With big laws like OR and ZGB this can take up to 30 seconds

Verordnung
über den Schutz vor Cyberrisiken in der Bundesverwaltung
(Cyberrisikenverordnung, CyRV)

vom 27. Mai 2020 (Stand am 1. April 2021)

Der Schweizerische Bundesrat,

gestützt auf Artikel 30 des Bundesgesetzes vom 21. März 19971 über Massnahmen zur Wahrung der inneren Sicherheit
und auf die Artikel 43 Absätze 2 und 3, 47 Absatz 2 und 55 des Regierungs- und Verwaltungsorganisationsgesetzes vom 21. März 19972,

verordnet:

1. Kapitel: Allgemeine Bestimmungen

Art. 1 Gegenstand  

Die­se Ver­ord­nung re­gelt die Or­ga­ni­sa­ti­on der Bun­des­ver­wal­tung zum Schutz vor Cy­ber­ri­si­ken so­wie die Auf­ga­ben und Zu­stän­dig­kei­ten der ver­schie­de­nen Stel­len im Be­reich Cy­ber­si­cher­heit.

Art. 2 Geltungsbereich  

Die­se Ver­ord­nung gilt für:

a.
die Ver­wal­tungs­ein­hei­ten der zen­tra­len Bun­des­ver­wal­tung nach Ar­ti­kel 7 der Re­gie­rungs- und Ver­wal­tungs­or­ga­ni­sa­ti­ons­ver­ord­nung vom 25. No­vem­ber 19983;
b.4
die Stel­len, die sich ge­mä­ss Ar­ti­kel 2 Ab­satz 2 der Ver­ord­nung vom 25. No­vem­ber 20205 über die di­gi­ta­le Trans­for­ma­ti­on und die In­for­ma­tik (VD­TI) da­zu ver­pflich­ten, sie ein­zu­hal­ten.

3 SR 172.010.1

4 Fas­sung ge­mä­ss An­hang Ziff. 1 der V vom 25. Nov. 2020 über die di­gi­ta­le Trans­for­ma­ti­on und die In­for­ma­tik, in Kraft seit 1. Jan. 2021 (AS 2020 5871).

5 SR 172.010.58

Art. 3 Begriffe  

In die­ser Ver­ord­nung be­deu­ten:

a.
Cy­ber­si­cher­heit: an­zu­stre­ben­der Zu­stand, bei dem die Da­ten­be­ar­bei­tung, ins­be­son­de­re der Da­ten­aus­tausch zwi­schen Per­so­nen und Or­ga­ni­sa­tio­nen, über In­for­ma­ti­ons- und Kom­mu­ni­ka­ti­ons­in­fra­struk­tu­ren wie be­ab­sich­tigt funk­tio­niert;
b.
Cy­ber­vor­fall: un­be­ab­sich­tig­tes oder von Un­be­fug­ten be­ab­sich­tig­tes Er­eig­nis, das da­zu führt, dass die Ver­trau­lich­keit, In­te­gri­tät, Ver­füg­bar­keit oder Nach­voll­zieh­bar­keit von Da­ten be­ein­träch­tigt ist oder es zu Funk­ti­ons­stö­run­gen kom­men kann;
c.
Cy­ber­ri­si­ko: Ge­fahr ei­nes Cy­ber­vor­falls, de­ren Grös­se durch das Pro­dukt der Ein­tritts­wahr­schein­lich­keit und des Scha­dens­aus­mas­ses be­stimmt ist;
d.
Re­si­li­enz: die Fä­hig­keit ei­nes Sys­tems, ei­ner Or­ga­ni­sa­ti­on oder ei­ner Ge­sell­schaft, in­tern oder ex­tern ver­ur­sach­ten Stö­run­gen zu wi­der­ste­hen und das ord­nungs­ge­mäs­se Funk­tio­nie­ren zu er­hal­ten oder die­ses mög­lichst rasch und voll­stän­dig wie­der­zu­er­lan­gen;
e.
In­for­ma­tik­si­cher­heit: der auf tech­ni­sche Sys­te­me be­zo­ge­ne Aspekt der Cy­ber­si­cher­heit;
f.
In­for­ma­tik­si­cher­heits­vor­ga­ben: Si­cher­heits­an­for­de­run­gen an die Or­ga­ni­sa­ti­on, die Pro­zes­se, die Dienst­leis­tun­gen und die Tech­nik;
g.
kri­ti­sche In­fra­struk­tu­ren: Pro­zes­se, Sys­te­me und Ein­rich­tun­gen, die für das Funk­tio­nie­ren der Wirt­schaft oder das Wohl­er­ge­hen der Be­völ­ke­rung es­sen­zi­ell sind;
h.6
In­for­ma­tik­schut­z­ob­jek­te: An­wen­dun­gen, Ser­vices, Sys­te­me, Netz­wer­ke, Da­ten­samm­lun­gen, In­fra­struk­tu­ren und Pro­duk­te der In­for­ma­tik; meh­re­re glei­che oder zu­sam­men­hän­gen­de Ob­jek­te kön­nen zu ei­nem In­for­ma­tik­schut­z­ob­jekt zu­sam­men­ge­fasst wer­den;

6 Ein­ge­fügt durch Ziff. I der V vom 24. Fe­br. 2021, in Kraft seit 1. April 2021 (AS 2021 132).

2. Kapitel: Grundsätze für den Schutz vor Cyberrisiken

Art. 4 Ziele  

1 Die Bun­des­ver­wal­tung sorgt für ei­ne an­ge­mes­se­ne Re­si­li­enz ih­rer Or­ga­ne und Sys­te­me ge­gen­über Cy­ber­ri­si­ken.

2 Sie ar­bei­tet mit den Kan­to­nen, den Ge­mein­den, der Wirt­schaft, der Ge­sell­schaft, der Wis­sen­schaft und den in­ter­na­tio­na­len Part­nern zu­sam­men, so­weit dies dem Schutz der ei­ge­nen Si­cher­heits­in­ter­es­sen dient, und för­dert den In­for­ma­ti­ons­aus­tausch.

Art. 5 Nationale Strategie zum Schutz der Schweiz vor Cyberrisiken  

Der Bun­des­rat legt in der Na­tio­na­len Stra­te­gie zum Schutz der Schweiz vor Cy­ber­ri­si­ken (NCS) den stra­te­gi­schen Rah­men für die Ver­bes­se­rung der Prä­ven­ti­on, Früh­er­ken­nung, Re­ak­ti­on und Re­si­li­enz zum Schutz vor Cy­ber­ri­si­ken fest.

Art. 6 Bereiche  

Die Mass­nah­men zum Schutz vor Cy­ber­ri­si­ken sind in fol­gen­de drei Be­rei­che un­ter­teilt:

a.
Be­reich Cy­ber­si­cher­heit: Ge­samt­heit der Mass­nah­men, die der Prä­ven­ti­on, der Be­wäl­ti­gung von Vor­fäl­len und der Ver­bes­se­rung der Re­si­li­enz ge­gen­über Cy­ber­ri­si­ken die­nen und die in­ter­na­tio­na­le Zu­sam­men­ar­beit zu die­sem Zweck stär­ken;
b.
Be­reich Cy­ber­de­fence: Ge­samt­heit der nach­rich­ten­dienst­li­chen und mi­li­tä­ri­schen Mass­nah­men, die dem Schutz der für die Lan­des­ver­tei­di­gung kri­ti­schen Sys­te­me, der Ab­wehr von Cy­be­r­an­grif­fen, der Ge­währ­leis­tung der Ein­satz­be­reit­schaft der Ar­mee in al­len La­gen und dem Auf­bau von Ka­pa­zi­tä­ten und Fä­hig­kei­ten zur sub­si­di­ären Un­ter­stüt­zung zi­vi­ler Be­hör­den die­nen; da­zu zäh­len auch ak­ti­ve Mass­nah­men zur Er­ken­nung von Be­dro­hun­gen, zur Iden­ti­fi­ka­ti­on von An­grei­fern und zur Stö­rung und Un­ter­bin­dung von An­grif­fen;
c.
Be­reich Cy­ber­straf­ver­fol­gung: Ge­samt­heit al­ler Mass­nah­men der Po­li­zei und der Staats­an­walt­schaft von Bund und Kan­to­nen zur Be­kämp­fung der Cy­ber­kri­mi­na­li­tät.

