Betreiber von kritischen Infrastrukturen in der Schweiz sollen Cyberangriffe mit erheblichem Schadenspotenzial künftig melden müssen. Heute ist dies freiwillig. Der Bundesrat will mit dieser Meldepflicht die Sicherheit und die Wirtschaft in der Schweiz besser schützen.
Cyberangriffe seien zu einer ernsthaften Bedrohung der Sicherheit und Wirtschaft der Schweiz geworden, schreibt der Bundesrat in einer Mitteilung von Mittwoch. Es gebe täglich Angriffe auf Unternehmen und Behörden - das nationale Zentrum für Cybersicherheit (NCSC) erhalte im Durchschnitt wöchentlich über 300 Meldungen zu erfolgreichen oder versuchten Cyberangriffen.
Diese Meldungen der Unternehmen, Behörden oder Privatpersonen erfolgten derzeit aber auf freiwilliger Basis. Der Bundesrat will daher, dass sie Pflicht werden. Das Ziel sei es, dass das NCSC ein übersichtlicheres Bild über die Angriffe erhalte und dadurch andere Betreiber kritischer Infrastrukturen frühzeitig vor Cyberangriffen warnen könne.
Für diese Meldepflicht eröffnete der Bundesrat am Mittwoch die Vernehmlassung zu den gesetzlichen Vorgaben. Sie dauert bis zum 14. April 2022. Die Pflicht soll im Informationssicherheitsgesetz verankert werden.
Der Meldepflicht unterstellt werden sollen etwa die Betreiber kritischer Infrastrukturen, Energieversorgungs-Unternehmen, Behörden aller föderalen Ebene, Blaulichtorganisationen, Organisationen der Trinkwasserversorgung, der Abwasseraufbereitung und der Abfallentsorgung, die kantonalen Universitäten, die Eidgenössischen Technischen Hochschulen, die Fachhochschulen und die pädagogischen Hochschulen.
Auch gewisse Spitäler, Laboratorien und Arzneimittelherstellerinnen sollen der Pflicht unterstellt werden. Weiter sollen Anbieterinnen von digitalen Diensten, die in der Schweiz von vielen Personen genutzt werden, eine hohe Bedeutung für die digitale Wirtschaft haben oder Sicherheits- und Vertrauensdienste anbieten, Meldungen machen müssen. Im Finanzsektor bleibt die bestehende Meldepflicht für Cyberangriffe gegenüber der Finanzmarktaufsicht bestehen.
Die Pflicht soll demnach für Cyberangriffe mit erheblichem Schadenspotenzial gelten. Gemeint sind damit gemäss erläuterndem Bericht insbesondere Angriffe, welche die Funktionsfähigkeit der kritischen Infrastrukturen gefährden oder mit Erpressung, Drohung oder Nötigung verbunden sind. Die Meldung muss nach Entdecken des Angriffes so rasch wie möglich gemacht werden.
Die Vorlage definiert zudem das NCSC als zentrale Meldestelle für die Angriffe. Es soll für die Meldungen ein elektronisches Meldeformular zur Verfügung stellen. Meldungen sollen so einfach erfasst und bei Bedarf direkt weiteren Stellen übermittelt werden können.
Das NCSC wird zudem beauftragt, die Öffentlichkeit vor Cyberbedrohungen zu warnen und sie für Cyberrisiken zu sensibilisieren. Weiter soll es technische Analysen durchführen und denjenigen, die eine Meldung gemacht haben, Empfehlungen zum weiteren Vorgehen abgeben.
Wenn es zu Cybervorfällen gekommen ist, soll das NCSC die Betroffenen bei der Bewältigung der Problemen unterstützen. Dabei soll es sich um eine Art «Erste Hilfe» handeln. Diese Hilfe soll begrenzt sein und darf nicht in Konkurrenz stehen zu Dienstleistungen, die spezialisierte Unternehmen am Markt anbieten anbieten.
(oli/sda)