Logo
TLCTC
Blog / Regulierung & Compliance (Schweiz)

ISG vs. DSG vs. FINMA: Unterschiedliche regulatorische Auslöser

Eine "Cyber-Vorfall" kann unterschiedliche Meldepflichten auslösen. Das DSG wird durch das Data Risk Event (Personendaten) ausgelöst, das ISG durch den Vorfall selbst – und das FINMA-RS 2023/01 verlangt zwei separate Meldungen: für das Cyber-Event und für das Critical Data Event. Das bestimmt, wo die Propagated-PR-Kontrollen (Massnahmen) verankert werden müssen.

BK
Bernhard Kreinz
Lesezeit wird berechnet …
Zusammenfassung

Dieser Beitrag untersucht die strukturellen Unterschiede zwischen den schweizerischen Meldepflichten nach DSG (Datenschutz), ISG (kritische Infrastrukturen) und FINMA-RS 2023/01 (Finanzinstitute). Mit dem TLCTC-v2.0-Framework zeigen wir, dass ein einziger Cyberangriff zwar mehrere Verletzungen auslösen kann, die kausalen Auslöser jedoch unterschiedlich sind – und somit unterschiedliche Response-(RS-)Container-Logik sowie unterschiedliche Propagated-Protection-(PR-)Kontrollen erfordern.

Zum Vergrössern klicken
Regulatorische Auslöser für Meldepflichten: ISG vs. DSG vs. FINMAG & FINMA-RS 2023/01 ISG-Pfad (Vorfall-getriggert) DSG-Pfad (Personendaten-getriggert) FINMA-Pfad (Cyber + kritische Daten) verursacht ggf. Propagated PR(E1) → ISG Propagated PR(E1) → FINMA (Cyber) SYSTEM RISK EVENT Event #1System-Kompromittierung (Cyber) PRPROTECTNativ: MFA, EDR, Segmentierung DEDETECTSIEM, Anomalieerkennung RSRESPONDResponse: Forensik, Eradikation, Eindämmung ISG Propagated PR(E1):Meldung an BACS binnen 24h (Art. 74b ISG) FINMA Propagated PR(E1):Cyber-Event: 24h Erst- + 72h Detailmeldung(Art. 29 Abs. 2 FINMAG) RCRECOVERSystemwiederherstellung TLCTC Attack Path:#9 → #4 → #7Phishing → Identitätsmissbrauch → Malware ⚡ ISG- + FINMA-AUSLÖSER (Cyber)Signifikanter Vorfall → Meldung binnen 24h DATA RISK EVENT Event #2Datendiebstahl PRPROTECTNativ: DLP, Zugriffskontrollen+ Propagated PR aus E1: Eindämmung DEDETECTDLP-Alarme, Exfiltrationserkennung RSRESPONDResponse: Bewertung, Beweissicherung DSG Propagated PR(E2):Meldung an EDÖB „so rasch als möglich“ (Art. 24 DSG) FINMA Propagated PR(E2):Critical Data Event – kritische Daten C/I/A (RS 2023/01) RCRECOVERBehebung, Kontrollverbesserungen Data Risk Event:[DRE: C]Personendaten betroffen · kritische Daten: C/I/A ⚡ DSG- + FINMA-AUSLÖSER (Daten)Personendaten / kritische Daten → Meldung BRE: COMPLIANCE RISK EVENT Event #3aISG-Verletzung Regulatorische Grundlage:Art. 74b ISG — Meldung an BACS binnen 24h+ Propagated PR aus E1 RS BRE: COMPLIANCE RISK EVENT Event #3bDSG-Verletzung Regulatorische Grundlage:Art. 24 DSG — EDÖB, so rasch als möglich+ Propagated PR aus E2 RS BRE: COMPLIANCE RISK EVENT Event #3cFINMA-Verletzung FINMA-RS 2023/01 (Art. 29 Abs. 2 FINMAG) Cyber-Event (aus E1):FINMA: 24h Erstmeldung + 72h Detailmeldung Critical Data Event (aus E2):kritische Daten C/I/A → separate Meldung löst aus BUSINESS RISK EVENT (BRE) Event #4 (Folge)Anzeige / Verfahren Folge-BRE · Compliance / LegalEDÖB: Anzeige, Untersuchung,Verfügung; Bussen, Massnahmen→ eigene Response · etc. ISG: durch den Vorfall ausgelöst → Propagated PR im E1 RS (BACS, 24h) DSG: durch das Data Risk Event (Personendaten) ausgelöst → Propagated PR im E2 RS (EDÖB) FINMA: zwei separate Auslöser → Cyber-Event (E1) UND Critical Data Event (E2) Compliance Risk Events (Meldepflichten) sind Business Risk Events – und lösen weitere BREs aus (z. B. Anzeige durch EDÖB)
Abbildung 1: Ereigniskette vom Cyber Risk Event über das Data Risk Event zu den Business Risk Events wozu die Compliance Risk Events (ISG/DSG/FINMA) zählen und einem nachgelagerten Business Risk Event (Legal Risk) Anzeige durch den EDÖB).