3. Kapitel: Organisation und Zuständigkeiten

1. Abschnitt: Departementsübergreifende Zusammenarbeit

Art. 7 Bundesrat  

Der Bun­des­rat nimmt fol­gen­de Funk­tio­nen wahr:

a.
Er über­wacht die Um­set­zung der NCS an­hand des stra­te­gi­schen Con­trol­lings und be­schliesst bei Be­darf Mass­nah­men.
b.
Er legt im Rah­men sei­ner Zu­stän­dig­kei­ten fest, in wel­chen Be­rei­chen Vor­ga­ben zum Schutz vor Cy­ber­ri­si­ken nö­tig sind oder an­ge­passt wer­den sol­len.
c.
Er er­lässt Wei­sun­gen über den Schutz der Bun­des­ver­wal­tung vor Cy­ber­ri­si­ken.
d.
Er be­wil­ligt Ab­wei­chun­gen von sei­nen Vor­ga­ben.
Art. 8 Kerngruppe Cyber  

1 Die Kern­grup­pe Cy­ber (KG­Cy) setzt sich zu­sam­men aus:

a.
der oder dem De­le­gier­ten für Cy­ber­si­cher­heit (Art. 6a der Or­ga­ni­sa­ti­ons­ver­ord­nung vom 17. Fe­br. 20107 für das Eid­ge­nös­si­sche Fi­nanz­de­par­te­ment) als Ver­tre­te­rin oder Ver­tre­ter des Eid­ge­nös­si­schen Fi­nanz­de­par­te­ments (EFD);
b.
ei­ner Ver­tre­te­rin oder ei­nem Ver­tre­ter des Eid­ge­nös­si­schen De­par­te­ments für Ver­tei­di­gung, Be­völ­ke­rungs­schutz und Sport (VBS);
c.
ei­ner Ver­tre­te­rin oder ei­nem Ver­tre­ter des Eid­ge­nös­si­schen Jus­tiz- und Po­li­zei­de­par­te­ments (EJPD);
d.
ei­ner Ver­tre­te­rin oder ei­nem Ver­tre­ter der Kan­to­ne, die oder der durch die zu­stän­di­ge Kon­fe­renz der Kan­tons­re­gie­run­gen be­stimmt wird.

2 Die oder der De­le­gier­te für Cy­ber­si­cher­heit hat den Vor­sitz.

3 Die KG­Cy in­for­miert Ver­tre­te­rin­nen und Ver­tre­ter wei­te­rer Ver­wal­tungs­ein­hei­ten des Bun­des, die im Be­reich Cy­ber­ri­si­ken tä­tig sind, über die Trak­tan­den und kann sie für ein­zel­ne Sit­zun­gen bei­zie­hen. Bei Be­lan­gen mit aus­sen­po­li­ti­schem Be­zug in­vol­viert sie das Eid­ge­nös­si­sche De­par­te­ment für aus­wär­ti­ge An­ge­le­gen­hei­ten (EDA). Zu­dem kann sie Ex­per­tin­nen oder Ex­per­ten aus Wirt­schaft und Hoch­schu­len bei­zie­hen.

4 Die KG­Cy hat na­ment­lich fol­gen­de Auf­ga­ben:

a.
Sie be­ur­teilt ak­tu­el­le Cy­ber­ri­si­ken so­wie de­ren mög­li­che Ent­wick­lung an­hand von In­for­ma­tio­nen aus den Be­rei­chen Cy­ber­si­cher­heit, -de­fence und
-straf­ver­fol­gung.
b.
Sie be­wer­tet lau­fend die be­ste­hen­den Dis­po­si­ti­ve in den Be­rei­chen Cy­ber­si­cher­heit, -de­fence und -straf­ver­fol­gung und prüft, ob die­se der Be­dro­hungs­la­ge an­ge­passt sind.
c.
Sie be­glei­tet, wenn nö­tig un­ter Ein­be­zug wei­te­rer Stel­len, die in­ter­de­par­te­men­ta­le Vor­fall­be­wäl­ti­gung.
d.
Sie in­for­miert die Kern­grup­pe Si­cher­heit des Bun­des (KG­Si) über aus­sen- und si­cher­heits­po­li­tisch re­le­van­te Cy­ber­vor­fäl­le und Ent­wick­lun­gen.

5 Die drei in der KG­Cy ver­tre­te­nen De­par­te­men­te stel­len In­for­ma­tio­nen für die ge­mein­sa­me La­ge­be­ur­tei­lung zur Ver­fü­gung.

6 Der Nach­rich­ten­dienst des Bun­des ist für die Dar­stel­lung der ge­samt­heit­li­chen Cy­ber­be­dro­hungs­la­ge zu­han­den der KG­Cy zu­stän­dig.

Art. 9 Steuerungsausschuss Nationale Strategie zum Schutz der Schweiz vor Cyberrisiken  

1 Der Bun­des­rat setzt einen Steue­rungs­aus­schuss Na­tio­na­le Stra­te­gie zum Schutz der Schweiz vor Cy­ber­ri­si­ken (StA NCS) ein.

2 Der StA NCS setzt sich zu­sam­men aus der oder dem De­le­gier­ten für Cy­ber­si­cher­heit, durch die zu­stän­di­ge Kon­fe­renz der Kan­tons­re­gie­run­gen be­stimm­te Ver­tre­tun­gen der Kan­to­ne, Ver­tre­tun­gen der Wirt­schaft und der Hoch­schu­len so­wie Ver­tre­te­rin­nen und Ver­tre­tern der Ver­wal­tungs­ein­hei­ten, wel­che die fe­der­füh­ren­de Ver­ant­wor­tung für die Um­set­zung ei­ner NCS-Mass­nah­me ge­mä­ss dem NCS-Um­set­zungs­plan ha­ben. Je­des De­par­te­ment und die Bun­des­kanz­lei stel­len min­des­tens ei­ne Ver­tre­te­rin oder einen Ver­tre­ter im StA NCS.

3 Die oder der De­le­gier­te für Cy­ber­si­cher­heit hat den Vor­sitz.

4 Der StA NCS hat fol­gen­de Auf­ga­ben:

a.
Er sorgt für die stra­te­gi­sche Ko­hä­renz bei der Um­set­zung der NCS-Mass­nah­men und prüft de­ren Fort­schritt lau­fend mit­tels stra­te­gi­schem Con­trol­ling.
b.
Er de­fi­niert bei ver­zö­ger­ter oder un­voll­stän­di­ger Um­set­zung der NCS-Mass­nah­men Vor­schlä­ge für Son­der­mass­nah­men.
c.
Er sorgt für die lau­fen­de Wei­ter­ent­wick­lung der NCS; hier­zu ver­folgt er im Aus­tausch mit der KG­Cy die Ent­wick­lung der Be­dro­hungs­la­ge und er­ar­bei­tet bei Be­darf An­pas­sungs­vor­schlä­ge für die NCS.
d.
Er er­stat­tet dem Bun­des­rat und der Öf­fent­lich­keit jähr­lich Be­richt über die Um­set­zung der NCS.
e.
Er sorgt für ein ko­or­di­nier­tes Vor­ge­hen al­ler be­tei­lig­ten Stel­len aus Bund, Kan­to­nen, Wirt­schaft und Hoch­schu­len bei der Um­set­zung der NCS-Mass­nah­men.
f.
Er stellt si­cher, dass bei der Um­set­zung der NCS-Mass­nah­men die Ri­si­ko­po­li­tik des Bun­des, die Na­tio­na­le Stra­te­gie zum Schutz kri­ti­scher In­fra­struk­tu­ren so­wie die Stra­te­gi­en des Bun­des­ra­tes im In­for­ma­tik­be­reich be­rück­sich­tigt wer­den.
Art. 10 Ausschuss Informatiksicherheit  

1 Der Aus­schuss In­for­ma­tik­si­cher­heit (A-IS) setzt sich aus ei­ner Ver­tre­te­rin oder ei­nem Ver­tre­ter des Na­tio­na­len Zen­trums für Cy­ber­si­cher­heit (NCSC8), den In­for­ma­tik­si­cher­heits­be­auf­trag­ten der De­par­te­men­te und der Bun­des­kanz­lei so­wie der oder dem In­for­ma­tik­si­cher­heits­be­auf­trag­ten der Stan­dard­diens­te der In­for­ma­ti­ons- und Kom­mu­ni­ka­ti­ons­tech­nik (IKT) zu­sam­men.

2 Fall­wei­se kön­nen wei­te­re Per­so­nen be­ra­tend bei­ge­zo­gen wer­den.

3 Die Ver­tre­te­rin oder der Ver­tre­ter des NCSC hat den Vor­sitz.

4 Der A-IS fun­giert als Kon­sul­ta­ti­vor­gan für das NCSC be­tref­fend In­for­ma­tik­si­cher­heits­fra­gen in der Bun­des­ver­wal­tung.

