Parlament am Zug

Update: Bundesrat überweist Botschaft zur Meldepflicht für Cyberangriffe bei kritischen Infrastrukturen

Uhr
von René Jaun und Yannick Züllig und kfi, msc

Künftig müssen Betreiber von kritischer Infrastruktur Cyberangriffe dem Bund melden – so will es der Bundesrat. Eine entsprechende Botschaft wurde dem Parlament übergeben.

(Source: rawpixel.com/freepik.com)
(Source: rawpixel.com/freepik.com)

Update vom 2.12.2022: Der Bundesrat unterbreitet dem Parlament einen Entwurf zur Änderung des Gesetzes über die Informationssicherheit im Bund. Dieser Entwurf schafft die gesetzlichen Grundlagen für die Verpflichtung der Betreiber kritischer Infrastrukturen, die von ihnen erlittenen Cyberangriffe zu melden.

Zentrale Anlaufstelle wird das neue Bundesamt für Cybersicherheit,

Originalmeldung vom 13.05.2022: Meldepflicht für Cyberangriffe auf kritische Infrastrukturen stösst auf Zuspruch

Wer in der Schweiz eine kritische Infrastruktur betreibt, könnte bald zum Melden von Cyberangriffen verpflichtet werden. Der entsprechende Gesetzesvorschlag, den der Bundesrat im Januar 2022 in die Vernehmlassung schickte, findet breite Unterstützung bei Wirtschaft, Forschung und Kantonen, teilt das Nationale Zentrum für Cybersicherheit (NCSC) mit.

Insgesamt seien an die 100 Stellungnahmen eingegangen, welche die vorgeschlagenen Gesetzestexte mehrheitlich bestätigten. Eine Meldepflicht gegenüber einer zentralen Stelle beim Bund wird als sinnvolles Instrument zur Stärkung der Cybersicherheit angesehen. Sehr wichtig sei den Betroffenen, dass die Meldepflicht unbürokratisch erledigt werden könne und nicht zu zusätzlichen Aufwänden führe, fasst die Behörde zusammen.

Diverse Änderungsvorschläge

In den Stellungnahmen (hier als PDF abrufbar) regen die Autorinnen und Autoren diverse Präzisierungen und Änderungen an. So möchte der Regierungsrat des Kantons Bern etwa eine Bestimmung streichen, wonach für Mitarbeitende des NCSC die Anzeigepflicht gilt, wenn sie im Zusammenhang mit der Meldung eines Cybervorfalls oder dessen Analyse Hinweise auf eine mögliche Straftat erhalten. Mit der Aufhebung dieser Pflicht könnten Strafverfolgungsbehörden ihre Aufgaben im Cyberbereich nicht mehr wirksam wahrnehmen, fürchtet der Regierungsrat.

Der Kanton Graubünden schlägt unter anderem vor, die zeitliche Vorgabe "so rasch als möglich" genauer zu definieren. Angesichts der zahlreichen von der Meldepflicht betroffenen Akteure sollte ausserdem geprüft werden, ob eine Priorisierung und eine entsprechend zeitliche Staffelung vorzunehmen sei. Etwas ähnliches schlägt der Verband Digitalswitzerland vor: In seiner Stellungnahme spricht er von einer abgestuften Meldepflicht, die sich an der Kritikalität der Unternehmen orientiert.

Bis im Herbst wird das NCSC nun die Gesetzesvorlage überarbeiten. Dann soll der Bundesrat entscheiden, ob und wann er das Gesetz dem Parlament zur Diskussion unterbreiten wird.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
DPF8_256551