Gesetzgebung in Arbeit
Mit der Digitalisierung der Verwaltung wird die Informations- und Cybersicherheit immer wichtiger, um die zunehmenden Angriffe von Cyberkriminellen auf Verwaltungssysteme abzuwehren.
Im August 2023 überwies der Regierungsrat dem Grossen Rat daher den Entwurf eines Gesetzes über Informations- und Cybersicherheit (ICSG). Zu seinen Neuerungen gehören Regeln zum Risikomanagement, zur Klassifizierung von Informationen und ICT-Mitteln sowie für die Personensicherheitsprüfung (PSP). Darüber hinaus erfüllt es die Anforderungen des Bundesgesetzes vom 18. Dezember 2020 über die Informationssicherheit beim Bund (Informationssicherheitsgesetz, ISG) für die Zusammenarbeit mit dem Bund.
Für die Gemeinden und andere autonome Träger öffentlicher Aufgaben im Kanton gilt das ICSG nur, soweit sie klassifizierte Informationen des Kantons oder des Bundes bearbeiten oder ihre ICT-Mittel nutzen.
Eine neue Verordnung über die Informations- und Datensicherheit (IDSV) soll das ICSG und die Sicherheitsvorschriften des gleichzeitig total revidierten Gesetzes über den Datenschutz (KDSG) umsetzen.
Das ICSG und die IDSV treten voraussichtlich Anfang 2026 in Kraft. Im Verlauf des Jahres 2025 erarbeitet der Kanton im Rahmen des Projekts IS@BE die dafür nötigen Ausführungsbestimmungen auf Verwaltungsebene, wie Sicherheitsprozesse und -standards.
Unterlagen zum Gesetzgebungsprozess
- Vernehmlassung im Januar 2023
- Parlamentarisches Verfahren
- Entwurf des Regierungsrates und Vortrag vom August 2023
- 1. Lesung im Grossen Rat in der Wintersession 2024
Gesetzgebung in Kraft
Bis zum Inkrafttreten des ICSG ist für die Informationssicherheit in der kantonalen Verwaltung die Direktionsverordnung der Finanzdirektion über Informationssicherheit und Datenschutz (ISDS DV) massgeblich. Für die Sicherheit von Personendaten ist zudem die Datenschutzgesetzgebung zu beachten.
Die Weisung über den Grundschutz für die Informations- und Cybersicherheit (ICSGW) legt die Anforderungen an den Grundschutz nach Artikel 5, Absatz 4, ISDS DV für die ICT-Mittel, Informationen und Personendaten der kantonalen Behörden zwecks Gewährleistung der Informations- und Datensicherheit fest (Inkraftsetzung ab 01.01.2025).
Die Weisung ICSGW enthält im Anhang 4 die «Allgemeine Geschäftsbedingungen des Kantons Bern über die Informationssicherheit und den Datenschutz (AGB ISDS BE) - Stand 2024», welche als Vertragsbestandteil bei den ICT-Beschaffungen der Kantonsverwaltung verwendet werden müssen.
Verwaltungsinterne Weisungen über die Informationssicherheit und den Datenschutz (ISDS) werden im Intranet der Kantonsverwaltung publiziert.
Informationssicherheit und Datenschutz
Behörden, die Personendaten bearbeiten oder bearbeiten lassen, sind dafür verantwortlich, die Informationssicherheit und den Datenschutz sicherzustellen. Sie werden dabei von den Informationssicherheitsverantwortlichen (I-SIVE) und Rechtsdiensten der Direktionen, der Staatskanzlei und der Justiz unterstützt.
Das KAIO stellt die oder den Informationssicherheitsbeauftragten (SIBE) des Kantons Bern. Sie oder er stellt den Behörden Grundlagen, Hilfsmittel und Beratung zur Erfüllung ihrer Sicherheitsaufgaben zur Verfügung.
Die verwaltungsunabhängige Aufsicht über den Datenschutz wird von der Datenschutzaufsichtsstelle des Kantons Bern ausgeübt. Sie stellt eine Liste der Gesetzgebung über Informationssicherheit und Datenschutz zur Verfügung.
Weisungen und Hilfsmittel des KAIO
Weitere verwaltungsinterne Vorschriften sind im Intranet des KAIO publiziert oder auf Anfrage bei ISDS-Beratung@be.ch erhältlich.
Sicherheitsschulungen
BE-Secure
Das KAIO schult die Mitarbeitenden der Kantonsverwaltung im Bereich Cybersicherheit unter anderem durch das Web Based Training (WBT) BE-Secure. Dieses ist öffentlich zugänglich und kann von Mitarbeitenden von Gemeinden, Lehrpersonen, Schülerinnen und Schülern und vielen weiteren Personen bearbeitet werden.
Im WBT BE-Secure lernen Sie, dass Sie mit Ihrem Verhalten einen wichtigen Beitrag zu mehr Sicherheit leisten. Durch das WBT üben Sie Gefahren wie beispielsweise Phishing-E-Mails zu erkennen und ihre Privatsphäre zu schützen.
E-Learning zur Informationssicherheit für Behörden
Die Konferenz der kantonalen Justiz- und Polizeidirektorinnen und -direktoren (KKJPD) stellt den kantonalen und kommunalen Verwaltungen ein E-Learning-Portal zur Informationssicherheit für Behörden zur Verfügung. Insgesamt sind auf dem Portal dreizehn Module verfügbar, ein Modul ist noch in Vorbereitung. Der Zugang zu diesem Portal ist derzeit ohne Login möglich. Beim Öffnen der Webseite sammelt ein Fragebogen lediglich einige anonyme Informationen (PLZ und Art der Organisation).
Das KAIO weist darauf hin, dass die Angaben des E-Learning-Portals von den kantonalen Richtlinien abweichen können. Dennoch ermöglicht das Trainingsportal Mitarbeitenden von Gemeinden, Lehrpersonen, und vielen weiteren Personen, ihre Kompetenzen und den Umgang mit sensiblen Daten zu verbessern. Es gelten weiterhin die kantonalen Richtlinien und Bestimmungen.