8 Na­tio­nal Cy­ber Se­cu­ri­ty Cen­tre

Art. 11 Delegierte oder Delegierter für Cybersicherheit  

1 Die oder der De­le­gier­te für Cy­ber­si­cher­heit nimmt fol­gen­de Auf­ga­ben wahr:

a.
Sie oder er lei­tet das NCSC.
b.
Sie oder er sorgt für ei­ne op­ti­ma­le Ab­stim­mung der über­de­par­te­men­ta­len Ar­bei­ten der Be­rei­che Cy­ber­si­cher­heit, -de­fence und -straf­ver­fol­gung.
c.
Sie oder er sorgt für die Vi­si­bi­li­tät der Ak­ti­vi­tä­ten des Bun­des im Be­reich Cy­ber­ri­si­ken, trägt zu op­ti­ma­len Rah­men­be­din­gun­gen für ei­ne in­no­va­ti­ve Cy­ber­si­cher­heits­wirt­schaft bei, ist die mass­ge­ben­de An­sprech­per­son des Bun­des zu Cy­ber­ri­si­ken und ver­tritt die­sen in den mass­ge­bli­chen Kom­mis­sio­nen und Ar­beits­grup­pen; sie oder er sorgt für ei­ne op­ti­ma­le Ab­stim­mung der Ar­bei­ten der Kan­to­ne und des Bun­des zum Schutz der Schweiz vor Cy­ber­ri­si­ken.
d.
Sie oder er ver­tritt das NCSC in den Kri­sen­stä­ben des Bun­des.
e.
Sie oder er er­lässt In­for­ma­tik­si­cher­heits­vor­ga­ben.
f.9
Sie oder er ent­schei­det über Ab­wei­chun­gen von den von ihr oder ihm er­las­se­nen Vor­ga­ben; be­tref­fen die Ab­wei­chun­gen auch Wei­sun­gen der Bun­des­kanz­lei be­tref­fend die di­gi­ta­le Trans­for­ma­ti­on und die IKT-Len­kung, so hört sie oder er vor­gän­gig die Bun­des­kanz­lei an.

2 Sie oder er in­for­miert das EFD zu­han­den des Bun­des­ra­tes re­gel­mäs­sig über den Stand der In­for­ma­tik­si­cher­heit in den De­par­te­men­ten und der Bun­des­kanz­lei.

3 Sie oder er kann sich an der Er­ar­bei­tung von In­for­ma­tik­vor­ga­ben der Bun­des­ver­wal­tung mit Be­zug zur Cy­ber­si­cher­heit und an si­cher­heits­re­le­van­ten In­for­ma­tik­vor­ha­ben be­tei­li­gen. Na­ment­lich kann sie oder er In­for­ma­tio­nen ver­lan­gen, da­zu Stel­lung neh­men und Än­de­run­gen ver­lan­gen.

4 Sie oder er kann nach An­hö­rung der Eid­ge­nös­si­schen Fi­nanz­kon­trol­le Über­prü­fun­gen der In­for­ma­tik­si­cher­heit ver­lan­gen.

9 Fas­sung ge­mä­ss An­hang Ziff. 1 der V vom 25. Nov. 2020 über die di­gi­ta­le Trans­for­ma­ti­on und die In­for­ma­tik, in Kraft seit 1. Jan. 2021 (AS 2020 5871).

2. Abschnitt: Organe des Bereichs Cybersicherheit

Art. 12 Nationales Zentrum für Cybersicherheit  

1 Das NCSC ist das Kom­pe­tenz­zen­trum des Bun­des für Cy­ber­ri­si­ken und ko­or­di­niert die Ar­bei­ten des Bun­des im Be­reich Cy­ber­si­cher­heit. Es hat fol­gen­de Auf­ga­ben:

a.
Es be­treibt die na­tio­na­le An­lauf­stel­le für Cy­ber­ri­si­ken; die­se nimmt Mel­dun­gen aus der Bun­des­ver­wal­tung, der Wirt­schaft, den Kan­to­nen und der Be­völ­ke­rung ent­ge­gen, ana­ly­siert sie und kann Emp­feh­lun­gen da­zu ab­ge­ben.
b.
Es sorgt mit den zu­stän­di­gen Ko­ope­ra­ti­ons­part­nern in der Bun­des­ver­wal­tung für die sub­si­di­äre Un­ter­stüt­zung der Be­trei­ber kri­ti­scher In­fra­struk­tu­ren und för­dert un­ter die­sen den In­for­ma­ti­ons­aus­tausch zu Cy­ber­ri­si­ken.
c.
Es be­treibt das «Com­pu­ter Emer­gen­cy Re­spon­se Team» (Gov­CERT); die­ses ist die na­tio­na­le Fach­stel­le für die tech­ni­sche Vor­fall­be­wäl­ti­gung, die Ana­ly­se tech­ni­scher Fra­ge­stel­lun­gen, die Ein­schät­zun­gen der Be­dro­hungs­la­ge aus tech­ni­scher Sicht und die tech­ni­sche Un­ter­stüt­zung der na­tio­na­len An­lauf­stel­le.
d.
Es be­treibt ei­ne Fach­stel­le für die In­for­ma­tik­si­cher­heit des Bun­des; die­se er­ar­bei­tet In­for­ma­tik­si­cher­heits­vor­ga­ben, berät die Ver­wal­tungs­ein­hei­ten bei de­ren Um­set­zung und er­hebt den Stand der In­for­ma­tik­si­cher­heit in den De­par­te­men­ten und der Bun­des­kanz­lei.
e.
Es stellt die In­for­ma­tik­si­cher­heits­be­auf­trag­ten des Bun­des (ISBB).
f.
Es ko­or­di­niert die Um­set­zung der NCS, führt ein stra­te­gi­sches Con­trol­ling durch und be­rei­tet die Sit­zun­gen der KG­Cy und des StA NCS vor.
g.
Es ver­fügt über einen Ex­per­ten­pool, aus dem Ex­per­tin­nen und Ex­per­ten zur Un­ter­stüt­zung der Fachäm­ter bei der Um­set­zung von NCS-Mass­nah­men so­wie bei der Ent­wick­lung, Um­set­zung und Prü­fung von Stan­dards und Re­gu­lie­run­gen in Be­zug auf die Cy­ber­si­cher­heit zur Ver­fü­gung ge­stellt wer­den.
h.
Es trägt mit ge­ziel­ten In­for­ma­tio­nen zur Sen­si­bi­li­sie­rung der Bun­des­ver­wal­tung und der Öf­fent­lich­keit in Be­zug auf Cy­ber­ri­si­ken bei, in­for­miert über die ak­tu­el­le La­ge und gibt An­lei­tun­gen für prä­ven­ti­ve und re­ak­ti­ve Mass­nah­men her­aus.
i.
Es be­treibt ei­ne re­si­li­en­te Ana­ly­se- und Kom­mu­ni­ka­ti­ons­in­fra­struk­tur, die un­ab­hän­gig von der rest­li­chen Bun­des­in­for­ma­tik funk­tio­nie­ren muss.
j.
Es in­for­miert die KG­Cy so­wie bei aus­sen- und si­cher­heits­po­li­ti­scher Be­deu­tung die KG­Si über re­le­van­te Cy­ber­vor­fäl­le.

2 Es kann, so­fern dies di­rekt oder in­di­rekt dem Schutz der Bun­des­ver­wal­tung vor Cy­ber­ri­si­ken dient, Da­ten zu Cy­ber­vor­fäl­len und da­mit ver­bun­de­nen Kom­mu­ni­ka­ti­ons­flüs­sen be­ar­bei­ten. Es kann sie staat­li­chen und pri­va­ten Si­cher­heits­teams be­kannt­ge­ben, so­fern:

a.
der Da­ten­lie­fe­rant ein­ver­stan­den ist; und
b.
kei­ne ge­setz­li­chen Ge­heim­hal­tungs­pflich­ten ver­letzt wer­den.

3 Ei­ne Be­kannt­ga­be von Per­so­nen­da­ten ins Aus­land ist nur zu­läs­sig, so­fern die dies­be­züg­li­chen Vor­ga­ben der Bun­des­ge­setz­ge­bung über den Da­ten­schutz ein­ge­hal­ten wer­den.

4 Be­son­ders schüt­zens­wer­te Per­so­nen­da­ten dür­fen nur be­ar­bei­tet wer­den, so­weit für de­ren Be­ar­bei­tung mit Mit­teln der Bun­des­in­for­ma­tik die er­for­der­li­che ge­setz­li­che Grund­la­ge be­steht.

