(Art. 2, 49 und 73 ISG)

¹ Diese Verordnung regelt:

a.

das Betriebssicherheitsverfahren nach den Artikeln 49–73 ISG;

b

die Anwendung des Betriebssicherheitsverfahrens auf Subunternehmen;

c.

die Aufgaben und Zuständigkeiten der Fachstelle Betriebssicherheit (Fachstelle BS);

d.

die Datensicherheit im Informationssystem nach Artikel 70 ISG;

e.

die periodische Kontrolle der Bearbeitung von Personendaten durch eine externe Stelle.

² Sie gilt für:

a.

die verpflichteten Behörden nach Artikel 2 Absatz 1 ISG;

b.

die Verwaltungseinheiten der zentralen Bundesverwaltung nach Artikel 7 der Regierungs- und Verwaltungsorganisationsverordnung vom 25. November 1998²;

c.

die Armee.

³ Die Geltung dieser Verordnung für die Verwaltungseinheiten der dezentralen Bundesverwaltung nach Artikel 2 Absatz 3 des Regierungs- und Verwaltungsorganisationsgesetzes vom 21. März 1997³ (RVOG) und Organisationen nach Artikel 2 Absatz 4 RVOG richtet sich nach Artikel 2 Absätze 2 und 3 der Informationssicherheitsverordnung vom 8. November 2023⁴ (ISV).

(Art. 50 ISG)

¹ Das Betriebssicherheitsverfahren nach dieser Verordnung wird bei Betrieben mit Sitz in der Schweiz durchgeführt.

² Die völkerrechtlichen Verträge nach Artikel 87 ISG regeln die Durchführung des Betriebssicherheitsverfahrens für Betriebe mit Sitz im Ausland.

(Art. 51 Abs. 2 ISG)

¹ Das Staatssekretariat für Sicherheitspolitik im Eidgenössischen Departement für Verteidigung, Bevölkerungsschutz und Sport (VBS) betreibt die Fachstelle BS.

² Die Fachstelle koordiniert ihre internationalen Tätigkeiten mit der Fachstelle des Bundes für Informationssicherheit nach Artikel 83 ISG.

(Art. 52 ISG)

¹ Im Zuständigkeitsbereich des Bundesrats sind die Informationssicherheitsbeauftragten der Verwaltungseinheiten nach Artikel 37 ISV⁵ für den Antrag auf Einleitung des Verfahrens zuständig. Vorbehalten bleibt Artikel 13 Absatz 2 Buchstabe c.

² Die verpflichteten Behörden nach Artikel 2 Absatz 1 ISG melden der Fachstelle BS, wer in ihrem Zuständigkeitsbereich für den Antrag auf Einleitung des Verfahrens zuständig ist.

³ Der Antrag umfasst insbesondere:

a.

eine Umschreibung der Bauleistung, Lieferung oder Dienstleistung;

b.

Erläuterungen zur Sicherheitsempfindlichkeit des Auftrags;

c.

Angaben zum geplanten Vergabeverfahren.

(Art. 53 ISG)

¹ Die Fachstelle BS nimmt vor der Einleitung des Verfahrens Rücksprache mit der Auftraggeberin oder der zuständigen ausländischen Behörde oder internationalen Organisation.

² Auf die Einleitung des Verfahrens darf nicht verzichtet werden, wenn eine der folgenden Voraussetzungen erfüllt ist:

a.

Der sicherheitsempfindliche Auftrag umfasst die Bearbeitung als «geheim» klassifizierter Informationen oder die Verwaltung, den Betrieb, die Wartung oder die Überprüfung von Informatikmitteln der Sicherheitsstufe «sehr hoher Schutz».

b.

Der sicherheitsempfindliche Auftrag umfasst die Bearbeitung als «vertraulich» klassifizierter Informationen, die mehrere Behörden oder Departemente betreffen.

c.

Der sicherheitsempfindliche Auftrag umfasst die Verwaltung, den Betrieb, die Wartung oder die Überprüfung von Informatikmitteln der Sicherheitsstufe «hoher Schutz», die für die Erfüllung behörden- oder departementsübergreifender Aufgaben eingesetzt werden.

d.

Der Betrieb bewirbt sich um einen Auftrag, für den er eine internationale Betriebssicherheitsbescheinigung nach Artikel 66 ISG benötigt.

³ Die Fachstelle BS informiert die Auftraggeberin, wenn absehbar wird, dass die Prüfung des Antrags länger als 30 Tage dauern wird.

(Art. 52 Abs. 3 ISG)

¹ Wenn ausländische Betriebe für die Erfüllung des sicherheitsempfindlichen Auftrags in Frage kommen, so leitet die Fachstelle BS den Antrag an die Fachstelle des Bundes für Informationssicherheit weiter.

