Fast jede Organisation hat früher oder später mit einem kleineren oder grösseren IT-Sicherheitsvorfall zu kämpfen. Davon können personenbezogene Daten betroffen sein, in jedem Fall sind es aber ganz generell die Informationen und Systeme der geschädigten Organisation. Liechtenstein hat deshalb kürzlich eine eigene Stabsstelle Cyber-Sicherheit (SCS) geschaffen unter der Leitung von Michael Valersi (MV), der davor lange Jahre für die Datenschutzstelle (DSS) tätig war.
DSS: Michael, um was genau kümmert sich die SCS?
MV: Die SCS beschäftigt sich mit sämtlichen Domänen der Cybersicherheit in Liechtenstein. So etwa mit der Sicherheit der Kommunikation/Technik oder auch der Sicherheit der operativen Abläufe, die von technischen Systemen abhängig sind. Ebenso mit der Informationssicherheit, sowie der physischen Sicherheit von Anlagen und kritischer Infrastruktur. Es gibt hier naturgemäss zahlreiche Berührungspunkte auch mit der Datensicherheit im Sinne des Datenschutzes. Letztlich unterstützt die SCS alle Organisationen und Menschen im Land und etabliert sich gerade als zentrale Anlauf- und Ansprechstelle für sämtliche Themen der Cybersicherheit.
DSS: Bietet die SCS spezielle Informationen im Zusammenhang mit Cybersicherheit?
MV: Wir werden im Frühling 2023 einen neuen Webauftritt der SCS lancieren, der dann umfangreiche Informationen zum Thema Cybersicherheit enthalten wird. Insbesondere soll es Informationen über präventive Massnahmen geben, aber auch Handlungsanleitungen für den Fall eines Sicherheitsvorfalls. Ebenso werden wir Informationen zum ersten Cybersicherheitsgesetz, welches sich gerade in Ausarbeitung befindet, öffentlich zur Verfügung stellen. Bis dieser neue Webauftritt startet, kann aber schon in Kürze hier auf der heutigen Webseite der SCS ein regelmässiger Newsletter zum Thema abonniert werden.
DSS: Es gibt zukünftig eine Meldepflicht von IT-Sicherheitsvorfällen bei der SCS. Wer muss einen solchen melden?
MV: Gemäss dem aktuellen Entwurf des Cybersicherheitsgesetzes, welches dann im Laufe des nächsten Jahres in Kraft treten soll, müssen Betreiber wesentlicher Dienste (z.B. kritische und digitale Infrastruktur, Gesundheitswesen, Trinkwasserversorgung) und Anbieter digitaler Dienste (grössere Online-Dienste) künftig IT-Sicherheitsvorfälle mit erheblichen Auswirkungen unverzüglich bei der SCS melden. Ausserdem unterliegen solche Organisationen erhöhten Anforderungen an die Sicherheit ihrer Systeme, um die Verfügbarkeit der von ihnen bereitgestellten Dienstleistungen möglichst zu gewährleisten. Unabhängig von der Meldepflicht bei der SCS besteht jedoch für alle Organisationen in Liechtenstein die Meldepflicht an die DSS weiter, falls personenbezogene Daten von einem Vorfall betroffen sind.
Weitere Informationen darüber, was im Falle eines IT-Sicherheitsvorfalls abzuklären und zu tun ist, finden Sie neu hier auf der Internetseite der Datenschutzstelle sowie demnächst auch auf der neuen Internetseite der Stabsstelle Cyber-Sicherheit.