5 Das NCSC über­nimmt in der Bun­des­ver­wal­tung nach Rück­spra­che mit den be­trof­fe­nen Dienst­stel­len die Fe­der­füh­rung bei der Be­wäl­ti­gung ei­nes Cy­ber­vor­falls, wenn die­ser das ord­nungs­ge­mäs­se Funk­tio­nie­ren der Bun­des­ver­wal­tung ge­fähr­det. Da­bei hat es fol­gen­de Auf­ga­ben und Kom­pe­ten­zen:

a.
Es kann die be­trof­fe­nen Leis­tungs­er­brin­ger und -be­zü­ger ver­pflich­ten, ihm al­le nö­ti­gen In­for­ma­tio­nen zur Ver­fü­gung zu stel­len.
b.
Es kann So­fort­mass­nah­men an­ord­nen.
c.
Es in­for­miert die Lei­tung der be­trof­fe­nen Ver­wal­tungs­ein­hei­ten über den Ver­lauf.

6 Wur­de nach ei­nem Cy­ber­vor­fall die Ge­fähr­dung der Ver­trau­lich­keit oder der Funk­ti­ons­fä­hig­keit der Bun­des­ver­wal­tung durch die ge­trof­fe­nen Mass­nah­men ge­nü­gend re­du­ziert und sind die nö­ti­gen Fol­ge­ar­bei­ten so­wie de­ren Fi­nan­zie­rung de­fi­niert, so über­gibt das NCSC die Ver­ant­wor­tung für die Wei­ter­be­ar­bei­tung wie­der an die be­trof­fe­nen Stel­len.

Art. 13 Departemente und Bundeskanzlei  

1 Die De­par­te­men­te und die Bun­des­kanz­lei be­rich­ten dem NCSC zum Jah­res­en­de über den Stand der In­for­ma­tik­si­cher­heit.

2 Die in­ter­nen Leis­tungs­er­brin­ger nach Ar­ti­kel 9 VD­TI10 er­stat­ten dem NCSC re­gel­mäs­sig Be­richt über ent­deck­te Schwach­stel­len und Cy­ber­vor­fäl­le so­wie über ge­plan­te und ge­trof­fe­ne Mass­nah­men zu de­ren Be­he­bung.11

3 Die De­par­te­men­te und die Bun­des­kanz­lei be­stim­men je ei­ne In­for­ma­tik­si­cher­heits­be­auf­trag­te oder einen In­for­ma­tik­si­cher­heits­be­auf­trag­ten (ISBD), die oder der in di­rek­tem Auf­trag der De­par­te­ment­s­lei­tung han­delt.12

4 Die ISBD ha­ben na­ment­lich die fol­gen­den Auf­ga­ben:

a.
Sie ko­or­di­nie­ren die In­for­ma­tik­si­cher­heits­a­spek­te in­ner­halb des De­par­te­ments oder der Bun­des­kanz­lei so­wie mit den Stel­len, die für die de­par­te­ments­über­grei­fen­de Ko­or­di­na­ti­on und Zu­sam­men­ar­beit zu­stän­dig sind.
b.
Sie er­ar­bei­ten die not­wen­di­gen Grund­la­gen für die Um­set­zung der In­for­ma­tik­si­cher­heits­vor­ga­ben und für die Or­ga­ni­sa­ti­on auf der Stu­fe des De­par­te­ments oder der Bun­des­kanz­lei.13

5 Die De­par­te­men­te und die Bun­des­kanz­lei re­geln das Ver­hält­nis zwi­schen der oder dem ISBD und den In­for­ma­tik­si­cher­heits­be­auf­trag­ten der Ver­wal­tungs­ein­hei­ten (IS­BO), na­ment­lich die fach­li­che Füh­rung in Si­cher­heits­fra­gen.14

10 SR 172.010.58

11 Fas­sung ge­mä­ss An­hang Ziff. 1 der V vom 25. Nov. 2020 über die di­gi­ta­le Trans­for­ma­ti­on und die In­for­ma­tik, in Kraft seit 1. Jan. 2021 (AS 2020 5871).

12 Fas­sung ge­mä­ss Ziff. I der V vom 24. Fe­br. 2021, in Kraft seit 1. April 2021 (AS 2021 132).

13 Ein­ge­fügt durch Ziff. I der V vom 24. Fe­br. 2021, in Kraft seit 1. April 2021 (AS 2021 132).

14 Ein­ge­fügt durch Ziff. I der V vom 24. Fe­br. 2021, in Kraft seit 1. April 2021 (AS 2021 132).

Art. 14 Verwaltungseinheiten und ihre Leistungserbringer 15  

1 Die Ver­wal­tungs­ein­hei­ten be­stim­men je ei­ne oder einen IS­BO, die oder der in di­rek­tem Auf­trag der Lei­tung der Ver­wal­tungs­ein­heit han­delt. Der Be­reich Di­gi­ta­le Trans­for­ma­ti­on und IKT-Len­kung der Bun­des­kanz­lei (Be­reich DTI der BK) be­stimmt zu­sätz­lich ei­ne In­for­ma­tik­si­cher­heits­be­auf­trag­te oder einen In­for­ma­tik­si­cher­heits­be­auf­trag­ten für die Stan­dard­diens­te.

2 Die IS­BO und die oder der In­for­ma­tik­si­cher­heits­be­auf­trag­te für die Stan­dard­diens­te neh­men die fol­gen­den Auf­ga­ben wahr:

a.
Sie sor­gen in den Ver­wal­tungs­ein­hei­ten für ei­ne ra­sche Um­set­zung der In­for­ma­tik­si­cher­heits­vor­ga­ben undfür die An­wen­dung der Si­cher­heits­ver­fah­ren (3a. Kap.).
b.
Sie sor­gen da­für, dass die Mit­ar­bei­te­rin­nen und Mit­ar­bei­ter bei Stel­len­an­tritt so­wie pe­ri­odisch für The­men der In­for­ma­tik­si­cher­heit sen­si­bi­li­siert und ge­schult wer­den und die Zu­stän­dig­kei­ten so­wie die Ab­läu­fe der In­for­ma­tik­si­cher­heit in ih­rem Ar­beit­sum­feld je nach Stu­fe und Funk­ti­on ken­nen.
c.
Sie in­for­mie­ren die Lei­te­rin oder den Lei­ter ih­rer Ver­wal­tungs­ein­heit min­des­tens halb­jähr­lich über den ak­tu­el­len Stand der In­for­ma­tik­si­cher­heit in ih­rer Ver­wal­tungs­ein­heit.

3 Die Ver­wal­tungs­ein­hei­ten sind für die Si­cher­heit ih­rer In­for­ma­tik­schut­z­ob­jek­te ver­ant­wort­lich. Sie neh­men die fol­gen­den Funk­tio­nen wahr:

a.
Sie füh­ren ein In­ven­tar ih­rer In­for­ma­tik­schut­z­ob­jek­te und er­grei­fen die not­wen­di­gen Si­cher­heits­mass­nah­men; sie stel­len na­ment­lich si­cher, dass die­se für die ein­zel­nen In­for­ma­tik­schut­z­ob­jek­te in ak­tu­el­ler Form do­ku­men­tiert sind.
b.
Sie sind für die Ein­hal­tung und die Um­set­zung der In­for­ma­tik­si­cher­heits­vor­ga­ben, der Si­cher­heits­ver­fah­ren und der Be­schlüs­se des Bun­des­ra­tes, des NCSC und der De­par­te­men­te be­zie­hungs­wei­se der Bun­des­kanz­lei in ih­rem Zu­stän­dig­keits­be­reich ver­ant­wort­lich.
c.
Sie sind un­ter Vor­be­halt von Ar­ti­kel 12 Ab­satz 5 ver­ant­wort­lich für die Be­wäl­ti­gung von Cy­ber­vor­fäl­len, die ih­re In­for­ma­tik­schut­z­ob­jek­te be­tref­fen.
d.
Sie stel­len si­cher, dass beim Be­zug von Leis­tun­gen bei ei­nem ex­ter­nen Leis­tungs­er­brin­ger die In­for­ma­tik­si­cher­heits­vor­ga­ben Teil des Ver­trags­ver­hält­nis­ses mit die­sem sind.
e.
Sie über­prü­fen in ge­eig­ne­ter Wei­se, ob die ex­ter­nen Leis­tungs­er­brin­ger die In­for­ma­tik­vor­ga­ben ein­hal­ten.
f.
Sie stel­len si­cher, dass die Ver­ant­wort­lich­kei­ten für die In­for­ma­tik­si­cher­heit auf der be­trieb­li­chen Ebe­ne in den Pro­jekt- und Leis­tungs­ver­ein­ba­run­gen zwi­schen den Leis­tungs­er­brin­gern und den Leis­tungs­be­zü­gern fest­ge­hal­ten sind.
g.
Sie sor­gen da­für, dass Per­so­nen, auf die die­se Ver­ord­nung nicht an­wend­bar ist, nur dann Zu­griff auf die In­for­ma­tikin­fra­struk­tur des Bun­des er­hal­ten, wenn sie sich ver­pflich­ten, die In­for­ma­tik­si­cher­heits­vor­ga­ben ein­zu­hal­ten.

