Parallelen zwischen dem Schweizer ISG und der EU-Richtlinie NIS-2

ISG

Behörden und Organisationen des Bundes (Art. 2) KRITIS (Kritische Infrastruktur) (Art. 74b) 

NIS-2 

Bundesverwaltung und KRITIS (Kritische Infrastruktur)

ISG

Ausnahmen möglich, wenn durch Cyberangriffe ausgelöste Funktionsstörungen nur geringe Auswirkungen auf das Funktionieren der Wirtschaft oder das Wohlergehen der Bevölkerung haben (Art. 74c) 

NIS-2 

> 50 MA oder 
> 10 Millionen Euro Jahresumsatz 

ISG

Ab Januar 2025 für KRITIS, seit 1.1.2024 für Bundesbehörden in Kraft 

NIS-2 

Bis Oktober 2024 in nationale Gesetzgebung zu überführen

ISG

• Unterstützt die Betreiberinnen von kritischen Infrastrukturen (Art 74) 
• Gegenseitiger sicherer Informationsaustausch (Art 74) 
• Betriebssicherheitserklärungen ausstellen (Art 61) 
• Personensicherheitsprüfungen (Kap. 3) 
• Kantonale periodische Überprüfung der Umsetzung und Wirksamkeit der Informationssicherheit (Art 86) 

NIS-2 

• Definition zentraler Stellen und Kompetenzen pro Land 
• Erarbeitung von Leitfäden und Empfehlungen
• Überwachung der Umsetzung
• Einrichtung und Betrieb von Mobile Incident Response Teams
• Entgegennahme und Bearbeitung von Meldungen über Cybervorfälle 

ISG

• Führungsverantwortung
• Einführung eines ISMS
• Riskomanagement
• Sicherheitsrichtlinien und Praktiken
  • Informationsklassifizierung
  • Zusammenarbeit mit Dritten
  • Incident Management
  • Personelle Sicherheit
  • Identitätsverwaltung
  • Datenschutz
  • Datenaufbewahrung, -archivierung & -vernichtung
  • Meldepflichten
  • Informationsaustausch zu Bedrohungen
  • Meldung von Sicherheitsvorfällen
    

NIS-2 

• Risikomanagement
• Erkennung und Meldung von Vorfällen 
• Geschäftskontinuität und Backups 
• Sicherheit der Lieferkette 
• Sichere Systementwicklung und -beschaffung 
• Bewertung der Wirksamkeit von Sicherheitsmassnahmen 
• Cyber-Hygiene-Praktiken und Schulungen 
• Verschlüsselung 
• Personal- und HR-Sicherheit 
• Asset Management 
• Zugangskontrolle und MFA (Multi-Faktor-Authentifizierung) 

ISG

• An das Bundesamt für Cybersicherheit (BACS)

• Cyberangriffe mit Schadenspotenzial innerhalb von 24 Stunden
  

NIS-2 

• Je nach Land sind unterschiedliche Einrichtungen verantwortlich

• Reporting von «significant security incidents» 
  <= 24 h - early warning 
  <= 72h - incident notification 
  <= 1 month - final report
  

ISG

• CHF 100'000 als persönliche Bussen bei vorsätzlichem nicht Folge leistet 

• Bussen können auf Betriebe angewendet werden bei Beträgen bis CHF 20’000 

• Verwaltungsstrafrecht ist zudem anwendbar (Art 74h) 

NIS-2 

• Bussen von bis zu 10M € oder 2% des globalen Jahresumsatzes (für besonders wichtige Einrichtungen)

• max. 7M € oder 1.4% des globalen Jahresumsatzes (wichtige Einrichtungen) 

• Geschäftsleitungen und Führungskräfte der Unternehmen haften mit ihrem Privatvermögen