Der Bund hat neue Vorgaben bezüglich Cybersecurity in Beschaffungsverträgen veröffentlicht. Mit den "Standardbestimmungen Informationssicherheit" wendet man sich dabei an Bedarfs- und Beschaffungsstellen des Bundes. Wirksam sind die Empfehlungen ab Anfang 2026. Informationssicherheit müsse vertraglich geregelt sein, wie der Bund klar festhält. Die gesammelten Empfehlungen sollen dafür sorgen, dass die Beschaffungsstellen ihre Lieferanten "wirksam, wirtschaftlich und risikobasiert" zu den Vorgaben rund um die Informationssicherheit instruieren können. Erarbeitet wurden die Standardbestimmungen gemeinsam mit verschiedenen Departementen, die Wirtschaft konnte sich im Rahmen einer Vernehmlassung ebenfalls äussern.
Ausschlaggebend für den nun erfolgten Vorstoss war der wohl schwerste Fall von mangelnder IT-Security beim Bund aus jüngster Zeit –
der Fall Xplain. Der für den Bund tätige Dienstleister wurde im Frühjahr 2023 Opfer einer Ransomware-Attacke, bei der auch heikle Daten des Bundes abflossen. Nach der zugehörigen Administrativuntersuchung
kündigte der Bundesrat denn auch an, Massnahmen ergreifen zu wollen. Wichtig ist hierbei, dass die betroffenen Bundesstellen laut der Untersuchung ihre Plichten bei der Anbieterwahl ungenügend wahrgenommen hätten.
Im Kern der nun veröffentlichten Dokumente ist die Verankerung des Themas IT-Security in der Evaluierungsphase. Die Bedarfsstelle müssen klar vor dem Beschaffungsverfahren klare Vorgaben zur Informationssicherheit formulieren. Das soll selbstverständlich auch den Lieferanten helfen, die damit transparent einsehen können, welche Voraussetzungen betreffend IT-Sicherheit gegeben sein müssen.
Da sich die verschiedenen Verträge je nach Dienstleistung und Beschaffungsstelle stark unterscheiden, will der Bund mit einem Leitfaden Hilfe bieten. Dieser findet sich
hier zum Download (PDF). Die verschiedenen Dokumente zu den Standortbestimmungen lassen sich
hier ganz unten in der Website herunterladen.
(win)