² Die Fachstelle des Bundes für Informationssicherheit prüft mit der zuständigen ausländischen Sicherheitsbehörde, ob die betroffenen Betriebe über eine gültige Betriebssicherheitserklärung verfügen. Ist dies nicht der Fall, so beantragt sie der ausländischen Sicherheitsbehörde die Einleitung des Betriebssicherheitsverfahrens.

(Art. 54 ISG)

¹ Die Anforderungen an die Informationssicherheit während des Vergabeverfahrens und der Auftragserfüllung richten sich nach den Bestimmungen der ISV⁶ und der Verordnung vom 8. November 2023⁷ über die Personensicherheitsprüfungen.

² Wird das Verfahren auf Antrag einer ausländischen Behörde oder internationalen Organisation eingeleitet, so richten sich die Anforderungen an die Informationssicherheit nach dem entsprechenden völkerrechtlichen Vertrag.

³ Die Fachstelle BS legt in Absprache mit der Auftraggeberin fest, welche sicherheitsempfindlichen Aufgaben während des Vergabeverfahrens und der Auftragserfüllung durch die Auftraggeberin umzusetzen sind.

⁴ Die Auftraggeberin bleibt für die Koordination der Verfahrensabläufe im Vergabeverfahren verantwortlich.

(Art. 55 ISG)

¹ Die Auftraggeberin kann der Fachstelle BS bis zu fünf in Frage kommende Betriebe melden. Die Fachstelle BS kann in begründeten Fällen auf Antrag der Auftraggeberin eine höhere Zahl zulassen.

² Die Fachstelle BS prüft, ob die in Frage kommenden Betriebe in die Durchführung des Verfahrens eingewilligt haben.

³ Sie informiert die Auftraggeberin, wenn absehbar ist, dass die Eignungsprüfung länger als 30 Tage dauern wird.

(Art. 56 ISG)

¹ Die Fachstelle BS erhebt sämtliche sicherheitsrelevanten Daten, die für die Beurteilung der Eignung des Betriebs notwendig sind, insbesondere:

a.

Daten über die Eigentumsverhältnisse sowie geplante Änderungen wie Fusionen, Beteiligungen oder Übernahmen;

b.

Daten über die Zusammensetzung der Unternehmensführung;

c.

Daten über Interessenbindungen von Mitgliedern der Unternehmensführung;

d.

Daten über die Solvenz sowie allfällige Pfändungs- und Konkursverfahren;

e.

Daten über die Bezahlung von Steuern und Sozialabgaben;

f.

Referenzen aus früheren Beschaffungsverfahren;

g.

Daten über Beziehungen des Betriebs zu ausländischen Staaten oder Organisationen und sonstige Abhängigkeiten.

² Daten, die der Nachrichtendienst des Bundes in Erfüllung seiner Aufgabe nach Artikel 6 Absatz 1 Buchstabe a des Nachrichtendienstgesetzes vom 25. September 2015⁸ erhoben hat, bezieht sie beim Nachrichtendienst des Bundes.

(Art. 57 und 58 ISG)

¹ Die Auftraggeberin und die Fachstelle BS informieren einander unverzüglich, wenn Anhaltspunkte bestehen, dass einer der in Frage kommenden Betriebe vom Vergabeverfahren ausgeschlossen werden könnte.

² Die Fachstelle BS führt das Verfahren fort, solange die Auftraggeberin den betreffenden Betrieb nicht vom Vergabeverfahren ausschliesst.

³ Schliesst die Auftraggeberin den Betrieb aus, so wird das Betriebssicherheitsverfahren für diesen Betrieb eingestellt.

(Art. 57 und 58 ISG)

Beim Informationsaustausch nach Artikel 10 Absatz 1 stellen sich die Auftraggeberin und die Fachstelle BS unter Vorbehalt der Artikel 70 Absatz 3 und 71 Absatz 1 Buchstabe a ISG gegenseitig alle Informationen und Daten zur Verfügung, die für die Eignungsprüfung oder die Prüfung der Sachverhalte nach Artikel 44 des Bundesgesetzes vom 21. Juni 2019⁹ über das öffentliche Beschaffungswesen (BöB) zweckdienlich sind.

(Art. 59 Abs. 2 und 3 ISG)

¹ Das Sicherheitskonzept definiert die organisatorischen, personellen, technischen und physischen Massnahmen zur Gewährleistung einer risikogerechten Ausführung des sicherheitsrelevanten Auftrags.

² Die Fachstelle BS legt die Vorgaben an das Sicherheitskonzept nach einem Augenschein im Betrieb fest. Sie berücksichtigt dabei die individuellen Voraussetzungen des Betriebs.

³ Entspricht das Sicherheitskonzept nicht den Vorgaben der Fachstelle BS, so gewährt diese dem Betrieb eine angemessene Frist zur Verbesserung.

