RRB Nr. 438/2025
Allgemeine Informationssicherheitsrichtlinie, Neuerlass, Stellenpläne, gebundene Ausgabe
16 avril 2025Allemand8 min
Source zh.ch
Allgemeine Informationssicherheitsrichtlinie, Neuerlass, Stellenpläne, gebundene Ausgabe
Auszug aus dem Protokoll des Regierungsrates des Kantons Zürich Sitzung vom 16. April 2025
438. Allgemeine Informationssicherheitsrichtlinie (Neuerlass, Stellenpläne)
Erwägungen
1. Ausgangslage Angesichts der zunehmenden Bedrohung durch Cyberangriffe ist es unerlässlich, angemessene und wirksame Massnahmen zum Schutz der Informationen und der damit verbundenen Werte zu ergreifen. Eine starke Informationssicherheit schützt nicht nur die Einwohnerinnen und Einwohner und ihre Daten, sondern stärkt auch das Vertrauen in die digitalen Dienstleistungen des Kantons. Sie ist für eine sichere und effi- ziente Verwaltung unerlässlich und fördert gleichzeitig Innovation und Wachstum im Kanton. Gemäss § 7 Abs. 1 des Gesetzes über die Information und den Daten- schutz vom 12. Februar 2007 (IDG; LS 170.4) sind die öffentlichen Organe verpflichtet, Informationen durch angemessene organisatorische und technische Massnahmen zu schützen. Diese Massnahmen dienen den Schutzzielen Vertraulichkeit, Unversehrtheit, Verfügbarkeit, Zu- rechenbarkeit und Nachvollziehbarkeit (vgl. § 7 Abs. 2 IDG). Sie richten sich nach der Art der Information, nach Art und Zweck der Verwendung und nach dem jeweiligen Stand der Technik (§ 7 Abs. 3 IDG). Zur Um- setzung dieser gesetzlichen Vorgaben erliess der Regierungsrat am 3. Sep- tember 2019 (RRB Nr. 795/2019) die Allgemeine Informationssicherheits- richtlinie (AISR). Die AISR legt in Anlehnung an international an- erkannte Standards die Grundsätze zur Wahrung der Informationssicher- heit in der kantonalen Verwaltung sowie die inhaltlichen Grundzüge der untergeordneten Regelungen fest. Sie regelt zudem den Aufbau des In- formationssicherheits-Managementsystems und die Organisation der Informationssicherheit in der kantonalen Verwaltung.
2. Revisionsbedarf Um weiterhin einen angemessenen und nachhaltigen Schutz zu ge- währleisten, ist die AISR periodisch an die technologischen, gesellschaft- lichen und politischen Entwicklungen anzupassen. Seit dem Erlass der AISR am 3. September 2019 wurden verschiedene Ereignisse identifiziert, die eine Anpassung erfordern. Dazu gehören Krisen wie die Covid-19- Pandemie, die Kriege in der Ukraine und im Nahen Osten, neue Tech- nologien wie Künstliche Intelligenz, Cloud und Internet of Things, die
neu festgesetzte Cybersicherheitsstrategie (RRB Nr. 676/2022), über- arbeitete Normen wie ISO/IEC 27001/2:2022, das Informationssicher- heitsgesetz (SR 128) sowie die fortschreitende Zentralisierung der IKT- Grundversorgung. Ergänzend zur Ausrichtung auf die Bedürfnisse und die Bedrohungs- lage des Kantons wurden weiterführende Optimierungspotenziale iden- tifiziert, bewertet und entlang der geltenden Gesetze, Verordnungen und Beschlüsse in die vorliegende neue Fassung der AISR integriert.
3. Wesentliche Anpassungen In der überarbeiteten Fassung der AISR wird die Vielfalt der Direk- tionen und der Staatskanzlei berücksichtigt, um eine bedarfsgerechte Umsetzung der Anforderungen an die Informationssicherheit in den verschiedenen Verwaltungseinheiten zu ermöglichen. Gleichzeitig regelt die AISR mit der «Gemeinsamen Basis» kantonale Vorgaben und Schnitt- stellen, fördert die Zusammenarbeit und nutzt Synergien optimal, z. B. durch kantonale Informationssicherheitsstandards und Informations- sicherheitsservices. Betont wird die Verantwortung der Vorsteherinnen und Vorsteher der Direktionen und der Staatskanzlei für die Umsetzung der Informa- tionssicherheit in ihrer Direktion bzw. in der Staatskanzlei (§ 60 Abs. 1 lit. e Verordnung über die Organisation des Regierungsrates und der kantonalen Verwaltung [LS 172.11] und § 7 Abs. 1 IDG, vgl. Ziff. 7.2.1 AISR). Die Entscheidungskompetenzen der Direktionen und der Staats- kanzlei werden konkretisiert, und die Direktionen und die Staatskanzlei werden befähigt, die Anforderungen an die Informationssicherheit an- gemessen und wirksam umzusetzen. Unterstützt werden diese Prozesse sowie die ganzheitliche Betrach- tung der Informationssicherheit (aller Formen von Informationen und damit verbundenen Werten) durch die konsequente Orientierung an der international anerkannten Normenreihe ISO/IEC 27000. Gleichzeitig können die Besonderen Informationssicherheitsrichtli- nien (BISR) durch die stärkere Entkoppelung von der AISR eigenstän- dig auf die Bedürfnisse der kantonalen Verwaltung ausgerichtet und ein kontinuierlicher Schutz gewährleistet werden. Der Regierungsrat, die Direktionsvorsteherinnen und Direktions- vorsteher sowie die Staatsschreiberin oder der Staatsschreiber erhalten Hilfsmittel in Form von Kennzahlen sowie internen und externen Prüf- ergebnissen, die ihnen eine datengestützte Beurteilung und eine effizi- ente und effektive Steuerung der Informationssicherheit in ihrem Ver- antwortungsbereich ermöglichen sollen.
