Die Schweiz kennt bislang keine generelle Meldepflicht für Cybervorfälle. Der Austausch zu Cybervorfällen bei kritischen Infrastrukturen wie Energieversorgung, Telekommunikation oder Finanz- und Versicherungswesen erfolgt auf freiwilliger Basis über die Melde- und Analysestelle Informationssicherung (Melani). Angesichts der raschen Entwicklung der Cyberrisiken stelle sich die Frage, ob dieser freiwillige Austausch genüge, um Bedrohungen frühzeitig und sektorenübergreifend zu erkennen, so der Bundesrat in einer Aussendung.
In der "Nationalen Strategie zum Schutz der Schweiz vor Cyberrisiken" (NCS) werde deshalb festgehalten, dass die Einführung von Meldepflichten zu prüfen sei. Zudem hat das Parlament ein Postulat überwiesen (17.3475 Graf-Litscher), welches vom Bundesrat verlangt, aufzuzeigen, wie Meldepflichten für Sicherheitsvorfälle bei kritischen Infrastrukturen eingeführt werden können.
Mit dem Bericht "Varianten für Meldepflichten für kritische Infrastrukturen bei schwerwiegenden Sicherheitsvorfällen" liegen nun erste Ergebnisse dieser Prüfung vor. Der Bericht fasst die Ergebnisse der bisherigen Arbeiten zusammen und entwickelt Varianten zur Einführung von Meldepflichten. Diese wurden auf Basis der heute bereits bestehenden Meldepflichten für Sicherheitsvorfälle, den Erkenntnissen aus Interviews mit Expertinnen und Experten und den Analysen von Meldepflichten in anderen Ländern entwickelt. Wesentlich für die möglichen Varianten sei die Frage, ob Cybervorfälle einer separaten Stelle gemeldet werden müssten oder ob die in den Sektoren teilweise schon bestehenden Meldestellen für Sicherheitsvorfälle ergänzt werden sollen, heisst es. Abhängig von dieser Organisationsstruktur sei zu beurteilen, ab welchem Ausmass Vorfälle meldepflichtig seien, welche Fristen für die Meldung gälten, ob Meldungen anonym abgegeben werden könnten und ob Sanktionen für den Unterlassungsfall definiert würden.
Der Bundesrat hat das neu geschaffene Nationale Zentrum für Cybersicherheit im Eidgenössischen Finanzdepartement (EFD) zusammen mit dem Bundesamt für Bevölkerungsschutz (Babs) nun beauftragt, diese Fragen unter Einbezug der zuständigen Behörden der Kantone und des Bundes sowie der Wirtschaft abzuklären. Dabei sei auch zu prüfen, ob eine Ausweitung der generellen Meldepflichten für Funktionsausfälle bei kritischen Infrastrukturen vorgenommen werden soll. Bis spätestens Ende 2020 soll dem Bundesrat eine Vorlage unterbreitet werden, welche die Grundsatzentscheide zu den Meldepflichten von kritischen Infrastrukturen ermöglichen soll.
Der Online-Stellenmarkt für ICT Professionals