4 Die Leis­tungs­er­brin­ger neh­men fol­gen­de Funk­tio­nen wahr:

a.
Sie stel­len ih­ren Leis­tungs­be­zü­gern auf Ver­lan­gen al­le nö­ti­ge In­for­ma­tio­nen für den Schutz ih­rer In­for­ma­tik­schut­z­ob­jek­te in ge­eig­ne­ter Form zu.
b.
Sie stel­len si­cher, dass sie über die nö­ti­gen Ka­pa­zi­tä­ten ver­fü­gen zur tech­ni­schen Ana­ly­se und zur Be­wäl­ti­gung von Cy­ber­vor­fäl­len, die sie sel­ber oder ih­re Leis­tungs­be­zü­ger be­tref­fen.
c.
Sie mel­den ih­ren Leis­tungs­be­zü­gern un­ver­züg­lich ent­deck­te Schwach­stel­len und Si­cher­heits­vor­fäl­le, die de­ren In­for­ma­tik­schut­z­ob­jek­te be­tref­fen.
d.
Sie de­fi­nie­ren in Zu­sam­men­ar­beit mit den Leis­tungs­be­zü­gern einen Pro­zess für die Be­wäl­ti­gung von Cy­ber­vor­fäl­len; dar­in wer­den na­ment­lich die Ent­scheid­kom­pe­ten­zen für So­fort­mass­nah­men ge­re­gelt.

5 Kann ein Cy­ber­vor­fall nicht im Rah­men des de­fi­nier­ten Pro­zes­ses be­wäl­tigt wer­den, so in­for­mie­ren die Be­trof­fe­nen das NCSC, um das wei­te­re Vor­ge­hen zu be­stim­men.

6 Die Ver­wal­tungs­ein­hei­ten kon­sul­tie­ren das NCSC bei si­cher­heits­re­le­van­ten In­for­ma­tik­vor­ga­ben so­wie -vor­ha­ben.

7 Sie sind für die Ent­wick­lung, Um­set­zung und Prü­fung von Stan­dards und Re­gu­lie­run­gen in Be­zug auf die Cy­ber­si­cher­heit in ih­ren Be­rei­chen ver­ant­wort­lich. Das NCSC stellt ih­nen im Rah­men der Mög­lich­kei­ten Ex­per­tin­nen und Ex­per­ten aus dem Pool nach Ar­ti­kel 12 Ab­satz 1 Buch­sta­be g zur Ver­fü­gung.

15 Fas­sung ge­mä­ss Ziff. I der V vom 24. Fe­br. 2021, in Kraft seit 1. April 2021 (AS 2021 132).

Art. 14a Mitarbeiterinnen und Mitarbeiter 16  

Die Mit­ar­bei­te­rin­nen und Mit­ar­bei­ter der Bun­des­ver­wal­tung, die In­for­ma­tik­mit­tel nut­zen, sind für de­ren vor­schrifts­ge­mäs­se Hand­ha­bung ver­ant­wort­lich.

16 Ein­ge­fügt durch Ziff. I der V vom 24. Fe­br. 2021, in Kraft seit 1. April 2021 (AS 2021 132).

3a. Kapitel: Sicherheitsverfahren17

17 Eingefügt durch Ziff. I der V vom 24. Febr. 2021, in Kraft seit 1. April 2021 (AS 2021 132).

Art. 14b Schutzbedarfsanalyse  

1 Die Ver­wal­tungs­ein­hei­ten stel­len si­cher, dass al­le In­for­ma­tik­schut­z­ob­jek­te über ei­ne ak­tu­el­le Schutz­be­darfs­ana­ly­se ver­fü­gen. Bei IT-Pro­jek­ten müs­sen sie die Schutz­be­darfs­ana­ly­se vor der Pro­jekt­frei­ga­be durch­füh­ren.

2 In der Schutz­be­darfs­ana­ly­se be­ur­tei­len sie die Aspek­te der Ver­trau­lich­keit, der Ver­füg­bar­keit, der In­te­gri­tät, der Nach­voll­zieh­bar­keit und der Ge­fähr­dung durch nach­rich­ten­dienst­li­che Aus­spä­hung.

Art. 14c Grundschutz  

Die Ver­wal­tungs­ein­hei­ten set­zen die Vor­ga­ben für den Grund­schutz für al­le In­for­ma­tik­schut­z­ob­jek­te um und do­ku­men­tie­ren die Um­set­zung.

Art. 14d Erhöhter Schutz  

1 Er­gibt die Schutz­be­darfs­ana­ly­se einen er­höh­ten Schutz­be­darf, so de­fi­nie­ren die Ver­wal­tungs­ein­hei­ten, zu­sätz­lich zur Um­set­zung der Si­cher­heits­vor­ga­ben für den Grund­schutz und ba­sie­rend auf ei­ner Ri­si­ko­ana­ly­se, wei­te­re Si­cher­heits­massah­men, do­ku­men­tie­ren die­se und set­zen sie um.

2 Die Ver­wal­tungs­ein­hei­ten wei­sen Ri­si­ken aus, die nicht oder nur un­ge­nü­gend re­du­ziert wer­den kön­nen (Rest­ri­si­ken), und do­ku­men­tie­ren die­se. Die Pro­jek­t­auf­trag­ge­be­rin oder der Pro­jek­t­auf­trag­ge­ber, die oder der Ge­schäftspro­zess­ver­ant­wort­li­che so­wie die Lei­tung der Ver­wal­tungs­ein­heit neh­men die Rest­ri­si­ken zur Kennt­nis und be­stä­ti­gen dies schrift­lich.

3 Der Ent­scheid dar­über, ob be­kann­te Rest­ri­si­ken in Kauf ge­nom­men wer­den, ob­liegt der Lei­te­rin oder dem Lei­ter der zu­stän­di­gen Ver­wal­tungs­ein­heit.

Art. 14e Periodizität  

1 Die Si­cher­heits­ver­fah­ren sind min­des­tens al­le fünf Jah­re durch­zu­füh­ren.

2 Bei si­cher­heits­re­le­van­ten Än­de­run­gen am In­for­ma­tik­schut­z­ob­jekt oder an der Be­dro­hungs­la­ge sind sie un­ver­züg­lich durch­zu­füh­ren.

3b. Kapitel: Dezentral anfallende Kosten18

18 Eingefügt durch Ziff. I der V vom 24. Febr. 2021, in Kraft seit 1. April 2021 (AS 2021 132).

Art. 14f  

1 Die de­zen­tral an­fal­len­den Kos­ten für die In­for­ma­tik­si­cher­heit sind Teil der Pro­jekt- und der Be­triebs­kos­ten.

2 Sie sind bei der Pla­nung aus­rei­chend zu be­rück­sich­ti­gen.

4. Kapitel: Schlussbestimmungen

Art. 15 Änderung anderer Erlasse  

Die Än­de­rung an­de­rer Er­las­se ist im An­hang ge­re­gelt.

Art. 16 Übergangsbestimmung zu Artikel 2 Buchstabe b  

1 Be­hör­den und Stel­len, die sich vor In­kraft­tre­ten die­ser Ver­ord­nung durch Ver­ein­ba­rung mit dem In­for­ma­tik­steue­rungs­or­gan des Bun­des (ISB) ver­pflich­tet ha­ben, die Be­stim­mun­gen der Bun­des­in­for­ma­tik­ver­ord­nung vom 9. De­zem­ber 201119 (BinfV) ein­zu­hal­ten, un­ter­ste­hen bis zum 31. De­zem­ber 2021 den Ver­pflich­tun­gen ge­mä­ss der vor­lie­gen­den Ver­ord­nung im Um­fang des bis­he­ri­gen Rechts.20

2 Sie un­ter­ste­hen ab dem 1. Ja­nu­ar 2022 die­ser Ver­ord­nung, so­fern die Ver­ein­ba­rung nicht spä­tes­tens per 31. De­zem­ber 2021 auf­ge­löst wur­de.

19 [AS 2011 6093; 2015 4873; 2016 1783, 3445; 2018 1093; 2020 2107]

20 Fas­sung ge­mä­ss An­hang Ziff. 1 der V vom 25. Nov. 2020 über die di­gi­ta­le Trans­for­ma­ti­on und die In­for­ma­tik, in Kraft seit 1. Jan. 2021 (AS 2020 5871).

Art. 17 Übergangsbestimmung zu Artikel 11 Absatz 1 Buchstabe e  

1 Vor dem In­kraft­tre­ten die­ser Ver­ord­nung durch das ISB er­las­se­ne IKT-Si­cher­heits­vor­ga­ben und be­wil­lig­te Aus­nah­men gel­ten wei­ter.

2 Über Än­de­run­gen an Vor­ga­ben und be­wil­lig­ten Aus­nah­men ent­schei­det das NCSC.

