Betreiber kritischer Infrastrukturen sollen Cyberangriffe mit grossem Schadenspotenzial künftig melden müssen, innerhalb von 24 Stunden. Das hat der Nationalrat entschieden. Wer der Meldepflicht vorsätzlich nicht nachkommt, riskiert eine Busse.
Die grosser Kammer hiess die nötigen Änderungen im Bundesgesetz über die Informationssicherheit beim Bund am Donnerstag mit 132 zu 55 Stimmen gut. Die Nein-Stimmen kamen von der SVP.
Die Vorlage geht nun an den Ständerat.
Auf Antrag seiner Sicherheitspolitischen Kommission (SIK-N) beschloss der Nationalrat eine Ausweitung der Meldepflicht. Diese soll neben Cyberangriffen mit grossem Schadenspotenzial auch schwerwiegende Schwachstellen in Computersystemen umfassen. Die Kommission verspricht sich davon eine präventive Wirkung.
Zentrale Meldestelle für Cyberangriffe soll das Nationale Zentrum für Cybersicherheit (NCSC) sein. Dieses soll ein elektronisches Meldeformular zur Verfügung stellen. Meldungen könnten dadurch einfach erfasst und auf Wunsch direkt weiteren Stellen übermittelt werden, schrieb der Bundesrat.
Sprecher mehrerer Fraktionen sahen die Schweiz im internationalen Vergleich im Rückstand. «Gerade bei digitalen Kompetenzen sind wir relativ schlecht», stellte Melanie Mettler (GLP/BE) fest.
Umstritten waren im Nationalrat die Frist zwischen Vorfall und Meldung sowie die Bussen für eine Verletzung der Meldepflicht. Auf Antrag der Mehrheit und des Bundesrates schrieb der Rat ins Gesetz, dass die Meldung innert 24 Stunden nach dem Vorfall beim NCSC gemacht werden muss.
Es gehe darum, rasch handeln zu können, sagte Ida Glanzmann (Mitte/LU). Es brauche keine kritische Analyse, sondern nur eine Anzeige, dass etwas passiert sei, doppelte Edith Graf-Litscher (SP/TG) nach. International habe sich eine Frist von 24 Stunden durchgesetzt, sagte Verteidigungsministerin Viola Amherd.
Die SVP hätte die Limite bei 72 Stunden setzen wollen, unterlag aber klar. Angegriffene seien zunächst mit der Abwehr beschäftigt, sagte David Zuberbühler (SVP/AR). Sie sollten zunächst selbst Massnahmen ergreifen können und darum mehr Zeit für die Meldung erhalten.
Die SVP wollte auch auf Bussen von bis zu 100'000 Franken für die Verletzung der Meldepflicht verzichten. Statt staatlichen Zwang mit Bussenandrohung brauche es positive Anreize, Vorfälle zu melden und einen möglichst guten Informationsaustausch, sagte Zuberbühler. Von Angegriffenen gehe ja keine kriminelle Energie aus.
Der Nationalrat folgte aber auch hier mit 130 zu 55 Stimmen dem Bundesrat. Demnach riskiert eine Busse von bis zu 100'000 Franken, wer die Meldepflicht vorsätzlich nicht erfüllt, trotz Aufforderung.
Die Meldepflicht gilt zum Beispiel für Bundesrat und Parlament, die Bundesanwaltschaft, Armee, Hochschulen, Banken, Gesundheits- und Energieversorger, die SRG und Bahnunternehmen. Das NCSC steht Angegriffenen, die Meldung machen, unterstützend zur Seite.
Verteidigungsministerin Amherd sah die Freiwilligkeit beim Melden an Grenzen gekommen. Einige Unternehmen meldeten Vorfälle. Andere hingegen verzichteten darauf, profitierten aber dennoch davon. Eine Meldepflicht gebe es in vielen Ländern, in der EU seit 2018.
Heute fehle eine Übersicht darüber, welche Angriffe wo stattgefunden haben, da Meldungen an das NCSC freiwillig seien, schrieb der Bundesrat. Durch die Meldepflicht sollen künftig alle Betreiberinnen und Betreiber kritischer Infrastrukturen am Informationsaustausch teilnehmen und so zur Frühwarnung beitragen.
2021 wurden dem NCSC rund 22'000 Fälle von Cyberkriminalität gemeldet – rund doppelt so viele wie 2020. Bei vielen der gemeldeten Vorfälle handelt es sich allerdings um erkannte Angriffsversuche und nicht um erfolgreiche Angriffe. Der Bundesrat hatte das NCSC 2019 geschaffen.
(dsc/aeg/sda)
