Auswirkungen des neuen Informationssicherheitsgesetzes (ISG) auf EVU

Jan 27, 2024

Am 1. Januar 2024 trat das Bundesgesetz über die Informationssicherheit beim Bund (Informationssicherheitsgesetz (revISG)) mit drei neuen sowie einer revidierten Verordnung in Kraft. Mit dem ISG werden die wichtigsten Rechtsgrundlagen für die Sicherheit von Informationen und Informatikmitteln des Bundes in einem einzigen Erlass zusammengeführt (siehe Medienmitteilung). Das ISG soll die sichere Bearbeitung der Informationen, für welche der Bund zuständig ist, sowie den sicheren Einsatz der Informatikmittel des Bundes gewährleisten (Art. 1 Abs. 1 ISG).

In Zusammenhang mit dem ISG hat das Parlament zudem bereits eine Revision verabschiedet. Die Referendumsfrist ist am 18. Januar 2024 abgelaufen. Das Inkrafttreten dieser Revision wurde vom Bundesrat allerdings noch nicht bestimmt.

Das Gesetz gilt für die verpflichteten Behörden (unter anderem die Bundesversammlung, den Bundesrat, die eidgenössischen Gerichte, die Bundesanwaltschaft und deren Aufsichtsbehörde sowie die Schweizerische Nationalbank) sowie die verpflichteten Organisationen (unter anderem die Parlamentsdienste und die Bundesverwaltung). Einige Bestimmungen gelten auch für Kantone.

Elektrizitätsversorgungsunternehmen (EVU) fallen gemäss Art. 2 Abs. 5 ISG grundsätzlich nicht in den – allgemeinen – Anwendungsbereich des ISG, könnten allerdings unter Umständen zukünftig vertraglich gewisse der darin genannten Pflichten (wie z.B. die Identifizierung und Klassifizierung von Informationen) auferlegt erhalten. Falls die verpflichteten Behörden und Organisationen mit einem EVU zusammenarbeiten, sind diese verpflichtet, dafür zu sorgen, dass die Anforderungen und Massnahmen gemäss dem revISG in den entsprechenden Verträgen und Vereinbarungen festgehalten werden.

Allerdings fallen EVU in den Anwendungsbereich der zukünftigen (nach Inkrafttreten der Revision anwendbaren) Meldepflicht betreffend Cyberangriffe. Gemäss Art. 74b Abs. 1 lit. d des revISG gilt die Meldepflicht ausdrücklich für Unternehmen, die in den Bereichen Energieversorgung nach Art. 6 Abs. 1 des Energiegesetzes, Energiehandel, Energiemessung oder Energiesteuerung tätig sind, mit Ausnahme der Bewilligungsinhaber gemäss Kernenergiegesetz, sofern ein Cyberangriff auf eine Kernanlage erfolgt.

 

Zukünftige Meldepflicht der EVU bei Cyberangriffen

Die Revision schafft die gesetzlichen Grundlagen zur Meldepflicht für Betreiber kritischer Infrastrukturen und definiert die Aufgaben des Nationalen Zentrums für Cybersicherheit (National Cyber Security Centre – NCSC), welches als zentrale Meldestelle für Cyberangriffe vorgesehen war. Da das NCSC per 1. Januar 2024 in das Bundesamt für Cybersicherheit (BACS) überführt worden ist (siehe Medienmitteilung), wird nachfolgend anstelle des in der Revision erwähnten NCSC nur auf das BACS Bezug genommen.

Das BACS dient insbesondere der Unterstützung der Betreiber kritischer Infrastrukturen beim Schutz vor Cyberbedrohungen (Art. 74 Abs. 1 revDSG).

EVU sind entsprechend verpflichtet, dem BACS Cyberangriffe auf ihre Informatikmittel zu melden. Die Meldepflicht dient ausschliesslich dazu, dass das BACS Angriffsmuster auf kritische Infrastrukturen frühzeitig erkennen und dadurch mögliche Betroffene warnen und ihnen geeignete Präventions- und Abwehrmassnahmen empfehlen kann (Art. 74a Abs. 4 revISG).

Die Meldepflicht ist allerdings noch nicht in Kraft, da zu deren Umsetzung Ausführungsbestimmungen erlassen werden müssen. Der Bundesrat wird voraussichtlich im 1. Halbjahr 2024 dazu eine Vernehmlassung durchführen, so dass die Meldepflicht voraussichtlich ab dem 1. Januar 2025 in Kraft treten kann.

 

Voraussetzung der Meldepflicht für EVU

Sofern ein meldepflichtiger Cyberangriff bei einem EVU vorliegt, muss durch das betroffene EVU eine Meldung innerhalb von 24 Stunden seit der Entdeckung des Cyberangriffs an das NCSC erfolgen (Art. 74e Abs. 1 revISG).

Ein Cyberangriff muss gemeldet werden, wenn er:

  1. die Funktionsfähigkeit der betroffenen kritischen Infrastruktur gefährdet;
  2. zu einer Manipulation oder zu einem Abfluss von Informationen geführt hat;
  3. über einen längeren Zeitraum unentdeckt blieb, insbesondere wenn Anzeichen dafür bestehen, dass er zur Vorbereitung weiterer Cyberangriffe ausgeführt wurde; oder
  4. mit Erpressung, Drohung oder Nötigung verbunden ist (Art. 74d revISG).

