Erhöhung der Netzsicherheit und Schutz vor Cyberbedrohungen (Teilrevision der Verordnungen im Fernmeldebereich)
Eidgenössisches Departement für Umwelt, Verkehr, Energie und Kommunikation UVEK
Bern, 27. Mai 2026
Erhöhung der Netzsicherheit und Schutz vor Cyberbedrohungen (Teilrevision der Verord nungen im Fernmeldebereich)
Erläuternder Bericht zur Eröffnung des Vernehmlassungsverfah rens
BK-D-BB8A3401/1090
Übersicht Ausgangslage
Die Telekommunikationsinfrastruktur der Schweiz ist eine unverzichtbare und sicher heitspolitisch bedeutende Grundlage für Gesellschaft und Wirtschaft. Dies gilt insbe sondere für das Mobilfunknetz. Während der Fokus in der Vergangenheit auf techni scher Leistung wie Bandbreite und Qualität lag, rücken nun durch die zunehmende Digitalisierung und globale Vernetzung Sicherheitsrisiken in den Vordergrund.
Cyberbedrohungen und sonstige mittels Fernmeldeinfrastrukturen begangene Strafta ten, Datenschutzverletzungen wie auch geopolitische Abhängigkeiten stellen wach sende Bedrohungen dar. Besonders problematisch sind ältere Netzgenerationen, die nicht auf die Verhinderung von Cyberangriffen ausgerichtet waren. Deshalb besteht Handlungsbedarf, um Sicherheitslücken in den heutigen, modernen Mobilfunknetzen möglichst frühzeitig zu vermeiden und den unabhängigen Betrieb, sowie die Stabilität der schweizerischen Kommunikationsinfrastruktur zu stärken.
Geschützt werden muss aber nicht nur die Infrastruktur. Auch die Konsumentinnen und Konsumenten sind mit der zunehmenden Digitalisierung und der technologischen Wei terentwicklung vermehrt Gefahren ausgesetzt, die es zu verhindern gilt.
Der Inhalt der Vorlage ergibt sich hauptsächlich aus der Erfüllung des verabschiedeten Postulats Pult (20.3984) «Digitale Infrastruktur. Geopolitische Risiken minimieren». Ge mäss dem Auftrag, welcher der Bundesrat dem UVEK in diesem Zusammenhang erteilt hat, kann ein Teil der geforderten Sicherheitsmassnahmen gestützt auf den geltenden Artikel 48a Abs. 2 des Fernmeldegesetzes vom 30. April 1997 (FMG; SR 784.10) auf Stufe Verordnung umgesetzt werden. Die Vorlage bezweckt, die Sicherheit der Fern meldeinfrastruktur zu erhöhen, um besser vor Cyber- und weiteren Sicherheitsbedro hungen geschützt zu sein. Um dieses Ziel zu erreichen, soll die Fernmeldeinfrastruktur resilienter, sicherer und diversifizierter betrieben werden müssen. Dazu werden die notwendigen Vorgaben auf Verordnungsstufe geschaffen. Darüber hinaus sind gestützt auf Artikel 28 Absatz 6 Buchstabe a und d FMG punktuelle Anpassungen im Bereich der Adressierungselemente vorgesehen. Dazu gehört ein verbesserter Schutz vor «Spoofing» und die Beschränkung von Unterzuteilung der Nummern. Auch diese Mas snahmen sollen letztlich zu mehr Sicherheit für die Bevölkerung führen.
Erläuternder Bericht
1 Ausgangslage
1.1 Handlungsbedarf und Ziele
Handlungsbedarf
Die aktuelle geopolitische Lage ist geprägt von zunehmenden Spannungen und Unsi cherheiten und führt in zahlreichen Politik- und Wirtschaftsbereichen zu einem deutlich erhöhten Sicherheitsbedürfnis. Davon ist insbesondere auch der Bereich der Kommu nikation betroffen. Sichere, verlässliche und jederzeit verfügbare Fernmeldeinfrastruk tur bildet eine zentrale Voraussetzung für das Funktionieren von Staat, Wirtschaft und Gesellschaft. Technologische Abhängigkeiten können von ausländischen staatlichen oder staatsnahen Akteuren instrumentalisiert werden, um politischen oder wirtschaftli chen Druck auszuüben, kritische Infrastrukturen zu sabotieren oder strategische Infor mationen abzuschöpfen.
Die Fernmeldeinfrastruktur in der Schweiz, insbesondere die Infrastruktur des Mobil funknetzes, hat sich zu einer allgegenwärtigen und kritischen Komponente des gesell schaftlichen und wirtschaftlichen Lebens entwickelt. Darum sollen jene Risiken mini miert werden, welche die Sicherheit der Schweiz gefährden können. Es besteht zudem ein öffentliches Interesse, dass Netzausfälle möglichst verhindert werden können.
Vor diesem Hintergrund hat das Parlament in den vergangenen Jahren verschiedene Vorstösse überwiesen, die von einem klaren Handlungsbedarf ausgehen. Diese zielen darauf ab, die Sicherheit von Fernmeldeinfrastrukturen und -diensten zu erhöhen und deren Resilienz gegen neue Bedrohungsformen nachhaltig zu stärken. Die fortschrei tende Digitalisierung und die zunehmende Vernetzung von Systemen erhöhen zugleich die Angriffsflächen und damit die Verwundbarkeit durch hybride Bedrohungen, mit de nen technologische Mittel zur Destabilisierung, Erpressung oder gezielten Einfluss nahme eingesetzt werden. In diesem Kontext kommt einer resilienten, sicheren und diversifizierten Fernmeldeinfrastruktur eine zentrale Bedeutung zu. Sie ist eine wesent liche Voraussetzung für die Handlungsfähigkeit der Schweiz, die wirtschaftliche Stabi lität sowie das Vertrauen der Bevölkerung in die Funktionsfähigkeit grundlegender Inf rastrukturen.
