallenden Kosten für die Informatiksicherheit sind Teil der Projekt- und der Betriebskosten.
2 Sie sind bei der Planung ausreichend zu berücksichtigen.
II Die Änderung anderer Erlasse wird im Anhang geregelt.
Cyberrisikenverordnung AS 2021 132
III Diese Verordnung tritt am 1. April 2021 in Kraft.
24. Februar 2021 Im Namen des Schweizerischen Bundesrates Der Bundespräsident: Guy Parmelin Der Bundeskanzler: Walter Thurnherr
Cyberrisikenverordnung AS 2021 132
Anhang (Ziff. II) Änderung anderer Erlasse Die nachstehenden Erlasse werden wie folgt geändert:
1. Verordnung vom 4. Dezember 20092 über verwaltungspolizeiliche
Massnahmen des Bundesamtes für Polizei und über das Informationssystem HOOGAN
Art. 13 Abs. 1 Bst. b
1 Für die Gewährleistung der Datensicherheit gelten:
b. die Cyberrisikenverordnung vom 27. Mai 20203.
2. Verordnung vom 16. August 20174 über die Informations- und
Speichersysteme des Nachrichtendienstes des Bundes
Art. 13 Abs. 1 Bst. b und d
1 Für die Gewährleistung der Datensicherheit gelten:
b. die Cyberrisikenverordnung vom 27. Mai 20205; d. Aufgehoben
3. Asylverordnung 3 vom 11. August 19996
Art. 12 Bst. b und c Die Datensicherheit richtet sich nach: b. der Cyberrisikenverordnung vom 27. Mai 20207; c. Aufgehoben
2 SR 120.52 3 SR 120.73 4 SR 121.2 5 SR 120.73 6 SR 142.314 7 SR 120.73
Cyberrisikenverordnung AS 2021 132
4. Visa-Informationssystem-Verordnung vom 18. Dezember 20138
Art. 34 Bst. c Aufgehoben
5. ZEMIS-Verordnung vom 12. April 20069
Art. 17 Abs. 1
1 Die Datensicherheit richtet sich nach:
a. der Verordnung vom 14. Juni 199310 zum Bundesgesetz über den Daten- schutz; b. der Cyberrisikenverordnung vom 27. Mai 202011.
6. Verordnung vom 5. Dezember 200812 über das Immobilienmanagement
und die Logistik des Bundes (VILB)
Art. 41 Abs. 2
2 Das BBL erlässt Weisungen für den Bereich Logistik. Vorbehalten bleiben:
a. die Verordnung vom 25. November 202013 über die digitale Transformation und die Informatik; b. die Cyberrisikenverordnung vom 27. Mai 202014.
7. IVIPS-Verordnung vom 18. November 201515
Art. 11 Abs. 1
1 Die Daten- und die Informatiksicherheit richten sich nach:
a. der Verordnung vom 14. Juni 199316 zum Bundesgesetz über den Daten- schutz; b. der Cyberrisikenverordnung vom 27. Mai 202017.
8 SR 142.512 9 SR 142.513 10 SR 235.11 11 SR 120.73 12 SR 172.010.21 13 SR 172.010.58 14 SR 120.73 15 SR 172.211.21 16 SR 235.11 17 SR 120.73
Cyberrisikenverordnung AS 2021 132
8. Web-EDA-Verordnung vom 5. November 201418
Art. 12 Abs. 1
1 Die Daten- und die Informatiksicherheit richten sich nach:
a. der Verordnung vom 14. Juni 199319 zum Bundesgesetz über den Daten- schutz; b. der Cyberrisikenverordnung vom 27. Mai 202020.
9. Zivilstandsverordnung vom 28. April 200421
Art. 83 Abs. 2
2 Das EAZW zieht den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftrag-
ten sowie das Nationale Zentrum für Cybersicherheit bei.