Einleitung: Das Paradox der Mehrfachmeldung

Mit der Entwicklung von Cybersicherheitsregulierungen weg von reinen Governance-Vorgaben hin zu konkreten Meldepflichten stehen Chief Information Security Officers (CISOs) vor einer zentralen Herausforderung: semantischer Verwirrung.

In der Schweiz wird ein einziger Sicherheitsvorfall – etwa ein Ransomware-Angriff – durch mehrere regulatorische Brillen betrachtet: Datenschutz (DSG), kritische Infrastrukturen (ISG) und, für Finanzinstitute, die Aufsicht der FINMA. Die Fristen und rechtlichen Pflichten sind jedoch nicht synchronisiert. Mit dem TLCTC-2-Schichten-Modell lässt sich exakt aufzeigen, warum diese Regulierungen aneinander „vorbeigreifen“ und wie sich die Response-Container entsprechend strukturieren lassen.

Ein Cyber-Angriff löst dabei selten ein einzelnes Ereignis aus, sondern eine Ereigniskette: vom Cyber Risk Event (E1) über das Data Risk Event (E2) bis zu den Business Risk Events auf der Wirkungsseite des Bow-Tie. Gerade auf dieser Ebene kommen Compliance Risk Events zur Anwendung – die regulatorischen Meldepflichten nach ISG, DSG und FINMA. Diese ziehen ihrerseits weitere Business Risk Events nach sich: etwa eine Anzeige bzw. ein Verfahren durch den EDÖB (ebenfalls ein Compliance- bzw. Legal-Ereignis), aufsichtsrechtliche Massnahmen oder Bussen.

Strukturvergleichstabelle

Aspekt ISG (Art. 74b) DSG (Art. 24) FINMA-RS 2023/01
Auslösendes Event Cyber Risk Event (signifikanter Vorfall) Data Risk Event (Personendaten, hohes Risiko) Cyber Risk Event und Critical Data Event (separat)
Propagated PR verankert in E1 RS (Incident Response) E2 RS (Data Breach Response) E1 RS + E2 RS
Meldestelle BACS (ehem. NCSC) EDÖB FINMA
Meldefrist 24h nach Entdeckung „so rasch als möglich“ (kein fixer Termin) Cyber-Event: 24h Erst- + 72h Detailmeldung · kritische Daten: gemäss RS
Ketten­länge E1 → E3a (2 Events) E1 → E2 → E3b (3 Events) E1 → E3c und E2 → E3c (2 Zweige)

Die zentrale Erkenntnis: Vorfall vs. Daten

Das TLCTC-Framework unterscheidet zwischen Event 1 (System-Kompromittierung) und Event 2 (Data Risk Event). Diese Unterscheidung ist für die Compliance entscheidend:

ISG-Szenario

Ist der Vorfall signifikant (z. B. Beeinträchtigung der Funktionsfähigkeit einer kritischen Infrastruktur), ist die ISG-Meldung erforderlich – unabhängig davon, ob Personendaten betroffen sind. Auslöser ist der Systemzustand.

