Vernehmlassung des Bundes: Cybersicherheitsverordnung (CSV). Stellungnahme des Kantons Bern
Kanton Bern Canton de Berne
Regierungsrat
Postgasse 68 Postfach 3000 Bern 8 Staatskanzlei, Postfach, 3000 Bern 8 info.regierungsrat@be.ch www.be.ch/rr Eidgenössisches Departement für Verteidigung, Bevölkerungsschutz und Sport (VBS) Per E-Mail (PDFNVord) an: ncscencsc.admin.ch
11. September 2024 Unser Zeichen: 2024.FINGS.141
RRB Nr.: 932/2024 Direktion: Finanzdirektion Klassifizierung: Nicht klassifiziert
Vernehmlassung zur Cybersicherheitsverordnung (CSV). Stellungnahme des Kantons Bern
Sehr geehrte Frau Bundespräsidentin Sehr geehrte Damen und Herren
Der Regierungsrat des Kantons Bern dankt Ihnen für die Gelegenheit zur Stellungnahme zu dieser Vor- lage.
Erwägungen
1. Grundsätzliches
Wir unterstützen weiterhin die vom Parlament beschlossene Ergänzung des Informationssicherheitsge- setzes (ISG) betreffend die Meldepflichten kritischer Infrastrukturen sowie anderer Organisationen und Behörden. Täglich zeigt sich, dass Cyberangriffe zu den grössten Bedrohungen der Sicherheit und der Wirtschaft der Schweiz gehören. Wir begrüssen es daher, dass der Bund beim Schutz des Landes vor dieser Bedrohung die Führung übernommen hat und die Betroffenen bei der Bewältigung dieses Risikos unterstützt.
Mit unserer damaligen Stellungnahme vom 16. März 2022 zum Entwurf des ISG stellten wir aber fest, dass die Liste der kritischen Infrastrukturen in Art. 74b E-ISG sehr weit gefasst ist: Neben Infrastruktur- unternehmen im klassischen Sinne umfasst sie auch alle Kantons- und Gemeindebehörden, Hochschu- len, Spitäler sowie eine Vielzahl von Privatunternehmen, deren Leistungen von nationaler Bedeutung sind. Diese breite Meldepflicht ist u.E. zwar gerechtfertigt, weil eine wirksame Bekämpfung von Cyberan- griffen ihre frühe Erkennung voraussetzt. Wir erwarteten aber, dass der Bundesrat von seiner Kompe- tenz zum Erlass von Ausnahmen von der Meldepflicht (Art. 74c EISG) so Gebrauch macht, dass der Auf- wand für die Meldepflicht in einer nationalen Gesamtsicht verhältnismässig bleibt.
Nicht klassifiziert I Letzte Bearbeitung: 29.08.20241 Version: 3 Dok.-Nr.: 293128 1 Geschäftsnummer: 2024.FINGS.141 1/4
Kanton Bern Vernehmlassung zur Cybersicherheitsverordnung (CSV). Canton de Berne Stellungnahme des Kantons Bern
Mit der nun vorgelegten Verordnung hat der Bundesrat dieses Anliegen aufgenommen und sachgerecht umgesetzt.
So sind nach Art. 16 Abs. 1 Bst. a E-CSV insbesondere auch die Gemeinden mit weniger als 1000 stän- digen Einwohnerinnen und Einwohnern — inkl. deren Betriebe zur Ver- und Entsorgung — von der Melde- pflicht ausgenommen. Zwar sind insbesondere solche kleinen Verwaltungseinheiten beliebte Ziele von Cyberangriffen. Das Schadenspotenzial jedoch bleibt einigermassen begrenzt, obwohl auch kleine Ge- meinden (inkl. Kirch- und Burgergemeinden) des Kantons Bern an dessen Netzwerk angeschlossen sind.
Ebenso begrüssen wir die genaue Beschreibung der meldepflichtigen Vorfälle sowie des Inhalts der Mel- dungen in Art. 18 ff. E-CSV, welche uns auch als Grundlage für die vertraglichen Meldepflichten unserer Auftragsdatenbearbeiter dienen werden.
