Seit 1. Januar

Update: Neues Jahr, neue Cyber-Bundesstellen

Uhr
von René Jaun und Yannick Züllig und cka, tme

Zum Jahresstart ist aus dem Nationalen Zentrum für Cybersicherheit ein Bundesamt geworden. Das neue Staatssekretariat für Sicherheitspolitik ist indes für die Sicherheitspolitik und die Informationssicherheit verantwortlich. Das Staatssekretariat erhält zudem einen ersten Vorsteher.

(Source: Beatrice Devenes)
(Source: Beatrice Devenes)

Update vom 8.1.2024: Seit dem 1. Januar 2024 hat der Bund seine Cybersicherheitskompetenzen neu aufgestellt. Aus dem Nationalen Zentrum für Cybersicherheit (NCSC) ist das Bundesamt für Cybersicherheit (BACS) geworden.

Brigadier Markus Mäder, Staatsekretär für Sicherheitspolitik. (Source: VBS)

Neu gibt es auch das Staatssekretariat für Sicherheitspolitik (SEPOS), welches einige zentrale Aufgaben des ehemaligen NCSC übernimmt (siehe unten). In seiner Sitzung vom 22. Dezember hat der Bundesrat den Brigadier Markus Mäder zum Staatssekretär für Sicherheitspolitik und somit zum Leiter des SEOPS bestimmt. Mäder war zuletzt Chef Internationale Beziehungen Verteidigung beim VBS.

Pälvi Pulli, stellvertretende Staatssekretärin für Sicherheitspolitik und Chefin Strategie und Kooperation SEPOS (Source: VBS)

Mäders Stellvertreterin beim SEOPS wird Pälvi Pulli. Sie übernimmt die Funktion als Chefin Strategie und Kooperation und erhält für die Dauer ihrer Amtszeit den Rang einer Botschafterin, womit sie direkten Zugang zu Gesprächspartnern im Ausland hat. Pulli war zuletzt Chefin Sicherheitspolitik im Generalsekretariat VBS.

Originalmeldung vom 8.11.2023:

Bund legt Verantwortung für IT-Sicherheit in neue Hände

In der Schweiz tritt Anfang 2024 ein neues Informationsgesetz (ISG) in Kraft. Damit geht offenbar auch eine Schwächung des Nationalen Zentrums für Cybersicherheit (NCSC) einher. Dies schreibt NZZ-Journalist Lukas Mäder in einem Linkedin-Beitrag, in welchem er sich auf die mit dem Gesetz verabschiedeten Verordnungen beruft.

Darin definiert der Bundesrat eine neue Fachstelle für Informationssicherheit. Diese, schreibt Mäder, verantworte künftig die IT-Sicherheit der Bundesverwaltung. "Diese erlässt etwa Vorgaben bezüglich IT-Sicherheit für die gesamte Bundesverwaltung, sie kann Audits bezüglich Informationssicherheit erlassen, und sie ist für die Bewältigung grösserer Cyberangriffe zuständig", fasst der Journalist zusammen. Bislang fielen die entsprechenden Aufgaben und Kompetenzen in den Bereich des NCSC, welches 2024 zum Bundesamt für Cybersicherheit wird.

Stabübergabe erfolgt Mitte 2025

Die Fachstelle des Bundes für Informationssicherheit ist Teil des Staatssekretariats für Sicherheitspolitik (SEPOS) im Verteidigungsdepartement (VBS), wie es in dessen Erläuterungen zum ISG (PDF) heisst. Sie übernimmt die Aufgaben des Bundesamts für Cybersicherheit (BACS) in Bezug auf den Eigenschutz des Bundes (Vorgaben und Beratung). Da beim Inkrafttreten des ISG die Fachstelle des Bundes für Informationssicherheit noch nicht operationell sein werde, nehme das BACS bis Mitte 2025 seine bisherigen Aufgaben im Bereich Informatiksicherheit des Bundes wahr.

Komme es künftig zu einem Datenabfluss beim Bund, werde nicht mehr NCSC-Vorsteher Florian Schütz, sondern der neue Staatssekretär Auskunft geben müssen, kommentiert Mäder. Das NCSC wiederum sei nur noch für den Schutz der kritischen Infrastruktur der Schweiz zuständig.

Meldepflicht für Cyberangriffe auf kritische Infrastrukturen kommt noch nicht

In seiner Mitteilung zum neuen Informationssicherheitsgesetz erwähnt und verlinkt der Bundesrat zwar die dazugehörigen Verordnungen, ohne jedoch auf die teilweise Entmachtung des NCSC einzugehen. Vielmehr erwähnt die Exekutive, dass die Bundesämter neu zur Einführung eines Informationssicherheits-Managementsystems (ISMS) verpflichtet würden. Verarbeiten Kantone klassifizierte Informationen des Bundes, sind auch sie von der Informationssicherheitsverordnung betroffen.

Eine weitere Verordnung regelt das Prüfverfahren , welches die Bundesbehörden zusammen mit dem Nachrichtendienst durchführen, wenn sie sicherheitsempfindliche Aufträge an Firmen vergeben wollen. Damit wolle man verhindern, dass "Firmen, die von ausländischen Nachrichtendiensten kontrolliert werden, Zugang zu hochklassifizierten Informationen oder zu kritischen Informatiksystemen des Bundes erhalten".

Noch nicht eingeführt wird indes die Meldepflicht für Cyberangriffe auf kritische Infrastrukturen. Zwar segnete das Parlament eine solche im September 2023 ab. Sie bedinge aber eine vollständige Überarbeitung eines Kapitels des ISG, erklärt der Bundesrat. Darum erfolge der Erlass der Ausführungsbestimmungen zu einem späteren Zeitpunkt.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
JFVJ7yuT