Der schweizerische Bundesrat hat das Eidgenössische Finanzdepartement (EFD) heute damit beauftragt, eine Vernehmlassungsvorlage zur Einführung einer Meldepflicht bei Cyberangriffen für Betreiber von kritischen Infrastrukturen auszuarbeiten.
Hintergrund dazu ist, dass die Schweiz nur in einzelnen Sektoren Meldepflichten für Funktionsausfälle aber keine generelle Meldepflicht bei Cyberangriffen kennt. Der Austausch zu Cyberangriffen bei kritischen Infrastrukturen wie etwa Energieversorgung, Telekommunikation oder Finanz- und Versicherungswesen erfolge auf freiwilliger Basis über das Nationale Zentrum für Cybersicherheit (NCSC) im EFD, heisst es in einem Communiqué dazu. Gemäss der Nationalen Strategie zum Schutz der Schweiz vor Cyberrisiken (NCS) sei die Einführung von Meldepflichten zu prüfen, so das EFD im Communiqué. Zudem habe der Bundesrat mit der Verabschiedung des Postulatsberichts "Meldepflicht von schwerwiegenden Sicherheitsvorfällen bei kritischen Infrastrukturen" am 13. Dezember 2019 entsprechende Prüfaufträge erteilt.
Unter Einbezug der zuständigen Behörden der Kantone und des Bundes sowie der Wirtschaft habe das NCSC geprüft, ob eine Pflicht zur Meldung von Cyberangriffen eingeführt werden soll und wie sie ausgestaltet werden könnte. Das Bundesamt für Bevölkerungsschutz (BABS) habe geprüft, inwieweit Meldepflichten für Funktionsausfälle bei kritischen Infrastrukturen eingeführt oder ausgebaut werden sollen und ob diese Meldungen einer zentralen Stelle übermittelt werden sollen. Der Bundesrat hat an der heutigen Sitzung von den Resultaten der Abklärungen Kenntnis genommen und basierend darauf, das weitere Vorgehen beschlossen.
Nun soll das EFD bis Ende 2021 eine Vernehmlassungsvorlage ausarbeiten, welche die rechtlichen Grundlagen für eine Meldepflicht für kritische Infrastrukturen bei Cyberangriffen und bei der Entdeckung von Sicherheitslücken schaffen soll. Auf Gesetzesstufe soll dabei eine zentrale Meldestelle bezeichnet und für alle Sektoren einheitlich bestimmt werden. Auch sollen die Kriterien definiert werden, wer innerhalb welcher Frist welche Vorfälle melden soll. Die konkreten Bestimmungen zur Ausgestaltung der Meldepflicht sollen, angepasst auf die sektorspezifischen Gegebenheiten, in entsprechenden Erlassen definiert werden. Dabei soll die Meldepflicht auf bereits bestehende sektorielle und datenschutzrechtliche Meldepflichten abgestimmt werden.
Die bei der Meldestelle eingegangenen Meldungen und die dabei erhobenen Daten sollen dazu genutzt werden, Frühwarnungen abzusetzen. Durch ein frühzeitiges Erkennen der Angriffsmethoden und entsprechende Warnungen sollen die Sicherheit der Schweiz gestärkt und die Einschätzung der Bedrohungslage verbessert werden. Daten über die Meldenden würden nicht weitergegeben, schreibt das EFD Communiqué.
Koordiniert durch das BABS sollen die Departemente zudem Vorschläge erarbeiten, wie Meldepflichten für Funktionsausfälle von kritischen Infrastrukturen in den bestehenden rechtlichen Grundlagen auf- oder ausgebaut werden könnten.
Der Online-Stellenmarkt für ICT Professionals