Anfrage
Informations- und Cybersicherheit Schweiz / EU

Informations- und Cybersicherheit in der EU und der Schweiz: Gesetzliche Anforderungen und Auswirkungen auf die Informationssicherheit und die Cyber Security.

Die gesetzlichen Anforderungen in der EU und der Schweiz verlangen von Unternehmen ein hohes Mass an Cybersicherheitsmassnahmen, insbesondere im Bereich IT-Notfallmanagement. Schweizer Unternehmen mit Verbindungen zur EU müssen diese Vorgaben beachten, um rechtliche Risiken und geschäftliche Einschränkungen zu vermeiden. Proaktive Investitionen in IT-Notfallmanagement stärken nicht nur die Compliance, sondern auch die Resilienz und Wettbewerbsfähigkeit eines Unternehmens.

Gesetzliche Anforderungen in der EU hinsichtlich IT-Notfallmanagement und Cyber-Krisenmanagement

NIS-Richtlinie (Network and Information Security Directive)

  • Geltung: Die NIS-Richtlinie (aktualisiert durch die NIS2-Richtlinie, gültig ab Oktober 2024) verpflichtet wesentliche Diensteanbieter und wichtige Einrichtungen wie Energieversorger, Gesundheitswesen, Transport, Banken und IT-Dienstleister zur Umsetzung von Massnahmen zur Cybersicherheit, einschliesslich IT-Notfallmanagement.
  • Kernanforderungen:
    • Risikoanalyse und -bewältigung.
    • Technische und organisatorische Massnahmen (z. B. Incident Response Pläne).
    • Meldung von Sicherheitsvorfällen an zuständige Behörden (innerhalb von 24-72 Stunden).

DSGVO (Datenschutz-Grundverordnung)

  • Geltung: Alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten.
  • Relevanz für IT-Notfallmanagement:
    • Schutz von Daten vor Verlust, Zerstörung und unbefugtem Zugriff.
    • Vorhandensein eines Wiederherstellungsplans (Disaster Recovery).
    • Meldepflicht bei Datenschutzverletzungen (binnen 72 Stunden).

Cyber Resilience Act (CRA)

  • Geltung: Ab 2025 (geplant) für Hersteller und Anbieter von Produkten mit digitalen Elementen.
  • Anforderungen: Sicherstellung, dass Produkte über die gesamte Lebensdauer hinweg gegen Cyberangriffe geschützt sind.

DORA und der Einfluss auf das IT-Notfallmanagement

Der Digital Operational Resilience Act (DORA) ist eine EU-Verordnung, die die digitale Betriebsresilienz im Finanzsektor stärken soll. Sie trat im Januar 2023 in Kraft und wird ab 17. Januar 2025 verbindlich. Ziel ist es, sicherzustellen, dass Finanzinstitute und ihre Dienstleister widerstandsfähig gegenüber IT-Risiken sind und Störungen effektiv bewältigen können.

Kernelemente von DORA

DORA deckt mehrere Bereiche der digitalen Resilienz ab, die direkten Einfluss auf das IT-Notfallmanagement haben:

IT-Risiko-Management:

  • Finanzunternehmen müssen ein robustes IT-Risikomanagement etablieren, das Cyberrisiken identifiziert, bewertet und adressiert.
  • Die Anforderungen gelten auch für Drittanbieter (z. B. IT-Dienstleister und Cloud-Anbieter).

Meldepflichten für IT-Vorfälle:

  • Wesentliche IT-Vorfälle müssen innerhalb enger Zeitfenster an die zuständigen Behörden gemeldet werden.
  • Dies erfordert klare Prozesse zur Erkennung und Meldung von Vorfällen.

IT-Notfallpläne und Tests:

  • Unternehmen müssen detaillierte IT-Notfallpläne erstellen, regelmässig testen und ihre Effektivität nachweisen.
  • Die Pläne müssen Massnahmen zur Wiederherstellung des Geschäftsbetriebs enthalten, insbesondere bei IT- oder Cybervorfällen.

Operational Resilience Testing:

  • Regelmässige Tests (z. B. Stresstests und Red-Teaming) müssen durchgeführt werden, um die Widerstandsfähigkeit der IT-Systeme zu prüfen.
  • Bei kritischen Einrichtungen sind unabhängige Dritte in die Tests einzubeziehen.

Drittparteienmanagement:

  • Unternehmen müssen sicherstellen, dass auch ihre IT-Dienstleister und Zulieferer die Vorgaben erfüllen.
  • Kritische Dienstleister werden direkt durch DORA überwacht.

