angle-left Gesetz über die Informations- und Cybersicherheit (ICSG)

Gesetz über die Informations- und Cybersicherheit (ICSG)

Worum geht es?

Das Gesetz schafft die organisatorischen und rechtlichen Grundlagen, um die Informations- und Cybersicherheit in der Kantonsverwaltung zu regeln. Es schliesst damit eine Lücke, denn dieser Bereich ist derzeit nur ansatzweise geregelt. Mit der Digitalisierung der Verwaltung wird die Informations- und Cybersicherheit jedoch immer wichtiger, um die zunehmenden Angriffe von Kriminellen auf Verwaltungssysteme abzuwehren. Das ICSG soll auf die Risiken, Bedürfnisse und Möglichkeiten des Kantons Bern ausgerichtet werden. Zu den wesentlichsten Neuerungen gehören Regeln für die oberste Führung zum Risikomanagement, für die Klassifizierung von Informationen und ICT-Mitteln sowie für die Personensicherheitsprüfung.

Stellungnahme Berner KMU

Ausgangslage

Mit der Digitalisierung der Verwaltung wird die Informations- und Cybersicherheit immer wichtiger, um die zunehmenden Angriffe von Cyberkriminellen auf Verwaltungssysteme abzuwehren. Basierend auf dem von der Bundesversammlung am 18.12.2020 verabschiedete ISG (Inkrafttreten 01.04.2023) wurde im Kanton Bern festgestellt, dass die Kantonsverfassung heute in vielen Punkten die technischen, organisatorischen und rechtlichen Grundlagen fehlen. (heute nur ansatzweise und auf Normebene geregelt).

Der Kanton Bern bewegt sich konsequent in Richtung E-Government und strebt das Primat der digitalen Verwaltungsführung an. Da alle kantonalen und kommunalen Behörden stark miteinander verbunden sind, kann die Informations- und Cybersicherheit nur mit einheitlichen, für alle Behörden geltenden Regeln gewährleistet werden. Zu diesem Zweck wird das ICSG erlassen.

Das vorliegende Gesetz soll diese Lücken füllen. Es ergänzt:

  • Die Gesetzgebung über die zentralen Personendatensammlungen (PDSG)
  • Die digitale Verwaltung (DVG)
  • Die Revision des Datenschutzgesetzes (KDSG)

Zu den wesentlichen Neuerungen gehören Regeln für die oberste Führung zur Prävention, für die Klassifizierung von Informationen (anhand Risikobeurteilungsmatrix) und ICT-Mittel sowie für die Personensicherheitsprüfung (Übernahme der Regelung des Polizeigesetzes). Auch Massnahmen zur physischen und insbesondere personellen Sicherheit sind zu ergreifen, da der Mensch das grösste Risiko für die Informations- und Cybersicherheit darstellt.

Das gegenüber dem ISG auf Bundesebene deutlich kürzere und übersichtlichere ICSG ist die gesetzliche Grundlage und damit die Voraussetzung für die einheitliche, umfassende, effektive und effiziente Informations- und Cybersicherheit im Kanton Bern. Es soll zusammen mit der dazugehörenden Verordnung im Verlauf des Jahres 2024 in Kraft gesetzt werden.

Stellungnahme

Im ICSG basiert auf dem ISG des Bundes, ist jedoch viel kürzer und übersichtlicher gestaltet, was zu begrüssen ist. Ebenfalls positiv ist, dass die Thematik gesamtheitlich betrachtet und Lücken im vorhandenen Regelwerk schliesst. Im Papier sind sehr viele Detailelemente aufgeführt und es bestehen diverse Abhängigkeiten zu anderen Gesetzen, was rasch zu Komplexität führt. Es wird daher empfohlen, bei der Stellungnahme nicht im Detail auf diese Punkte einzugehen und diese auf übergeordneter Ebene abzugeben.

Es ist grundsätzlich unbestritten, dass die Cybersicherheit angesichts der rasch fortschreitenden Digitalisierung zunehmend an Bedeutung gewinnt. Sowohl für Behörden als auch für Unternehmen und Privatpersonen kann der Verlust, der Diebstahl, die unberechtigte Preisgabe oder der Missbrauch von Informationen schwerwiegende Folgen haben (in den Medien ist fast täglich von heiklen Leaks zu lesen). Besonders schützenswert ist dabei die so genannte kritische Infrastruktur. Aus diesem Grund ist das vorliegende Gesetz im Interesse Aller und kann unterstützt werden.

Auch Behörden, die nicht Teil der kantonalen Verwaltung sind, müssen eine den Risiken angemessene Sicherheitsorganisation haben, was ebenfalls begrüssenswert ist.

Das Gesetz entspricht den Richtlinien der Regierungspolitik 2023 bis 2026. Diese priorisieren für den Kanton Bern die digitale Transformation. Die finanziellen Auswirkungen sind im Rahmen des Budgets bewerkstellig bar – ebenso werden keine zusätzlichen Personalressourcen gesprochen.

Aus Sicht von Berner KMU sind folgende Punkte kritisch zu würdigen:

  • Mit der fortschreitenden Digitalisierung verfolgt die öffentliche Hand einerseits eine zukunftsgerichtete Stossrichtung, erhöht dabei aber gleichzeitig die Anfälligkeit für Cyberangriffe. Es stellt sich die Frage, inwieweit die Abwicklung heikler Prozesse auch «analog» (Redundanz) sichergestellt werden muss.
  • Die Klassifizierungskriterien (nicht klassifiziert / intern / vertraulich / geheim) sind nie «schwarz/weiss» - es stellt sich die Frage, wer diese Klassifizierungen final erteilen resp. unter welchen Voraussetzungen bspw. als geheim klassifizierte Dokumente weitergeben kann. Dies wird der Regierungsrat auf Verordnungsebene klären und muss dann nochmals kritisch beurteilt werden.
  • Die Hürden für die «Beauftragung Dritter» werden auf den ersten Blick stark erhöht. Dritte müssen sicherstellen, dass das Gesetz eingehalten wird. Es besteht die Gefahr, dass aufgrund der zunehmenden Komplexität nur noch Grosskonzerne Aufträge der öffentlichen Hand erhalten und KMU de facto wegfallen, da hier häufig Limitationen vorhanden sind.
  • Das Stichwort resp. Bemerkung «Überwachungsstaat» hat eine gewisse Berechtigung.

Stellungnahme Berner KMU an die Finanzdirektion des Kantons Bern

» lesen