ISG und OT-Sicherheit: Neue Anforderungen für KRITIS
Breaking News:
Kathmandu Nepal
Samstag, Juli 11, 2026
Mit dem Inkrafttreten des Informationssicherheitsgesetzes (ISG) gelten für Betreiber kritischer Infrastrukturen (KRITIS) neue Anforderungen an die Cybersicherheit. Neben Meldepflichten und klaren Governance-Vorgaben rückt insbesondere die Sicherheit von Operational Technology (OT) in den Fokus.
Denn durch die zunehmende Vernetzung von IT- und OT-Systemen entstehen neue Angriffsflächen: Bereits 80 % der Schweizer KRITIS-Betreiber berichten von Cybervorfällen in OT-Umgebungen, die zu Produktionsausfällen oder Datendiebstahl geführt haben. Unternehmen sollten daher ihre OT-Sicherheitsstrategie gezielt an die neuen gesetzlichen Vorgaben anpassen.
ISG-Anforderungen für OT-Verantwortliche
Das Schweizer Informationssicherheitsgesetz (ISG) definiert klare Anforderungen an Betreiber kritischer Infrastrukturen, insbesondere im Bereich der Operational Technology (OT).
Die zentralen Pflichten umfassen:
1. Meldepflicht bei Cybervorfällen (ISG Art. 73a-74f)
2. Nachweis von Schutzmassnahmen (ISG Art. 64)
Betreiber müssen technische und organisatorische Schutzmassnahmen dokumentieren, um die Verfügbarkeit, Integrität und Vertraulichkeit von OT-Systemen zu gewährleisten. Konkrete Massnahmen (gemäss ISG und internationaler Standards wie ISA/IEC 62443):
3. Zusammenarbeit mit dem BACS (ISG Art. 15)
Betreiber sind verpflichtet, aktiv mit dem BACS zusammenzuarbeiten, insbesondere bei:
«Betreiber kritischer Infrastrukturen müssen Cybervorfälle, die die Versorgungssicherheit oder öffentliche Sicherheit gefährden, unverzüglich (in der Regel innerhalb von 24-Stunden) dem BACS melden und nachweisen, dass sie angemessene Schutzmassnahmen ergreifen.»
OT-Systeme im Fokus des ISG
OT-Systeme bilden das Rückgrat kritischer Infrastrukturen. Für ISG-konforme Strategien ist eine präzise Identifikation und Klassifizierung aller relevanten OT-Komponenten notwendig. Eine Schutzbedarfsanalyse hinsichtlich Verfügbarkeit, Integrität und Vertraulichkeit sowie die Berücksichtigung von IT-/OT-Abhängigkeiten ermöglichen eine gezielte Risikopriorisierung und die Ableitung regulatorisch relevanter Massnahmen.
Gründe, warum das ISG auch explizit OT adressiert:
ISG: Sofortmassnahmen für OT-Verantwortliche
Das ISG verlangt kurzfristige, risikobasierte Eingriffe, um akute Bedrohungen in OT-Umgebungen zu reduzieren. Dazu gehören Zugangskontrollen, Patch-Management, Netzwerksegmentierung und Monitoring. Diese Massnahmen sichern die Compliance und gewährleisten die operative Stabilität der OT-Systeme in der unmittelbaren Handlungsphase.
1. Asset-Discovery inkl. OT/IT-Schnittstellen
2. Notfall-Meldeweg zum BACS definieren (24-Stunden-Frist!)
3. Verantwortlichkeiten auf Geschäftsführungsebene verankern.
Mehr zu OT Security ServicesTechnik & Prozesse für OT-Sicherheit nach ISG
Die ISG-Konformität erfordert das Zusammenspiel technischer und organisatorischer Massnahmen. Kontinuierliches Monitoring, Incident-Response- und Wiederanlaufpläne, Backup-Strategien sowie klare Verantwortlichkeiten und Schulungen stellen sicher, dass OT-Systeme dauerhaft geschützt sind und die Audit-Readiness jederzeit nachgewiesen werden kann.
Praxisnahe Massnahmen für verbesserte OT-Sicherheit sind:
1. Segmentierung & Netzwerkzugangskontrolle
– Produktionszone (kritische Steuerungen)
– Wartungszone (Fernzugriffe, Updates)
– Externe Zone (Lieferanten, Cloud-Dienste)
2. Resilienz & Wiederanlauf
3. Einbindung externer Dienstleister
OT-Security: Compliance und Reporting nach ISG
Für ISG-konforme OT- und IT-Sicherheitsstrategien ist die Dokumentation der Massnahmen und Kontrollen unverzichtbar. Compliance-Nachweise ermöglichen es, regulatorische Anforderungen gegenüber Aufsichtsbehörden oder Auditoren transparent darzustellen.
Ein strukturiertes Reporting unterstützt zudem das Management bei der strategischen Steuerung der Informationssicherheit, erlaubt die frühzeitige Identifikation von Schwachstellen und stellt sicher, dass Audit-Readiness kontinuierlich gewährleistet ist.
Systematische Dokumentation der Tätigkeiten
Im Falle eines meldepflichtigen Vorfalls müssen folgende Punkte klar kommuniziert werden:
Jährliche Risiko- und Compliance-Reviews – Kontinuierliche Verbesserung:
Fazit: ISG stärkt OT-Sicherheit und Resilienz
Das Informationssicherheitsgesetz bietet die Chance,
Das ISG schafft damit nicht nur regulatorische Klarheit, sondern setzt auch wichtige Impulse für den nachhaltigen Ausbau der OT-Sicherheit. Entscheidend ist dabei die konsequente Umsetzung der Anforderungen im operativen Betrieb, um Risiken frühzeitig zu erkennen und die Widerstandsfähigkeit kritischer Systeme dauerhaft zu erhöhen.
In der Praxis zeigt sich, dass insbesondere eine strukturierte Herangehensweise an Governance, Prozesse und technische Schutzmassnahmen den grössten Hebel für eine robuste OT-Resilienz bietet.
Gerne unterstützen wir Sie bei der ISG-Umsetzung und liefern Ihnen massgeschneiderte Empfehlungen für Ihre OT-Sicherheit. Kontaktieren Sie uns hierzu gerne und jederzeit!
InfoGuard AG
Lindenstrasse 10
CH6340 Baar
Telefon: +41 (41) 7491900
https://www.infoguard.ch
![]()