IT-Notfallmanagement / Cyber Krisenmanagement Tool

  • IT-Notfallhandbuch, IT-Notfall-Tool
  • IT-Notfallhandbuch, IT-Notfall-Tool

IT-Notfallmanagement / Cyber Krisenmanagement Tool

Cyber Security Fachbroschüren

Gesetzliche Anforderungen in der Schweiz hinsichtlich IT-Notfallmanagement und Cyber-Krisenmanagement

NIS-Verordnung (Nationale Strategie zum Schutz der Schweiz vor Cyber-Risiken)

  • Geltung: Diese nationale Strategie gilt für Betreiber kritischer Infrastrukturen (z. B. Energie, Gesundheitswesen, Banken).
  • Anforderungen:
    • Einführung eines Cybersicherheitsmanagementsystems (CSMS).
    • Notfallplanung und Meldepflicht bei IT-Sicherheitsvorfällen an die Melde- und Analysestelle Informationssicherung (MELANI) im Nationalen Zentrums für Cybersicherheit (NCSC) Schweiz.

Neues Datenschutzgesetz (revDSG)

  • Geltung: Unternehmen und Behörden, die personenbezogene Daten in der Schweiz verarbeiten.
  • Relevanz für IT-Notfallmanagement:
    • Technische und organisatorische Massnahmen zur Verhinderung von Datenpannen.
    • Vertraulichkeits- und Verfügbarkeitsschutz von Daten.

Finanzmarktaufsicht (FINMA-Rundschreiben 08/21)

  • Geltung: Finanzinstitute, Banken und Versicherungen.
  • Anforderungen:
    • Betrieb eines Informationssicherheitsmanagementsystems (ISMS).
    • Regelmässige IT-Notfallübungen und Tests.

Auswirkungen der EU-Anforderungen auf Schweizer Unternehmen

Schweizer Unternehmen, die Geschäfte mit der EU machen oder personenbezogene Daten von EU-Bürgern verarbeiten, müssen die EU-Vorschriften einhalten. Besonders wichtig sind:

DSGVO:

  • Verarbeitung personenbezogener Daten nach EU-Standards.
  • Meldepflicht bei Datenpannen an EU-Behörden.

NIS2-Richtlinie:

  • Für Anbieter von kritischen Dienstleistungen in der EU gelten strenge Anforderungen an IT-Notfallmanagement, die auf Schweizer Unternehmen ausstrahlen können (z. B. bei Kooperationen).

Zusammenarbeit mit EU-Partnern:

  • Vertragspartner in der EU können von Schweizer Unternehmen Massnahmen wie Incident Response Pläne und Notfallmanagement nach EU-Standards verlangen.

Konkrete Massnahmen für Schweizer Unternehmen

  • Implementierung eines IT-Notfallmanagementsystems (Incident Response und Disaster Recovery Pläne).
  • Regelmässige Durchführung von IT-Notfallübungen und Audits.
  • Nutzung von Standards wie ISO 27001/27035 für Informationssicherheit und Incident Management.
  • Meldeprozesse für Sicherheitsvorfälle etablieren (z. B. MELANI in der Schweiz oder ENISA-konforme Prozesse in der EU).

Einfluss von DORA auf Schweizer Unternehmen

1. Schweizer Finanzunternehmen mit EU-Bezug

  • Betroffenheit: Schweizer Finanzinstitute (z. B. Banken, Versicherungen, Asset Manager), die in der EU tätig sind oder Dienstleistungen für EU-Kunden erbringen, müssen DORA einhalten.
  • Anforderungen:
    • Anpassung der IT-Notfallmanagementprozesse an die EU-Vorgaben.
    • Einführung von robusten Incident-Management-Systemen und Meldeprozessen für IT-Vorfälle (z. B. an die Europäische Bankenaufsichtsbehörde, EBA).
    • Sicherstellung der Resilienz von IT-Systemen, insbesondere in grenzüberschreitenden Geschäftsfeldern.

2. IT-Dienstleister in der Schweiz

  • Betroffenheit: Schweizer IT-Dienstleister, die mit EU-Finanzinstituten zusammenarbeiten, unterliegen den Anforderungen von DORA.
  • Anforderungen:
    • Nachweis von Resilienz und Compliance in ihren Systemen und Dienstleistungen.
    • Teilnahme an Stresstests und Auditierungen durch Kunden oder Regulierungsbehörden.
    • Sicherstellung, dass Sub-Dienstleister ebenfalls den Anforderungen entsprechen.

