Gmür-Schönenberger Andrea · Ständerat · 2023-06-01
Gmür-Schönenberger Andrea · Ständerat · Luzern · Die Mitte-Fraktion. Die Mitte. EVP. · 2023-06-01
Wortprotokoll
Die Einführung einer Meldepflicht bei schwerwiegenden Sicherheitsvorfällen, also bei Cyberangriffen, bei kritischen Infrastrukturen wie Spitälern, Elektrizitätswerken oder Hochschulen beschäftigt das Parlament seit mehreren Jahren. Der Bundesrat hat die vorliegende Botschaft am 2. Dezember 2022 verabschiedet. Die Vorlage will die gesetzlichen Grundlagen zu einer Meldepflicht für Betreiberinnen und Betreiber kritischer Infrastrukturen schaffen und die Aufgaben des Nationalen Zentrums für Cybersicherheit (NCSC) definieren, welches als zentrale Meldestelle für Cyberangriffe vorgesehen ist. Das NCSC führt heute schon eine Meldestelle, an welche Cyberangriffe freiwillig gemeldet werden können.
Die Einführung einer Meldepflicht und die Verankerung des NCSC als nationale Meldestelle bedeuten nun wichtige Schritte zur Verbesserung der Cybersicherheit in der Schweiz. Cyberangriffe sind klar eine zentrale Bedrohung für Wirtschaft, Staat und Gesellschaft. Diese Bedrohungen sollen in enger Zusammenarbeit mit der Privatwirtschaft, den Kantonen und auch den Hochschulen bekämpft werden. Eine grosse Herausforderung dabei ist, dass Angreifer ihre Methoden ständig ändern. Entscheidend für die rechtzeitige Warnung vor und die Abwehr von Cyberangriffen ist, dass neue Angriffsmethoden rasch erkannt werden und dass rasch reagiert wird.
Unser Rat ist Zweitrat. Der Nationalrat hat die Vorlage am[NB]16.[NB]März dieses Jahres beraten und ihr mit 132 zu 55 Stimmen zugestimmt. Umstritten war im Schwesterrat die Einführung einer Sanktion bei Nichteinhaltung der Meldepflicht. Eine Pflicht macht aber nur dann Sinn, wenn sie auch durchgesetzt werden kann. Zudem sollen Sanktionen erst als letztes Mittel eingesetzt werden. Erst bei einer klaren Weigerung eines säumigen meldepflichtigen Unternehmens wird überhaupt eine Busse gesprochen.
Für Ihre SiK ist zentral, dass die Meldepflicht ohne grossen Aufwand erfüllt werden kann und dass die Informationen durch das NCSC stets vertraulich behandelt werden. Die Zahl der Unternehmen, die von der Meldepflicht betroffen sind, konnte nicht genau angegeben werden. Allerdings beschränkt sich die Pflicht auf die Betreiber kritischer Infrastrukturen und diejenigen Unternehmen, die für deren Funktionieren relevant sind. Eine Sesselbahn z.[NB]B. gehört nur dann zu den kritischen Infrastrukturen, wenn sie die Erschliessung eines bewohnten Gebietes gewährleistet, das ansonsten nicht zugänglich wäre.
Schwerwiegende Cyberangriffe müssen innerhalb von 24 Stunden dem NCSC gemeldet werden. Dies ist eine gängige Frist. Die Meldung führt dann zu einem Anspruch auf subsidiäre Unterstützung durch das NCSC.
Der Nationalrat hat eine Änderung vorgenommen, die auch die Mehrheit Ihrer SiK unterstützt. Er will, dass die Betreiber von kritischen Infrastrukturen dem NCSC nicht nur Cyberangriffe, sondern auch nicht öffentlich bekannte Schwachstellen melden müssen. Es handelt sich dabei um eine Änderung von Artikel 73b, Artikel 74a bis 74f und Ziffer II Artikel 102. Alle Änderungen betreffen nur diesen einen Aspekt. Weitere Ausführungen dazu werde ich in der Detailberatung machen.
Unsere Kommission ist auf die Vorlage oppositionslos eingetreten. Zur Verordnung wird sie sich konsultieren lassen. In der Gesamtabstimmung hat Ihre Kommission zur[NB]Änderung[NB]des[NB]Informationssicherheitsgesetzes einstimmig Ja gesagt.
Ich bitte Sie, Ihrer SiK zu folgen.