Amherd Viola · Bundesrat · 2023-06-01
Amherd Viola · Bundesrat · Wallis · 2023-06-01
Wortprotokoll
Ich sage gerne zwei, drei Worte zum Eintreten, obwohl die Kommissionssprecherin das bereits sehr gut dargelegt hat.
Cyberangriffe sind eine zentrale Bedrohung für Wirtschaft, Staat und Gesellschaft. In enger Zusammenarbeit mit der Privatwirtschaft, den Kantonen und den Hochschulen tritt der Bund diesen Bedrohungen entgegen. Eine grosse Herausforderung dabei ist, dass Angreifer ihre Methoden ständig ändern. Entscheidend für die rechtzeitige Warnung und Abwehr von Cyberangriffen ist darum, dass neue Angriffsmethoden rasch erkannt werden. Aus diesem Grund sind Meldungen zu Cyberangriffen an das NCSC sehr wichtig. Das NCSC führt heute schon eine Meldestelle. Dort können Cyberangriffe freiwillig gemeldet werden. Über eine geschlossene Plattform pflegt das NCSC zudem den[NB]Informationsaustausch[NB]mit[NB]Betreiberinnen kritischer Infrastrukturen.
Dieser freiwillige Informationsaustausch stösst aber an Grenzen. Während einige Unternehmen sich aktiv daran beteiligen, profitieren andere von den Warnungen, ohne selber zum Informationsaustausch beizutragen. Dies ist vor allem dann störend, wenn es sich bei den Unternehmen um kritische Infrastrukturen handelt, deren Funktionieren für uns alle von grösster Bedeutung ist. Der Bundesrat hat deshalb entschieden, dem Parlament die Einführung einer Meldepflicht bei Cyberangriffen auf kritische Infrastrukturen vorzuschlagen, wie sie in vielen anderen Ländern bereits existiert und in der EU seit 2018 eingeführt ist.
Das Ziel ist, den Informationsaustausch zu stärken und dem NCSC fundierte Einschätzungen zu Cyberbedrohungen in der Schweiz zu ermöglichen. Der Meldepflicht unterstellt werden kritische Infrastrukturen sowie Organisationen, bei denen ein Cyberangriff direkte Auswirkungen auf kritische Infrastrukturen hat. Diese müssen schwerwiegende Cyberangriffe innerhalb von 24 Stunden über ein elektronisches Meldeformular dem NCSC melden. Erfüllen Organisationen die Meldepflicht nicht, werden sie vom NCSC auf die Meldepflicht hingewiesen. Erst wenn weiterhin keine Reaktion erfolgt, ist das NCSC befugt, die Meldung über eine Verfügung einzufordern.
Neben der Meldepflicht legt die Vorlage auch fest, welche Aufgaben der Bund in der Cybersicherheit übernimmt. Insbesondere wird das NCSC verpflichtet, den kritischen Infrastrukturen subsidiäre erste Hilfe bei der Bewältigung von Cyberangriffen anzubieten. [PAGE 386]
Schliesslich berücksichtigt die Vorlage auch den Schutz der Meldenden. Das NCSC leitet ohne Einverständnis keine Angaben über die Meldenden an andere Stellen weiter. Ausnahmen sind nur für die Weiterleitung an den Nachrichtendienst bei Bedrohungen der nationalen Sicherheit und für Weiterleitungen an die Strafverfolgung bei Fällen von schwerer Kriminalität möglich.
Zusammenfassend halte ich fest, dass die Einführung der Meldepflicht weder zu einer finanziellen noch zu einer administrativen Belastung für die Unternehmen führt. Sie stärkt vielmehr die Zusammenarbeit zwischen Bund und[NB]Privatwirtschaft.[NB]Dafür sind folgende Gründe ausschlaggebend:
1.[NB]Die Meldepflicht kann ohne grossen Aufwand über ein Meldeformular erfüllt werden.
2.[NB]Die Informationen werden durch das NCSC vertraulich behandelt.
3.[NB]Die Meldung führt zu einem Anspruch auf subsidiäre Unterstützung durch das NCSC.
4.[NB]Sanktionen bei Nichterfüllung der Meldepflicht sind erst als letztes Mittel möglich.
In der Vernehmlassung wurde die Meldepflicht überwiegend begrüsst: 89 von 99 Teilnehmenden, darunter alle Kantone, unterstützen die Einführung einer Meldepflicht; nur 7 Teilnehmende haben sich dagegen ausgesprochen. Die Vorlage findet eine breite Zustimmung. Sie legt das rechtliche Fundament für die bereits gut etablierte Zusammenarbeit zwischen Wirtschaft und Staat.
Der Nationalrat hat dies gleich beurteilt und der Vorlage mit 132 zu 55 Stimmen deutlich zugestimmt. Er will dabei sogar noch etwas weiter gehen als der Bundesrat und die Unternehmen verpflichten, nicht nur Cyberangriffe, sondern auch neu entdeckte Schwachstellen bei den neu verwendeten Informatikmitteln zu melden. Zu diesem Zweck hat der Nationalrat Artikel 74d mit einem zweiten Absatz ergänzt, welcher festlegt, dass bisher unbekannte Schwachstellen bei betriebskritischen Informatikmitteln gemeldet werden müssen. Der Beschluss des Nationalrates stärkt den präventiven Charakter der Vorlage. Die Meldepflicht setzt nicht erst dann ein, wenn bereits ein Angriff passiert ist, sondern schon dann, wenn ein solcher möglich ist. Gleichzeitig muss man sich bewusst sein, dass diese Änderung dazu führt, dass Unternehmen häufiger Meldungen machen müssen. Es gilt also bei der Beurteilung der Änderung des Nationalrates zwischen dem Aufwand für die Unternehmen und der Stärkung der Cybersicherheit abzuwägen.
Ihre Kommission hat diese Frage intensiv diskutiert und empfiehlt Ihnen, der Änderung des Nationalrates zu folgen. Sie hat zudem einstimmig beschlossen, die Vorlage zur Annahme zu empfehlen.
Je suis convaincue que les avantages de cette loi pour la cybersécurité dépassent largement le surcroît de travail pour les entreprises concernées.
Je vous demande donc de suivre votre commission et le Conseil national et d'entrer en matière sur le projet de loi, puis de l'approuver.