DSG-Szenario

Sind keine Personendaten betroffen, besteht keine DSG-Meldepflicht – selbst bei einer erheblichen System-Kompromittierung. Auslöser ist die Verletzung der Sicherheit personenbezogener Daten mit voraussichtlich hohem Risiko.

FINMA-Szenario

Für beaufsichtigte Institute zählen zwei separate Auslöser: das Cyber-Event (Cyberangriff, an E1 gekoppelt) und das Critical Data Event – der Verlust von Vertraulichkeit, Integrität oder Verfügbarkeit kritischer Daten (an E2 gekoppelt).

Schweizer Besonderheit: „kritische Daten“ ≠ Personendaten

Das FINMA-RS 2023/01 definiert kritische Daten über die Kriterien Vertraulichkeit, Integrität und Verfügbarkeit – nicht über die Personenbezogenheit. Ein Critical Data Event kann daher eine FINMA-Meldung auslösen, ohne dass eine DSG-Meldepflicht besteht (und umgekehrt). Im TLCTC ist das exakt derselbe [DRE]-Knoten in E2, ausgewertet anhand zweier unterschiedlicher Kriterienkataloge.

Praktische Implikation für RS-Container

Ein einziger Vorfall kann mehrere Meldungen erfordern, wenn die Organisation in den Anwendungsbereich fällt und sowohl Personen- als auch kritische Daten betroffen sind. Das führt zu mehreren separaten Propagated-PR-Kontrollen in unterschiedlichen RS-Containern – mit unterschiedlichen Fristen und unterschiedlichen Behörden. Eine FINMA-beaufsichtigte Bank, die eine kritische Infrastruktur betreibt und bei der Personendaten abfliessen, kann im selben Vorfall gegenüber BACS, EDÖB und FINMA meldepflichtig werden.

Entscheidend ist die Kettenperspektive: Diese Meldepflichten sind selbst Compliance Risk Events – eine Ausprägung des Business Risk Event – und enden nicht mit der Meldung. Reagiert eine Behörde wie der EDÖB mit einer Anzeige oder einem Verfahren, entsteht ein nachgelagertes Business Risk Event (Compliance bzw. Legal), das eigene Response-Massnahmen erfordert. Die Ereigniskette kann sich also über die erste Meldung hinaus fortsetzen.

Die RS-Logik-Formel

RS(Eₙ) = { Response } { Propagated PR(Eₙ₊₁) } { Propagated PR(Eₙ₊ₓ) }

Jede Regulierung fügt ihre eigene Propagated-PR-(Protection-)Kontrolle in den Respond-(RS-)Container des auslösenden Events ein.

Fazit

Wer versteht, dass ISG-Pfad, DSG-Pfad und FINMA-Pfad an unterschiedlichen kausalen Punkten abzweigen – und dass FINMA gleich an zwei Punkten ansetzt – kann robuste Incident-Response-Playbooks bauen. Statt einer unübersichtlichen „Melde-Checkliste“ lassen sich konkrete RS-Container-Aktionen den logischen Auslösern zuordnen, die das TLCTC-Diagramm sichtbar macht.

Hinweis: Dieser Beitrag dient der Veranschaulichung des TLCTC-Frameworks und stellt keine Rechtsberatung dar. Massgebend sind die jeweils aktuellen Gesetzestexte, Verordnungen und FINMA-Vorgaben sowie eine fachkundige rechtliche Beurteilung im Einzelfall.

Referenzen

  1. Kreinz, B. TLCTC Framework v2.0, White Paper.
  2. Bundesgesetz über den Datenschutz (DSG, SR 235.1), Art. 24 – Meldung von Verletzungen der Datensicherheit an den EDÖB.
  3. Informationssicherheitsgesetz (ISG, SR 128), Meldepflicht für Cyberangriffe auf kritische Infrastrukturen (Art. 74b ff.), in Kraft seit 1. April 2025 (Meldung an das BACS binnen 24h).
  4. FINMA-Rundschreiben 2023/1 «Operationelle Risiken und Resilienz – Banken» (in Kraft seit 1.1.2024); Meldung von Cyberangriffen nach Art. 29 Abs. 2 FINMAG (24h Erstmeldung, 72h Detailmeldung).