Sicherheit bei Beschaffungen des Bundes: SEPOS zeigt Massnahmen auf |
| Tweet |
01.05.2025, Bern - Das Staatssekretariat für Sicherheitspolitik (SEPOS) legt einen Bericht vor zur Vermeidung von Datenabflüssen bei Lieferanten, um die Informationssicherheit des Bundes zu erhöhen. Der Bericht richtet sich insbesondere an die Bedarfs- und Beschaffungsstellen des Bundes. Er zeigt die Grundlagen und möglichen Lösungsansätze auf, wie die Informationssicherheit bei externen Lieferanten verbessert und effizient geprüft werden kann. Dies ist eine der Massnahmen, welche der Bundesrat nach dem Hackerangriff auf Xplain beschlossen hat.
Der Bundesrat hat das Staatssekretariat für Sicherheitspolitik (SEPOS) damit beauftragt, eine Auslegeordnung zur Sicherheit bei Lieferketten im Lichte des Informationssicherheitsgesetzes zu erstellen. Die im SEPOS zuständige Fachstelle des Bundes für Informationssicherheit legt diesen Bericht nun vor. Er wurde in einer Arbeitsgruppe mit Beschaffungsstellen und Ämtern aus verschiedenen Departementen erarbeitet.
Informationssicherheit beginnt bei der Vergabe eines Auftrags an Externe
Der Bericht zeigt auf, dass Informationssicherheit bei Lieferanten nicht erst mit dem Vertrag beginnt, sondern schon ganz am Anfang: bei der Bedarfserhebung. Die sogenannte Bedarfsstelle – jene Stelle innerhalb der Verwaltung, die eine Dienstleistung oder ein Produkt benötigt – definiert frühzeitig, welche Sicherheitsanforderungen gestellt werden. Die Beschaffungsstelle – verantwortlich für die Durchführung des Beschaffungsverfahrens – sorgt dafür, dass diese Vorgaben in den Ausschreibungsunterlagen korrekt abgebildet werden. Wird Informationssicherheit nicht von Beginn an geregelt, lässt sich dies später kaum oder nur gegen zusätzliche Kosten nachholen. Dafür braucht es eine enge Absprache zwischen Bedarfs- und Beschaffungsstelle.
Mit den knappen Mitteln, welche eingesetzt werden können, um die Sicherheit bei Beschaffungen zu beaufsichtigen, muss eine grösstmögliche Wirkung erzielt werden. Das heisst, Überprüfungen sollen auf Bereiche fokussieren, wo die Risiken für die Schweiz am höchsten sind. Wo die Risiken klein sind, soll der Aufsichtsaufwand minimiert werden.
Geeignete Instrumente um die Informationssicherheit zu prüfen
Dazu führt der Bericht praxiserprobte Aufsichtsinstrumente auf und beurteilt diese nach Schwere des Eingriffs beim Lieferanten und nach Aufwand für den Bund. Diese Aufsichtsinstrumente reichen von Selbstdeklarationen der Lieferanten über Kontrollen oder Audits durch den Bund bis hin zur Einforderung von zertifizierten und laufend aktualisierten Informationssicherheitsmanagementsystemen bei den Lieferanten.
Der Bericht zeigt weiter auf, dass sich Informationssicherheit nicht auf denjenigen Lieferanten beschränken darf, welcher im Vergabeverfahren den Zuschlag erhalten hat. Hinter der Erbringung einer staatlichen Leistung stehen oft lange und weitverzweigte Lieferketten, deren Ursprünge nicht selten jenseits der Landesgrenzen liegen. Die Sicherheitsvorgaben müssen für die ganze Lieferkette berücksichtigt werden, die hinter einer vertraglichen Leistung steht.
Die Fachstelle des Bundes für Informationssicherheit
Die Fachstelle des Bundes für Informationssicherheit bietet den Behörden und Organisationen des Bundes mit diesem Bericht Handlungsformen, wie sie ihre Lieferanten wirksam, wirtschaftlich und risikobasiert beaufsichtigen können – im Einklang mit rechtsstaatlichen Prinzipien und unter Nutzung ihrer Ermessensspielräume. Die Fachstelle des Bundes für Informationssicherheit ist die Vorgabe- und Aufsichtsstelle für die Sicherheit des Gesamtsystems «Bund», einschliesslich der Firmen, die Aufträge des Bundes erfüllen, und ist beauftragt, die Informationssicherheit im Bund einheitlich zu steuern. Neben der Beratung und Unterstützung der Behörden und Organisationen des Bundes kann sie auch Beurteilungen rechtlicher oder technischer Art bei wichtigen Projekten des Bundes vornehmen, wie die Fachstelle dies nun mit dem vorliegenden Bericht tut.
Medienkontakt:
Kommunikation SEPOS
Ursina Bentele
Leiterin Kommunikation
+41 58 464 08 46
kommunikation@sepos.admin.ch
Informationssicherheit beginnt bei der Vergabe eines Auftrags an Externe
Der Bericht zeigt auf, dass Informationssicherheit bei Lieferanten nicht erst mit dem Vertrag beginnt, sondern schon ganz am Anfang: bei der Bedarfserhebung. Die sogenannte Bedarfsstelle – jene Stelle innerhalb der Verwaltung, die eine Dienstleistung oder ein Produkt benötigt – definiert frühzeitig, welche Sicherheitsanforderungen gestellt werden. Die Beschaffungsstelle – verantwortlich für die Durchführung des Beschaffungsverfahrens – sorgt dafür, dass diese Vorgaben in den Ausschreibungsunterlagen korrekt abgebildet werden. Wird Informationssicherheit nicht von Beginn an geregelt, lässt sich dies später kaum oder nur gegen zusätzliche Kosten nachholen. Dafür braucht es eine enge Absprache zwischen Bedarfs- und Beschaffungsstelle.
