Symbolbild:Pixabay

Der schweizerische Bundesrat hat die Vernehmlassung zur Verordnung über die Cybersicherheit eröffnet. Die Verordnung gibt vor, wie die Meldepflicht für Cyberangriffe bei kritischen Infrastrukturen umgesetzt werden soll, regelt die Organisation zur Umsetzung der Nationalen Cyberstrategie und spezifiziert die Aufgaben des neuen Bundesamts für Cybersicherheit (BACS). Die Verordnung legt zudem fest, welche Behörden und Unternehmen von der Meldepflicht ausgenommen sind. Die Vernehmlassung dauert bis am 13. September 2024.

Zur Erinnerung: Am 29. September 2023 hat das Parlament die Änderungen des Informationssicherheitsgesetzes (ISG) zur Einführung einer Meldepflicht für Cyberangriffe bei kritischen Infrastrukturen verabschiedet. Das ISG legt fest, welche Behörden und Organisationen künftig verpflichtet sind, Cybervorfälle zu melden. Zudem legt das Gesetz das Bundesamt für Cybersicherheit (BACS) als Meldestelle fest.

Mit der Verordnung über die Cybersicherheit (Cybersicherheitsverordnung, CSV) legt der Bundesrat dar, wie er die Meldepflicht künftig umsetzen will und welche Stellen davon ausgenommen werden. So regelt die Verordnung den Geltungsbereich der Meldepflicht für Behörden und Organisationen, definiert die meldepflichtigen Cyberangriffe und legt fest, welche Inhalte gemeldet werden müssen. Sie schreibt auch die Verfahren für die Erfüllung der Meldepflicht vor und legt die Frist und den Abschluss der Meldung fest.

Kernelement der CSV sind die Bestimmungen zu den Ausnahmen von der Meldepflicht. Ausgenommen werden sollen alle Behörden und Unternehmen, bei denen ein Cyberangriff keine unmittelbaren Auswirkungen auf das Funktionieren der Wirtschaft oder das Wohlergehen der Bevölkerung hat. In verschiedenen Sektoren, wie der Energieversorgung, dem Transportwesen und Behörden, wurden spezifische Schwellenwerte festgelegt, die diese Ausnahmen definieren. Alle Behörden oder Organisationen, die diese Schwellenwerte unterschreiten, sind nicht meldepflichtig. Darüber hinaus gilt eine generelle Ausnahme für Unternehmen mit weniger als 50 Mitarbeitenden, einem Jahresumsatz oder einer Jahresbilanzsumme von weniger als 10 Millionen Franken sowie Behörden, die für weniger als 1000 Einwohnerinnen und Einwohner zuständig sind.

Des Weiteren regelt die CSV die strategische Steuerung der Cybersicherheit in der Schweiz und bestimmt die Aufgaben sowie das Mandat und die Zusammensetzung des Steuerungsausschusses der Nationalen Cyberstrategie. Zudem konkretisiert die CSV die Aufgaben des BACS und regelt den Informationsaustausch zwischen den Betreiberinnen der kritischen Infrastrukturen.