Informationssicherheit beim Bund stärken: Bundesrat leitet Gesetzesrevision ein
Bern, 06.05.2026 — Der Bundesrat will das Informationssicherheitsgesetz weiterentwickeln. Regelungen, die in der Praxis zu Unklarheiten führten, sollen präzisiert werden. Zudem sollen neue Bedürfnisse berücksichtigt werden, beispielsweise in der Handhabung von Klassifizierungen oder Funktionslisten. Der Bundesrat hat daher das VBS an seiner Sitzung vom 6. Mai 2026 beauftragt, eine Vernehmlassungsvorlage für eine Gesetzesrevision zu erarbeiten.
Das neue Informationssicherheitsgesetz (ISG), das seit 1. Januar 2024 in Kraft ist, regelt den Schutz der Informationen und die Cybersicherheit der Bundesbehörden. Es legt verbindliche Anforderungen für den sicheren Umgang mit Informationen und Informationssystemen fest und soll Risiken wie Cyberangriffe, Spionage, Sabotage oder unbeabsichtigte Informationsverluste verhindern. Eine wirksame Informationssicherheit schützt Daten – beispielsweise bei Cyberangriffen auf Bundesstellen und Firmen, welche mit Daten des Bundes arbeiten. Das ISG leistet damit einen wichtigen Beitrag zur digitalen und operativen Handlungsfähigkeit des Bundes sowie für die innere und äussere Sicherheit der Schweiz.
Mit dem ISG wurden zahlreiche Massnahmen eingeleitet, um die Informationssicherheit des Bundes systematisch und nachhaltig zu stärken. Die Reform des noch jungen Informationssicherheitsrechts des Bundes ist jedoch noch nicht abgeschlossen. In der Praxis, teils bereits vor Inkrafttreten des Gesetzes am 1. Januar 2024, zeigte sich, dass einzelne Bestimmungen zu Umsetzungsschwierigkeiten führen. Zudem wurden neue Bedürfnisse identifiziert, beispielsweise hinsichtlich Datenbearbeitung bei Personensicherheitsprüfungen. Das ISG soll deshalb gezielt weiterentwickelt und gemäss den bisherigen praktischen Erfahrungen angepasst werden.
Geltungsbereich präzisieren
Das ISG gilt ausdrücklich auch für die Kantone, wenn sie auf klassifizierte Informationen des Bundes oder auf dessen Informatikmittel zugreifen. Künftig soll klar geregelt werden, dass das ISG auch für Gemeinden und Organisationen kantonalen Rechts gilt, wenn sie beispielsweise für die Einwohnerkontrollen oder für das Migrations- und Polizeiwesen auf Bundesdaten zugreifen. Damit wird der Informationssicherheit entlang föderaler Zuständigkeiten Rechnung getragen.
Funktionenlisten rascher und einfacher den Organisationsstrukturen anpassen
Die Revision soll die Erstellung und Aktualisierung der Funktionenlisten für die Personensicherheitsprüfungen vereinfachen, damit sie bei Änderungen der Organisationsstrukturen rascher angepasst werden können. Es soll insbesondere geprüft werden, ob statt des Bundesrats die Departemente oder sogar die Bundesämter die Funktionslisten erstellen und anpassen sollen. Somit könnten die nötigen Aktualisierungen schneller und effizienter vorgenommen werden.
Klassifizierungen prüfen
Mit dem ISG wurden die Klassifizierungsbegriffe (INTERN, VERTRAULICH und GEHEIM) des bisherigen Klassifizierungssystems übernommen. Die Erfahrung zeigt, dass der Schutz von Informationen, die heute als INTERN klassifiziert sind, verbessert werden muss. Zudem stufen wichtige ausländische Partner ihre Informationen heute häufiger als GEHEIM denn als VERTRAULICH ein. Strengere Sicherheitsanforderungen erschweren die internationale Zusammenarbeit und verursachen erhebliche Mehrkosten für die Schweiz.
Vor diesem Hintergrund sieht der Revisionsauftrag eine Überprüfung des Klassifizierungssystems des Bundes vor. Dabei sollen die Bezeichnungen der Klassifizierungsstufen sowie deren internationale Anschlussfähigkeit geprüft werden, mit dem Ziel eines einheitlichen Klassifizierungssystems für den gesamten Bund. Der Bundesrat wird gestützt darauf über mögliche Varianten entscheiden.
Strafrechtlicher Schutz klassifizierter Informationen überprüfen
Mit dem ISG wurden die Kriterien zur Klassifizierung von Informationen angepasst. Die Begriffe des neuen Rechts weichen allerdings teilweise ab von den geltenden Bestimmungen, die den strafrechtlichen Schutz klassifizierter Informationen sicherstellen. Im Zuge der Revisionsarbeiten wird auch geprüft, ob diese strafrechtlichen Bestimmungen mit dem ISG harmonisiert werden sollen. Damit soll vermieden werden, dass eine Straflücke entsteht.
Cyberresilienz wird separat behandelt
Das ISG regelt auch zentrale Aufgaben des Bundes zur Erhöhung der Cybersicherheit der Schweiz, darunter die Meldepflicht für Cyberangriffe auf kritische Infrastrukturen, die in den Zuständigkeitsbereich des Bundesamts für Cybersicherheit (BACS) fällt. Im Sommer 2025 hat der Bundesrat entschieden, die Cyberresilienz von digitalen Produkten zu stärken. Er hat das BACS beauftragt, in Zusammenarbeit mit dem Bundesamt für Kommunikation und dem Staatsekretariat für Wirtschaft bis Herbst 2026 eine Gesetzesvorlage zu erarbeiten. Diese Themen sind nicht Gegenstand der vorliegenden Revision des ISG.
Vorgehen und Zeitplan
Die Revision des ISG wird von einer Arbeitsgruppe unter Leitung des SEPOS und mit Beteiligung der Bundeskanzlei und der Departemente vorbereitet. In die Gesetzgebungsarbeiten werden auch Vertreterinnen und Vertreter weiterer Bundesbehörden sowie der Kantone einbezogen. Die Vernehmlassung zur Gesetzesrevision ist für Mitte 2027 vorgesehen.
- Medienmitteilung des Bundesrates vom 8. November 2023: Der Bundesrat setzt das Informationssicherheitsgesetz in Kraft
- Medienmitteilung des Bundesrates vom 20. August 2025: Der Bundesrat will die Cyberresilienz von digitalen Produkten stärken
- Medienmitteilung des Bundesrates vom 3. September 2025: Informationssicherheit beim Bund: Keine schwerwiegenden Vorfälle 2024