Im Bundesblatt Nr. 15 vom 19. April 2017 wurden der Entwurf und die Botschaft des Bundesgesetzes über die Informationssicherheit (Informationssicherheitsgesetz, ISG) veröffentlicht. Das ISG bezweckt, “die sichere Bearbeitung der Informationen, für die der Bund zuständig ist, sowie den sicheren Einsatz der Informatikmittel des Bundes [zu] gewährleisten.” Es soll die heute zersplitterten Rechtsgrundlagen in einer Vielzahl von Erlassen ersetzen. Das ISG wird primär auf den Bund anwendbar sein, besonders die Bundesverwaltung (aber auch eidg. Gerichte und Bundesversammlung), aber auch auf kantonale Behörden, wenn diese klassifizierte Informationen des Bundes bearbeiten oder auf seine Informatikmittel zugreifen.
Zur Gewährleistung der Informationssicherheit sieht das ISG zunächst “allgemeine Massnahmen” auf mehreren Stufen vor:
- Die verpflichteten Organisationen sind zunächst generell verpflichtet, die Informationssicherheit zu gewährleisten, insbesondere also für die Vertraulichkeit, die Verfürbarkeit und die Integrität der Informationen in ihrem Zuständigkeitsbereich und für die Nachvollziehbarkeit ihrer Bearbeitung.
- Ferner sind Informationen zu klassifizieren und entsprechend ihrer Klassifizierung nur berechtigten Behörden zugänglich zu machen.
- Die Informationssicherheit beim Einsatz von Informatikmitteln zu gewährleisten. Dafür definiert das ISG Sicherheitsstufen (“Grundschutz”, “hoher Schutz” und “sehr hoher Schutz”) und gibt den verpflichteten Behörden vor, entsprechende abgestufte Mindestanforderungen vorzusehen.
- Beim Personaleinsatz müssen Auswahl, Identifikation, Aus- und Weiterbildung und Verpflichtung auf die Geheimhaltung entsprechend geregelt werden, und es ist allgemein ein “need-to-know-Prinzip” einzuhalten.
- Zum Schutz von Informationen und Informatikmitteln ist der physische Schutz sicherzustellen.
- Identitätsverwaltungssysteme (zentrale Verwaltung der Personenidentifizierung) werden geregelt.
Detaillierte Vorschriften gelten sodann für Personensicherheitsprüfungen (die heute im BWIS geregelt werden), für das Betriebssicherheitsverfahren (d.h. eine Prüfung von Dritten, die für die Erfüllung öffentlicher Aufträge in Betracht kommen und dabei eine sicherheitsempfindliche Tätigkeit ausüben würden; sog. “sicherheitsempfindliche Aufträge”; eine solche Prüfung ist heute erst für militärische Beschaffungen etabliert) und für kritische Infrastrukturen.