Im Einzelnen bitten wir Sie, die nachfolgenden Anträge zu berücksichtigen.
2. Anträge
2.1 Antrag zu Art. 1 Bst. b, Aufgaben des BACS
Die CSV regelt nicht die Aufgaben des BACS schlechthin, sondern nur jene im Rahmen dieser Verord- nung. Die generellen Aufgaben sind in Art. 43 ISV geregelt.
Dies ist zu präzisieren.
2.2 Antrag zu Art. 9 Abs. 1, Koordinierte Offenlegung von Schwachstellen
Der Absatz ist wie folgt zu formulieren, analog zum Titel des Artikels:
«Das BACS sorgt für die koordinierte Offenlegung von Schwachstellen ...».
2.3 Antrag zu Art. 9 Abs. 3, Information vor Behebung oder Veröffentlichung
Zur besseren Verständlichkeit ist der Absatz wie folgt zu formulieren (in Anlehnung an den Erläuternden Bericht):
«Ist dem BACS eine Schwachstelle bekannt, die für einzelne kritische Infrastrukturen eine akute Cyber- bedrohung darstellt, informiert es umgehende deren Betreiberinnen, noch bevor die Schwachstelle veröf- fentlicht oder behoben wurde.».
2.4 Anträge zu Art. 11 und 12 E-CSV
2.4.1 Verdeutlichung der Abgrenzung der Systeme nach Art. 11 und Art. 12 E-CSV
Der Zweck und der Unterschied zwischen dem Kommunikationssystem für den sicheren Informations- austausch (Art. 11 E-CSV) und dem Informationssystem für den automatischen Austausch (Art. 12 E- CSV) ist in der Verordnung zu verdeutlichen.
Begründung:
Weder aus den Normen noch aus dem Erläuternden Bericht geht die Abgrenzung beider Systeme, die unterschiedlichen Nutzungsvorgaben und Zwecke klar verständlich hervor.
Nicht klassifiziert I Letzte Bearbeitung: 29.08.2024 I Version: 12 I Dok.-Nr.: 426389 I Geschäftsnummer: 2024.FINGS.141 2/4
Kanton Bern Vernehmlassung zur Cybersicherheitsverordnung (CSV). Canton de Berne Stellungnahme des Kantons Bern
2.4.2 Korrekter und vollständiger Gesetzesverweis in Art. 11 E-CSV
Der Gesetzesverweis in Klammer ist anzupassen:
«Zugang zum Kommunikationssystem des BACS für den sicheren Informationsaustausch (Artikel 74 Abs. 2 Bst.u-elletalse a ISG) haben Organisationen und Behörden mit Sitz in der Schweiz.».
2.4.3 Registrierung
Den gemäss Art. 74b ISG meldepflichtigen Organisationen und Behörden sowie Betreiberinnen kritischer Infrastrukturen ist eine Registrierungspflicht auf dem Kommunikationssystem für den sicheren Informati- onsaustausch bzw. den Informationssystemen für den automatischen Austausch aufzuerlegen.
Begründung:
Den in Art. 74b ISG genannten Meldepflichtigen ist zuzumuten, dass sie aufgrund ihrer Bedeutung ihren Melde- und Austauschpflichten in standardisierter und kontrollierter Form nachkommen. Dies vereinfacht einerseits die Arbeit des BACS und hilft den Meldepflichtigen beim Erfüllen ihrer Aufgaben. Dies wiede- rum entlastet auch die kantonalen Sicherheitsorgane, da auch sie mit weniger Fragen zur Meldepflicht konfrontiert sein werden.
Zudem wird damit auch namentlich klargestellt, welches Organ bzw. welche Person die Meldepflichtigen befugt und — ausschliesslich — verantwortlich für das Meldewesen ist. Auch hiermit wird einerseits dem BACS geholfen, indem sich eine Meldepraxis pro Meldepflichtigen etablieren kann. Und andererseits hilft dies den Meldepflichtigen, das unkoordinierte Absetzen von Meldungen zu vermeiden.
