Lexipedia

Sommaruga Simonetta · Bundesrat · 2019-06-04

Sommaruga Simonetta · Bundesrat · Bern · 2019-06-04

Wortprotokoll

Die Motionärin fordert den Bundesrat auf, die gesetzlichen Grundlagen so zu präzisieren, dass für die Betreiber kritischer Strominfrastrukturen ein verpflichtender, branchenspezifischer Grundschutz gegenüber Cyberangriffen und anderen relevanten Risiken besteht.

Grundsätzlich unterstützt der Bundesrat natürlich die Stossrichtung der Motion, weil auch er der Meinung ist, dass kritische Strominfrastrukturen ein geeignetes Schutzniveau aufweisen sollen. Das ist für den Bundesrat jetzt aber nicht eine neue Erkenntnis, sondern der Bundesrat hat das bereits erkannt und deshalb auch schon gehandelt, indem er das Anliegen in die laufenden Arbeiten zu den nationalen Strategien zum Schutz von kritischen Infrastrukturen und zum Schutz der Schweiz vor Cyberrisiken aufgenommen hat.

In einer Stellungnahme zur Motion, bereits im August 2017, hat der Bundesrat die bestehenden Instrumente und Vorhaben zum Schutz von kritischen Strominfrastrukturen zusammengefasst; ich werde hier deshalb nur kurz darauf eingehen - das war aber bereits im Jahr 2017. Bereits 2012 hat der Bundesrat die nationalen Strategien zum Schutz von kritischen Infrastrukturen und zum Schutz der Schweiz vor Cyberrisiken verabschiedet. Dabei wurde der Leitfaden "Schutz kritischer Infrastrukturen" erarbeitet. Die Zweckmässigkeit des Leitfadens wurde in einem Pilotprojekt mit der nationalen Netzgesellschaft Swissgrid aufgezeigt. Als Massnahme aus der Strategie zum Schutz der Schweiz vor Cyberrisiken wurden dann vom Verband Schweizerischer Elektrizitätsunternehmen, also vom VSE, Minimalstandards für die Sicherheit der Informations- und Kommunikationstechnologien für die Schweizer Strombranche erarbeitet. Im revidierten Energiegesetz wird in den Leitlinien für die sichere Energieversorgung neu auch der Schutz von kritischen Infrastrukturen, einschliesslich der zugehörigen Informations- und Kommunikationstechnik, explizit erwähnt; das ist Artikel 7 Absatz 1. Und im Bereich der Datensicherheit wird von den Betreibern der Elektrizitätsnetze die Erfüllung von Sicherheitsanforderungen für die Datenübermittlung und -bearbeitung gefordert. In Bezug auf die Netzinfrastruktur sind hingegen gemäss Stromversorgungsgesetz die Betreiber in der Pflicht, die entsprechenden technischen und betrieblichen Mindestanforderungen für den Netzbetrieb zu erarbeiten.

Der Bund erlässt weitere explizite Sicherheits- und Schutzvorgaben in Bezug auf Strominfrastrukturen, also z. B. Talsperren oder Kernanlagen, die dann direkt seiner Aufsicht unterstehen.

Der Bundesrat hat im Dezember 2017 die nationale Strategie zum Schutz kritischer Infrastrukturen für den Zeitraum 2018-2022 verabschiedet. Im Rahmen der Umsetzung dieser Strategie prüft die Bundesverwaltung jetzt unter anderem eine Rechtsgrundlage mit sektorübergreifenden Vorgaben für die Resilienz der Betreiber von kritischen Infrastrukturen sowie auch für Meldepflichten für schwerwiegende Sicherheitsvorfälle. Im April letzten Jahres hat der Bundesrat die neu erarbeitete nationale Strategie zum Schutz der Schweiz vor Cyberrisiken für die Jahre 2018-2022 verabschiedet. In diesem Rahmen wird die Bundesverwaltung in Zusammenarbeit mit der Wirtschaft Mindeststandards für die Cybersicherheit entwickeln und auch die Einführung von Meldepflichten für Cybervorfälle vorsehen. Noch etwas: Das Bundesamt für wirtschaftliche Landesversorgung hat im letzten August einen allgemeinen IKT-Minimalstandard für Betreiber kritischer Infrastrukturen publiziert und zur Umsetzung empfohlen.

Schauen Sie, ich habe das jetzt sehr ausführlich aufgezeigt. Es war mir aber ein Anliegen, Ihnen darzulegen, dass wir die Motion nicht ablehnen, weil wir der Meinung sind, dass dieser Grundschutz nicht wichtig ist, sondern weil wir der Meinung sind, mit diesen verschiedenen Strategien, Umsetzungsplänen, Mindeststandards und Meldepflichten das wirklich Nötige gemacht zu haben. Ob es dann im Krisenfall das Richtige ist, wissen wir leider erst dann. Ich meine aber, dass wir hier schon sehr, sehr viele Vorarbeiten geleistet haben.

Deshalb sind wir der Meinung, dass diese Motion bei den bereits laufenden Arbeiten keinen zusätzlichen Mehrwert bringt. Das ist der Grund, weshalb wir Ihnen die Motion zur Ablehnung empfehlen. [PAGE 837]