Regulatorien in DACH-RAUM

Als führender Experte im Bereich Identity and Access Management bieten wir einen Überblick über die wichtigsten Regulatorien in der Schweiz und der Europäischen Union (EU) bezüglich Cybersecurity.

Cybersecurity-Compliance ist für Unternehmen unerlässlich, um den Schutz sensibler Daten zu gewährleisten, rechtliche Anforderungen zu erfüllen und das Vertrauen der Kunden zu erhalten. Mit der ständig wachsenden Bedrohung durch Cyberangriffe ist die Einhaltung von Vorschriften und Standards ein entscheidender Faktor für den langfristigen Erfolg und die Sicherheit eines Unternehmens.

• Bundesgesetz über den Datenschutz (DSG): Das DSG regelt den Schutz personenbezogener Daten und hat Auswirkungen auf die Sicherheit von Daten in der digitalen Welt.
   
• Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs (BÜPF): Dieses Gesetz regelt die Überwachung von Post- und Fernmeldeverkehr in der Schweiz und umfasst auch Bestimmungen zur Cybersecurity.
   
• Verordnung über die Informationssicherheit (VInfoS): Diese Verordnung legt Standards für die Informationssicherheit in der Bundesverwaltung fest.
   
• Swiss Financial Services Act (FinSA) und Swiss Financial Institutions Act (FinIA): Diese Gesetze regeln den Finanzsektor und enthalten auch Bestimmungen zur Cybersecurity, einschließlich der Sicherheit von Finanzdaten.
   
• «Eidgenössische Finanzmarktaufsicht FINMA»: Die FINMA ist die unabhängige Finanzmarktaufsichtsbehörde der Schweiz, die Banken, Versicherungen und andere Finanzinstitute überwacht, während das FINMA-Rundschreiben Nr. 2023/01 darauf abzielt, das Management operationeller Risiken und die operationelle Resilienz von Banken zu stärken, insbesondere im Bereich der Informations- und Kommunikationstechnologie sowie der Cyber-Risiken.

• Nationale Cyberstrategie: Diese Strategie zielt darauf ab, die Cybersicherheit auf allen Ebenen zu stärken und umfasst Massnahmen zur Prävention, Detektion und Reaktion auf Cyberbedrohungen. Mit der NCS legen Bund und Kantone fest, welche Ziele sie in enger Zusammenarbeit mit der Wirtschaft, Wissenschaft und Gesellschaft umsetzen wollen. 

• Informationssicherheitsgesetz (ISG): Dieses Gesetz führt IT-Sicherheits- und Cybersecurity-Management-Pflichten für Teile der Schweizer Verwaltung und Betreiber kritischer Infrastrukturen ein. Der genaue Zeitpunkt des Inkrafttretens des Gesetzes ist zwar noch offen, einige Bestimmungen werden aber ohne Übergangsfrist direkt in Kraft treten. Das Gesetz orientiert sich an internationalen Informationssicherheitsstandards, insbesondere an der ISO 27001, und zielt auf die Stärkung der Schweizer Informationsinfrastruktur ab.

• Allgemeine Datenschutzverordnung (DSGVO): Die DSGVO ist eine umfassende Datenschutzverordnung, die die Verarbeitung personenbezogener Daten regelt und auch Anforderungen an die Sicherheit solcher Daten enthält.
   
• Netz- und Informationssystemsicherheitsrichtlinie 2 (NIS-2-Richtlinie): Diese Richtlinie legt Anforderungen an die Cybersicherheit kritischer Infrastrukturen und digitaler Dienstanbieter fest und verlangt von den Mitgliedstaaten, nationale Strategien und Kooperationsmechanismen zu entwickeln.

• Digitale Betriebs Resilienz-Verordnung (Digital Operational Resilience Act, DORA): DORA definiert detaillierte und umfassende Vorschriften für Finanzinstitute und deren Dienstleister für einen einheitlichen Standard auf EU-Ebene mit dem Ziel, die betriebliche Widerstandsfähigkeit des europäischen Finanzsektors zu stärken, indem sie Standards und Anforderungen für die Cybersicherheit festlegt.
   
• Cybersecurity Act: Der Cybersecurity Act der EU zielt darauf ab, die EU-Agentur für Netz- und Informationssicherheit (ENISA) zu stärken und ein europäisches Zertifizierungssystem für Cybersicherheit einzuführen.
   
• Richtlinie über die Vertrauensdienste für elektronische Transaktionen im Binnenmarkt (eIDAS): Diese Richtlinie regelt elektronische Identifizierung und Vertrauensdienste und enthält Bestimmungen zur Sicherheit von elektronischen Transaktionen.
   
• BaFin: Sie beaufsichtigt Banken und Finanzdienstleister, private Versicherungsunternehmen sowie den Wertpapierhandel und ist hier auch zuständig für den kollektiven Verbraucherschutz. Über einen Katalog stellt sie massgebliche Anforderung  an die IT  bzgl. Cybersecurity. Darunter fallen nebst MaRisk auch die BAIT, VAIT, KAIT und ZAIT für die gesamte Finanz- und Versicherungsbranche.
   
• BSI-Grundschutz: Empfohlen für alle Unternehmen mit sensiblen Daten, z.B. öffentliche Verwaltung oder behördliche Einrichtung. Der BSI-Grundschutz bietet einen Katalog von Sicherheitsmaßnahmen, die nach verschiedenen Aspekten wie organisatorische, personelle, technische und infrastrukturelle Maßnahmen gruppiert sind. Der BSI-Grundschutz ist für Organisationen in Deutschland frei verfügbar und wird von vielen Unternehmen, Behörden und anderen Organisationen als Leitfaden für die Umsetzung von Informationssicherheit verwendet. Er ist ein wichtiger Bestandteil der nationalen Strategie zur Cybersicherheit in Deutschland.
   
• KRITIS (DE): Diese Richtlinie umfasst verschiedene kritische Bereiche wie Energie, Wasser, Informationstechnik und Telekommunikation, Gesundheit, Ernährung sowie Finanz- und Versicherungswesen, deren Störung oder Ausfall erhebliche Auswirkungen auf die öffentliche Sicherheit, die Versorgung der Bevölkerung oder andere wichtige Bereiche haben könnten. Der Schutz dieser kritischen Infrastrukturen ist von großer Bedeutung für die nationale Sicherheit und die Aufrechterhaltung des öffentlichen Lebens.

Wir bieten maßgeschneiderte Compliance-Lösungen und umfassende Beratungsdienstleistungen, um Unternehmen bei der Erfüllung regulatorischer Anforderungen im Bereich IAM zu unterstützen. Von der Risikoanalyse über die Implementierung geeigneter Sicherheitsmaßnahmen bis hin zur kontinuierlichen Überwachung – wir helfen Ihnen, Ihre Compliance-Strategie effektiv und nachhaltig zu gestalten.

Lassen Sie uns gemeinsam sicherstellen, dass Ihr Unternehmen den neuesten Sicherheits- und Datenschutzrichtlinien entspricht. Buchen Sie jetzt eine kostenlose Erstberatung, um mehr über unsere Lösungen zu erfahren und wie wir Sie auf dem Weg zur Compliance unterstützen können.