Mit den knappen Mitteln, welche eingesetzt werden können, um die Sicherheit bei Beschaffungen zu beaufsichtigen, muss eine grösstmögliche Wirkung erzielt werden. Das heisst, Überprüfungen sollen auf Bereiche fokussieren, wo die Risiken für die Schweiz am höchsten sind. Wo die Risiken klein sind, soll der Aufsichtsaufwand minimiert werden.
Geeignete Instrumente um die Informationssicherheit zu prüfen
Dazu führt der Bericht praxiserprobte Aufsichtsinstrumente auf und beurteilt diese nach Schwere des Eingriffs beim Lieferanten und nach Aufwand für den Bund. Diese Aufsichtsinstrumente reichen von Selbstdeklarationen der Lieferanten über Kontrollen oder Audits durch den Bund bis hin zur Einforderung von zertifizierten und laufend aktualisierten Informationssicherheitsmanagementsystemen bei den Lieferanten.
Der Bericht zeigt weiter auf, dass sich Informationssicherheit nicht auf denjenigen Lieferanten beschränken darf, welcher im Vergabeverfahren den Zuschlag erhalten hat. Hinter der Erbringung einer staatlichen Leistung stehen oft lange und weitverzweigte Lieferketten, deren Ursprünge nicht selten jenseits der Landesgrenzen liegen. Die Sicherheitsvorgaben müssen für die ganze Lieferkette berücksichtigt werden, die hinter einer vertraglichen Leistung steht.
Die Fachstelle des Bundes für Informationssicherheit
Die Fachstelle des Bundes für Informationssicherheit bietet den Behörden und Organisationen des Bundes mit diesem Bericht Handlungsformen, wie sie ihre Lieferanten wirksam, wirtschaftlich und risikobasiert beaufsichtigen können – im Einklang mit rechtsstaatlichen Prinzipien und unter Nutzung ihrer Ermessensspielräume. Die Fachstelle des Bundes für Informationssicherheit ist die Vorgabe- und Aufsichtsstelle für die Sicherheit des Gesamtsystems «Bund», einschliesslich der Firmen, die Aufträge des Bundes erfüllen, und ist beauftragt, die Informationssicherheit im Bund einheitlich zu steuern. Neben der Beratung und Unterstützung der Behörden und Organisationen des Bundes kann sie auch Beurteilungen rechtlicher oder technischer Art bei wichtigen Projekten des Bundes vornehmen, wie die Fachstelle dies nun mit dem vorliegenden Bericht tut.
Medienkontakt:
Kommunikation SEPOS
Ursina Bentele
Leiterin Kommunikation
+41 58 464 08 46
kommunikation@sepos.admin.ch
Über Staatssekretariat für Sicherheitspolitik SEPOS:
Das Staatssekretariat antizipiert sicherheitspolitische Entwicklungen und erarbeitet strategische Handlungsoptionen zuhanden der politischen Entscheidungsträger.
Es stimmt die sicherheitspolitischen Instrumente in der Bundesverwaltung aufeinander ab und es gewährleistet mit dem Eidgenössischen Departement für auswärtige Angelegenheiten (EDA) und weiteren Stellen die internationale Zusammenarbeit in sicherheitspolitischen Fragen. Ins Aufgabengebiet des SEPOS gehören auch die drei Fachstellen für Informationssicherheit, für Personensicherheitsprüfungen und für Betriebssicherheit.
Es stimmt die sicherheitspolitischen Instrumente in der Bundesverwaltung aufeinander ab und es gewährleistet mit dem Eidgenössischen Departement für auswärtige Angelegenheiten (EDA) und weiteren Stellen die internationale Zusammenarbeit in sicherheitspolitischen Fragen. Ins Aufgabengebiet des SEPOS gehören auch die drei Fachstellen für Informationssicherheit, für Personensicherheitsprüfungen und für Betriebssicherheit.
Weitere Informationen und Links:
Newsletter abonnieren
Auf diesem Link abonnieren Sie unseren Newsletter und sind stets aktuell informiert.
Eigene News publizieren
Haben Sie eine aktuelle Firmeninformation oder ein Angebot, dass Sie hier publizieren möchten?
Auf diesem Link erfassen Sie die entsprechenden Informationen.
TOP NEWS - powered by Help.ch
Sicherheit bei Beschaffungen des Bundes: SEPOS zeigt Massnahmen auf Staatssekretariat für Sicherheitspolitik SEPOS, 01.05.2025
1004 Handelsregister-Meldungen vom 01.05.2025, heutige Publikationen im Schweizer Handelsamtsblatt SHAB Portal Helpnews.ch, 01.05.2025
214 Firmengründungen am 01.05.2025 – Aktuelle Publikationen im Schweizer Handelsamtsblatt (SHAB) Portal Helpnews.ch, 01.05.2025
Aktueller Jackpot: CHF 2'019'704
Teilnehmer von