4. Rückmeldungen Aus den Rückmeldungen zum Vorentwurf der AISR geht hervor, dass die Direktionen und die Staatskanzlei den Handlungsbedarf anerkennen und die Überarbeitung der geltenden AISR begrüssen. Dabei wurden mehrere Punkte positiv hervorgehoben, insbesondere – die Orientierung an der aktuellen ISO/IEC-Norm, – die Transparenz durch die Definition klarer Anforderungen und Ver- antwortlichkeiten, – die Möglichkeit, die Informationssicherheit kontextspezifisch auszu- gestalten. Gleichzeitig wurden auch Bedenken geäussert. Es wurde auf mögliche Konflikte bei der Umsetzung der Anforderungen hingewiesen, insbe- sondere in Bezug auf konkurrierende Ziele und Aufgaben sowie den damit verbundenen Mittelbedarf. Unsicherheiten resultierten auch aus der Entkopplung der BISR von der AISR. Zudem wurden vereinzelt die Objektivität und Vollständigkeit der Prüfaktivitäten hinterfragt. Während allfällige Zielkonflikte sowie der damit einhergehende Mittelbedarf nachgelagert in den Informationssicherheitsstrategien der Direktionen und der Staatskanzlei zu klären sind (vgl. Abschnitt 5), wird den weiteren Bedenken wie folgt Rechnung getragen: – Zur Gewährleistung qualitativ zuverlässiger Einhalteprüfungen in den Direktionen und der Staatskanzlei werden diese nach deren Ab- schluss durch eine zweite Instanz beurteilt. Ergänzend werden die externen Prüftätigkeiten von der individuellen Umsetzung in den Direktionen und der Staatskanzlei auf das kantonale Regelwerk bzw. die «Gemeinsame Basis» ausgeweitet. – Die festgelegten Inhalte der BISR (93 Informationssicherheitsmass- nahmen gemäss ISO/IEC 27001 Anhang A bzw. ISO/IEC 27002) werden transparent den einzelnen Richtlinien zugewiesen. Weiter soll das Gremium Steuerung Digitale Verwaltung und IKT (SDI) beim Erlass der BISR ausdrücklich auf deren Angemessenheit in Bezug auf die Vorgaben der AISR und den Bedarf der kantonalen Verwaltung achten.
5. Stellenbedarf Mit RRB Nr. 1193/2020 wurden 7,0 unbefristete Stellen Informatik- spezialist/in mbA (Informationssicherheitsbeauftragte/r der Direktion / der Staatskanzlei, ISID) bewilligt. Zweck dieser Stellen ist es, den Betrieb (Aufbau und Weiterentwicklung) des Informationssicherheits-Manage- mentsystems (ISMS) in den Direktionen und der Staatskanzlei sicher-
zustellen. Zusätzlich wurde mit diesem Beschluss eine gebundene Aus- gabe von rund 3,2 Mio. Franken bewilligt, um Rückstände im Bereich der Informationssicherheit innerhalb der Direktionen und der Staats- kanzlei aufzuarbeiten. Ein Benchmark (Gartner, IT Key Metrics Data 2025: IT Security Measures – Analysis, 5. Dezember 2024) zeigt auf, dass die kantonale Verwaltung über die notwendigen Strukturen und personellen Mittel verfügt, um die Governance und das Management der Informationssi- cherheit auf strategischer Ebene zu gewährleisten. Im Gegensatz zur strategischen Ebene wurde bei der operativen Um- setzung der technischen und organisatorischen Massnahmen gemäss BISR eine unzureichende personelle Ausstattung festgestellt. In den Direktionen und der Staatskanzlei sollen deshalb entsprechend dem Verteilschlüssel von RRB Nr. 1193/2020 7,0 auf zwei Jahre befristete Stellen Informatikspezialist/in mbA (LK 21) geschaffen werden, die als Fachexpertinnen und -experten die Umsetzung der Anforderungen der BISR sicherstellen sollen. Die Direktionen und die Staatskanzlei sind für den optimalen Einsatz dieser Stellen zur Erhöhung der Resilienz verantwortlich. Die Einreihung der neu zu schaffenden Stellen erfolgt analog zu den mit RRB Nr. 1193/2020 geschaffenen Stellen. Es handelt sich mithin um Aufstockungen von in den Stellenplänen der Direktionen und der Staatskanzlei bereits bestehenden Stellen, weshalb sich