News

Künstliche Intelligenz (KI) und Algorithmen durchdringen zunehmend unseren Alltag. Sie vereinfachen viele Lebensbereiche, bergen jedoch auch das Risiko, bestehende Ungleichheiten zu verschärfen und Diskriminierungen zu fördern. In ihrer aktuellen Fachzeitschrift «Frauenfragen» beleuchtet die Eidgenössische Kommission für Frauenfragen (EKF) Chancen und Herausforderungen, die KI und Algorithmen für die Gleichstellung der Geschlechter mit sich bringen kann.

Der Bundesrat hat heute die USA auf die Liste der Länder gesetzt, die ein angemessenes Datenschutzniveau haben. Dies bedeutet, dass Personendaten zwischen der Schweiz und US-Unternehmen, welche gemäss dem neuen Swiss-U.S. Data Privacy Framework zertifiziert sind, sicher ausgetauscht werden können. Diese Neuerung der Datenschutzverordnung tritt per 15. September 2024 in Kraft. Mehr dazu finden Sie in der heutigen Medienmitteilung des Bundesrates.

Seit meiner Präsentation im Rahmen der 8. Tagung zum Datenschutz – Jüngste Entwicklungen am EuropaInstitut an der Universität Zürich zum Informationssicherheitsgesetz (ISG) vom 27. Januar 2015 hat es in der Schweiz doch noch einige wichtige rechtliche Entwicklungen im Bereich der Cybersicherheit gegeben. Letztere war die lang ersehnte Verabschiedung des ISG. Dieses Gesetz gilt namentlich für Bundesbehörden wie das Parlament der Schweiz oder die Schweizerische Nationalbank. Aus Sicht Wirtschaft sind insbesondere die Betreiber von kritischen Infrastrukturen wie z.B. Energie, Finanzen oder Gesundheit angesprochen.

Der Bundesrat hat am 8. November 2023 entschieden, das neue ISG zusammen mit dessen vier Ausführungsverordnungen per 1. Januar 2024 in Kraft zu setzen. Zum Ausführungsrecht des ISG gehören die folgenden Verordnungen:

• eine neue Informationssicherheitsverordnung (ISV);
• eine neue Verordnung über die Personensicherheitsprüfungen (VPSP);
• eine neue Verordnung über das Betriebssicherheitsverfahren (VBSV); und
• eine Änderung der bestehenden Verordnung über Identitätsverwaltungs-Systeme und Verzeichnisdienste des Bundes (IAMV).

Die neue Informationssicherheitsverordnung (ISV) ersetzt und erweitert die bisherigen Verordnungen zu Cyberrisiken und Informationsschutz. Sie regelt das Management der Informationssicherheit, den Schutz klassifizierter Informationen, die Informatiksicherheit sowie Massnahmen zur personellen und physischen Sicherheit. Bundesämter müssen ein Informationssicherheits-Managementsystem (ISMS) einführen, welches alle notwendigen Vorschriften, Verfahren und Massnahmen umfasst. Kantone sind betroffen, wenn sie mit klassifizierten Informationen des Bundes arbeiten oder auf Bundesinformatikmittel zugreifen und müssen in diesen Fällen die ISV-Vorschriften einhalten oder eine gleichwertige Informationssicherheit gewährleisten.

Am 22. Mai 2024 hat der Bundesrat die Vernehmlassung zu einer weiteren Verordnung eröffnet: die künftige Verordnung über die Cybersicherheit (Cybersicherheitsverordnung, CSV) soll in Ergänzung zur ISV insbesondere die Meldepflicht von Cyberangriffen auf kritische Infrastrukturen regeln und die Rolle des "neuen" Bundesamtes für Cybersicherheit BACS (bisher «NCSC» und davor bekannt als «MELANI») konkretisieren. Obwohl die CSV einen starken Fokus auf die Meldepflicht legt, gilt meines Erachtens zu beachten, dass präventive Massnahmen, wie sie z.B. in der Nationalen Cyber Strategie des Bundes verankert sind, und ein sicherer Informationsaustausch weiterhin von besonderer Bedeutung sind. Schliesslich definiert die CSV den Umfang der Meldepflicht, die meldepflichtigen Cyber-Angriffe und die Verfahren zur Erfüllung der Meldepflicht. Ausnahmen von der Meldepflicht gelten für Behörden und Unternehmen, bei denen ein Cyber-Angriff keine unmittelbaren Auswirkungen auf die Wirtschaft oder die Bevölkerung hat. Die Vernehmlassung zur CSV dauert bis zum 13. September 2024. Weitere Informationen finden Sie in der Medienmitteilung des Bundesrates.