Update: Meldepflicht für Cyberangriffe kommt – jene für Schwachstellen nicht
Künftig müssen Betreiber von kritischen Infrastrukturen Cyberangriffe dem Bund melden – so will es das Parlament. Nicht eingeführt wird dagegen eine Meldepflicht für gravierende Schwachstellen.
Update vom 21.9.2023: Betreiber kritischer Infrastrukturen werden schwerwiegende Schwachstellen künftig dem Bund nicht melden müssen. Wie die Parlamentsdienste mitteilen, schloss sich der Nationalrat nach einigem Hin und Her der Position des Ständerats an. Zuvor lehnte die kleine Kammer den vom Nationalrat präsentierten Kompromiss ab.
Damit ist das Informationssicherheitsgesetz bereit für die Schlussabstimmung. Es ordnet an, dass Betreiber kritischer Infrastrukturen Cyberangriffe dem Bund melden müssen.
Update vom 12.9.2023:
Meldepflicht für Schwachstellen – Nationalrat schlägt Kompromiss vor
Sollen Betreiber kritischer Infrastrukturen künftig nicht nur Cyberangriffe, sondern auch schwerwiegende Schwachstellen dem Bund melden müssen? Über diese Frage sind sich Stände- und Nationalrat noch nicht einig. Der Nationalrat, der die entsprechende Pflicht vorgeschlagen hatte, macht nun einen Schritt auf den Ständerat zu, der das Anliegen zuletzt ablehnte.
Wie die Parlamentsdienste berichten, stimmte die grosse Kammer dafür, eigene Entwicklungen der Unternehmen von der Meldepflicht auszunehmen. Der Nationalrat folgte damit einem Antrag seiner sicherheitspolitischen Kommission. Deren Sprecher Gerhard Andrey begründete den Antrag damit, dass andere Betreiber spezifische Eigenentwicklungen nicht einsetzen würden.
Eine Minderheit im Rat wollte indes dem Ständerat folgen und gänzlich auf eine Meldepflicht für schwerwiegende Schwachstellen verzichten. Das Geschäft geht nun zurück an die kleine Kammer.
Update vom 1.6.2023:
Parlament befürwortet Meldepflicht für Cyberangriffe
Mit 42 zu 0 Stimmen hat nach dem National- auch der Ständerat der Einführung einer Meldepflicht für Cyberangriffe auf kritische Infrastrukturen zugestimmt. Doch als beschlossene Sache gilt das Geschäft noch nicht, wie die Parlamentsdienste mitteilen. Denn der vom Nationalrat eingebrachte Vorschlag, die Meldepflicht auch für schwerwiegende Schwachstellen in Computersystemen einzuführen, fand im Ständerat keine Mehrheit. Sie lehnte diese Ausweitung mit 31 zu 13 Stimmen ab. Die kleine Kammer folgte damit etwa FDP-Ständerat Hans Wicki, der vor einem "unbestimmten Mehraufwand für die Betriebe und die Meldestelle" warnte. Das Geschäft geht zur Differenzbereinigung zurück an den Nationalrat.
Update vom 16.3.2023: Nationalrat befürwortet Meldepflicht für Cyberangriffe
Der Nationalrat unterstützt die Einführung einer Meldepflicht für Cyberangriffe auf kritische Infrastrukturen. Wie die Parlamentsdienste mitteilen, hiess er die nötigen Änderungen im Bundesgesetz über die Informationssicherheit beim Bund mit 132 zu 55 Stimmen gut. Demnach sollen Betreiber kritischer Infrastrukturen Cyberangriffe mit grossem Schadenspotenzial künftig binnen 24 Stunden an das Nationale Zentrum für Cybersicherheit (NCSC) melden. Unterlassen sie dies vorsätzlich, riskieren sie eine Busse.
Ebenfalls beantragte der Nationalrat, die Meldepflicht auch für schwerwiegende Schwachstellen in Computersystemen einzuführen und folgte damit einem Antrag seiner Sicherheitspolitischen Kommission. Laut der Mitteilung verspricht sich die grosse Kammer davon eine präventive Wirkung. Das Geschäft geht als nächstes an den Ständerat.
