Lexipedia

IT-Dienstleister. Welche Mindeststandards gelten und welche Verantwortung haben sie?

22.4211 · Interpellation · 2022-09-30

Finanzdepartement

Erledigt

Wortlaut

Seit Jahren gibt es zahlreiche Fälle von Datenabflüssen, Hacking, Cyberattacken und andere Probleme im Zusammenhang mit Technologien. Sie haben für die betroffenen Unternehmen oder Organisationen oder sogar für die Bürgerinnen und Bürger unter Umständen äusserst schwerwiegende Folgen.

Auch wenn es kein Nullrisiko gibt, hängt ein Teil dieser Probleme damit zusammen, dass die Unternehmen auf die gegenwärtigen Bedrohungen im Bereich der digitalen Sicherheit nicht vorbereitet sind. Es kann nicht von jedem Unternehmen erwartet werden, dass es über die notwendigen Fachkenntnisse zur Bekämpfung dieser Bedrohungen verfügt. Ebenso kann nicht davon ausgegangen werden, dass jedes Unternehmen über die nötige Expertise zur Einschätzung der Kompetenz eines IT-Dienstleisters verfügt.

Ich bitte den Bundesrat, die folgenden Fragen zu beantworten:

  • Laut 24 heures vom 8. August 2022 müssen Personen, die Unternehmen mit zweifelhafter IT-Kompetenz öffentlich anprangern, mit einem Gerichtsverfahren rechnen. Stimmt das?
  • Sieht der Bundesrat eine Möglichkeit, für mehr Transparenz im Bereich der IT-Kompetenzen von Dienstleistern zu sorgen?
  • Sieht er insbesondere vor, das öffentliche Anprangern von Unternehmen, die im Bereich der IT-Sicherheit tätig sind, zu erleichtern, Mindeststandards einzuführen oder über Labels nachzudenken?
  • Ist der Bundesrat der Ansicht, dass Cyberrisiken sehr weitreichende Folgen für die Bevölkerung oder die Wirtschaft haben können und somit eine höhere Regulierung notwendig ist als in Sektoren, die diese Risiken nicht bergen (eine Regulierung wie zum Beispiel in den Sektoren Gesundheit, Energie, Telekommunikation, Rüstung usw.).

Stellungnahme des Bundesrates

Frage 1: Öffentliche Äusserungen zur Qualität von Dienstleitungen können von den Betroffenen als unrichtige, irreführende oder unnötig verletzende Äusserungen im Sinne von Artikel 3 Absatz 1 Buchstabe a des Bundesgesetzes gegen den unlauteren Wettbewerb (UWG) und damit als unlautere Handlung gewertet werden. Das betroffene Unternehmen könnte in diesem die im UWG vorgesehenen zivil- und strafrechtlichen Massnahmen ergreifen. Denkbar ist auch eine Berufung auf die Ehrverletzungsdelikte des StGB oder den zivilrechtlichen Persönlichkeitsschutz. Im Einzelfall müsste ein Gericht feststellen, ob eine rechtswidrige Handlung vorliegt. Nach Ansicht des Bundesrates ist es erfolgversprechender, wenn nicht negative Beispiele denunziert, sondern umgekehrt jene Unternehmen hervorgehoben werden, welche die Cybersicherheit angemessen berücksichtigen.

Fragen 2 und 3: Der Bundesrat hält die Transparenz für einen sehr wichtigen Faktor in der Cybersicherheit. Damit IT-Dienstleister überhaupt einen Anreiz erhalten, in die Cybersicherheit zu investieren, muss die Cybersicherheit als Mehrwert für die Kunden erkennbar sein. Dies gelingt unter anderem über die Schaffung von Labels.

Der Aufbau von Labels wird daher im Rahmen der Umsetzung der Nationalen Strategie zum Schutz vor Cyberrisiken (NCS) unterstützt (vgl. Bericht zum Umsetzungsstand der NCS 2018-2022 vom August 2021).

Labels sind auch ein wirksames Instrument, um die Umsetzung von Minimalstandards voranzubringen. Deren Entwicklung und Durchsetzung wird ebenfalls über die Umsetzung der NCS vorangetrieben. Zu erwähnen ist beispielsweise der vom Bundesamt für wirtschaftliche Landesversorgung erarbeitete IKT-Minimalstandard.

Eine Erleichterung von Denunzierungen hält der Bundesrat hingegen nicht für ein geeignetes Mittel zur Stärkung der Cybersicherheit. Wenn IT-Dienstleister damit rechnen müssen, dass ihre Geschäftstätigkeit im Bereich Cybersicherheit ohne die Einschränkungen des Lauterkeitsrechts kritisiert werden dürfen, wird das eher dazu führen, dass sie Investitionen in diesem Bereich zurückhalten.

Frage 4: Ja, der Bundesrat teilt die Meinung, dass Cyberbedrohungen weitreichende Auswirkungen auf die Wirtschaft und die Bevölkerung haben können. Dies trifft auf alle Wirtschaftssektoren zu. Der Bundesrat prüft deshalb laufend, ob neben anderen Massnahmen auch regulative Eingriffe nötig sind. Da sich IT-Dienstleistungen immer direkt auf die verschiedenen Wirtschaftssektoren auswirken, ist es wichtig, dass die Massnahmen über alle Sektoren abgestimmt sind und zugleich der unterschiedlichen Risikoexposition der Sektoren und Unternehmen Rechnung tragen.

Antwort des Bundesrates.

IT-Dienstleister. Welche Mindeststandards gelten und welche Verantwortung haben sie? | Lexipedia | Lexipedia