⁴ Die Fachstelle BS informiert die Auftraggeberin, wenn absehbar ist, dass die Prüfung des Sicherheitskonzepts länger als 30 Tage dauert.

¹ Betriebe, die für die Ausführung des Auftrags in Frage kommen, müssen der Fachstelle BS eine Betriebssicherheitsbeauftragte oder einen Betriebssicherheitsbeauftragten sowie deren oder dessen Stellvertretung melden. Die oder der Sicherheitsbeauftragte sowie deren oder dessen Stellvertretung muss entweder Mitglied der Geschäftsleitung sein oder in deren direktem Auftrag handeln.

² Die oder der Betriebssicherheitsbeauftragte hat folgende Aufgaben:

a.

Sie oder er ist Kontaktperson zur Fachstelle BS für sämtliche Belange der Informationssicherheit.

b.

Sie oder er sorgt für die Umsetzung des Sicherheitskonzepts (Art. 12 Abs. 1).

c.

Wird der Betrieb von der Auftraggeberin ermächtigt, einem Subunternehmen einen sicherheitsempfindlichen Auftrag zu vergeben, so stellt sie oder er den Antrag auf Einleitung des Betriebssicherheitsverfahrens für das Subunternehmen.

(Art. 59 Abs. 1 ISG)

¹ Die Mitteilung des Zuschlags erfolgt für jedes einzelne mit einem Rahmenvertrag zusammenhängende Auftragsverhältnis gesondert.

² Mit der Mitteilung des Zuschlags übermittelt die Auftraggeberin der Fachstelle BS die für die Erstellung des Sicherheitskonzepts notwendigen Informationen.

(Art. 60 ISG)

¹ Die Fachstelle BS legt fest, welche Personen des Betriebs der Personensicherheitsprüfung unterstehen.

² Sie kann den Betrieb ermächtigen, die Personensicherheitsprüfung selbstständig einzuleiten.

(Art. 61 und 62 ISG)

Die Betriebssicherheitserklärung hält fest, für welche sicherheitsempfindliche Tätigkeit der Betrieb zugelassen wird.

(Art. 63 Abs. 2 ISG)

¹ Als sicherheitsrelevante Änderung gilt insbesondere:

a.

eine Änderung der Eigentumsverhältnisse oder der Unternehmensstrukturen;

b.

eine Änderung des Betriebsstandorts;

c.

eine Änderung in der Zusammensetzung der Unternehmensführung;

d.

eine Änderung der Interessenbindungen von Mitgliedern der Unternehmensführung;

e.

eine Änderung der Solvenz sowie ein allfälliges Pfändungs- oder Konkursverfahren;

f.

das Vorhandensein von Rechtsstreitigkeiten privatrechtlicher oder öffentlichrechtlicher Natur sowie von Strafverfahren;

g.

eine Änderung beim Einsatz von Informatikmitteln;

h.

das Einstellen von Mitarbeitenden, die an sicherheitsempfindlichen Tätigkeiten beteiligt werden sollen;

i.

eine Änderung der Beziehungen des Betriebs zu ausländischen Staaten oder Organisationen sowie eine Änderung sonstiger Abhängigkeiten;

j.

die Übernahme von Aufträgen, die einen Interessenkonflikt mit oder eine Abhängigkeit von einer Auftraggeberin verursachen.

² Als sicherheitsrelevanter Vorfall gilt insbesondere:

a.

der widerrechtliche Zutritt zum Betrieb;

b.

die missbräuchliche Verwendung der Informatikmittel des Betriebs;

c.

ein versuchter oder erfolgreicher Angriff gegen die Informatikmittel des Betriebs;

d.

die Entdeckung von Schwachstellen und Sicherheitslücken;

e.

die Eröffnung von Schuldbetreibungs- und Strafverfahren gegen Personen des Betriebs, die an der Ausführung des sicherheitsempfindlichen Auftrags beteiligt sind;

f.

das Durchführen von Hausdurchsuchungen und Beschlagnahmen im Betrieb.

³ Der Betrieb muss auch sicherheitsrelevante Änderungen und Vorfälle melden, die Lieferanten betreffen, sofern diese Änderungen und Vorfälle für die Erfüllung des sicherheitsempfindlichen Auftrags relevant sein könnten.

⁴ Er muss die Fachstelle BS unverzüglich informieren, wenn absehbar ist, dass im Zeitpunkt des Ablaufs der Gültigkeit der Betriebssicherheitserklärung ein sicherheitsempfindlicher Auftrag hängig ist.

¹ Stellt die Auftraggeberin in der Zusammenarbeit mit dem Betrieb eine sicherheitsrelevante Änderung oder einen sicherheitsrelevanten Vorfall fest, so trifft sie die notwendigen Sofortmassnahmen und informiert unverzüglich die Fachstelle BS.