Art. 18 Inkrafttreten  

Die­se Ver­ord­nung tritt am 1. Ju­li 2020 in Kraft.

Anhang

(Art. 15)

Änderung anderer Erlasse

Die nachstehenden Verordnungen werden wie folgt geändert:

...21

21 Die Änderungen können unter AS 2020 2107konsultiert werden.

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

Feedback
A: AB-EBV AB-SBV AB-VASm AdoV AEFV AETR AEV AFZFG AFZFV AHVG AHVV AIAG AIAV AIG AkkredV-PsyG ALBAG ALBAV AlgV AlkG AlkV AllergV AllgGebV AltlV AMBV AMZV AO ArG ArGV 1 ArGV 2 ArGV 3 ArGV 4 ArGV 5 ARPV ARV 1 ARV 2 ASG AStG AStV ASV ASV-RAB AsylG AsylV 1 AsylV 2 AsylV 3 AtraG AtraV ATSG ATSV AufRBGer AufzV AuLaV AVFV AVG AVIG AVIV AVO AVO-FINMA AVV AwG AWV AZG AZGV B: BankG BankV BauAV BauPG BauPV BBG BBV BDSV BEG BehiG BehiV BekV-RAB BetmG BetmKV BetmSV BetmVV-EDI BeV BevSV BewG BewV BG-HAÜ BG-KKE BGA BGBB BGCITES BGerR BGF BGFA BGG BGIAA BGLE BGMD BGMK BGRB BGS BGSA BGST BGÖ BIFG BiGV BIV-FINMA BiZG BKSG BKSV BMV BPDV BPG BPI BPR BPS BPV BSG BSO BStatG BStG BStGerNR BStGerOR BStKR BStV BSV BTrV BURV BV BVG BVV 1 BVV 2 BVV 3 BWIS BZG BöB BüG BÜPF BüV C: CartV ChemG ChemGebV ChemPICV ChemRRV ChemV CyRV CZV D: DBG DBV DBZV DesG DesV DGV DR 04 DSG DV-RAB DZV DüBV DüV E: EBG EBV EDAV-DS-EDI EDAV-EU-EDI EDAV-Ht EHSM-V EiV EKBV EleG ELG ELV EMRK EnEV EnFV EnG ENSIG ENSIV EntG EntsG EntsV EnV EOG EOV EPDG EPDV EPDV-EDI EpG EpV ERV-BVGer ESV ExpaV EÖBV EÖBV-EJPD F: FamZG FamZV FAV FDO FHG FHV FIFG FiFV FiG FiLaG FiLaV FinfraG FinfraV FinfraV-FINMA FINIG FINIV FINMAG FiV FKG FLG FLV FMBV FMedG FMedV FMG FMV FOrgV FPV FrSV FusG FV FVAV FWG FWV FZG FZV G: GaGV GBV GebR-BVGer GebR-PatGer GebV ESTV GebV SchKG GebV-AIG GebV-ArG GebV-ASTRA GebV-AVG GebV-BAFU GebV-BASPO GebV-BAZL GebV-BJ GebV-BLW GebV-EDA GebV-EDI-NBib GebV-En GebV-ESA GebV-fedpol GebV-FMG GebV-HReg GebV-IGE GebV-KG GebV-NBib GebV-Publ GebV-SBFI GebV-TPS GebV-TVD GebV-VBS GebV-öV GebV-ÜPF GeBüV GeoIG GeoIV GeoIV-swisstopo GeomV GeoNV GesBG GesBKV GGBV GGUV GgV GKZ GlG GLPV GR-PatGer GR-WEKO GRN GRS GSchG GSchV GSG GTG GUMG GUMV GUMV-EDI GVVG GüTG GüTV H: HArG HArGV HasLV HasLV-WBF HBV HELV HEsÜ HFG HFKG HFV HGVAnG HKSV HKsÜ HMG HRegV HSBBV HVA HVI HVUV HyV I: IAMV IBH-V IBLV IBSG IBSV IFEG IGE-OV IGE-PersV IGEG InvV IPFiV IPRG IQG IR-PatGer IRSG IRSV ISABV-V ISchV ISLV IStrV-EZV ISUV ISVet-V IVG IVV IVZV J: J+S-V-BASPO JSG JStG JStPO JSV K: KAG KAKV-FINMA KBFHV KEG KEV KFG KFV KG KGSG KGSV KGTG KGTV KGVV KHG KHV KJFG KJFV KKG KKV KKV-FINMA KlinV KLV KMG KMV KOV KoVo KPAV KPFV KR-PatGer KRG KRV KV-GE KVAG KVAV KVG KVV L: LAfV LBV LDV LeV LFG LFV LGBV LGeoIV LGV LIV LMG LMVV LPG LRV LSMV LSV LTrV LugÜ LV-Informationssystemeverordnung LVG LVV LVV-VBS LwG M: MAkkV MaLV MaschV MatV MAV MBV MCAV MedBG MedBV MepV MetG MetV MFV MG MIG MinLV MinVG MinVV MinöStG MinöStV MiPV MIV MiVo-HF MJV MNKPV MPV MSchG MSchV MSG MStG MStP MStV MSV MVG MVV MWSTG MWSTV N: NAFG NagV NBibG NBibV NDG NEV NFSV NHG NHV NISSG NISV NIV NSAG NSAV NSG NSV NZV NZV-BAV O: OAV-SchKG OBG OBV OHG OHV OR OrFV Org-VöB OV-BK OV-BR OV-EDA OV-EDI OV-EFD OV-EJPD OV-HFG OV-UVEK OV-VBS OV-WBF P: PAG ParlG ParlVV PartG PaRV PatG PatGG PatV PAV PAVO PAVV PBG PBV PfG PfV PG PGesV PGesV–WBF–UVEK PGRELV PhaV PHV POG PRG PrHG PrSG PrSV PRTR-V PSAV PSMV PSPV PSPV-BK PSPV-EDA PSPV-EDI PSPV-EJPD PSPV-UVEK PSPV-VBS PSPV-WBF PSPVK PsyBV PsyG PublG PublV PVBger PVFMH PVFMH-VBS PVGer PVO-ETH PVO-TVS PVSPA PVSPA-VBS PäV PüG Q: QStV QuNaV R: RAG RAV RDV ReRBGer ResV-EDI RHG RHV RKV RLG RLV RPG RPV RSD RTVG RTVV RV-AHV RVOG RVOV RöV S: SAFIG SBBG SBMV SBV SchKG SDR SDSG SebG SebV SEFV SeilV SFV SGV SIaG SIRG SKV SnAV SPBV-EJPD SpDV SpG SpoFöG SpoFöV SpV SRVG SSchG SSchV SSchV-EDI SSV StAG StAhiG StAhiV StAV StBOG STEBV StFG StFV StG StGB StHG StPO StromVG StromVV StSG StSV STUG STUV StV STVG SuG SV SVAG SVAV SVG SVKG SVV T: TabV TAMV TBDV TEVG TGBV TGV ToG ToV TPFV TrG TSchAV TSchG TSchV TSG TStG TStV TSV TUG TVAV TVSV TwwV TZV U: UIDV UraM URG URV USG UVG UVPV UVV UWG V: V Mil Pers V-ASG V-FIFG V-FIFG-WBF V-GSG V-HFKG V-LTDB V-NDA V-NISSG V-NQR-BB V-StGB-MSt VABK VABUA VAböV VAEW VAG VAK VAM VAmFD VAN VAND VAPF VAPK VASA VASm VASR VATV VATV-VBS VAusb VAusb-VBS VAV VAwG VAZV VBB VBBo VBGA VBGF VBGÖ VBKV VBLN VBO VBO-ÜPF VBP VBPO VBPV VBPV-EDA VBR I VBRK VBSTB VBVA VBVV VBWK VböV VCITES VD-ÜPF VDA VDPS VDPV-EDI VDSG VDSZ VDTI VDZV VEAGOG VEE-PW VegüV VEJ VEKF VEL VEleS VEMV VEP VerTi-V VES VEV VeVA VEVERA VeÜ-VwV VeÜ-ZSSV VFAI VFAL VFAV VFB-B VFB-DB VFB-H VFB-K VFB-LG VFB-S VFB-SB VFB-W VFBF VFD VFRR VFSD VFV VG VGD VGeK VGG VGKE VGR VGS VGSEB VGV VGVL VGWR VHK VHyMP VHyPrP VHyS VID VIL VILB VIMK VIntA VIS-NDB VISOS VISV VITH VIVS VIZBM VJAR-FSTD VKA VKKG VKKL VKKP VKL VKos VKOVE VKP VKP-KMU VKSWk VKV-FINMA VKZ VLBE VLE VLF VlG VLHb VLIb VLIp VLK VLKA VLL VLpH VLtH VlV VMAP VMBM VMDP