Umfrage zum ISG des Bundes - Unsicherheit bezüglich Frage ob eigenes Unternehmen davon betroffen ist

In unserer Heartbeat-Umfrage, die wir in Zusammenarbeit mit unserem Schwesterunternehmen Swiss GRC zwischen Februar und März 2024 durchgeführt haben, wollten wir erfahren, ob das Thema ISG bei Behörden und Organisationen angekommen ist und welchen Stellenwert Informationssicherheit hat.

Das ISG ist ein Bundesgesetz mit grosser Ausstrahlung. In erster Linie betrifft und verpflichtet das Gesetz zwar den Bund und (unter bestimmten Voraussetzungen) kantonale Behörden. Sein Geltungsbereich betrifft aber auch Betreiber von kritischen Infrastrukturen und privatrechtliche Unternehmen, die Aufgaben des Bundes übernehmen. So klar wie die Auflistung der verpflichteten Behörden oder Organisationen im Gesetz scheint, ist sie offenbar nicht. Rund 29% der Umfrageteilnehmerinnen und -teilnehmer gaben nämlich an, nicht zu wissen, ob das ISG ihre Organisation oder Behörde betrifft. Demgegenüber stehen knapp 24%, die sich vom ISG betroffen sehen und etwas mehr als 47%, die das verneinen.

Informationssicherheit geniesst hohen Stellenwert

Die Zeit, in denen Verantwortliche für Informationssicherheit fast schon Exotenstatus hatten, scheint glücklicherweise vorbei zu sein. So amtet immerhin in knapp 62% der Organisationen ein Informationssicherheitsverantwortlicher. «Diese Zahl ist ermutigend», sagt Swiss Infosec-CEO Reto Zbinden. Die gewichtigen Vorteile eines ISMS – ein weiterer, wichtiger Aspekt im neuen ISG – sind offenbar aber noch nicht bei einer Mehrheit der Unternehmen und Organisationen angekommen. Zumindest nicht bei denjenigen, die an der Umfrage teilgenommen haben. Nur gerade etwas mehr als 43% gaben an, ein ISMS zu betreiben, gut 48% verneinten dies. Gemäss Reto Zbinden «ein Wert, auf dem sich weiter aufbauen lässt. »

Grosses Potenzial für ISMS-Tools

Die aktuelle Umfrage unterstreicht, dass 36% der Befragten ISMS-Software nutzen, um ihr Informationssicherheitsmanagement zu verbessern. Diese Softwarelösungen vereinfachen nicht nur den Betrieb eines Informationssicherheitsmanagementsystems (ISMS), sondern integrieren die Informationssicherheit fest in den Arbeitsalltag der Organisationen. Besfort Kuqi, CEO der Swiss GRC AG, beobachtet eine steigende Tendenz in der Nutzung von ISMS- bzw. GRC-Software und bestätigt deren wesentlichen Beitrag zur Steigerung von Effizienz und Effektivität in Informationssicherheitsmanagementsystemen. «Hat man einmal die Vorteile dieser Tools erfahren, möchte man sie nicht mehr missen», betont Kuqi und verweist auf die Notwendigkeit, das Potenzial dieser Softwarelösungen weiter auszuschöpfen.

Stichwort «Kritische Infrastrukturen»

Etwas mehr als 36% der Umfrageteilnehmerinnen und -teilnehmer haben angegeben, dass ihre Organisation kritische Infrastrukturen (gemäss nationaler Strategie zum Schutz kritischer Infrastrukturen) betreiben. Sie sind damit vom ISG direkt betroffen und somit (mit wenigen Ausnahmen) auch von der kommenden Änderung des ISG betreffend Meldepflicht von Cyberangriffen auf kritische Infrastrukturen. Eine klare Mehrheit der Umfrageteilnehmerinnen und -teilnehmer hat sich bereits mit dieser Meldepflicht auseinandergesetzt, was aus der Sicht von Swiss Infosec AG und Swiss GRC AG sehr erfreulich ist und dem Verantwortungsbewusstsein dieser Organisationen ein gutes Zeugnis ausstellt.

www.infosec.ch

Swiss Infosec AG
Reto C. Zbinden
Rechtsanwalt, CEO
Centralstrasse 8A
6210 Sursee, Schweiz
reto.zbinden@infosec.ch
Direkt +41 79 446 83 00