Amherd Viola · Bundesrat · 2023-09-11
Amherd Viola · Bundesrat · Wallis · 2023-09-11
Wortprotokoll
Der Ständerat lehnt die vom Nationalrat beschlossene Ausweitung der Meldepflicht auf Schwachstellen in kritischen Systemen ab. Er folgt damit dem Entwurf des Bundesrates und trägt den Bedenken der Wirtschaft Rechnung. Seitens der Wirtschaft wird befürchtet, dass die Ausweitung zu einer Vielzahl von Meldungen führen könnte, weil nicht klar genug definiert wird, was[NB]eine[NB]Schwachstelle ist und ab wann sie meldepflichtig sein soll.
Ihre Sicherheitspolitische Kommission hat einen Kompromissantrag angenommen. Es sind damit nur noch Schwachstellen meldepflichtig, die bei eingekaufter Soft- und Hardware entdeckt werden. Einzelfehler bei Eigenentwicklungen der betroffenen Unternehmen werden von der Meldepflicht ausgeschlossen. Auch diesem Kompromissantrag stehen Exponenten der Wirtschaft kritisch gegenüber; sie sind skeptisch bezüglich einer Ausweitung der Meldepflicht. Einerseits wird befürchtet, dass der Bund eine zentrale Datenbank mit gemeldeten Schwachstellen unterhalten müsste, die zum Ziel von Hackerangriffen werden könnte. Andererseits wird infrage gestellt, ob die Meldepflicht für Schwachstellen bei betriebskritischen Systemen wirklich zu einer massgeblichen Verbesserung der präventiven Frühwarnung führen kann.
Beim Entscheid, ob eine Meldepflicht für Schwachstellen eingeführt werden soll, gilt es grundsätzlich abzuwägen, ob die Stärkung der Frühwarnung vor unbekannten Schwachstellen den Mehraufwand einer Meldepflicht rechtfertigt. Der Bundesrat ist der Ansicht, dass der Meldeaufwand im Vergleich zum erwarteten Mehrwert zu gross ist und dass die Meldung von Schwachstellen weiterhin freiwillig erfolgen soll. Auf dieser Basis kann das für den Informationsaustausch zu Schwachstellen nötige Vertrauen zwischen Staat und Wirtschaft weiter ausgebaut werden.
Ich bitte Sie, dem Antrag des Bundesrates und des Ständerates zu folgen und die Ausweitung der Meldepflicht auf Schwachstellen abzulehnen.