10. Verordnung vom 30. Juni 199322 über die Organisation der Bundesstatistik
Art. 10 Datenschutz und Datensicherheit
1 Für die Gewährleistung des Datenschutzes gelten neben den Bestimmungen des Ge-
setzes und der Verordnung vom 30. Juni 199323 über die Durchführung von statisti- schen Erhebungen des Bundes auch die Bestimmungen des Bundesgesetzes vom 19. Juni 199224 über den Datenschutz und der Verordnung vom 14. Juni 199325 zum Bundesgesetz über den Datenschutz.
2 Für die Gewährleistung der Datensicherheit gelten neben den Bestimmungen des
Gesetzes auch diejenigen der Cyberrisikenverordnung vom 27. Mai 202026 und der Verordnung vom 14. Juni 1993 zum Bundesgesetz über den Datenschutz.
18 SR 172.220.111.42 19 SR 235.11 20 SR 120.73 21 SR 211.112.2 22 SR 431.011 23 SR 431.012.1 24 SR 235.1 25 SR 235.11 26 SR 120.73
Cyberrisikenverordnung AS 2021 132
11. Waffenverordnung vom 2. Juli 200827
1 Die Gewährleistung der Datensicherheit richtet sich nach:
a. der Verordnung vom 14. Juni 199328 zum Bundesgesetz über den Daten- schutz; b. der Cyberrisikenverordnung vom 27. Mai 202029.
12. Verordnung E-VERA vom 17. August 201630
Art. 14 Abs. 1 Bst. b und c
1 Die Informatiksicherheit richtet sich nach:
b. der Cyberrisikenverordnung vom 27. Mai 202031; c. Aufgehoben
13. Verordnung vom 9. Dezember 201132 über das Informationssystem
EDAssist+
Art. 16 Abs. 1
1 Die Daten- und die Informatiksicherheit richten sich nach:
a. der Verordnung vom 14. Juni 199333 zum Bundesgesetz über den Daten- schutz; b. der Cyberrisikenverordnung vom 27. Mai 202034.
27 SR 514.541 28 SR 235.11 29 SR 120.73 30 SR 235.22 31 SR 120.73 32 SR 235.24 33 SR 235.11 34 SR 120.73
Cyberrisikenverordnung AS 2021 132
14. Verordnung vom 7. November 201235 über den ausserprozessualen
Zeugenschutz
Art. 15 Abs. 1 Bst. b und c
1 Für die Gewährleistung der Datensicherheit gelten:
b. die Cyberrisikenverordnung vom 27. Mai 202036; c. Aufgehoben
15. VOSTRA-Verordnung vom 29. September 200637
Art. 27 Abs. 1 Bst. a
1 Für die Gewährleistung der Datensicherheit gelten namentlich:
a. die Cyberrisikenverordnung vom 27. Mai 202038;
16. ELPAG-Verordnung vom 23. September 201639
Art. 14 Abs. 1 Bst. b und c
1 Die Datensicherheit richtet sich nach:
b. der Cyberrisikenverordnung vom 27. Mai 202040; c. Aufgehoben
17. JANUS-Verordnung vom 15. Oktober 200841
Art. 26 Datensicherheit Für die Gewährleistung der Datensicherheit gelten: a. die Verordnung vom 14. Juni 199342 zum Bundesgesetz über den Daten- schutz; b. die Cyberrisikenverordnung vom 27. Mai 202043.
35 SR 312.21 36 SR 120.73 37 SR 331 38 SR 120.73 39 SR 351.12 40 SR 120.73 41 SR 360.2 42 SR 235.11 43 SR 120.73
Cyberrisikenverordnung AS 2021 132
1 Für die Gewährleistung der Datensicherheit gelten:
a. die Verordnung vom 14. Juni 199344 zum Bundesgesetz über den Daten- schutz; b. die Cyberrisikenverordnung vom 27. Mai 202045.
1 Für die Gewährleistung der Datensicherheit gelten:
a. die Verordnung vom 14. Juni 199346 zum Bundesgesetz über den Daten- schutz; b. die Cyberrisikenverordnung vom 27. Mai 202047.
