120.73 Ordinance of 27 May 2020 on Protection against Cyber Risks in the Federal Administration (Cyber Risks Ordinance, CyRV)

120.73 Verordnung vom 27. Mai 2020 über den Schutz vor Cyberrisiken in der Bundesverwaltung (Cyberrisikenverordnung, CyRV)

Art. 14 Administrative units and their service providers

1 The administrative units shall each appoint an IT security officer (ITSOO) who shall act on the direct instructions of the head of the administrative unit. The Digital Transformation and ICT Steering Sector at the Federal Chancellery (DTI Sector of the FCh) shall also appoint an IT security officer for standard services.

2 The ITSOOs and the IT security officer for standard services shall carry out the following tasks:

a.
They shall ensure the rapid implementation of the IT security directives and the use of the security procedures in the administrative units (Chapter 3a).
b.
They shall ensure that employees are made aware of and receive training on IT security issues on taking up employment and periodically thereafter and are familiar with the responsibilities and procedures for information technology security in their working environment relevant to their level and function.
c.
They shall report to the head of their administrative unit at least every six months on the current status of information technology security in their administrative unit.

3 The administrative units are responsible for the security of their protected IT systems. They shall carry out the following tasks:

a.
They shall conduct an inventory of their protected IT systems and take the required security measures; they shall in particular ensure that these measures are documented for the individual protected systems in the current manner.
b.
They are responsible for compliance with and the implementation of the IT security directives and the decisions of the Federal Council, the NCSC and the departments or the Federal Chancellery within the scope of their responsibilities.
c.
They are responsible, subject to Article 12 paragraph 5, for managing cyber incidents that affect their protected IT systems.
d.
When obtaining services from an external service provider, they shall ensure that the IT security directives form part of the contractual relationship with that provider.
e.
They shall verify in an appropriate manner whether external service providers are complying with the IT directives.
f.
They shall ensure that the responsibilities for information technology security at an operational level are set out in the project and performance agreements between service providers and service procurers.
g.
They shall ensure that persons to whom this Ordinance does not apply are only allowed access to federal IT infrastructure if they undertake to comply with the IT security directives.

4 The service providers shall perform the following functions:

a.
They shall provide their service procurers on request with all the information required to protect their protected IT systems in an appropriate form.
b.
They shall ensure that they have the capacities required to conduct a technical analysis and manage cyber incidents that affect them directly or affect their service procurers.
c.
They shall report to their service procurers without delay any weaknesses and security incidents that they detect that relate to their protected IT systems.
d.
They shall work with the service providers to define a process for managing cyber incidents. The process shall in particular regulate decision-making powers in relation to immediate measures.

5 If it is not possible to manage a cyber incident in accordance with the defined process, the parties concerned shall inform the NCSC so that it can decide on what further action to take.

6 The administrative units shall consult the NCSC in connection with security-relevant IT directives as well as projects.

7 They are responsible for developing, implementing and checking standards and regulations in relation to cyber security in their sectors. The NCSC shall wherever possible provide them with experts from the pool mentioned in Article 12 paragraph 1 letter g.

15 Amended by No I of the O of 24 Feb. 2021, in force since 1 April 2021 (AS 2021 132).

Art. 14 Verwaltungseinheiten und ihre Leistungserbringer

1 Die Verwaltungseinheiten bestimmen je eine oder einen ISBO, die oder der in direktem Auftrag der Leitung der Verwaltungseinheit handelt. Der Bereich Digitale Transformation und IKT-Lenkung der Bundeskanzlei (Bereich DTI der BK) bestimmt zusätzlich eine Informatiksicherheitsbeauftragte oder einen Informatiksicherheitsbeauftragten für die Standarddienste.

2 Die ISBO und die oder der Informatiksicherheitsbeauftragte für die Standarddienste nehmen die folgenden Aufgaben wahr:

a.
Sie sorgen in den Verwaltungseinheiten für eine rasche Umsetzung der Informatiksicherheitsvorgaben und für die Anwendung der Sicherheitsverfahren (3a. Kap.).
b.
Sie sorgen dafür, dass die Mitarbeiterinnen und Mitarbeiter bei Stellenantritt sowie periodisch für Themen der Informatiksicherheit sensibilisiert und geschult werden und die Zuständigkeiten sowie die Abläufe der Informatiksicherheit in ihrem Arbeitsumfeld je nach Stufe und Funktion kennen.
c.
Sie informieren die Leiterin oder den Leiter ihrer Verwaltungseinheit mindestens halbjährlich über den aktuellen Stand der Informatiksicherheit in ihrer Verwaltungseinheit.

