Strategie für einen schweizweiten Schutz vor Cyberrisiken
Der Bundesrat hat am 18. April 2018 die „Nationale Strategie zum Schutz der Schweiz vor Cyberrisiken (NCS) 2018–2022“ verabschiedet. Die Strategie baut auf den Arbeiten der ersten NCS (2012–2017) auf, weitet diese wo nötig aus und ergänzt sie mit neuen Massnahmen, so dass sie der heutigen Bedrohungslage entspricht. Sie wurde zusammen mit der Wirtschaft, den Kantonen und den Hochschulen erarbeitet und bildet so die Basis für die nötigen gemeinsamen Anstrengungen zur Minderung der Cyberrisiken. Die Strategie definiert sieben Ziele, welche über zehn Handlungsfelder erreicht werden sollen. Diese sind sehr vielfältig und reichen vom Aufbau von Kompetenzen und Wissen und der Förderung der internationalen Kooperation über die Stärkung des Vorfall- und Krisenmanagements sowie der Zusammenarbeit bei der Cyberstrafverfolgung bis hin zu Massnahmen der Cyberabwehr durch die Armee und den Nachrichtendienst des Bundes (NDB).
Geplante und gesteuerte Umsetzung der Strategie
Zur Konkretisierung der Strategie hat der Bundesrat am 15. Mai 2019 den Umsetzungsplan zur NCS 2018–2022 verabschiedet. Der Umsetzungsplan wurde zusammen mit allen beteiligten Bundesämtern, den Kantonen, der Wirtschaft und den Hochschulen erarbeitet. Er legt fest, wer bis wann welche Massnahmen umsetzen soll und welche Leistungsziele dabei erreicht werden sollen. Die Umsetzung wird durch einen Steuerungsausschuss NCS begleitet, in welchem neben den zuständigen Stellen des Bundes auch die Kantone, die Wirtschaft und die Hochschulen vertreten sind.
Für den Schutz vor Cyberrisiken organisiert sich der Bund neu
Basis für die Umsetzung der NCS sind die Grundsatzentscheide zur Organisation des Bundes im Bereich Cyberrisiken, welche der Bundesrat am 30. Januar 2019 gefällt hat. Dabei hat er beschlossen, für die Verbesserung der interdepartementalen Zusammenarbeit und die Stärkung seiner Führungsrolle im Bereich Cyberrisiken einen Cyberausschuss aus den Vorstehenden des EFD, des VBS und des EJPD zu etablieren. Der Ausschuss diskutiert über strategische und departementsübergreifende operationelle Fragen mit Bezug auf die Bedrohung durch Cyberrisiken und berät über den Stand der Umsetzung und die inhaltliche Weiterentwicklung der NCS. Weiter hat er entschieden, im EFD ein Kompetenzzentrum für Cybersicherheit unter der Leitung einer/eines Delegierten des Bundes für Cybersicherheit zu schaffen. Dieses neu geschaffene «Nationale Zentrum für Cybersicherheit» (NCSC.ch) nimmt bei der Umsetzung der NCS eine Schlüsselrolle ein. Mit seiner Geschäftsstelle ist es verantwortlich für die Koordination der bundesweiten Umsetzungsarbeiten.
Am 14. Juni 2019 ist Florian Schütz zum Delegierten des Bundes für Cybersicherheit ernannt worden. Seit August 2019 ist Schütz in dieser Funktion tätig. Der Delegierte ist die zentrale Ansprechperson des Bundes im Bereich Cybersicherheit und erlässt unter anderem Vorgaben zur Informatiksicherheit der Bundesverwaltung. Das NCSC besteht aus einer strategischen und einer operativen Abteilung. Im Rahmen der organisatorischen Aufbauarbeiten ist der strategische und operative Teil der Cybersicherheit als eigenständige, neue Einheit im Generalsekretariat EFD zusammengeführt worden. Zur operativen Abteilung gehören die Melde- und Analysestelle Informationssicherung (MELANI), die nationale Anlaufstelle Cyber, GovCERT.ch und IKT-Sicherheit Bund. Diese Bereiche sind bis Ende Juni 2020 dem Informatiksteuerungsorgan des Bundes (ISB) zugeordnet gewesen.
Starkes Kompetenzzentrum für Cybersicherheit
In der vom Bundesrat am 27. Mai 2020 verabschiedeten Verordnung über den Schutz vor Cyberrisiken in der Bundesverwaltung sind die rechtlichen Grundlagen für den Auf- und Ausbau des Nationalen Zentrums für Cybersicherheit (NCSC) festgelegt worden. Dank dieser Verordnung im Bereich Cyberrisiken, die am 1. Juli 2020 in Kraft getreten ist, kann der Bundesrat den Forderungen aus Wirtschaft und Politik nach einem starken Kompetenzzentrum mit einer klaren Struktur und mehr Zentralisierung gerecht werden.