Landesrecht 1 Staat - Volk - Behörden 12 Sicherheit der Eidgenossenschaft
Diritto nazionale 1 Stato - Popolo - Autorità 12 Sicurezza della Confederazione

120.73 Verordnung vom 27. Mai 2020 über den Schutz vor Cyberrisiken in der Bundesverwaltung (Cyberrisikenverordnung, CyRV)

120.73 Ordinanza del 27 maggio 2020 sulla protezione contro i ciber-rischi nell'Amministrazione federale (Ordinanza sui ciber-rischi, OCiber)

Index Inverser les langues Précédent Suivant
Index Inverser les langues

Art. 14 Verwaltungseinheiten und ihre Leistungserbringer

1 Die Verwaltungseinheiten bestimmen je eine oder einen ISBO, die oder der in direktem Auftrag der Leitung der Verwaltungseinheit handelt. Der Bereich Digitale Transformation und IKT-Lenkung der Bundeskanzlei (Bereich DTI der BK) bestimmt zusätzlich eine Informatiksicherheitsbeauftragte oder einen Informatiksicherheitsbeauftragten für die Standarddienste.

2 Die ISBO und die oder der Informatiksicherheitsbeauftragte für die Standarddienste nehmen die folgenden Aufgaben wahr:

a.
Sie sorgen in den Verwaltungseinheiten für eine rasche Umsetzung der Informatiksicherheitsvorgaben und für die Anwendung der Sicherheitsverfahren (3a. Kap.).
b.
Sie sorgen dafür, dass die Mitarbeiterinnen und Mitarbeiter bei Stellenantritt sowie periodisch für Themen der Informatiksicherheit sensibilisiert und geschult werden und die Zuständigkeiten sowie die Abläufe der Informatiksicherheit in ihrem Arbeitsumfeld je nach Stufe und Funktion kennen.
c.
Sie informieren die Leiterin oder den Leiter ihrer Verwaltungseinheit mindestens halbjährlich über den aktuellen Stand der Informatiksicherheit in ihrer Verwaltungseinheit.

3 Die Verwaltungseinheiten sind für die Sicherheit ihrer Informatikschutzobjekte verantwortlich. Sie nehmen die folgenden Funktionen wahr:

a.
Sie führen ein Inventar ihrer Informatikschutzobjekte und ergreifen die notwendigen Sicherheitsmassnahmen; sie stellen namentlich sicher, dass diese für die einzelnen Informatikschutzobjekte in aktueller Form dokumentiert sind.
b.
Sie sind für die Einhaltung und die Umsetzung der Informatiksicherheitsvorgaben, der Sicherheitsverfahren und der Beschlüsse des Bundesrates, des NCSC und der Departemente beziehungsweise der Bundeskanzlei in ihrem Zuständigkeitsbereich verantwortlich.
c.
Sie sind unter Vorbehalt von Artikel 12 Absatz 5 verantwortlich für die Bewältigung von Cybervorfällen, die ihre Informatikschutzobjekte betreffen.
d.
Sie stellen sicher, dass beim Bezug von Leistungen bei einem externen Leistungserbringer die Informatiksicherheitsvorgaben Teil des Vertragsverhältnisses mit diesem sind.
e.
Sie überprüfen in geeigneter Weise, ob die externen Leistungserbringer die Informatikvorgaben einhalten.
f.
Sie stellen sicher, dass die Verantwortlichkeiten für die Informatiksicherheit auf der betrieblichen Ebene in den Projekt- und Leistungsvereinbarungen zwischen den Leistungserbringern und den Leistungsbezügern festgehalten sind.
g.
Sie sorgen dafür, dass Personen, auf die diese Verordnung nicht anwendbar ist, nur dann Zugriff auf die Informatikinfrastruktur des Bundes erhalten, wenn sie sich verpflichten, die Informatiksicherheitsvorgaben einzuhalten.

4 Die Leistungserbringer nehmen folgende Funktionen wahr:

a.
Sie stellen ihren Leistungsbezügern auf Verlangen alle nötige Informationen für den Schutz ihrer Informatikschutzobjekte in geeigneter Form zu.
b.
Sie stellen sicher, dass sie über die nötigen Kapazitäten verfügen zur technischen Analyse und zur Bewältigung von Cybervorfällen, die sie selber oder ihre Leistungsbezüger betreffen.
c.
Sie melden ihren Leistungsbezügern unverzüglich entdeckte Schwachstellen und Sicherheitsvorfälle, die deren Informatikschutzobjekte betreffen.
d.
Sie definieren in Zusammenarbeit mit den Leistungsbezügern einen Prozess für die Bewältigung von Cybervorfällen; darin werden namentlich die Entscheidkompetenzen für Sofortmassnahmen geregelt.

5 Kann ein Cybervorfall nicht im Rahmen des definierten Prozesses bewältigt werden, so informieren die Betroffenen das NCSC, um das weitere Vorgehen zu bestimmen.

