Alle Welt spricht davon, wie gross im Gefolge der fortschreitenden Digitalisierung die Gefahr von Cyberattacken und des Missbrauchs von privaten Daten sei. Das kümmert viele Schweizer Volksvertreter offenbar wenig. Schon im Januar 2018 hat die Mehrheit der Staatspolitischen Kommission des Nationalrats beschlossen, die Revision des Datenschutzgesetzes aufzuschieben. Und im März 2018 ist der Nationalrat auf das Informationssicherheitsgesetz für den Bund nicht einmal eingetreten. Was bedeutet das für die Schweizer Unternehmen?

Datenschutz-Grundverordnung der EU ab 25. Mai 2018 in Kraft

Mit der von der Staatspolitischen Kommission des Nationalrats aufgeschobenen Revision des Datenschutzgesetzes wollte der Bundesrat den Datenschutz in der Schweiz der fortschreitenden Digitalisierung sowie der am 25. Mai 2018 in Kraft tretenden Datenschutz-Grundverordnung der Europäischen Union EU anpassen. Die Nationalräte haben beschlossen, jetzt zuerst mal nur die aufgrund des Schengen-Vertrags zwingenden Änderungen an den bestehenden gesetzlichen Vorschriften vorzunehmen. Die umfassende Revision des Datenschutzes soll dann später kommen. 
So oder so gilt: Die Datenschutz-Grundverordnung der EU tritt am 25. Mai 2018 in Kraft. Sie ist auch auf Unternehmen ausserhalb der EU anwendbar ist, wenn diese Personen mit Wohnsitz in der EU Waren oder Dienstleistungen - beispielsweise über ein Vertreternetz, eine App oder eine Website - anbieten oder wenn diese Daten von Personen mit Wohnsitz in der EU bearbeiten. Ergo: Jedes Schweizer Unternehmen muss sorgfältig prüfen, ob die Datenschutz-Grundverordnung der EU in seinem Geschäftsbereich zur Anwendung kommt.

Der Ständerat könnte das Informationssicherheitsgesetz noch retten

Das vom Nationalrat offenbar aus Kostengründen vorläufig versenkte Informationssicherheitsgesetz hätte die minimalen Anforderungen festgesetzt, welche alle Bundesbehörden zum Schutz ihrer Informationen und Informatik-Infrastrukturen erfüllen müssen. Es hätte die wichtigsten Massnahmen in eine einzige, einheitliche Regelung zusammengeführt: Risiko-Management, Klassifizierung von Informationen, Informatiksicherheit, Personensicherheitsprüfungen, Sicherheit bei sensitiven Beschaffungen und Unterstützung durch den Bund der Betreiberinnen von kritischen Infrastrukturen im Bereich der Informationssicherheit. 
Der Ständerat hatte das Gesetz als Erstrat mit grosser Mehrheit angenommen. Er wird das wohl auch erneut tun und damit dem Nationalrat eine neue Chance geben, sich um die staatliche Informationssicherheit zu kümmern

Jedes Unternehmen muss die Cybersicherheit aus einem Guss anpacken

Der Bund hat es für seinen gesamten Einflussbereich mit dem Informationssicherheitsgesetz vormachen wollen: Die Cybersicherheit muss in einer Organisation, in der Verwaltung oder in einem Unternehmen aus einem Guss angepackt werden. Das muss jedes einzelne Unternehmen für sich selber machen. Dazu empfehlen sich vier Schritte:

• Alle externen und internen Sicherheitsanforderungen sammeln: Die informationstechnologischen Sicherheitsbelange aus den für das Unternehmen relevanten Gesetzen, Standards, Regelwerken und Verträgen werden in einer Übersicht zusammengetragen.
• Abgleich der gesammelten Sicherheitsanforderungen: Damit Mehrfachaufwände vermieden werden, müssen die gesammelten Sicherheitsbelange auf Doppelspurigkeiten und Überlappungen analysiert werden.
• Den Ist-Zustand der Cybersicherheit im Unternehmen ermitteln und aufgrund der gesammelten und bereinigten Sicherheitsanforderungen den Anpassungsbedarf definieren. Daraus wird das Cybersicherheitsgesamtkonzept des Unternehmens abgeleitet.
• Das Cybersicherheitsgesamtkonzept aus einem Guss umsetzen, laufend überwachen und an die neuen Entwicklungen in der Cybersicherheit anpassen.