2.5 Antrag zu Art. 16 E-CSV, Ausnahmen von der Meldepflicht
Abs. 1 ist wie folgt zu ergänzen:
Die folgenden Behörden, Organisationen und Betreiberinnen von kritischen Infrastrukturen sind unter den nachstehenden Voraussetzungen von der Meldepflicht ausgenommen:
Begründung
Sowohl das ISG als auch die E-CSV unterscheiden zwischen Betreiberinnen kritischer Infrastrukturen sowie Behörden und Organisationen. Nicht jede Betreiberin einer kritischen Infrastruktur ist eine Behörde oder Organisation und umgekehrt. Art. 74b ISG bezeichnet unabhängig davon einfach die Meldepflichti- gen, Art. 16 E-CSV die davon Ausgenommenen. Die Ergänzung stellt zudem klar, dass grundsätzlich alle Behörden von der Meldepflicht erfasst sind, unabhängig davon, ob sie kritische Infrastrukturen be- treiben.
2.6 Anträge zu Art. 18 E-CSV, Zu meldende Cyberangriffe
2.6.1 Absatz 4, Erpressung, Drohung oder Nötigung
Antrag 1
Entweder ist die Meldepflicht bei Erpressung, Drohung oder Nötigung direkt auf die ehemaligen Verant- wortlichen oder Mitarbeitenden der Meldepflichtigen auszudehnen, oder auf diese Personengruppe ist ganz zu verzichten.
Nicht klassifiziert I Letzte Bearbeitung: 29.08.2024 I Version: 12 I Dok.-Nr.: 426389 j Geschäftsnummer: 2024.FINGS.141 3/4
Kanton Bern Vernehmlassung zur Cybersicherheitsverordnung (CSV). Canton de Berne Stellungnahme des Kantons Bern
Begründung
Wir können uns nicht vorstellen, wie eine meldepflichtige Behörde ihre Pflicht zur Meldung von Erpres- sungen, Drohungen oder Nötigungen gegen ehemalige Verantwortliche oder Mitarbeitende wahrnehmen kann. Dies funktioniert nur, wenn die Ehemaligen von sich aus aktiv werden und den Meldepflichtigen über ihre Bedrohung Meldung erstatten. Dieser Umweg ist jedoch zu vermeiden, so dass sie entweder selbst dem BACS Meldung erstatten oder aber dieses auf solche Meldungen verzichtet.
Antrag 2
Es ist an dieser Stelle der E-CSV (oder andernorts) der Informationsaustausch mit den Strafverfolgungs- behörden des Bundes und der Kantone bei Verdacht auf ein Offizialdelikt verbindlich zu regeln. Dabei sind auch der Abgrenzung zwischen der Cyberabwehr (grundsätzlich Bund) und der Cyberstrafverfol- gung (grundsätzlich Kantone) Rechnung zu tragen.
Begründung
Es ist davon auszugehen, dass die Meldepflichtigen aufgrund des recht einfachen Meldewesens viel eher eine Meldung beim BACS als eine Anzeige bei der Polizei oder der Staatsanwaltschaft deponieren. Das BACS verfügt zudem meistens über weitergehende Informationen, so dass klar sein muss, dass die- ses bei Verdacht auf ein Offizialdelikt bei der zuständigen Strafverfolgungsbehörde Anzeige machen muss.
2.7 Antrag zu Art. 19, Inhalt der Meldung
Abs. 1 Bst. e: Angaben zum Vcrursachcr Angreifer.
Begründung:
In den Buchstaben a bis d ist konsequent vom «Angriff» die Rede, der von einem Angreifer durchgeführt wird.
Der Regierungsrat dankt Ihnen für die Berücksichtigung seiner Anliegen.
Freundliche Grüsse
Im Namen des Regierungsrates
(2 Evi Allemann Christoph Auer Regierungspräsidentin Staatsschreiber
Nicht klassifiziert I Letzte Bearbeitung: 29.08.2024 I Version: 12 I Dok.-Nr.: 426389 I Geschäftsnummer: 2024.FINGS.141 4/4