Bundesrat spricht sich für eine Meldepflicht für kritische Infrastrukturen bei Cyberangriffen aus

Bern, 11.12.2020 - Der Bundesrat hat an seiner Sitzung vom 11. Dezember 2020 das Eidgenössische Finanzdepartement (EFD) beauftragt, eine Vernehmlassungsvorlage betreffend die Einführung einer Meldepflicht bei Cyberangriffen für Betreiberinnen und Betreiber von kritischen Infrastrukturen auszuarbeiten. Er hat entsprechende Eckwerte für die Ausgestaltung der Vorlage festgelegt.

Die Schweiz kennt nur in einzelnen Sektoren Meldepflichten für Funktionsausfälle aber keine generelle Meldepflicht bei Cyberangriffen. Der Austausch zu Cyberangriffen bei kritischen Infrastrukturen wie etwa Energieversorgung, Telekommunikation oder Finanz- und Versicherungswesen erfolgt auf freiwilliger Basis über das Nationale Zentrum für Cybersicherheit (NCSC) im EFD. Gemäss der Nationalen Strategie zum Schutz der Schweiz vor Cyberrisiken (NCS) ist die Einführung von Meldepflichten zu prüfen. Zudem hat der Bundesrat mit der Verabschiedung des Postulatsberichts «Meldepflicht von schwerwiegenden Sicherheitsvorfällen bei kritischen Infrastrukturen» (Postulat 17.3475, Graf-Litscher) am 13. Dezember 2019 entsprechende Prüfaufträge erteilt.

Unter Einbezug der zuständigen Behörden der Kantone und des Bundes sowie der Wirtschaft hat das NCSC geprüft, ob eine Pflicht zur Meldung von Cyberangriffen eingeführt werden soll und wie sie ausgestaltet werden könnte. Das Bundesamt für Bevölkerungsschutz (BABS) hat geprüft, inwieweit Meldepflichten für Funktionsausfälle bei kritischen Infrastrukturen eingeführt oder ausgebaut werden sollen und ob diese Meldungen einer zentralen Stelle übermittelt werden sollen. Der Bundesrat hat an der heutigen Sitzung von den Resultaten der Abklärungen Kenntnis genommen und basierend darauf, das weitere Vorgehen beschlossen.

Eckwerte der Meldepflicht

Der Bundesrat hat das EFD beauftragt, bis Ende 2021 eine Vernehmlassungsvorlage auszuarbeiten, welche die rechtlichen Grundlagen für eine Meldepflicht für kritische Infrastrukturen bei Cyberangriffen und bei der Entdeckung von Sicherheitslücken schafft. Auf Gesetzesstufe soll dabei eine zentrale Meldestelle bezeichnet und für alle Sektoren einheitlich bestimmt werden. Auch sollen die Kriterien definiert werden, wer innerhalb welcher Frist welche Vorfälle melden soll. Die konkreten Bestimmungen zur Ausgestaltung der Meldepflicht sollen, angepasst auf die sektorspezifischen Gegebenheiten, in entsprechenden Erlassen definiert werden. Dabei soll die Meldepflicht auf bereits bestehende sektorielle und datenschutzrechtliche Meldepflichten abgestimmt werden.

Die bei der Meldestelle eingegangenen Meldungen und die dabei erhobenen Daten sollen dazu genutzt werden, Frühwarnungen abzusetzen. Durch ein frühzeitiges Erkennen der Angriffsmethoden und entsprechende Warnungen sollen die Sicherheit der Schweiz gestärkt und die Einschätzung der Bedrohungslage verbessert werden. Daten über die Meldenden werden nicht weitergegeben.

Koordiniert durch das BABS sollen die Departemente zudem Vorschläge erarbeiten, wie Meldepflichten für Funktionsausfälle von kritischen Infrastrukturen in den bestehenden rechtlichen Grundlagen auf- oder ausgebaut werden können.


Adresse für Rückfragen

Kommunikation Eidgenössisches Finanzdepartement EFD
Tel. +41 58 462 60 33, info@gs-efd.admin.ch



Herausgeber

Der Bundesrat
https://www.admin.ch/gov/de/start.html

Generalsekretariat EFD
https://www.efd.admin.ch

Generalsekretariat VBS
https://www.vbs.admin.ch/

Nachrichtendienst des Bundes
http://www.ndb.admin.ch

BABS - Bundesamt für Bevölkerungsschutz
http://www.bevoelkerungsschutz.admin.ch/

https://www.efd.admin.ch/content/efd/de/home/das-efd/nsb-news_list.msg-id-81566.html