In einer Stellungnahme kritisiert die Schweizer Piratenpartei, dass das NCSC weiterhin als Meldestelle vorgesehen ist. Dies, weil das NCSC in ein Bundesamt umgewandelt und dem Verteidigungsdepartement angegliedert wird. Dort sind auch "Offensiv agierende Akteure wie der Nachrichtendienst des Bundes (NDB) und die Armee" untergebracht, die laut der Piratenpartei "der Cybersicherheit nicht zuträgliche Interessen" verfolgen. Somit sei das NCSC nicht mehr vertrauenswürdig und es müsse eine unabhängige Meldestelle geschaffen werden. Zudem fordert die Partei, dass das NCSC dazu verpflichtet wird, die Öffentlichkeit über gemeldete Cyberangriffe zu informieren. In der aktuellen Version heisst es, dass die Öffentlichkeit informiert werden "kann" und nicht "muss".
Update vom 2.12.2022: Bundesrat überweist Botschaft zur Meldepflicht für Cyberangriffe bei kritischen Infrastrukturen: Der Bundesrat unterbreitet dem Parlament einen Entwurf zur Änderung des Gesetzes über die Informationssicherheit im Bund. Dieser Entwurf schafft die gesetzlichen Grundlagen für die Verpflichtung der Betreiber kritischer Infrastrukturen, die von ihnen erlittenen Cyberangriffe zu melden.
Zentrale Anlaufstelle wird das neue Bundesamt für Cybersicherheit,
Originalmeldung vom 13.05.2022: Meldepflicht für Cyberangriffe auf kritische Infrastrukturen stösst auf Zuspruch: Wer in der Schweiz eine kritische Infrastruktur betreibt, könnte bald zum Melden von Cyberangriffen verpflichtet werden. Der entsprechende Gesetzesvorschlag, den der Bundesrat im Januar 2022 in die Vernehmlassung schickte, findet breite Unterstützung bei Wirtschaft, Forschung und Kantonen, teilt das Nationale Zentrum für Cybersicherheit (NCSC) mit.
Insgesamt seien an die 100 Stellungnahmen eingegangen, welche die vorgeschlagenen Gesetzestexte mehrheitlich bestätigten. Eine Meldepflicht gegenüber einer zentralen Stelle beim Bund wird als sinnvolles Instrument zur Stärkung der Cybersicherheit angesehen. Sehr wichtig sei den Betroffenen, dass die Meldepflicht unbürokratisch erledigt werden könne und nicht zu zusätzlichen Aufwänden führe, fasst die Behörde zusammen.
Diverse Änderungsvorschläge
In den Stellungnahmen (hier als PDF abrufbar) regen die Autorinnen und Autoren diverse Präzisierungen und Änderungen an. So möchte der Regierungsrat des Kantons Bern etwa eine Bestimmung streichen, wonach für Mitarbeitende des NCSC die Anzeigepflicht gilt, wenn sie im Zusammenhang mit der Meldung eines Cybervorfalls oder dessen Analyse Hinweise auf eine mögliche Straftat erhalten. Mit der Aufhebung dieser Pflicht könnten Strafverfolgungsbehörden ihre Aufgaben im Cyberbereich nicht mehr wirksam wahrnehmen, fürchtet der Regierungsrat.
Der Kanton Graubünden schlägt unter anderem vor, die zeitliche Vorgabe "so rasch als möglich" genauer zu definieren. Angesichts der zahlreichen von der Meldepflicht betroffenen Akteure sollte ausserdem geprüft werden, ob eine Priorisierung und eine entsprechend zeitliche Staffelung vorzunehmen sei. Etwas ähnliches schlägt der Verband Digitalswitzerland vor: In seiner Stellungnahme spricht er von einer abgestuften Meldepflicht, die sich an der Kritikalität der Unternehmen orientiert.
Bis im Herbst wird das NCSC nun die Gesetzesvorlage überarbeiten. Dann soll der Bundesrat entscheiden, ob und wann er das Gesetz dem Parlament zur Diskussion unterbreiten wird.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Ergon wächst zweistellig
HPE und Bosch bringen Lösungen zusammen für Digital Twins
SAP würdigt seine Schweizer Lieblingskunden
visiONstage – wo Business auf Zukunft trifft
Wieso man nicht ziellos herumirren sollte beim Telefonieren
Red Hat stellt neue Lösungen für Entwickler vor
Die Stimmen zu den Best of Swiss Web Awards 2024
Schweizer Strafverfolger überwachen etwas weniger, holen aber mehr Auskünfte ein
Schweden seit Nato-Beitritt verstärkt im DDoS-Visier