eine er- neute Einreihungsprüfung erübrigt. Diese zusätzlichen, auf zwei Jahre befristeten personellen Mittel sollen dazu dienen, die operative Informationssicherheit an den neuen Richt- linien auszurichten. Dadurch soll die Resilienz innerhalb der Verwaltung weiter gestärkt werden, bis die Informationssicherheitsstrategien der Direktionen und der Staatskanzlei gemäss Ziff. 5.3 AISR erlassen sind und der tatsächliche Personalbedarf feststeht bzw. das geplante Budget in den Konsolidierten Entwicklungs- und Finanzplan (KEF) eingestellt worden ist. Die zusätzlichen Personalkosten für die Jahre 2026 und 2027 werden jeweils zur Hälfte in der Leistungsgruppe Nr. 4620, Informationssicher- heitsbeauftragter, sowie dezentral in den Direktionen und der Staats- kanzlei in den KEF 2026–2029 eingestellt. Diese Kosten sind im KEF 2025–2028 nicht berücksichtigt und müssen deshalb als unabdingbare Mehrbelastungen in den KEF 2026–2029 aufgenommen werden.
6. Schlussfolgerung Die digitale Transformation als strategischer Schwerpunkt des Regie- rungsrates setzt Informationssicherheit voraus. Deshalb hat der Regie- rungsrat eine Cybersicherheitsstrategie festgesetzt (RRB Nr. 676/2022)
und zum Legislaturziel «In einem vielfältigen sich rasch verändernden Umfeld Agilität der Verwaltung und Vertrauen in den Staat stärken» (RRZ 10) die Massnahme festgelegt, dass die Cybersicherheitsstrategie umzusetzen sowie der Datenschutz und die Informationssicherheit in die Verwaltungsprozesse zu integrieren sind (Massnahme RRZ 10g, vgl. RRB Nr. 871/2023). Bei der vorliegenden Fassung der AISR handelt es sich um eine über- arbeitete und an die aktuelle Bedrohungslage, die Legislaturziele (RRB Nr. 871/2023), die Cybersicherheitsstrategie (RRB Nr. 676/2022) und die Normen (ISO/IEC 27001/2:2022) ausgerichtete Neufassung der 2019 er- lassenen Richtlinie. Mit dem Neuerlass der AISR wird die Verantwor- tung für die Gewährleistung der Informationssicherheit in der kanto- nalen Verwaltung fortgeführt und den veränderten Herausforderungen Rechnung getragen. Das Gremium SDI hat den Entwurf der überarbeiteten AISR an seiner Sitzung vom 26. September 2024 vorberaten und zustimmend zur Kennt- nis genommen.
Dispositiv
Auf Antrag der Finanzdirektion beschliesst der Regierungsrat:
I. Es wird eine Allgemeine Informationssicherheitsrichtlinie erlassen.
II. Die Allgemeine Informationssicherheitsrichtlinie wird auf den 1. Januar 2026 in Kraft gesetzt. Die Allgemeine Informationssicherheits- richtlinie vom 3. September 2019 wird auf diesen Zeitpunkt aufgehoben.
III. Für die Umsetzung der technischen und organisatorischen Vor- gaben der Besonderen Informationssicherheitsrichtlinien werden mit Wirkung ab 1. Januar 2026 folgende auf zwei Jahre befristete Stellen ge- schaffen: Direktion Stellen Richtposition Klasse VVO Direktion der Justiz und des Innern 1,0 Informatikspezialist/in mbA 21 Sicherheitsdirektion 1,0 Informatikspezialist/in mbA 21 Finanzdirektion 0,6 Informatikspezialist/in mbA 21 Volkswirtschaftsdirektion 1,0 Informatikspezialist/in mbA 21 Gesundheitsdirektion 0,8 Informatikspezialist/in mbA 21 Bildungsdirektion 1,0 Informatikspezialist/in mbA 21 Baudirektion 1,0 Informatikspezialist/in mbA 21 Staatskanzlei 0,6 Informatikspezialist/in mbA 21
IV. Die Direktionen und die Staatskanzlei werden ermächtigt, 50% der Personalkosten in den Jahren 2026 und 2027 gemäss Ziff. 5 der Er- wägungen mit Intercompany-Rechnungen (Sachkontogruppen 3910/4910 Personalleistungen) der Leistungsgruppe Nr. 4620, Informationssicher- heitsbeauftragter, zu belasten.
V. Mitteilung an die Direktionen des Regierungsrates und die Staats- kanzlei.
Vor dem Regierungsrat Die Staatsschreiberin:
Kathrin Arioli