3. Schweizer Unternehmen ohne direkte EU-Präsenz

  • Indirekte Auswirkungen:
    • EU-Partner können verlangen, dass Schweizer Unternehmen DORA-ähnliche Standards erfüllen, um grenzüberschreitende Geschäftsbeziehungen zu sichern.
    • Wettbewerbsvorteil: Unternehmen mit einem robusten IT-Notfallmanagement sind besser aufgestellt, um mit EU-Partnern zusammenzuarbeiten.

Krisenmanagement - Führung unter erschwerten Bedingungen

Fragen

Ihre Fragen werden durch unsere Experten für Informations- und Cybersicherheit gerne beantwortet.

Sie haben ein Anliegen oder suchen fachliche Unterstützung im Thema Informationssicherheit und Cyber Security? Gerne helfen wir weiter.

Newsletter

Neuigkeiten nicht verpassen

Verpassen Sie weder News noch fachliche Neuheiten, die wir unseren treuen Abonnenten vorbehalten.

 
Ihre E-Mail-Adresse wird nur dazu genutzt, Ihnen unseren Newsletter und Informationen über unsere Tätigkeiten zu senden. Ihnen steht jederzeit der Abmeldelink zur Verfügung, den wir in jede gesendete E-Mail einfügen.

Benutzereinstellungen für Cookies
Wir verwenden Cookies, um sicherzustellen, dass Sie die beste Erfahrung auf unserer Website machen. Wenn Sie die Verwendung von Cookies ablehnen, funktioniert diese Website möglicherweise nicht wie erwartet.
Alle akzeptieren
Alle ablehnen
Weiter lesen
Unbedingt erforderliche Cookies
Diese Cookies sind unerlässlich, um sicherzustellen, dass der Besucher in bestimmten Funktionen der Website navigieren und sie nutzen kann. Ohne sie können wesentliche Teile der Webseite nicht verwendet werden. Entsprechend sind diese Cookies immer aktiviert. Sie werden nur dann eingesetzt, wenn Sie unsere Website besuchen und werden in der Regel nach dem Schliessen Ihres Browsers gelöscht. Ausserdem werden sie verwendet, um bei Zugriff mit einem mobilen Gerät die optimierte Website-Darstellung abzurufen, damit z. B. Ihr Datenvolumen nicht unnötig verbraucht wird. Auch erleichtern die Cookies den Seitenwechsel von http zu https, sodass die Sicherheit der übertragenen Daten gewährleistet bleibt.
Marketing-Cookies
Marketing-Cookies werden genutzt, um gezielter für den Nutzer relevante und an seine Interessen angepasste Inhalte anzubieten. Sie werden ausserdem dazu verwendet, die Effektivität von Kampagnen zu messen und zu steuern. Sie registrieren z. B., ob man eine Webseite besucht hat oder nicht, sowie welche Inhalte genutzt worden sind. Mithilfe dieser Informationen wird ein Interessensprofil erstellt, sodass nur für Sie interessante Inhalte angezeigt werden. Wenn Sie Ihre Zustimmung zu Marketing-Cookies widerrufen, bedeutet dies nicht, dass Sie in der Folge weniger Inhalte sehen oder erhalten. Es bedeutet vielmehr, dass die Inhalte, die Sie sehen und erhalten, nicht individuell auf Ihre Bedürfnisse zugeschnitten sind.
linkedin.com
Annehmen
Decline
Leistungs-Cookies
Diese Cookies sammeln Daten über das Benutzerverhalten. Auf dieser Basis wird die Webseite bezüglich Inhalt und Funktionalität auf das allgemeine Nutzungsverhalten abgestimmt. Die gesammelten Informationen werden grundsätzlich in aggregierter Form weiterverarbeitet, es sei denn, ein Besucher hat einer personenbezogenen Auswertung gesondert ausdrücklich zugestimmt. Leistungs-Cookies werden ausschliesslich verwendet, um die Leistung der Website zu verbessern und das Online-Erlebnis auf die Bedürfnisse der Nutzer abzustimmen.
Google Analytics
Annehmen
Decline
Funktionale Cookies
Funktionale Cookies ermöglichen der Webseite, getätigte Angaben, wie z. B. den Benutzernamen oder die Sprachauswahl, zu speichern und dem Nutzer darauf basierend verbesserte und personalisierte Funktionen anzubieten. Die gesammelten Informationen werden ausschliesslich in aggregierter Form ausgewertet. Da wir Ihnen eine Website bieten möchten, die auf optimale Benutzerfreundlichkeit ausgelegt ist, empfehlen wir die Aktivierung dieser Cookies. Funktionale Cookies werden z. B. auch genutzt, um von Ihnen gewünschte Funktionen wie die Wiedergabe von Videos zu aktivieren.
Speichern