² Die Auftraggeberin informiert die Fachstelle BS zudem, wenn sie:

a.

im Rahmen der Erfüllung des sicherheitsempfindlichen Auftrags Anhaltspunkte für einen Widerruf des Zuschlags im Sinne von Artikel 44 BöB¹⁰ hat;

b.

eine sicherheitsrelevante Änderung des Auftrags vornehmen will;

c.

beabsichtigt, dem Betrieb einen weiteren Auftrag zu erteilen.

(Art. 66 ISG)

¹ Für die Ausstellung einer internationalen Betriebssicherheitsbescheinigung erhebt die Fachstelle BS eine Gebühr von 100 Franken.

² Eine Gebühr nach Zeitaufwand wird zusätzlich erhoben, wenn für die Ausstellung der internationalen Betriebssicherheitsbescheinigung zuerst ein Betriebssicherheitsverfahren durchgeführt werden muss. Es gilt ein Stundenansatz von 100–400 Franken. Dieser richtet sich namentlich nach der Dringlichkeit des Geschäfts und der Funktionsstufe des ausführenden Personals. Im Übrigen gilt die Allgemeine Gebührenverordnung vom 8. September 2004¹¹.

³ Die Fachstelle des Bundes für Informationssicherheit und die Fachstelle BS können der ausländischen Behörde oder internationalen Organisation auf Anfrage eine Kopie der internationalen Betriebssicherheitsbescheinigung übermitteln.

(Art. 67 ISG)

¹ Hat die Fachstelle BS Anhaltspunkte, dass ein Grund für den Widerruf der Betriebssicherheitserklärung vorliegt, so setzt sie dem Betrieb nach Rücksprache mit der Auftraggeberin eine Frist zur Behebung der Mängel.

² Wird der Auftrag infolge des Widerrufs der Betriebssicherheitserklärung zurückgezogen, so sorgt die Auftraggeberin unverzüglich dafür, dass:

a.

alle sicherheitsempfindlichen Tätigkeiten sofort eingestellt und die entsprechenden Zugriffsrechte entzogen werden;

b.

sämtliche klassifizierten Informationen, Informatikmittel und Materialien sichergestellt werden.

³ Die Auftraggeberin bestätigt der Fachstelle BS innerhalb von zehn Tagen, nachdem sie über den Widerruf informiert wurde, den Vollzug der Massnahmen nach Absatz 2.

(Art. 68 ISG)

¹ Die Fachstelle BS ist für die Einleitung der Wiederholung des Betriebssicherheitsverfahrens zuständig.

² Ist im Zeitpunkt des Ablaufs der Gültigkeit der Betriebssicherheitserklärung das Wiederholungsverfahren hängig, so verlängert sich die Gültigkeit, bis eine neue Betriebssicherheitserklärung verfügt oder das Betriebssicherheitsverfahren eingestellt wird.

³ Wird eine Betriebssicherheitserklärung nicht erneuert oder wird das Betriebssicherheitsverfahren eingestellt, so ist Artikel 20 sinngemäss anwendbar. Artikel 58 Absatz 3 ISG bleibt vorbehalten.

(Art. 70 ISG)

Die im Informationssystem zum Betriebssicherheitsverfahren enthaltenen Personen- und Firmendaten sind im Anhang 1 aufgeführt.

(Art. 73 Bst. e ISG)

Das VBS sorgt dafür, dass eine von der Fachstelle BS unabhängige Stelle mindestens alle fünf Jahre die rechtmässige Bearbeitung der Personendaten durch die beteiligten Stellen prüft.

¹ Die Kantone können für sicherheitsempfindliche Aufträge nach kantonalem Recht bei der Fachstelle BS die Durchführung einer Beurteilung der Eignung nach den Artikeln 55–57 ISG beantragen, wenn sie:

a.

über eine ausreichende gesetzliche Grundlage verfügen;

b.

zur Gewährleistung der Informationssicherheit ähnliche Beurteilungen wie der Bund vornehmen wollen; und

c.

mit dem VBS eine Leistungsvereinbarung abgeschlossen haben.

² Die Leistungsvereinbarung nach Absatz 1 Buchstabe c regelt insbesondere:

a.

die Anzahl durchzuführender Beurteilungen;

b.

welche Stellen bei den Kantonen den Antrag zur Durchführung solcher Beurteilungen stellen können;

c.

die Finanzierung der Leistungen, einschliesslich die Modalitäten.

³ Die Höhe der Gebühren richtet sich nach Artikel 19 Absatz 2.

Die Aufhebung und die Änderung anderer Erlasse werden in Anhang 2 geregelt.

Für Aufträge, die vor Inkrafttreten dieser Verordnung erteilt wurden, sowie für Geheimschutzverfahren, die im Zeitpunkt des Inkrafttretens dieser Verordnung hängig sind, gilt das bisherige Recht.

Diese Verordnung tritt am 1. Januar 2024 in Kraft.