Sicherheit in der Beschaffung

Standardbestimmungen Informationssicherheit für Beschaffungsverträge

Informationssicherheit bei Lieferanten des Bundes muss vertraglich geregelt werden. Die Standardbestimmungen Informationssicherheit richten sich als Empfehlung insbesondere an die Bedarfs- und Beschaffungsstellen des Bundes. Sie zeigen Möglichkeiten auf, wie die Behörden ihre Lieferanten bei Vorgaben für die Informationssicherheit wirksam, wirtschaftlich und risikobasiert instruieren können. Die Empfehlungen sind per 1. Januar 2026 wirksam.

Es werden nachfolgend Bestimmungen mit entsprechenden Anleitungen und Kommentaren zur Verfügung gestellt, die zusammen mit Beschaffungsstellen und Ämtern aus verschiedenen Departementen erarbeitet und in der Wirtschaft vernehmlasst wurden.

Bedarf definiert die Anforderungen an die Informationssicherheit

Informationssicherheit bei Lieferanten beginnt nicht erst mit dem Abschluss des Vertrages, sondern bereits zu Beginn, wenn der Bedarf definiert wird. Dies wurde im Bericht zur Lieferantenaufsicht vom 1. Mai 2025 aufgezeigt. Die Bedarfsstelle – jene Stelle innerhalb der Verwaltung, die eine Dienstleistung oder ein Produkt benötigt – definiert frühzeitig, welche Sicherheitsanforderungen gestellt werden. Die Beschaffungsstelle – verantwortlich für die Durchführung des Beschaffungsverfahrens – sorgt dafür, dass diese Vorgaben in den Ausschreibungsunterlagen korrekt abgebildet werden. Auf diese Weise wird potenziellen Lieferanten schon zum Zeitpunkt ihrer Offerteinreichung transparent dargelegt, welche sicherheitsmässigen Voraussetzungen sie erfüllen müssen.

Wird Informationssicherheit nicht von Beginn an vereinbart, lässt sich dies später kaum oder nur gegen zusätzliche Kosten nachholen.

Jeder Vertrag ist anders – entsprechend auch die Sicherheitsvorgaben

Die Standardbestimmungen Informationssicherheit wurdenals Minimalstandard für alle Beschaffungen konzipiert, die nicht besonderen Sicherheitsanforderungen unterliegen. (Für letztere müssen zusätzliche, spezifische Sicherheitsvorgaben vereinbart werden, welche nicht Teil der vorliegenden Bestimmungen sind.)

Es dürfen nur Sicherheitsanforderungen an Lieferanten gestellt werden, die dem Zweck des Geschäftsverhältnisses und dessen Sensitivität angemessen sind.

Nicht zuletzt aus Gründen der Verhältnismässigkeit und des Wettbewerbs, muss zudem zwischen verschiedenen Vertragstypen unterschieden werden. In den nun erstellten Standardbestimmungen wird einerseits das Risiko des Vertragsinhalts eingestuft. Andererseits wird zwischen verschiedenen Vertragstypen unterschieden, wie z. B. Dienstleistungs- oder Werkverträge, Aufträge, Ingenieur- und Architektenleistungen, Informatiklieferungen und -dienstleistungen.

Welche Standardbestimmung für welchen Vertrag? Der unten angefügte Leitfaden mit Kommentaren zu den einzelnen Bestimmungen bietet Orientierung.

Dokumente

Leitfaden und Kommentare Standardbestimmungen

H1_Standardbestimmung ohne IT_Bundesgeräte

H2_Standardbestimmung ohne IT

I1_Abgabe von Bundesgeräten zur Informationsbearbeitung

I2_Verwendung betrieblicher Informatikmittel zur Informationsbearbeitung

J_Standardbestimmung mit IT Betrieb

Links

• Sicherheit bei Beschaffungen des Bundes: SEPOS zeigt Massnahmen auf
• Beschluss des Bundesrats vom 1. Mai 2024: Abschluss der Administrativuntersuchung zum Hackerangriff auf die Xplain AG: Bundesrat beschliesst Massnahmen