Der Bundesrat hat am Freitag die Botschaft zur Änderung des Bundesgesetzes über die Informationssicherheit beim Bund gutgeheissen und zuhanden der eidgenössischen Räte (National- und Ständerat) verabschiedet.
Die Vernehmlassung zeigte gemäss einer Mitteilung «eine breite Zustimmung für die Vorlage». Die Einführung einer Meldepflicht werde als wichtiger Schritt zu einer Verbesserung der Cybersicherheit in der Schweiz erachtet.
Die Meldepflicht soll nur für Cyberangriffe eingeführt, die von Unbefugten mit (krimineller) Absicht gegen kritische Infrastrukturen durchgeführt wurden.
Und noch eine Einschränkung: Meldepflichtig sollen nur Cyberangriffe sein, die «schwerwiegende Auswirkungen» haben, indem sie zum Beispiel «eine Gefährdung für die Funktionsfähigkeit der kritischen Infrastrukturen darstellen».
Es spielt aber keine Rolle, ob der Angriff auf ein Netzwerk auf einen Insider-Job (etwa durch Angestellte eines Unternehmens) zurückzuführen ist oder auf externe Hacker.
Nun ist das eidgenössische Parlament am Zug.
Dann will der Bundesrat die Meldepflicht «möglichst unbürokratisch» und «ohne grossen Zusatzaufwand» umsetzen, wie er in der aktuellen Mitteilung schreibt.
Das Nationale Zentrum für Cybersicherheit (NCSC), das als zentrale Meldestelle für Cyberangriffe vorgesehen ist, soll ein elektronisches Meldeformular zur Verfügung stellen. Meldungen könnten dadurch einfach erfasst und auf Wunsch direkt weiteren Stellen übermittelt werden.
Laut dem Bundesrat sind die Bevölkerung, Behörden und Unternehmen täglich dem Risiko eines Cyberangriffs ausgesetzt. Heute fehle eine Übersicht darüber, welche Angriffe wo stattgefunden haben, da Meldungen an das NCSC nur auf freiwilliger Basis erfolgten.
Durch die Meldepflicht sollen künftig alle Betreiberinnen und Betreiber von kritischen Infrastrukturen am Informationsaustausch teilnehmen und so zur Frühwarnung beitragen.
2021 wurden dem NCSC rund 22'000 Fälle von Cyberkriminalität gemeldet – rund doppelt so viele wie 2020. Bei vielen der gemeldeten Vorfälle handelt es sich allerdings um erkannte Angriffsversuche und nicht um erfolgreiche Angriffe.
Aber sicher.
Trotz Einführung der Meldepflicht sei es weiterhin möglich, «Cybervorfälle» und IT-Schwachstellen freiwillig dem Bund zu melden. Diese Möglichkeit stehe jeder Person offen und sei nicht auf kritische Infrastrukturen beschränkt.
Heute kennt die Schweiz nur in einzelnen Wirtschaftssektoren Meldepflichten für Funktionsausfälle, aber keine generelle Meldepflicht bei Cyberangriffen.
Angesichts der wachsenden Bedeutung der Cybersicherheit für die Wirtschaft und die Gesellschaft will der Bundesrat für diesen Bereich ein eigenes Bundesamt schaffen.
Der Bundesrat hatte 2019 das Nationale Zentrum für Cybersicherheit (NCSC) geschaffen, es ist derzeit im Generalsekretariat des Eidgenössischen Finanzdepartements (EFD) angesiedelt.
(dsc/sda)