VMILAK VMob VMS VMSch VMSV VMWG VNEK VNem VNF VOCV VOD VOEW VORA-EDI VOSA VPA VPABP VPAV VPB VPeA VPG VPGA VPiB VpM-BAFU VpM-BLW VPO ETH VPOB VPOG VPR VPRG VPRH VPrP VPS VPVKEU VR-ENSI VR-ETH 1 VR-ETH 2 VR-FINMA VR-IGE VR-METAS VR-PUBLICA VR-RAB VR-SNM VR-Swissmedic VRA VRAB VREG VRHB VRKD VRLtH VRP VRS VRSL VRV VRV-L VSA VSB VSBN VSFK VSFS VSKV-ASTRA VSL VSMS VSPA VSpoFöP VSPS VSR VSRL VSS VST VStFG VStG VStrR VStV VSV VSVB VSZV VTE VTM VTNP VTS VTSchS VtVtH VUFB VUM VUV VVA VVAG VVAwG VVE VVEA VVG VVK VVK-EDI VVMH VVNF VVS-ÜPF VVTA VVV VVWAL VWEV VWL VWLV VWS VwVG VZAE VZAG VZG VZSchB VZV VZVM VöB VüKU VÜPF VüV-ÖV W: WaG WaV WBV WeBiG WeBiV WEFV WEG WFG WFV WG WPEG WPEV WRG WRV WSchG WSchV WV WZV WZVV Z: ZAG ZAV ZBstG ZDG ZDUeV ZDV ZDV-WBF ZEBG ZentG ZeugSG ZeugSV ZEV ZG ZGB ZISG ZPO ZSAV-BiZ ZSTEBV ZStGV ZStV ZSV ZTG ZUG ZustV-PrSV ZuV ZV ZV-EFD ZWG ZWV Ü: ÜbZ ÜüAVaS ÜüiZR ÜüRK ÜüSKZGIA ÜüzAiK No acronym: 818_101_24 331 632_319 818_102 830_31 131_211 131_212 131_213 131_214 131_215 131_216_1 131_216_2 131_217 131_218 131_221 131_222_1 131_222_2 131_223 131_224_1 131_224_2 131_225 131_226 131_227 131_228 131_229 131_231 131_232 131_233 131_235 142_318 142_513 170_321 172_010_441 172_211_21 172_220_11 172_327_11 196_127_67 221_213_221 221_415 360_2 361_0 361_2 362_0 366_1 367_1 420_126 420_171 510_620_2 514_10 632_421_0 672_933_6 701 732_12 741_618 748_222_0 748_222_1 811_117_2 812_121_5 812_214_5 817_023_41 818_101_25 831_471 837_033 837_21 861 935_121_41 935_121_42 935_816_2
A: AccredO-LPsy AETR C: Caclid CC CCoop-ESF CE-TAF CEDH CL CLaH 2000 CLaH 96 CO CP CPC Cpecmdi CPM CPP Cprlsaé Crdl Crpc Cst-GE Cst. Ctflij D: DE-OCEB DE-OCF DE-OMBat DPA DPMin E: EIMP F: FITAF FP-TFB L: LA LAA LAAF LAAM LACI LAFam LAGH LAgr LAI Lalc LAM LAMal LAO LAP LApEl LAPG LAr LArm LAS LASEI LAsi LAT LAVI LAVS LB LBCF LBFA LBI LBNS LCA LCAP LCart LCBr LCC LCD LCdF LCESF LCF LCFF LChim LChP LCin LCITES LCo LCPI LCPR LCR LD LDA LDAl LDEA LDEP LDes LDFR LDI LDIF LDIP LDP LDT LDét LEAC LEAR LEaux LEC LEDPP LEEJ LEFin LEg LEH LEHE LEI LEIS LEMO LEne LEnTR LENu LEp LERI LESE LESp LET LEx LF-CLaH LF-EEA LFA LFAIE LFC LFCo LFE LFH LFIF LFINMA LFisE LFLP LFMG LFo LFORTA LFPC LFPr LFSP LFus LGG LGéo LHand LHID LHR LIA LIB LICa LIE LIFD LIFSN LIMF Limpauto Limpmin LIPI LIPPI LISDC LISint LITC LJAr LLC LLCA LLG LLGV LMAP LMC LMCFA LMP LMSI LMét LN LNI LOA LOAP LOC LOG LOGA LOP LOST LP LPA LPAP LParl LPart LPBC LPC LPCA LPCC LPCo LPD LPDS LPE LPers LPGA LPM LPMA LPMéd LPN LPO LPP LPPCi LPPS LPSan LPSP LPsy LPTh LPubl LRaP LRCF LRCN LRCS LRens LRFP LRH LRN LRNIS LRPL LRS LRTV LSA LSAMal LSC LSCPT LSE LSEtr LSF LSIA LSIP LSIS LSPr LSPro LSR LStup LSu LT LTab LTaD LTAF LTBC LTC LTEO LTF LTFB LTI LTM LTN LTo LTr LTRA LTrAlp LTrans LTrD LTro LTTM LTV LTVA Ltém LUMin LUsC LVA LVP LVPC O: O E-VERA O LERI DEFR O OFSPO J+S O pers mil O-CNC-FPr O-CP-CPM O-HEFSM O-LEHE O-LERI O-LRNIS O-OPers O-OPers-DFAE O-SI ABV O-SIGEXPA O-STAC OA 1 OA 2 OA 3 OAA OAAcc OAAE OAAE-DFJP OAAF OAAFM OAAFM-DDPS OAASF OAbCV OAC OACA OACAMIL OACata OAcCP OACE OACI OACM OACP OACS OAdd OAdma OAdo OADou OAEP OAF OAFA OAFam OAG OAGH OAGH-DFI OAgrD OAIE OAlc OAllerg OAM OAMal OAMAS OAMéd OAMédcophy OAO OAOF OAP OAPA OAPCM OApEl OARF OARF-OFT OARG OArm OAS OASA OAsc OASF OASM OASMéd OAStup OAT OAV OAVI OB OBat OBB OBCF OBI OBiG OBioc OBLF OBMa OBNP OBNS OBPL OCA OCA-DFI Ocach OCAl OCart OCBD OCBr Occd OCCEA OCCHE OCCP OCCR OCDA OCDM OCDoc OCEB OCEC OCEl-PA OCEl-PCPP OCEM OCF OCFH OChim OChP OCIFM OCin OCITES OCL OClin OCM OCM ES OCMD OCNE OCo OCOFE OComp-OSPro OCont OCoo OCoR-DFI OCos OCOV OCP OCPD OCPF OCPPME OCPR OCPSan OCR OCS OCSP OCSP-ChF OCSP-DDPS OCSP-DEFR OCSP-DETEC OCSP-DFAE OCSP-DFI OCSP-DFJP OCSPN OCStup OCTE OCVM OCâbles OD OD-ASR OD-DFF Odac ODAlAn ODAlGM ODAlOUs ODAlOV ODAu ODCS ODE OdelO ODEP ODEP-DFI ODes ODF ODFR ODI ODim ODO ODP ODPr ODSC ODV ODVo Odét OE OEAR OEaux OEB OEC OECA OEChim OECin OEDPP OEDRP-DFI OEDS OEE-VT OEEC OEEE OEEJ OEFin OEI-SCPT OEIE OEIMP OEIT OELDAl OELP OEM Oem-LEI Oem-OFJ OEMCN OEMFP OEmiA OEMO OEmol-AFC OEmol-ASF OEmol-BN OEmol-DDPS OEmol-DFAE OEmol-DFI-BN OEmol-fedpol OEmol-LCart OEmol-LSE OEmol-LTr OEmol-OFAC OEmol-OFAG OEmol-OFEV OEmol-OFRO OEmol-OFSPO OEmol-Publ OEmol-RC OEmol-SEFRI OEmol-TA OEmol-TP OEMTP OEMéd OEne OEneR OEng OENu OEOHB OEp OEPI OEPL OERE OESE OESE-DFI OESN OESp OESS OETHand OETV OEV Oexpa OFA-FINMA OFAC OFC OFCo OFCoop OFDG OFDPP OFE OFG OFH OFMO OFo OFOrg Oform OFP OFPAn OFPC-FINMA OFPr OFPT OFSI OFSPers OGE OGEmol OGN OGOM OGPCT OGéo OGéo-swisstopo OGéom OH OHand OHEL OHR OHS-LP OHyAb OHyg OHyPL OHyPPr OIA OIAgr OIAM OIB OIB-FINMA OIBC OIBL OIBT OIC OICa OIDAl OIDE OIE OIELFP OIFC OIFP OIFSN OILC OIMA OIMAS OIMF OIMF-FINMA Oimpauto Oimpmin OInstr pré OInstr prém DDPS Oinv OIOP OIP OIPI OIPSD