18. RIPOL-Verordnung vom 26. Oktober 201648
Art. 14 Abs. 2
2 Die Datensicherheit richtet sich nach:
a. der Verordnung vom 14. Juni 199349 zum Bundesgesetz über den Daten- schutz; b. der Cyberrisikenverordnung vom 27. Mai 202050.
19. IPAS-Verordnung vom 15. Oktober 200851
Art. 12 Datensicherheit Für die Gewährleistung der Datensicherheit gelten: a. die Verordnung vom 14. Juni 199352 zum Bundesgesetz über den Daten- schutz; b. die Cyberrisikenverordnung vom 27. Mai 202053.
44 SR 235.11 45 SR 120.73 46 SR 235.11 47 SR 120.73 48 SR 361.0 49 SR 235.11 50 SR 120.73 51 SR 361.2 52 SR 235.11 53 SR 120.73
Cyberrisikenverordnung AS 2021 132
20. Verordnung vom 6. Dezember 201354 über die Bearbeitung
biometrischer erkennungsdienstlicher Daten
Art. 14 Bst. b Die Datensicherheit richtet sich nach: b. der Cyberrisikenverordnung vom 27. Mai 202055.
21. Polizeiindex-Verordnung vom 15. Oktober 200856
Art. 12 Abs. 1
1 Für die Gewährleistung der Datensicherheit gelten:
a. die Verordnung vom 14. Juni 199357 zum Bundesgesetz über den Daten- schutz; b. die Cyberrisikenverordnung vom 27. Mai 202058.
22. N-SIS-Verordnung vom 8. März 201359
Art. 53 Abs. 1 Bst. c Aufgehoben
23. DNA-Profil-Verordnung vom 3. Dezember 200460
Art. 19 Abs. 1
1 Die Datensicherheit richtet sich nach:
a. den Artikeln 20–23 der Verordnung vom 14. Juni 199361 zum Bundesgesetz über den Datenschutz; b. der Cyberrisikenverordnung vom 27. Mai 202062.
54 SR 361.3 55 SR 120.73 56 SR 361.4 57 SR 235.11 58 SR 120.73 59 SR 362.0 60 SR 363.1 61 SR 235.11 62 SR 120.73
Cyberrisikenverordnung AS 2021 132
24. Verordnung vom 15. September 201763 über die Informationssysteme
im Berufsbildungs- und im Hochschulbereich
Art. 21 Abs. 1
1 Die Daten- und die Informatiksicherheit richten sich nach:
a. dem Bundesgesetz vom 19. Juni 199264 über den Datenschutz und seinen Ausführungsbestimmungen; b. der Cyberrisikenverordnung vom 27. Mai 202065.
25. Verordnung vom 9. Juni 201766 über das eidgenössische Gebäude-
und Wohnungsregister
Art. 18 Für die Datensicherheit gelten: a. die Verordnung vom 14. Juni 199367 zum Bundesgesetz über den Daten- schutz; b. die Cyberrisikenverordnung vom 27. Mai 202068.
26. Verordnung vom 30. Juni 199369 über das Betriebs-
und Unternehmensregister
Art. 15 Datensicherheit Für die Datensicherheit gelten: a. die Verordnung vom 14. Juni 199370 zum Bundesgesetz über den Daten- schutz; b. die Cyberrisikenverordnung vom 27. Mai 202071.
63 SR 412.108.1 64 SR 235.1 65 SR 120.73 66 SR 431.841 67 SR 235.11 68 SR 120.73 69 SR 431.903 70 SR 235.11 71 SR 120.73
Cyberrisikenverordnung AS 2021 132
27. Verordnung vom 20. April 201672 über die Kontrolle der rechtmässigen
Herkunft von eingeführten Erzeugnissen der Meeresfischerei
Art. 24 Informatiksicherheit Die Massnahmen zur Gewährleistung der Informatiksicherheit richten sich nach der Cyberrisikenverordnung vom 27. Mai 202073.
