Der Bundesrat hat heute, am 8. November 2023, das Informationssicherheitsgesetz (ISG) und seine vier Ausführungsverordnungen auf den 1. Januar 2024 in Kraft gesetzt (Medienmitteilung). Zum ISG s. unsere bisherige Berichterstattung. Die Erläuterungen zum Ausführungsrecht zum Informationssicherheitsgesetz (vom 8. November 2023) sind hier abrufbar, der Vernehmlassungsbericht hier.
Es sind folgende vier Ausführungsverordnungen (die alle hier als ein PDF veröffentlicht wurden):
- Informationssicherheitsverordnung (ISV): Die neue ISV ersetzt die bisherige Cyberrisikenverordnung (CyRV) und die Informationsschutzverordnung (ISchV). Sie regelt die Aufgaben, Verantwortlichkeiten und Kompetenzen sowie die Verfahren zur Gewährleistung der Informationssicherheit bei der Bundesverwaltung und der Armee. Bundesämter bzw. Verwaltungseinheiten werden u.a. als Ausdruck ihrer Führungsverantwortung verpflichtet, ein Informationssicherheits-Managementsystem (ISMS) einzuführen (Art. 5). Kantone sind von der ISV betroffen, wenn sie klassifizierte Informationen des Bundes bearbeiten oder auf Informatikmittel des Bundes zugreifen.
- Verordnung über die Personensicherheitsprüfungen (VPSP): Sie regelt das Verfahren zu den vom ISG vorgesehenen Personensicherheitsprüfungen.
- Verordnung über das Betriebssicherheitsverfahren (VBSV): Sie regelt das – durch das ISG neu eingeführte – Betriebssicherheitsverfahren, wenn Bundesbehörden sicherheitsempfindliche Aufträge vergeben.
- Verordnung über Identitätsverwaltungs-Systeme und Verzeichnisdienste des Bundes (IAMV): Die bereits heute geltende IAMV wird angepasst, u.a. mit dem Ziel, künftig einen einheitlichen Login-Dienst für den Zugang zu Online-Diensten der Verwaltung aller föderalen Ebenen zur Verfügung zu stellen. Die Anpassungen der IAMV treten am 1. Januar 2024 unter der Bedingung in Kraft, dass der Bundesrat auf dieses Datum auch das EMBAG in Kraft setzt. Siehe dazu auch AGOV.