OIPSD-DEFR OIS OISec OISofCA OISOS OIT OITab OITC OITE-AC OITE-PT-DFI OITE-UE-DFI OITPTh OITRV OIVS OJAr OJAR-FSTD OJM OJPM OLAA OLALA OLang OLAr OLCC OLCP OLDI OLDT OLEC OLED OLEH OLEl OLen OLFP OLG Olico OLN OLOG OLOGA OLOP OLP OLPA OLPD OLPS OLQE OLT 1 OLT 2 OLT 3 OLT 4 OLT 5 OLUsC OMA OMAA OMach OMAH OMAI OMAP OMAS OMat OMAV OMBat OMBT OMCFA OMCo OMDA OME-SCPT OMG OMi OMinTA OMJ-DFJP OMN OMN-DDPS OMO OMob OMoD OMP OMP-OFAG OMP-OFEV OMPr OMSA OMSVM OMéd OMédv OMét ONAE ONag ONCAF ONCR ONGéo ONI ONM ONo-ASR OO OOBE OOC-SCPT OOCCR-OFROU OODA OOIT OOLDI OOMA OOP EPF OOPC OOrgA OOST OOUS OPA OPAAb OPair OPAM OPAn OPAnAb OPAP OParcs OPart OPAS OPAT OPATE OPB OPBC OPBD OPBio OPC OPC-AVS-AI OPC-FINMA OPCAP OPCC OPCi OPCNP OPCo OPCy OPD OPDC OPE OPEA OPer-AH OPer-B OPer-D OPer-Fl OPer-Fo OPer-Fu Oper-IPI OPer-P OPer-S OPers OPers-EPF OPers-PDHH OPers-PDHH-DDPS OPers-PPOE OPers-PPOE-DDPS OPers-ServAS OPersT OPersTF OPESp OPF OPFCC OPFr OPGA OPha OPICChim OPICin OPIE OPM OPMA OPMéd OPN OPO OPoA OPOVA OPP 1 OPP 2 OPP 3 OPPB OPPBE OPPh OPPM OPPPS OPPr OPR OPrI OProP OPSP OPsy OPTA OPTP OPU OPubl OPuM OPVA OQPN OQuaDu OR-AVS ORA ORAb OrAc ORAgr ORaP ORAT ORB ORC ORCN ORCPL ORCPP ORCS ORCSN Ordonnance sur les systèmes d’information AC ORE I ORe-DFI OREA OREDT OREE ORegBL ORF ORFI Org CF Org ChF Org DEFR Org DETEC Org DFAE Org DFF Org DFI Org DFJP Org LRH Org-DDPS Org-OMP ORH ORIn ORInt ORM ORMI ORN ORNI OROEM ORPGAA ORPL ORPMUE ORRChim ORRTP ORS ORSA ORSec ORT ORTV OrX ORésDAlan OS OS LCart OS-FINMA OSAC OSALA OSAMal OSAR OSAss OSAv OSaVé OSaVé–DEFR–DETEC OSCi OSCi-DEFR OSCPT OSCR OSE OSEP OServAS OSEtr OSFPrHE OSIA OSIAC OSIAgr OSIAr OSIP-AFD OSIS OSIS-SRC OSites OSIVét OSJo OSL OSLing OSM OSMP OSNA OSO OSOA Osol OSPA OSPBC OSPEX OSPF OSPro OSR OSRA OSRens OSRev OSRP OSS OST-SCPT OStrA OSur-ASR OSV OsVO OT OTa-IPI OTab OTAS OTBC OTConst OTDD OTEMO OTEO OTerm OThand OTM OTN OTNI OTo OTPE OTPSP OTR 1 OTR 2 OTrA OTrans Otransa OTrD OTRF OTS OTStup-DFI OTV OTVA OTVM OTém OUC OUMin OUMR OUS OVA OVCC OVid-TP OVIS OVotE Oémol-En P: PA PFCC PPM PPMin R: RAATPF RAI RAPG RAVS RCE RCETF RCN RDE REmol-TAF REmol-TFB RFA RFPPF RI-COMCO RInfo-TFB RNC ROTPF RP-ASR RP-EPF 1 RP-EPF 2 RP-FINMA RP-IFSN RP-IPI RP-METAS RP-MNS RP-PUBLICA RP-Swissmedic RPBC RPEC RS 04 RSD RSTF RTAF RTF RTFB S: SDR No acronym: 818_101_24 331 632_319 818_102 830_31 131_211 131_212 131_213 131_214 131_215 131_216_1 131_216_2 131_217 131_218 131_221 131_222_1 131_222_2 131_223 131_224_1 131_224_2 131_225 131_226 131_227 131_228 131_229 131_231 131_232 131_233 131_235 142_318 142_513 170_321 172_010_441 172_211_21 172_220_11 172_327_11 196_127_67 221_213_221 221_415 360_2 361_0 361_2 362_0 366_1 367_1 420_126 420_171 510_620_2 514_10 632_421_0 672_933_6 701 732_12 741_618 748_222_1 811_117_2 812_121_5 812_214_5 817_023_41 818_101_25 831_471 837_033 837_21 861 935_121_41 935_121_42 935_816_2
A: AETR AIMP C: C CC CColl-SFS Ccrldsae Cdf CE-TAF CEDU CLug CO Cost. Cost.-GE CP CPC CPM CPP Crapc Csacrim Cspida Cspmscmai Cvfliag D: DE-OCB DE-Oferr DE-OMBat DPA DPMin G: GebV-BLW GebV-IGE L: LAAF LAAgr LADI LAEl LAF LAFam LAFE LAgr LAI LAID LAIn LAINF LAlc LAM LAMal LAP LAPub LAr LArm LArRa LAS LASec LAsi LASPI LATC LATer LAV LAVS LBCR LBI LBNS LC LCA LCAP LCart LCB LCC LCel LCF LCin LCIP LCit LCo LCoe LCP LCPI LCSFS LCSl LCStr LD LDA LDerr LDes LDFR LDI LDIP LDis LDist LDL LDP LDPS LEF LEGU LEne LENu LEp LEspr LF-CAA LF-CITES LF-RMA LFC LFCo LFE Lferr LFFS LFIF LFINMA LFLP LFO LFOSTRA LFPC LFPr LFR LFSI LFSP LFus LGD LGI LI LIAC LIAut LIB LICol LIE LIF LIFD LIFI LIFSN LIFT LIG LImA LImT LInFi LIOm LIP LIPG LIPI LIPIn LISDC LIsFi LITC LIVA LL LLCA LLD LLing LLN LM LMB LMC LMCCE LMD LMet LMSI LNA LNI LOAP LOF LOGA LOP LPAc LPAG LPAM LPAmb LPAn LPar LParl LPBC LPC LPCA LPChim LPCu LPD LPDS LPers LPFC LPGA LPM LPMed LPN LPO LPP LPPC LPPsi LPrA LPRI LProdC LPS LPSan LPSP LPSpo LPSt LPSU LPT LPTes LPTS LPubb LPV LRaP LRAV LRCN LRDP LResp LRFF LRMT LRNIS LRTV LRUm LRVC LSA LSAI LSC LSCPT LSEst LSIF LSIM LSIP LSIS LSISA LSISpo LSN LSO LSPr LSPro LSR LSRPP LSSE LStat LStrI LStup LSu LTAF LTAlp LTB LTBC LTC LTCo LTD LTEO LTF LTFB LTM LTo LTras LTrasf LTS LTTP LTV LUC LUD LUFI LUMin LUSN LVAMal M: MMRa O: O QNQ FP O suolo O-CITES O-G+S-UFSPO O-GM O-LPRI O-LPRI-DEFR O-LPSU O-LRNIS O-ODI-DFAE O-OPers O-OPers-DFAE O-SIAMV O-SIEs O-SIFPU O-SISVet O-STAC O-SUFSM OA Fam OAAF OAAM OAAP OAASF OABCT OAC OACata OACMIL OACS OACust OADAP OAdd OADI OADo OAdoz OAE OAE-AF OAEl OAEP OAEs OAF OAFA OAFami OAFE OAGio OAI OAIMP OAINF OAlc OAlle OAllerg OALPar OAM OAMal OAMed OAMin OAMM OAOrg OAOVA OAPA OAPCM OAppG OAPub OAPuE OAPuE-DFGP OARF OARF-UFT OARG OArm OArRa OASA OASAE OASAM OASAM-DDPS OASAOG OAsc OASec OASEF OASF OAsi 1 OAsi 2 OAsi 3 OASL OASPR OASSP OATV OATVM OAut OAV