Graf-Litscher Edith · Nationalrat · 2023-03-16
Graf-Litscher Edith · Nationalrat · Thurgau · Sozialdemokratische Fraktion · 2023-03-16
Wortprotokoll
Ich spreche für die SP-Fraktion zum Eintreten und auch gleich zu den Minderheiten. Die SP begrüsst die Einführung einer Meldepflicht von Cyberangriffen auf kritische Infrastrukturen. Energie, Strom, Wasser, Verkehr und unser Gesundheitswesen sind zentral; das wissen wir nicht erst seit der Corona-Krise. Seit Jahren verlangen wir einen Ausbau der Massnahmen gegen Cyberangriffe - eine Gefahr, die mit dem Angriffskrieg Russlands gegen die Ukraine noch akuter geworden ist.
Eine Meldepflicht für Cyberangriffe auf kritische Infrastrukturen ist eine wichtige Massnahme, da sie die Datenlage in diesem Bereich verbessert und es so erst ermöglicht, darauf angemessen zu reagieren und Warnungen auszusprechen. Damit die Schweiz ihre kritischen Infrastrukturen gezielt und effizient vor Cyberangriffen schützen kann, müssen die dafür zuständigen Stellen beim Bund Kenntnis über Herkunft, Methodik und Ausmass von Cyberangriffen haben, und dazu braucht es eben eine Meldepflicht.
In der EU ist eine solche Meldepflicht mit der Richtlinie 2016/1148 bereits seit August 2016 in Kraft. Die heutige Regelung in der Schweiz, welche seit 2005 auf Freiwilligkeit basiert, ist nicht ausreichend. Insbesondere im Cyberbereich ist heute nicht klar, wie gross das tatsächliche Ausmass der Bedrohung ist, da kaum Zahlen über die versuchten Angriffe vorliegen.
In seinem Bericht vom 13. Dezember 2019 zum Postulat Graf-Litscher 17.3475, "Meldepflicht bei schwerwiegenden Sicherheitsvorfällen bei kritischen Infrastrukturen", stellt der Bundesrat fest, dass es keine Meldepflicht für Cybervorfälle bei kritischen Infrastrukturen gibt. Deshalb erteilte er dem NCSC den Auftrag, die Einführung einer Pflicht zur Meldung [PAGE 552] von Cybervorfällen zu prüfen. Nun liegt die Gesetzesvorlage auf dem Tisch, und wir können darüber entscheiden.
Dank der Meldepflicht verfügen die zuständigen Behörden nicht mehr nur über ein Gefühl für die ungefähre Anzahl Angriffe, vielmehr haben sie eine Übersicht über aktuelle Bedrohungen und effektiv erfolgte Angriffe. Somit können diese systematisch ausgewertet und die Erkenntnisse an Betreiber von kritischen Infrastrukturen weitergeleitet werden. Ein verlässliches Lagebild und Frühwarnsystem des Bundes versetzt die Betreiberinnen und Betreiber ausserdem in die Lage, Sicherheitslücken rechtzeitig zu erkennen, ihre Widerstandsfähigkeit - die Resilienz - zu erhöhen und Abwehrmassnahmen einzuleiten.
In der Kommission wurden zwei Minderheitsanträge eingereicht. Sie betreffen die Frist der Meldung gemäss Artikel 74e Absatz 1 und die Folgen einer Missachtung der Verfügungen des NCSC gemäss Artikel 74h. Die EU definiert in ihrer neuen Richtlinie über Massnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union ebenfalls eine Frist von 24 Stunden für die Meldung von Cyberangriffen. Es macht Sinn, wenn die Schweiz hier keine andere Frist einführt. Mit der Feststellung eines offensichtlichen Vorfalles wird man meldepflichtig.
Eine Meldung zu erstatten, ist übrigens kein grosses und kompliziertes bürokratisches Unterfangen. Sie ist einfach abzusetzen, und es muss auch keine Analyse mitgeliefert werden; man muss nur anzeigen, dass etwas passiert ist. Das NCSC wird dann entweder Hilfe anbieten oder später darauf zurückkommen.
Würde die Meldung erst nach 72 Stunden erfolgen, wie es die Minderheit Zuberbühler fordert, käme die Hilfe sehr oft zu spät. Eine Busse wird also erst fällig, wenn man trotz Kenntnis eines Vorfalles nicht innerhalb von 24 Stunden reagiert. Keine Busse wird fällig, wenn man eine Meldung erstattet, mit dem Inhalt, dass zwar etwas passiert sei, dass man aber die konkreten Umstände noch nicht genau kenne.
Ich komme zum Schluss: Die EU sieht eine Bussenpraxis vor, die effektiv, angemessen und abschreckend sein soll. Der Entwurf des Bundesrates entspricht diesen Vorgaben. Die SP-Fraktion wird deshalb der Mehrheit der Kommission folgen und warnt vor einem Verzicht auf Bussen. Damit würde die Meldepflicht zu einem Papiertiger, und wir würden uns eine grosse Chance für ein wirkungsvolles Frühwarnsystem gegen Cyberangriffe vergeben.