Die Meldung muss Informationen zum EVU, zur Art und Ausführung des Cyberangriffs, zu seinen Auswirkungen, zu ergriffenen Massnahmen und, soweit bekannt, zum geplanten weiteren Vorgehen enthalten. Sind zum Zeitpunkt der Meldung nicht alle erforderlichen Informationen bekannt, so ergänzt das EVU die Meldung, sobald es über neue Informationen verfügt. Das BACS informiert das EVU, sobald alle Angaben zur Erfüllung der Meldepflicht vorliegen (Art. 74e revISG).

Wer die Meldepflicht für ein EVU zu erfüllen hat, muss im Rahmen der Meldung keine Angaben machen, die sie oder ihn strafrechtlich belasten (Art. 74e Abs. 4 revISG).

Für die elektronische Meldung von Cyberangriffen wird das BACS ein sicheres System zur Übermittlung der Meldung zur Verfügung stellen (Art. 74f Abs. 1 revISG).

Bestehen Anzeichen für eine Verletzung der Meldepflicht, so wird das BACS das meldepflichtige EVU darüber informieren und setzt ihm eine angemessene Frist, um der Meldepflicht nachzukommen (Art. 74g Abs. 1 revISG). Kommt das meldepflichtige EVU seiner Pflicht innert dieser Frist nicht nach, so erlässt das BACS eine Verfügung, setzt darin eine neue Frist und verweist auf die Strafdrohung nach Art. 74h revISG.

Mit Busse bis zu 100’000 Franken wird bestraft, wer einer vom BACS (unter Hinweis auf die Strafdrohung) erlassenen rechtskräftigen Verfügung oder dem Entscheid einer Rechtsmittelinstanz vorsätzlich nicht Folge leistet (Art. 74h Abs. 1 revISG).

 

Exkurs: Revision des StromVG: Pflicht zum Schutz der Anlagen vor Cyberdrohungen

Im Rahmen der vorgenannten Revision wird auch das Stromversorgungsgesetz im Abschnitt «Sicherstellung der Versorgung» betreffend den «Schutz vor Cyberdrohungen» ergänzt werden. Gemäss dem zukünftigen Art. 8a Abs. 1 StromVG sind Netzbetreiber, die Erzeuger und die Speicherbetreiber verpflichtet, angemessene Massnahmen zum Schutz ihrer Anlagen vor Cyberdrohungen zu treffen.

Sodann wird im zukünftigen Art. 8a Abs. 2 StromVG statuiert, dass der Bundesrat Ausnahmen vorsehen und, sofern zur Sicherstellung der Versorgung notwendig, die vorgenannte Pflicht auf andere Dienstleister im Bereich der Elektrizitätsversorgung ausdehnen kann.

Mehr zur Vernehmlassung für die Einführung einer Meldepflicht für Cyberangriffe bei kritischen Infrastrukturen finden Sie hier. 

Edith Luginbühl

Assistentin

Edith Luginbühl ist eine engagierte und erfahrene Assistentin mit über 50 Jahren Berufserfahrung. Ihre berufliche Laufbahn begann mit einer kaufmännischen Ausbildung bei einer Grossbank, und führte sie durch verschiedene Branchen, darunter die Gastronomie, Hotellerie, Autovermietung, Reisebüro, Zeitungsredaktion. Zu ihren Stärken zählen ihre freundliche und professionelle Art, ihre Zuverlässigkeit sowie ihr ausgeprägtes Auge für Details.

Alexander Wild begann 2019 sein rechtswissenschaftliches Studium an der Universität Zürich. Vor und während seinem Studium konnte er bereits erste Erfahrungen in einer Compliance Abteilung einer Bank erlangen, arbeitete als IT-Supporter sowie in einer Legal Abteilung eines international tätigen Pharmaunternehmen. Seine Tätigkeiten umfassten unter anderem die Prüfung/Einhaltung von Bankweisungen, Sanktionen, Kunden und Länderrisiko; Beurteilung des generellen Kunden-Risikos für die Bank; Wet Ink Support sowie Support in der Prozessoptimierung von Vertragsunterzeichnungen. Seit 2022 arbeitet er als Anwaltsassistent bei der Balthasar Legal AG sowie LR | Rechtsanwälte. Sein Masterstudium wird er voraussichtlich 2025 abschliessen. 

Sangmo Agontsang

Paralegal

Sangmo Agontsang schloss 2012 ihr Diplom als Wirtschaffachfrau an der Kaderschule Zürich ab. Im Anschluss an ihrem Diplom als Wirtschaftsfachfrau arbeitete Sangmo Agontsang als CEO Assistentin unter anderem für Freitag lab ag und CBM Schweiz. Sie verfügt des Weiteren über Erfahrung in der Organisation der Kaderschule Zürich, sowie über 3 Jahre Erfahrung in der Intellectual Property Abteilung der Freitag lab ag und hat dabei international mit einem Team von Anwälten die Rechte ihres Unternehmens verteidigt. Seit 2022 arbeitet sie als Paralegal bei der Balthasar Legal AG.

Markus Bruggmann

MLaw Senior Berater

MLaw Markus Bruggmann hat 2013 sein rechtswissenschaftliches Studium an der Universität Zürich abgeschlossen und war seitdem unter anderem bei einer Bank, einer Wirtschaftskanzlei und einer Versicherung tätig, wo er sich auf die Beratung sowie die Prüfung und Redaktion von Verträgen in den Bereichen des Kommunikations- und Technologierechts (Datenschutz) unter Berücksichtigung des Haftpflicht- und Immaterialgüterrechts spezialisierte. Zu seinen Stärken gehören seine analytischen Fähigkeiten und seine breite Erfahrung.