6 Die Verwaltungseinheiten konsultieren das NCSC bei sicherheitsrelevanten Informatikvorgaben sowie -vorhaben.

7 Sie sind für die Entwicklung, Umsetzung und Prüfung von Standards und Regulierungen in Bezug auf die Cybersicherheit in ihren Bereichen verantwortlich. Das NCSC stellt ihnen im Rahmen der Möglichkeiten Expertinnen und Experten aus dem Pool nach Artikel 12 Absatz 1 Buchstabe g zur Verfügung.

15 Fassung gemäss Ziff. I der V vom 24. Febr. 2021, in Kraft seit 1. April 2021 (AS 2021 132).

Art. 14 Unità amministrative e i loro fornitori di prestazioni

1 Ogni unità amministrativa designa il proprio ISIU, che opera su incarico diretto della direzione dell’unità amministrativa. Il settore Trasformazione digitale e governance delle TIC della Cancelleria federale (settore TDT) designa inoltre un incaricato della sicurezza informatica per i servizi standard.

2 Gli ISIU e l’incaricato della sicurezza informatica per i servizi standard hanno i seguenti compiti:

a.
garantire una rapida attuazione delle direttive in materia di sicurezza informatica e l’applicazione delle procedure di sicurezza (cap. 3a.);
b.
provvedere affinché al momento dell’assunzione, e in seguito periodicamente, i collaboratori vengano sensibilizzati e istruiti sui temi legati alla sicurezza informatica e conoscano le competenze e i processi della sicurezza informatica nel loro ambito lavorativo, a seconda del livello gerarchico e della funzione;
c.
informare il responsabile dell’unità amministrativa almeno ogni sei mesi sullo stato della sicurezza informatica all’interno dell’unità amministrativa.

3 Le unità amministrative sono responsabili della sicurezza dei propri oggetti informatici da proteggere. Hanno le seguenti funzioni:

a.
tenere un inventario dei loro oggetti informatici da proteggere e adottare le necessarie misure di sicurezza; provvedere segnatamente affinché la documentazione di queste misure sia aggiornata per ogni oggetto informatico da proteggere;
b.
garantire il rispetto e l’attuazione delle direttive in materia di sicurezza informatica, delle procedure di sicurezza nonché delle decisioni del Consiglio federale, dell’NCSC e dei dipartimenti o della Cancelleria federale nel loro settore di competenza;
c.
fatto salvo l’articolo 12 capoverso 5, gestire i ciberincidenti che riguardano i loro oggetti informatici da proteggere;
d.
in caso di acquisizione di prestazioni presso un fornitore esterno, garantire che le direttive in materia di sicurezza informatica siano parte integrante del rapporto contrattuale con il fornitore;
e.
verificare in modo appropriato che i fornitori esterni rispettino le direttive in materia di sicurezza informatica;
f.
assicurare che le responsabilità per la sicurezza informatica a livello operativo siano definite negli accordi di progetto e di prestazione tra i fornitori di prestazioni e i beneficiari di prestazioni;
g.
provvedere affinché le persone a cui la presente ordinanza non è applicabile possano accedere all’infrastruttura informatica della Confederazione soltanto se si impegnano a rispettare le direttive in materia di sicurezza informatica.

4 I fornitori di prestazioni hanno le seguenti funzioni:

a.
su richiesta, mettere a disposizione dei beneficiari di prestazioni in forma adeguata tutte le informazioni necessarie alla protezione degli oggetti informatici da proteggere;
b.
garantire di disporre delle capacità necessarie alle analisi tecniche e alla gestione dei ciberincidenti che possono verificarsi ai loro danni o ai danni dei beneficiari di prestazioni;
c.
comunicare senza indugio ai beneficiari di prestazioni le vulnerabilità scoperte e gli incidenti legati alla sicurezza riguardanti i loro oggetti informatici da proteggere;
d.
definire in collaborazione con i beneficiari di prestazioni un processo di gestione dei ciberincidenti; questo processo disciplina segnatamente le competenze decisionali per l’adozione di misure urgenti.

5 Se un ciberincidente non può essere gestito nell’ambito del processo definito, gli interessati informano il NCSC al fine di determinare l’ulteriore modo di procedere.

6 Le unità amministrative consultano il NCSC in merito a direttive e progetti informatici rilevanti dal profilo della sicurezza.

7 Sono responsabili dello sviluppo, dell’attuazione e dell’esame di standard e norme in materia di cibersicurezza nei loro settori. Per quanto possibile, il NCSC mette a loro disposizione esperti del pool di cui all’articolo 12 capoverso 1 lettera g.

15 Nuovo testo giusta il n. I dell’O del 24 feb. 2021, in vigore dal 1° apr. 2021 (RU 2021 132).

 

Dies ist keine amtliche Veröffentlichung. Massgebend ist allein die Veröffentlichung durch die Bundeskanzlei.
Il presente documento non è una pubblicazione ufficiale. Fa unicamente fede la pubblicazione della Cancelleria federale. Ordinanza sulle pubblicazioni ufficiali, OPubl.