3 Die Verwaltungseinheiten sind für die Sicherheit ihrer Informatikschutzobjekte verantwortlich. Sie nehmen die folgenden Funktionen wahr:

a.
Sie führen ein Inventar ihrer Informatikschutzobjekte und ergreifen die notwendigen Sicherheitsmassnahmen; sie stellen namentlich sicher, dass diese für die einzelnen Informatikschutzobjekte in aktueller Form dokumentiert sind.
b.
Sie sind für die Einhaltung und die Umsetzung der Informatiksicherheitsvorgaben, der Sicherheitsverfahren und der Beschlüsse des Bundesrates, des NCSC und der Departemente beziehungsweise der Bundeskanzlei in ihrem Zuständigkeitsbereich verantwortlich.
c.
Sie sind unter Vorbehalt von Artikel 12 Absatz 5 verantwortlich für die Bewältigung von Cybervorfällen, die ihre Informatikschutzobjekte betreffen.
d.
Sie stellen sicher, dass beim Bezug von Leistungen bei einem externen Leistungserbringer die Informatiksicherheitsvorgaben Teil des Vertragsverhältnisses mit diesem sind.
e.
Sie überprüfen in geeigneter Weise, ob die externen Leistungserbringer die Informatikvorgaben einhalten.
f.
Sie stellen sicher, dass die Verantwortlichkeiten für die Informatiksicherheit auf der betrieblichen Ebene in den Projekt- und Leistungsvereinbarungen zwischen den Leistungserbringern und den Leistungsbezügern festgehalten sind.
g.
Sie sorgen dafür, dass Personen, auf die diese Verordnung nicht anwendbar ist, nur dann Zugriff auf die Informatikinfrastruktur des Bundes erhalten, wenn sie sich verpflichten, die Informatiksicherheitsvorgaben einzuhalten.

4 Die Leistungserbringer nehmen folgende Funktionen wahr:

a.
Sie stellen ihren Leistungsbezügern auf Verlangen alle nötige Informationen für den Schutz ihrer Informatikschutzobjekte in geeigneter Form zu.
b.
Sie stellen sicher, dass sie über die nötigen Kapazitäten verfügen zur technischen Analyse und zur Bewältigung von Cybervorfällen, die sie selber oder ihre Leistungsbezüger betreffen.
c.
Sie melden ihren Leistungsbezügern unverzüglich entdeckte Schwachstellen und Sicherheitsvorfälle, die deren Informatikschutzobjekte betreffen.
d.
Sie definieren in Zusammenarbeit mit den Leistungsbezügern einen Prozess für die Bewältigung von Cybervorfällen; darin werden namentlich die Entscheidkompetenzen für Sofortmassnahmen geregelt.

5 Kann ein Cybervorfall nicht im Rahmen des definierten Prozesses bewältigt werden, so informieren die Betroffenen das NCSC, um das weitere Vorgehen zu bestimmen.

6 Die Verwaltungseinheiten konsultieren das NCSC bei sicherheitsrelevanten Informatikvorgaben sowie -vorhaben.

7 Sie sind für die Entwicklung, Umsetzung und Prüfung von Standards und Regulierungen in Bezug auf die Cybersicherheit in ihren Bereichen verantwortlich. Das NCSC stellt ihnen im Rahmen der Möglichkeiten Expertinnen und Experten aus dem Pool nach Artikel 12 Absatz 1 Buchstabe g zur Verfügung.

15 Fassung gemäss Ziff. I der V vom 24. Febr. 2021, in Kraft seit 1. April 2021 (AS 2021 132).

 

This document is not an official publication. Only the publication of the Federal Chancellery is legally binding.
Dies ist keine amtliche Veröffentlichung. Massgebend ist allein die Veröffentlichung durch die Bundeskanzlei.