Informationssicherheit: Umgang mit Cyberrisiken – warum Unternehmen jetzt handeln müssen
Thierry Burnens
Thierry Burnens, (Rechtsanwalt, M.A. HSG, CIPP/E, ist Managing Associate bei BianchiSchwald GmbH in Zürich. Seine Tätigkeitsschwerpunkte liegen im Technologie-, Datenschutz- und Immaterialgüterrecht).
Das Wichtigste zuerst: Jedes Unternehmen muss sich mit Cyberrisiken befassen. Dass man für einen Angriff "zu klein" oder "nicht interessant" sein könnte, gibt es schlicht nicht. Zudem führt der technologische Fortschritt zu einem stetigen Anstieg des Risikos (z.B. zunehmende Automatisierung und Verbesserung von Phishing-Angriffen durch "Generative AI").
Der Umgang mit Cyberrisiken beginnt an der Spitze des Unternehmens und betrifft jede und jeden. Nur mit einem ganzheitlichen Ansatz kann sichergestellt werden, dass keine Schwachstellen übersehen werden und die getroffenen Massnahmen wirksam sind. Und je überzeugender sich Führungspersonen im Umgang mit Cyberrisken engagieren, desto eher werden die Mitarbeitenden die Massnahmen umsetzen (und diese nicht als irrelevant oder lästig empfinden).
Ein Framework für Informationssicherheit
Wir empfehlen eine strukturierte und umfassende Vorgehensweise, um die Informationssicherheit im Unternehmen zu erhalten bzw. zu verbessern. Diese Vorgehensweise bzw. deren Ergebnisse werden in einem sog. Framework für Informationssicherheit dokumentiert (das "Framework"). Dazu kann auch die Einführung eines Passwort Managers für Unternehmen als fester Bestandteil gehören, um Passwortrichtlinien konsequent durchzusetzen und zentral zu verwalten. Das Framework wird zwischen verschiedenen Unternehmen variieren (z.B. aufgrund der Grösse des Unternehmens, Geschäftsmodell, Art und Bedeutung der Informationen, etc.). Entscheidend ist, dass der Prozess, mit welchem das Framework erarbeitet wird, die für das Unternehmen wesentliche Aspekte abdeckt. Aus rechtlicher Sicht dürften im Hinblick auf Cyberrisiken jeweils mindestens die folgenden Aspekte zu berücksichtigen sein:
1. Ermittlung der anwendbaren Vorschriften:
Die Regulierungsdichte im Bereich Cybersicherheit nimmt stetig zu, sowohl in der Schweiz als auch international. In der Schweiz sind die zentralen Bestimmungen noch überschaubar, gewinnen jedoch zunehmend an Bedeutung. Relevante Vorschriften sind u. a.:
- Meldepflicht bei Verletzungen der Datensicherheit gemäss Art. 24 DSG.
- Meldung von Cyber-Attacken an die FINMA, für von der FINMA beaufsichtigte Finanzinstitute.
- Meldepflicht für Cyber-Angriffe auf kritische Infrastrukturen (KRITIS) an das National Cyber Security Centre (NCSC), gültig seit 1. April 2025, innerhalb von 24 Stunden nach Entdeckung.
In der EU ist die Liste der einschlägigen Erlasse bereits deutlich länger (nicht abschliessend):
- EU Cybersecurity Act (2019/881) – Rahmen für EU-Cybersicherheitszertifizierungen, zuletzt erweitert auf Managed Security Services.
- NIS-2-Richtlinie (2022/2555) – Richtlinie zur Cybersicherheit für kritische und essenzielle Dienste; nationale Umsetzung bis spätestens Oktober 2024.
- Richtlinie über die Resilienz kritischer Einrichtungen (CERD, 2022/2557) – Ergänzt NIS‑2, Fokus auf physische und operative Resilienz.
- DORA – Digital Operational Resilience Act (2022/2554) – Regelt die digitale operationale Resilienz im Finanzsektor, anwendbar seit Januar 2025.
- EU Cyber Resilience Act (CRA, 2024/2847) – Cybersecurity-Standards für Produkte mit digitalen Elementen, anwendbar ab 2026/2027.
- EU Cyber Solidarity Act (2025) – Förderung der EU-weiten Zusammenarbeit, Frühwarnsysteme und gemeinsame Abwehrmechanismen bei Cyber-Vorfällen.
Es ist zu beachten, dass viele dieser Bestimmungen teilweise extraterritoriale Wirkung entfalten und somit auch für Schweizer Unternehmen relevant sind, insbesondere wenn sie Dienste, Produkte oder digitale Verbindungen in die EU erbringen. Daneben bestehen weitere EU-Erlasse, die zusätzliche Vorgaben enthalten können.
Darüber hinaus können auch Verträge eines Unternehmens Bestimmungen enthalten, welche bei Cyberrisiken relevant sind. Dazu gehört z.B. die Pflicht, den Vertragspartner über Verletzungen von Vertraulichkeitsvereinbarungen zu informieren (bzw. gar eine Vertragsstrafe zu bezahlen).
Seminar-Empfehlungen
2. Umsetzung der Vorschriften:
Nachdem die anwendbaren Vorschriften ermittelt wurden (oben 1.), ist deren Umsetzung sicherzustellen. Im Wesentlichen können Vorschriften in die folgenden Kategorien unterteilt werden:
- Dokumentation: Die Vorschriften stellen Anforderungen an die Dokumentation. So müssen z.B. Dokumente erstellt werden (z.B. Dokumentation eines Vorfalls, Incident Reponse Plan) oder Dokumente müssen einen Mindestinhalt enthalten.
- Prozesse: Es müssen die erforderlichen Prozesse bestehen, damit die Vorschriften eingehalten werden können. So muss z.B. bei einem Vorfall sichergestellt werden, dass die Meldepflichten erfüllt werden.
3. Erfassung von Änderungen und Neuigkeiten:
Weiter ist sicherzustellen, dass man allfällige Änderungen oder Neuerungen der anwendbaren Vorschriften (oben 1.) rechtzeitig erkennt sowie die Umsetzung (oben 2.) regelmässig überprüft. Falls die erforderlichen Ressourcen oder das Know-how hierfür nicht vorhanden sind, empfiehlt es sich, einen geeigneten Dienstleister einzubeziehen.
4. Sensibilisierung / Schulung der Mitarbeitenden:
Ihre Informationssicherheit ist nur so stark wie das schwächste Glied. Vor diesem Hintergrund ist die Aus- und Weiterbildung der Mitarbeitenden im Umgang mit Cyberrisiken zentral. Nur so kann das Risiko von menschlichem Fehlverhalten reduziert werden.
- Jedes Unternehmen muss sich mit Cyberrisiken befassen.
- Informationssicherheit ist nur so stark wie das schwächste Glied.
- Herausfordernde Rechtslage: Kombination von veralteten, neuen und sich überschneidenden bzw. nicht aufeinander abgestimmten Bestimmungen.
- Richtlinien ausarbeiten und Kontrollmechanismen dokumentieren.
- Alle Stakeholder einbeziehen – "Silobildung" und "Tunnelblick" verhindern.
- Vorbildfunktion der Führungspersonen und Schulung der Mitarbeitenden sind unerlässlich.
