12.01.2022 - Der Bundesrat hat heute die Vernehmlassung zur Vorlage für die Einführung einer Meldepflicht für Cyberangriffe bei kritischen Infrastrukturen eröffnet. Die Vorlage schafft die gesetzlichen Grundlagen für die Meldepflicht und definiert die Aufgaben des Nationalen Zentrums für Cybersicherheit (NCSC), welches als zentrale Meldestelle für Cyberangriffe vorgesehen ist. Die Vernehmlassung dauert bis zum 14. April 2022.
Cyberangriffe sind zu einer ernsthaften Bedrohung der Sicherheit und Wirtschaft der Schweiz geworden. Täglich finden Angriffe auf Unternehmen und Behörden statt. Das NCSC erhält im Durchschnitt wöchentlich über 300 Meldungen zu erfolgreichen oder versuchten Cyberangriffen. Diese Meldungen an das NCSC erfolgen auf freiwilliger Basis durch Unternehmen, Behörden und Privatpersonen. Sie helfen den zuständigen Bundesbehörden, die Bedrohungslage einzuschätzen und aktuelle Angriffsmuster frühzeitig zu erkennen. Der Bundesrat will nun das Meldewesen stärken, indem er die Betreiberinnen und Betreiber kritischer Infrastrukturen verpflichtet, dem NCSC Cyberangriffe zu melden. Über die Meldepflicht soll sichergestellt werden, dass das NCSC aufgrund der umfassenden Informationen über ein übersichtlicheres Lagebild verfügt und dadurch andere Betreibende kritischer Infrastrukturen frühzeitig vor Cyberangriffen warnen kann.
Meldepflicht für kritische Infrastrukturen
Die Meldepflicht für die Betreiberinnen und Betreiber kritischer Infrastrukturen soll für Cyberangriffe gelten, die ein erhebliches Schadenspotential aufweisen. Dies sind insbesondere Angriffe, die die Funktionsfähigkeit von kritischen Infrastrukturen gefährden oder mit Erpressung, Drohung oder Nötigung verbunden sind. Als zentrale Meldestelle ist das NCSC vorgesehen. Um eine Meldung so einfach wie möglich vorzunehmen, wird das NCSC ein elektronisches Meldeformular zur Verfügung stellen. Dies erlaubt, Meldungen einfach zu erfassen und die Meldungen auf Wunsch direkt weiteren Stellen zu übermitteln.
Pflicht des Bundes zur Unterstützung bei Cyberangriffen
Die Vorlage verpflichtet aber nicht nur die Unternehmen zur Mitwirkung beim Schutz vor Cyberangriffen, sondern definiert auch die Aufgaben des Bundes bei der Unterstützung der Wirtschaft und Bevölkerung. Zu diesem Zweck wird das NCSC beauftragt, die Öffentlichkeit vor Cyberbedrohungen zu warnen und sie für Cyberrisiken zu sensibilisieren. Auch soll das NCSC Meldungen zu Vorfällen und Schwachstellen entgegennehmen, technische Analysen durchführen und den Meldenden Empfehlungen zum weiteren Vorgehen abgeben. Betreiberinnen und Betreiber kritischer Infrastrukturen, zu denen auch kantonale und kommunale Behörden gehören, unterstützt das NCSC zudem bei der Bewältigung von Cybervorfällen. Diese Unterstützung soll im Sinne einer ersten Hilfe erfolgen und nur soweit gehen, dass sie nicht in Konkurrenz stehen zu Dienstleistungen, die am Markt erhältlich sind.
Bis anhin wurden diese Aufgaben des Bundes beim Schutz vor Cyberrisiken auf Basis der bestehenden Aufträge wahrgenommen, waren jedoch nicht auf Gesetzesstufe definiert. Mit der Verankerung der Meldepflicht im Informationssicherheitsgesetz (ISG) sollen nun auch die Aufgaben des NCSC, insbesondere auch dessen Zuständigkeit als Meldestelle, im ISG festgelegt werden.
Die Vernehmlassung zur Vorlage dauert bis zum 14. April 2022.
Beilagen