Andrey Gerhard · Nationalrat · 2023-09-11
Andrey Gerhard · Nationalrat · Freiburg · Grüne Fraktion · 2023-09-11
Wortprotokoll
Wir haben es gehört: Es bestehen in diesem Geschäft noch Differenzen zum Ständerat, und zwar in Bezug auf die Schwachstellen. Ich möchte aber zuerst noch einmal festhalten, dass eine Mehrheit der Sicherheitspolitischen Kommission die Einführung einer Meldepflicht für Cyberattacken als sehr wichtigen Schritt erachtet, um den immer bedrohlicheren Vorfällen entgegenzutreten. Wir haben das im Nationalrat ja auch so beschlossen.
Künftig sollen es kritische Infrastrukturen möglichst rasch dem heutigen NCSC bzw. dem zukünftigen Bundesamt für Cybersicherheit melden, wenn ihre Betriebstüchtigkeit durch einen Cyberangriff bedroht ist. Damit kann das NCSC einerseits andere Infrastrukturen informieren und andererseits die betroffenen Betreiberinnen unterstützen.
In der gleichen Logik beantragt die Mehrheit Ihrer Kommission eine Meldepflicht auch in Bezug auf Schwachstellen. Nicht öffentlich bekannte Sicherheitslücken, welche die Betriebsfähigkeit der kritischen Infrastrukturen beeinträchtigen können, sollen dem NCSC ebenfalls gemeldet werden; dies mit dem Ziel, dass andere Infrastrukturen, welche in ihrem Betrieb ebenfalls solche Lücken haben, so rasch wie möglich gewarnt werden und dass damit potenzielle Angriffsmöglichkeiten für Cyberkriminelle eliminiert werden können.
Es wird moniert, dass das zu einem gewissen administrativen Aufwand führen kann. Das ist sicherlich nicht komplett zu verneinen, hingegen ist auch nicht ausser Acht zu lassen, dass die Unternehmen mit der Begleitung, die angeboten wird, ja durchaus auch von einer Dienstleistung des NCSC profitieren.
Der Ständerat ist dem Anliegen seiner Sicherheitspolitischen Kommission, der nationalrätlichen Erweiterung zuzustimmen, nicht gefolgt. Daraufhin hat die SiK-N anlässlich der Beratung im Juni die Meldepflicht für Schwachstellen eingegrenzt. Wir haben es soeben von Bundesrätin Amherd gehört: So sollen Schwachstellen nur dann gemeldet werden müssen, wenn sie allgemein verfügbare Softwarekomponenten betreffen, also wenn sie keine Eigenentwicklungen sind. Es ist dies, wie Sie der Fahne entnehmen können, eine marginale Änderung bei Artikel 74d. Damit sollen unnötige Meldungen und administrativer Aufwand für die Unternehmen vermieden werden, zumal spezifische Eigenentwicklungen nicht von anderen Betreibern eingesetzt werden und deshalb der Nutzen einer Meldung an das NCSC nicht gegeben ist. Dieser neue Antrag wurde von Ihrer Kommission mit 14 zu 9 Stimmen bei 1 Enthaltung verabschiedet. Eine Minderheit Zuberbühler lehnt hingegen die Einführung einer Meldepflicht für Schwachstellen generell ab und beantragt, dem Beschluss des Ständerates zu folgen bzw. am Entwurf des Bundesrates festzuhalten.
Im Namen der SiK-N bitte ich Sie, dem Kompromissantrag bezüglich der Meldepflicht für Schwachstellen zu folgen.