Ausführungsrecht zum Informationssicherheitsgesetz

Mit Schreiben vom 24. August eröffnete das Eidgenössische Departement für Verteidigung, Bevölkerungsschutz und Sport (VBS) bei den Kantonen das Vernehmlassungsverfahren zum Ausführungsrecht zum Informationssicherheitsgesetz.

Wir danken lhnen für diese Möglichkeit und lassen uns wie folgt vernehmen.

Vorbemerkung

Der Regierungsrat Nidwalden nimmt zur Kenntnis, dass sowohl das lnformationssicherheitsgesetz (lSG) als auch die dazugehörigen Verordnungen die Kantone meist nur indirekt betreffen, wenn sie auf Daten des Bundes zugreifen oder diese bearbeiten. Zudem muss festgehalten werden, dass zum heutigen Zeitpunkt einige Bestimmungen nicht abschliessend geregelt sind, die für die Kantone wichtig sein werden. Dies betrifft v.a. die Revision des ISG samt Verordnung bezüglich der Meldepflicht für Cyberangriffe bei kritischen lnfrastrukturen (Kapitel 5 des ISG). Die generellen Anpassungen werden jedoch unterstützt und gehen mit der Berücksichtigung des vernetzten, digitalisierten Umfelds mit dem vermehrten Datenaustausch nach dem „Once-Only-Prinzip“ in die richtige Richtung. Die lnformationssicherheit als Verbundsaufgabe mit vernetzter Verantwortung, die gemeinsame Ziele definiert und ein koordiniertes Vorgehen unter Beachtung von Minimalstandards verfolgt, wird als wichtig erachtet.

Beantwortung der Fragen

Zu den konkreten Fragen des VBS wird wie folgt Stellung genommen:

lst die Umsetzung der Verordnungen für die Kantone verständlich?
Die zugestellten Unterlagen sind mehrheitlich verständlich. Es bestehen im Detail Unklarheiten, ob die Kantone nicht grundsätzlich als „Dritte“ zu bezeichnen sind. Zudem wird der Begriff „Kantone“ im Ausführungsrecht zum ISG neu definiert und umfasst auch öffentlichrechtliche Körperschaften, Anstalten oder Stiftungen. Eine kohärente Begrifflichkeit – welche im Einklang mit der Definition gemäss Art. 3 der Bundesverfassung steht – würden wir begrüssen. ln einem weiteren Schritt wären auch die weiteren Körperschaften etc. separat zu erwähnen.

Wie gedenken die Kantone, die Verordnungen umzusetzen?
Die Zuständigkeit zum Erlass der entsprechenden Regelungen liegt bei den einzelnen Kantonen. Jeder Kanton regelt dies eigenständig. lm Kanton Nidwalden wird (gestützt auf die bundesrechtlichen Vorgaben und die weiteren Bestimmungen im kantonalen Recht) zu klären sein, ob die erforderlichen Bestimmungen in einem formellen Gesetz oder auf Verordnungsstufe erlassen werden müssen bzw. können.

Mit welchen finanziellen Auswirkungen rechnen die Kantone?
Dies ist zum aktuellen Zeitpunkt schwierig abzuschätzen, da noch nicht alle Rahmenbedingungen abschliessend definiert sind. Es ist aber davon auszugehen, dass erweiterte Definitionen, Klassifizierungen der Systeme und Risikoabschätzungen mit allen Beteiligten vorgenommen und diese kontinuierlich überprüft werden müssen. Bei einer zentralen Organisation der Koordinationsaufgaben für beide Kantone mit allen Gemeinden gehen wir aktuell von jährlichen Mehrkosten von ca. CHF 100’000.- aus.

Die Kantone sollen für Fragen der lnformationssicherheit eine Dienststelle als Ansprechpartner für die Bundesbehörde bezeichnen. Wer ist die Ansprechperson bei lhrem Kanton?
Das lnformatikleistungszentrum der Kantone Obwalden und Nidwalden (lLZ) hat seit mehreren Jahren ein entsprechendes Knowhow aufgebaut und kennt die Voraussetzungen für die Umsetzung eines lnformationssicherheits-Managementsystem (ISMS). Zudem ist in der neuen lnformatik-Vereinbarung der Kantone Obwalden und Nidwalden explizit vorgesehen, dass das ILZ für die Umsetzung der lnformationssicherheit zuständig sein soll. Es ist somit in Zukunft eine gesetzliche Grundlage vorhanden, um das ILZ als Ansprechpartner für die Bundesbehörde zu bezeichnen. Das ILZ führt diesbezüglich bereits einen aktiven lnformationsaustausch mit den Bundesbehörden (Sicherheitsverbund Schweiz, NCSC).