Umfrage zum ISG des Bundes - Unsicherheit bezüglich Frage ob eigenes Unternehmen davon betroffen ist
Fast 120 Unternehmen und Organisationen haben an der Heartbeat-Umfrage der Swiss Infosec AG zum Thema neues Informationssicherheitsgesetz des Bundes (ISG) teilgenommen. Zahlenmässig am meisten vertreten waren Organisationen aus den Branchen Industrie, Gesundheit, Öffentliche Verwaltung, Versicherungen und IT-Dienstleistungen. Die Ergebnisse zeigen, dass bezüglich der Frage, ob die eigene Behörde oder Organisation vom ISG betroffen ist, noch einige Unsicherheit besteht. Erfreulich ist hingegen, dass in über 60% der teilnehmenden Organisationen ein Informationssicherheitsverantwortlicher bestimmt ist und immerhin gut 43% über ein Informationssicherheitsmanagementsystem (ISMS) verfügen.
Am 1. Januar 2024 ist das neue Informationssicherheitsgesetz des Bundes (ISG) in Kraft getreten. Ein Gesetz, das dem Thema Informationssicherheit generell zu mehr Sichtbarkeit verhilft und deren grosse Bedeutung unterstreicht – notabene nicht nur für den Bund, Behörden und Betreiber kritischer Infrastrukturen.
In unserer Heartbeat-Umfrage, die wir in Zusammenarbeit mit unserem Schwesterunternehmen Swiss GRC zwischen Februar und März 2024 durchgeführt haben, wollten wir erfahren, ob das Thema ISG bei Behörden und Organisationen angekommen ist und welchen Stellenwert Informationssicherheit hat.
Unsicherheit bezüglich Geltungsbereich des ISG
Das ISG ist ein Bundesgesetz mit grosser Ausstrahlung. In erster Linie betrifft und verpflichtet das Gesetz zwar den Bund und (unter bestimmten Voraussetzungen) kantonale Behörden. Sein Geltungsbereich betrifft aber auch Betreiber von kritischen Infrastrukturen und privatrechtliche Unternehmen, die Aufgaben des Bundes übernehmen. So klar wie die Auflistung der verpflichteten Behörden oder Organisationen im Gesetz scheint, ist sie offenbar nicht. Rund 29% der Umfrageteilnehmerinnen und -teilnehmer gaben nämlich an, nicht zu wissen, ob das ISG ihre Organisation oder Behörde betrifft. Demgegenüber stehen knapp 24%, die sich vom ISG betroffen sehen und etwas mehr als 47%, die das verneinen.
Informationssicherheit geniesst hohen Stellenwert
Die Zeit, in denen Verantwortliche für Informationssicherheit fast schon Exotenstatus hatten, scheint glücklicherweise vorbei zu sein. So amtet immerhin in knapp 62% der Organisationen ein Informationssicherheitsverantwortlicher. «Diese Zahl ist ermutigend», sagt Swiss Infosec-CEO Reto Zbinden. Die gewichtigen Vorteile eines ISMS – ein weiterer, wichtiger Aspekt im neuen ISG – sind offenbar aber noch nicht bei einer Mehrheit der Unternehmen und Organisationen angekommen. Zumindest nicht bei denjenigen, die an der Umfrage teilgenommen haben. Nur gerade etwas mehr als 43% gaben an, ein ISMS zu betreiben, gut 48% verneinten dies. Gemäss Reto Zbinden «ein Wert, auf dem sich weiter aufbauen lässt. »
Grosses Potenzial für ISMS-Tools
Die aktuelle Umfrage unterstreicht, dass 36% der Befragten ISMS-Software nutzen, um ihr Informationssicherheitsmanagement zu verbessern. Diese Softwarelösungen vereinfachen nicht nur den Betrieb eines Informationssicherheitsmanagementsystems (ISMS), sondern integrieren die Informationssicherheit fest in den Arbeitsalltag der Organisationen. Besfort Kuqi, CEO der Swiss GRC AG, beobachtet eine steigende Tendenz in der Nutzung von ISMS- bzw. GRC-Software und bestätigt deren wesentlichen Beitrag zur Steigerung von Effizienz und Effektivität in Informationssicherheitsmanagementsystemen. «Hat man einmal die Vorteile dieser Tools erfahren, möchte man sie nicht mehr missen», betont Kuqi und verweist auf die Notwendigkeit, das Potenzial dieser Softwarelösungen weiter auszuschöpfen.
Stichwort «Kritische Infrastrukturen»
Etwas mehr als 36% der Umfrageteilnehmerinnen und -teilnehmer haben angegeben, dass ihre Organisation kritische Infrastrukturen (gemäss nationaler Strategie zum Schutz kritischer Infrastrukturen) betreiben. Sie sind damit vom ISG direkt betroffen und somit (mit wenigen Ausnahmen) auch von der kommenden Änderung des ISG betreffend Meldepflicht von Cyberangriffen auf kritische Infrastrukturen. Eine klare Mehrheit der Umfrageteilnehmerinnen und -teilnehmer hat sich bereits mit dieser Meldepflicht auseinandergesetzt, was aus der Sicht von Swiss Infosec AG und Swiss GRC AG sehr erfreulich ist und dem Verantwortungsbewusstsein dieser Organisationen ein gutes Zeugnis ausstellt.
Die Swiss Infosec AG mit Sitz in Sursee gehört in der Schweiz zu den führenden, unabhängigen Beratungs- und Ausbildungsunternehmen in den Bereichen Informationssicherheit, Datenschutz und IT-Sicherheit. Das Unternehmen wurde 1989 gegründet und feiert dieses Jahr sein 35-jähriges Bestehen. Es beschäftigt zusammen mit dem Schwesterunternehmen Swiss GRC AG über 100 Mitarbeitende, die im Bereich der Integralen Sicherheit bisher über 2500 Projekte von kleinen und grossen Kunden aus allen Branchen begleiteten.
Swiss Infosec AG Reto C. Zbinden Rechtsanwalt, CEO Centralstrasse 8A 6210 Sursee, Schweiz reto.zbinden@infosec.ch Direkt +41 79 446 83 00