Stellungnahme des BAG zu einem Artikel von «Inside IT»

Fakt ist:

• Die Cyber- und IT-Sicherheit und der Datenschutz werden und wurden auch in der Vergangenheit im BAG sehr ernst genommen und gesetzliche Vorgaben eingehalten.
• Im BAG gibt es eine klare Governance und Vorgaben für die Geschäftsführung. Im Informationssicherheitsgesetz ISG und der entsprechenden Verordnung wird die Rolle der Informationssicherheitsverantwortlichen klar beschrieben. Das BAG richtet sich an diesen gesetzlichen Vorgaben aus und erfüllt sie.
• Die Einführung und Umsetzung eines «Informationssicherheits-Managementsystems» (ISMS) durch die Bundesämter muss innert einer Frist von drei Jahren nach Inkrafttreten des Informationssicherheitsgesetzes erfolgen, das heisst bis zum 31. Dezember 2026. Die Einführung des ISMS im BAG wird innert Frist erfolgen.
• Das Informationssicherheitsgesetz und die Ergänzung der Sicherheitsvorgaben um den Betrieb eines ISMS gelten für die ganze Bundesverwaltung, also nicht nur für das BAG. Der grösste Teil der Ämter ist erst daran, ihr ISMS aufzubauen.
• Am 20. März 2024 wurde im Rahmen einer öffentlichen Ausschreibung der Bundesverwaltung der Zuschlag zur Bereitstellung eines ISMS-Standardtools für die gesamte Bundesverwaltung erteilt.
• Das BAG hat bereits vor dem Inkrafttreten des Informationsschutzgesetzes per 1. Januar 2024 Vorbereitungen zur Einführung des ISMS an die Hand genommen, soweit diese ohne die entsprechende gültige Rechtsgrundlage schon möglich und sinnvoll waren.