28. Verordnung vom 1. September 201074 über das elektronische
Informationssystem zur Verwaltung der Tierversuche
Art. 20 Abs. 1 1 Die Massnahmen zur Gewährleistung der Informatiksicherheit richten sich nach der Cyberrisikenverordnung vom 27. Mai 202075.
29. Verordnung vom 12. August 201576 über die Meldestelle für lebenswichtige
Humanarzneimittel
Art. 8 Abs. 2
2 Im Übrigen gelten:
a. die Verordnung vom 14. Juni 199377 zum Bundesgesetz über den Daten- schutz; b. die Cyberrisikenverordnung vom 27. Mai 202078.
30. Organzuteilungsverordnung vom 16. März 200779
1 Für die Gewährleistung der Datensicherheit gelten:
a. die Artikel 20 und 21 der Verordnung vom 14. Juni 199380 zum Bundesgesetz über den Datenschutz; b. die Cyberrisikenverordnung vom 27. Mai 202081.
72 SR 453.2 73 SR 120.73 74 SR 455.61 75 SR 120.73 76 SR 531.215.32 77 SR 235.11 78 SR 120.73 79 SR 810.212.4 80 SR 235.11 81 SR 120.73
Cyberrisikenverordnung AS 2021 132
31. Verordnung vom 20. August 201482 über das Informationssystem
des Zivildienstes
Art. 11 Abs. 1 Bst. b und c
1 Die Datensicherheit richtet sich nach:
b. der Cyberrisikenverordnung vom 27. Mai 202083; c. Aufgehoben
32. Familienzulagenverordnung vom 31. Oktober 200784
Aufgehoben
33. SAS-EDA-Verordnung vom 5. November 201485
Art. 12 Abs. 1 Bst. b und c
1 Die Informatiksicherheit richtet sich nach:
b. der Cyberrisikenverordnung vom 27. Mai 202086; c. Aufgehoben
34. Verordnung vom 6. Juni 201487 über die Informationssysteme für
den öffentlichen Veterinärdienst
Art. 28 Abs. 1 1 Die Massnahmen zur Gewährleistung der Informatiksicherheit richten sich nach der Cyberrisikenverordnung vom 27. Mai 202088.
82 SR 824.095 83 SR 120.73 84 SR 836.21 85 SR 852.12 86 SR 120.73 87 SR 916.408 88 SR 120.73
Cyberrisikenverordnung AS 2021 132
35. Verordnung vom 18. November 201589 über die Ein-, Durch- und Ausfuhr
von Tieren und Tierprodukten im Verkehr mit Drittstaaten
Art. 102g Informatiksicherheit Die Massnahmen zur Gewährleistung der Informatiksicherheit richten sich nach der Cyberrisikenverordnung vom 27. Mai 202090.
36. Verordnung vom 12. August 201591 über das Datenbearbeitungssystem
private Sicherheitsdienstleistungen
Art. 9 Abs. 1
1 Die Daten- und die Informatiksicherheit richten sich nach:
a. der Verordnung vom 14. Juni 199392 zum Bundesgesetz über den Daten- schutz; b. der Cyberrisikenverordnung vom 27. Mai 202093.
37. Sprengstoffverordnung vom 27. November 200094
1 Für die Gewährleistung der Datensicherheit gelten:
a. Artikel 7 des Bundesgesetzes vom 19. Juni 199295 über den Datenschutz; b. die Cyberrisikenverordnung vom 27. Mai 202096.
89 SR 916.443.10 90 SR 120.73 91 SR 935.412 92 SR 235.11 93 SR 120.73 94 SR 941.411 95 SR 235.1 96 SR 120.73
Cyberrisikenverordnung AS 2021 132
38. Verordnung vom 25. August 200497 über die Meldestelle für Geldwäscherei
Art. 19 Abs. 1
1 Für die Datensicherheit gelten:
a. die Verordnung vom 14. Juni 199398 zum Bundesgesetz über den Daten- schutz; b. die Cyberrisikenverordnung vom 27. Mai 202099.
97 SR 955.23 98 SR 235.11 99 SR 120.73
Cyberrisikenverordnung AS 2021 132