Betreiber kritischer Infrastrukturen sollen Cyberangriffe mit grossem Schadenspotenzial künftig melden müssen, innerhalb von 24 Stunden. Das hat nach dem Nationalrat auch der Ständerat entschieden. Wer der Meldepflicht vorsätzlich nicht nachkommt, riskiert eine Busse.
Die kleine Kammer hiess am Donnerstag die nötigen Änderungen im Informationssicherheitsgesetz als Zweitrat mit 42 zu 0 Stimmen gut. Die Vorlage geht zur Differenzbereinigung zurück an den Nationalrat.
Der Nationalrat hatte im März auf Antrag seiner Sicherheitspolitischen Kommission (SIK-N) eine Ausweitung der Meldepflicht beschlossen. Diese soll nicht nur Cyberangriffe mit grossem Schadenspotenzial umfassen, sondern auch schwerwiegende Schwachstellen in IT-Systemen. Die Mehrheit im Nationalrat versprach sich davon präventive Wirkung.
Der Ständerat lehnte diese Ausweitung mit 31 zu 13 Stimmen ab. Die Mehrheit erachtete die Meldepflicht als nicht zielführend, da nicht genügend Klarheit über die Anzahl betroffener Unternehmen sowie die Art der zu meldenden Schwachstellen bestehe.
«Die Ausweitung hätte einen unbestimmten Mehraufwand für die Betriebe und die Meldestelle zur Folge», sagte Hans Wicki (FDP/NW). Zudem könne der Begriff «Schwachstelle» unterschiedlich ausgelegt werden. Es bestehe Rechtsunsicherheit.
Kommissionssprecherin Andrea Gmür-Schönenberger (Mitte/LU) hielt entgegen, dass es sinnvoll wäre, Schwachstellen zu melden, damit andere Unternehmen, die mit derselben Software arbeiten, vorgewarnt würden.
Mathias Zopfi (Grüne/GL) versuchte die Kritiker der Ausweitung der Meldepflicht zu beruhigen. «Wenn Sie eine Cyberschwachstelle haben, sollte es drin liegen, ein Onlineformular auszufüllen.»
Verteidigungsministerin Viola Amherd sagte im Ständerat, dass der Bundesrat mit beiden Lösungen leben könne – mit oder ohne erweiterte Meldepflicht von Schwachstellen. Zentral sei aber, die Meldepflicht von Cyberangriffen rasch einzuführen. Diese seien «eine zentrale Bedrohung für Gesellschaft, Staat und Wirtschaft».
Zentrale Meldestelle für Cyberangriffe soll das Nationale Zentrum für Cybersicherheit (NCSC) sein. Dieses soll ein elektronisches Meldeformular zur Verfügung stellen. Meldungen könnten dadurch einfach erfasst und auf Wunsch direkt weiteren Stellen übermittelt werden, schrieb der Bundesrat in der Botschaft zur Vorlage.
Wer der Meldepflicht vorsätzlich nicht nachkommt, soll mit bis zu 100'000 Franken gebüsst werden können. Die Meldepflicht gilt zum Beispiel für Bundesrat und Parlament, die Bundesanwaltschaft, die Armee, Hochschulen, Banken, Gesundheits- und Energieversorger, die SRG und Bahnunternehmen. Das NCSC steht Angegriffenen, die Meldung machen, unterstützend zur Seite.
Heute fehle eine Übersicht darüber, welche Angriffe wo stattgefunden hätten, da Meldungen an das NCSC freiwillig seien, schrieb der Bundesrat in der Botschaft. Durch die Meldepflicht sollen künftig alle Betreiberinnen und Betreiber kritischer Infrastrukturen am Informationsaustausch teilnehmen und so zur Frühwarnung beitragen.
Verteidigungsministerin Amherd sah die Freiwilligkeit beim Melden an Grenzen gekommen. Einige Unternehmen meldeten Vorfälle. Andere hingegen verzichteten darauf, profitierten aber von Meldungen anderer. Eine Meldepflicht gebe es in vielen Ländern, in der EU seit 2018.
2021 wurden dem NCSC rund 22'000 Fälle von Cyberkriminalität gemeldet – rund doppelt so viele wie 2020. Bei vielen der gemeldeten Vorfälle handelt es sich allerdings um erkannte Angriffsversuche und nicht um erfolgreiche Angriffe. Der Bundesrat hatte das NCSC 2019 geschaffen.
(dsc/sda)
