Informationssicherheitsgesetz (ISG)

Schweizerische Eidgenossenschaft

Bundesbehörden, -ämter und -organisationen in der Schweiz müssen im Rahmen ihrer Datenbearbeitungstätigkeiten das neue Informationssicherheitsgesetz (ISG) einhalten. Über diese Stellen hinaus betrifft das ISG auch die Informationssicherheitspraxis von kantonalen Behörden, Betreibern kritischer Infrastrukturen, Drittunternehmern, Dienstleistern oder Geschäftspartnern, die Bundesdaten bearbeiten oder mit IT-Ressourcen des Bundes interagieren, sowie internationalen Partnern, die mit Schweizer Bundesbehörden zusammenarbeiten.

Das ISG und seine Verordnungen sind am 1. Januar 2024 in Kraft getreten. Für die Umsetzung seiner Bestimmungen wurden folgende Übergangsfristen angekündigt:

• Klassifizierungskatalog: Die betroffenen Unternehmen müssen bis zum 31. Dezember 2024 eine robuste Informationsklassifizierung gemäss den neuen Vorschriften einrichten. 

• Risikoanalyse und IT-Klassifizierung: Bis zum 31. Dezember 2025 müssen Risikoanalysen durchgeführt und IT-Systeme gemäss ISG und seinen Verordnungen klassifiziert werden. 

• Informationssicherheits-Managementsysteme (ISMS): Die betroffenen Unternehmen müssen bis zum 31. Dezember 2026 ein ISMS einrichten. 

• Einhaltung der technischen Sicherheit: Alle IT-Ressourcen müssen bis zum
  31. Dezember 2029 den neuen technischen Sicherheitsvorschriften der ISG entsprechen.
  

Operationelle Risiken und Resilienz - Banken

Eidgenössische Finanzmarktaufsicht FINMA

Die Eidgenössische Finanzmarktaufsicht (FINMA) hat ein vollständig überarbeitetes Rundschreiben 2023/01 mit dem Titel „Operationelle Risiken und Resilienz - Banken“ veröffentlicht. Dieses Rundschreiben befasst sich mit operationellen Risiken im Bankensektor, berücksichtigt den technologischen Fortschritt und integriert Grundsätze des Basler Ausschusses zur operationellen Resilienz.

• Das Rundschreiben ist seit dem 1. Januar 2024 in Kraft und verpflichtend anzuwenden. 

• Zusätzliche Übergangsbestimmungen zur Sicherstellung der Operational Resilience sind bis 1. Januar 2026 einzuführen.
  

Digital Operational Resilience Act (DORA)

Europäische Union

Hauptziel ist die Verbesserung der IT-Sicherheit von Finanzinstituten wie Banken, Versicherungsunternehmen und Investmentfirmen. DORA stellt sicher, dass der europäische Finanzsektor auch bei schweren Betriebsstörungen widerstandsfähig bleibt. Zu den wichtigsten von DORA abgedeckten Aspekten gehören IKT-Risikomanagement, Drittparteien-Risikomanagement, digitale Betriebsstabilitätstests und die Meldung schwerwiegender IKT-bezogener Vorfälle an die zuständigen Behörden.

Schweizer Unternehmen, die im Finanzsektor tätig sind, sind indirekt von DORA betroffen, insbesondere wenn sie Geschäftsbeziehungen mit EU-Partnern unterhalten oder Tochter- und Gruppengesellschaften in der EU haben. 

• DORA ist eine EU-Verordnung, die am 16. Januar 2023 in Kraft getreten und ab dem
  17. Januar 2025 verpflichtend anzuwenden.
  

Mit Gesetzen und Vorschriften im Einklang.

Osmond bietet Gap-Analysen, Reifegradbewertungen, Vorbereitung für interne und externe Revisionen, Richtlinienentwicklung und operative Implementierungs-Unterstützung für neue Regulierungen an. Unser umfassender Ansatz gewährleistet die Einhaltung der neuen Gesetze und ermöglicht es Unternehmen, die mit ihrer digitalen Infrastruktur verbundenen Risiken effektiv zu verwalten und so eine robuste Business Continuity aufrechtzuerhalten.

Wir helfen Ihnen gerne!