Informationen
Erfahren Sie mehr über unseren Ransomware Readiness Check
Ist Ihr Unternehmen bereit?
Die Schweiz erhält ein neues Gesetz zum besseren Schutz der Daten der Bevölkerung. Unternehmen haben bis am 1. September 2023 Zeit, sich den überarbeiteten Regelungen anzupassen.
Was ist bisher geschehen?
- Das erste Bundesgesetz über den Datenschutz stammt aus dem Jahr 1992. Durch die Digitalisierung war eine Totalrevision unabdingbar.
- 2018 trat die europäische Datenschutz Grundverordnung (DSGVO) in Kraft, welche auch Schweizer Unternehmen tangierte. Ein zweites Anliegen des neuen Datenschutzgesetzes (DSG), ist die Sicherstellung der Kompatibilität mit der DSGVO. Mit dem revDSG soll der freie Datenverkehr aufrechterhalten werden und Schweizer Unternehmen büssen nicht an Wettbewerbsfähigkeit ein.
- In der Herbstsession 2020 wurde das totalrevidierte DSG verabschiedet.
Was sind die wichtigsten Änderungen?
- Künftig sind nur noch Daten von natürlichen Personen betroffen. Juristische Personen sind nicht mehr betroffen.
- Privacy by Design und Privacy by Default werden als Grundsätze eingeführt. Dienstleistungen und Produkte müssen Datenschutzfunktionen technisch umsetzen und als Voreinstellung definieren. Es muss schon bei der Inverkehrbringung die höchste Sicherheitsstufe eingestellt sein.
- Die Informationspflicht wird ausgeweitet: Neu muss bei jeder Beschaffung von Personendaten die betroffene Person informiert werden. Bisher war das nur bei besonders Schützenswerten Daten der Fall.
- Ein Bearbeitungsverzeichnis wird obligatorisch, jedoch mit Ausnahme für KMUs welche nur ein geringes Risiko von Persönlichkeitsverletzungen durch ihre Bearbeitung verursachen.
- Eine Meldepflicht wird eingeführt. Bei Verletzung der Datensicherheit müssen Unternehmen den Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) so rasch wie möglich informieren.
Auf der Webseite des EDÖB finden Sie ausführlichere Informationen zu den Neuerungen.
Konsequenzen des revDSG für die IT-Sicherheit
Um die Vorgaben des neuen Gesetzes strukturiert umzusetzen, lohnt es sich ein Framework anzuwenden. Beispielsweise das NIST Cyber Security Framework / IKT Minimalstandard, ISO 27001, oder Control Frameworks wie die CIS Critical Security Controls. Alle Frameworks stellen Anforderungen, welche die Umsetzung von Datenschutz unterstützen.
Besonders die Meldepflicht bei Datensicherheitsverstössen ist sehr nahe bei der IT angesiedelt. Ransomware, welche schon seit längerem Daten nicht nur verschlüsseln, sondern vorab stehlen, dürfte eine relevantes Bedrohungsszenario sein, welches den Datenschutz tangiert.
Weitere Regulatorien am Horizont
In naher Zukunft kommen noch weitere neue Gesetze hinzu, welche die Informationssicherheit betreffen: Am 2. Dezember 2022 wurde die Botschaft zur Änderung des Bundesgesetzes über die Informationssicherheit an das Parlament übergeben.
Aktuell können Unternehmen und Private Cybervorfälle per Meldeformular dem Nationalen Zentrum für Cybersicherheit (NCSC) mitteilen. Die Dunkelziffer ist jedoch hoch und erschwert dadurch eine Übersicht über das Lagebild in der Schweiz. Mit dem neuen Gesetz kommt unter anderem eine Meldepflicht für kritische Infrastrukturen bei Cybervorfällen. Diese müssten künftig neu innert 24 Stunden dem NCSC gemeldet werden. Detaillierte Informationen finden Sie auf der Geschäftsseite des Parlaments:
360° Sicht auf die Informationssicherheit
Asecus begleitet Unternehmen bei der Einführung von 360° Security in Unternehmen und hat über Ihr Partnernetzwerk auch Rechtsspezialisten mit an Bord. Für das Szenario Ransomware hat Asecus einen dedizierten Check entwickelt, welchen Unternehmen Ihr Sicherheitslevel greifbar aufzeigt und Handlungsfelder identifiziert.
Haben Sie Fragen zum neuen DSG und den technischen Implikationen?