01.04.2021 - Um die Vorgaben zur Informatiksicherheit und zu Cyberrisiken in der Bundesverwaltung systematisch und inhaltlich zu vereinfachen, werden die bisherigen «Weisungen des Bundesrates über die IKT-Sicherheit in der Bundesverwaltung» (WIsB) in die Cyberrisikenverordnung (CyRV) überführt. Aufgrund dieser Anpassung mussten die vom Delegierten für Cybersicherheit erlassenen Vorgaben zur Informatiksicherheit entsprechend angepasst werden. Die überarbeitete CyRV und die Vorgaben treten am 1. April 2021 in Kraft.
Mit der Verordnung über den Schutz vor Cyberrisiken in der Bundesverwaltung (Cyberrisikenverordnung, CyRV) hat der Bundesrat am 27. Mai 2020 eine spezifisch auf Cyberrisiken und die Informatiksicherheit der Bundesverwaltung ausgerichtete Verordnung erlassen.
Die Vorgaben zum Sicherheitsverfahren aber, wurden weiterhin in einer separaten Weisung des Bundesrates erlassen. Dies ist weder praktisch noch zweckmässig. Aus diesem Grund wurden die Inhalte der «Weisungen des Bundesrats über die IKT-Sicherheit in der Bundesverwaltung» (WIsB) nun in die CyRV integriert und die Weisungen werden aufgelöst.
Die Überführung der WIsB in die CyRV dient nicht nur der systematischen, sondern auch der inhaltlichen Vereinfachung. Vorgaben zum Prozess und zur entsprechenden Dokumentation werden künftig direkt durch die oder den Delegierten des Bundes für Cybersicherheit im Rahmen der Informatiksicherheitsvorgaben erlassen. Dies ermöglicht eine flexiblere Anpassung der Vorgaben und stärkt die Rolle der oder des Delegierten.
Die wichtigsten Themen, die aus der WIsB in die CyRV überführt worden sind, im Überblick:
- Die Aufgaben der Informatiksicherheitsbeauftragten der Departemente (ISBD).
- Die Bestimmung von Informatiksicherheitsbeauftragte/n der Organisationseinheit (ISBO) in den Verwaltungseinheiten und deren Aufgaben.
- Die Verantwortung der Mitarbeitenden der Bundesverwaltung bei der Handhabung von Informatikmitteln.
- Die Vorgaben zum Sicherheitsverfahren auf Stufe Bund. Diese bilden die Grundlage für eine sichere Abwicklung aller durch die Informatik unterstützten Geschäftsprozesse. Konkret sind dies z. B. die Durchführung von Schutzbedarfsanalysen, die Umsetzung der Vorgaben zum Grundschutz, das Vorgehen bei erhöhtem Schutzbedarf usw.
Die überarbeitete CyRV tritt am 1. April 2021 in Kraft und gleichzeitig wird die WIsB aufgehoben.