Die technologische Entwicklung hat nicht nur wohlgesinnten Fachleuten sondern auch Cyberkriminellen neue Möglichkeiten eröffnet. Zudem könnten insbesondere Staaten, staatliche Cyber-Akteure und ausländische Nachrichtendienste, die aufgrund der geo politischen Lage ein Interesse entwickeln, den Cyber-Raum für machtpolitische Zwe cke sabotieren. Der Telekommunikationssektor steht deshalb im Visier von staatlichen Cyber-Akteuren. Das global vernetzte Internet, die sozialen Netzwerke und die künst liche Intelligenz verfügen neben einem enormen Nutzen- auch über ein sehr grosses Schadenspotenzial. Dadurch ist der Betrieb der eingesetzten Technologien mittlerweile mit erheblichen Sicherheitsrisiken durch Cyberbedrohungen verbunden. Dazu zählen insbesondere Verletzungen des Datenschutzes, der Datensicherheit sowie eine Re duktion der Kontroll- und Handlungsfähigkeit bezüglich dieser kritischen Infrastruktu ren. Des Weiteren haben Cyberbedrohungen und Telefonbetrug in den letzten Jahren zugenommen und halten sich auf einem konstant hohen Niveau, weshalb immer mehr Fälle mit erheblichen finanziellen Schäden sowohl für natürliche als auch juristische Personen zu verzeichnen sind.
Die IT- und Telekommunikationsnetze älterer Generationen lassen sich nachträglich nur schwer anpassen, um Cyberangriffen oder Cyberspionage entgegenzuwirken. Ihre Sicherung wird häufig mit Behelfslösungen bewerkstelligt, da ein weltweiter, vollstän diger Ersatz viel Zeit und Aufwand in Anspruch nimmt. Es muss deshalb bei den mo dernen Mobilfunknetzen dringend verhindert werden, dass sich fehlende Sicherheits merkmale und daraus resultierende Sicherheitsprobleme der älteren Generationen wiederholen.
Die vorliegende Vernehmlassungsvorlage trägt zur Umsetzung der Sicherheitspoliti schen Strategie, der Nationalen Strategie zum Schutz kritischer Infrastrukturen1 (SKI- Strategie) sowie der Nationalen Cyberstrategie NCS2 gegen Cyberbedrohungen bei. Weiter werden gestützt auf Artikel 28 Absatz 6 Buchstaben a und d FMG Massnahmen zum Schutz schweizerischer Adressierungselemente eingeführt.
Ziele
Der Bundesrat schlägt im Rahmen der Umsetzung des Postulats Pult (20.3984) «Digi tale Infrastruktur. Geopolitische Risiken minimieren» vor, einen Teil der geforderten Si cherheitsmassnahmen für die Fernmeldeinfrastruktur insbesondere für die Mobilfunk netze gestützt auf Artikel 48a Absatz 2 FMG auf Verordnungsstufe einzuführen. Die vorgeschlagenen Massnahmen sollen bereits im Hinblick auf die nächste Mobilfunkfre quenzvergabe in Kraft treten. Der Revisionsbedarf zum aktuellen Zeitpunkt ist somit insofern gegeben, als dass das Datum der Inkraftsetzung mit dem Vergabeverfahren für die Nutzung der Mobilfunkfrequenzen ab 2029 zu koordinieren ist, damit die neuen Rahmenbedingungen den Bieterinnen einer Auktion für die Nutzung der Frequenzen bekannt sein müssen. Eine Revision im Nachgang an die laufende FMG-Revision wäre hinsichtlich dieser Vorgabe somit zu spät.
Die Netzwerksicherheit in der Schweiz ist eng mit der globalen Vernetzung der Tele kommunikationsinfrastrukturen verbunden. Um den Cyberbedrohungen wirksam zu be gegnen, ist eine enge Zusammenarbeit zwischen den Akteuren der Telekommunikati onsbranche unerlässlich. Die Bündelung von Kräften und Synergien ermöglicht eine konsistente und schnelle Umsetzung von Sicherheitsmassnahmen. Die Entwicklung von «Best Practices» und «Guidelines» sowie die Einrichtung einer gemeinsamen Da tenbank für Schwachstellen, Angriffe und deren Abhilfemassnahmen sind entschei dende Schritte, um ein geordnetes Vorgehen gewährleisten zu können.
Die Übernahme und Umsetzung internationaler Regeln und Normen ist des Weiteren wichtig, um die Robustheit der betriebenen Netze zu verbessern. Die kontinuierliche Umsetzung dieser Massnahmen muss während der gesamten Lebensdauer der Sys teme sowie bei technologischen Veränderungen sichergestellt werden. Die Mobilfunk konzessionärinnen und die Full Mobile Virtual Network Operator (Full MVNO) – Full MVNO sind Mobilfunkanbieterinnen, die eigenständig Mobilfunk-Dienstleistungen an bieten, wobei sie jeweils das Funkzugangsnetz (Radio Access Network [RAN]) einer Mobilfunkkonzessionärin nutzen – müssen vor der Inbetriebnahme ihrer Infrastrukturen gewährleisten, dass diese nach dem Prinzip «Secure by Design» hergestellt und nach dem Prinzip «Secure by Default» konfiguriert sind, also dass die Systeme bereits sicher gebaut werden und von Anfang an mit sicheren Standardeinstellungen laufen. Dies
Bundesrat (2023b). Bundesrat (2023a).
schliesst auch den Einsatz von Instrumenten zur Erkennung von unbefugtem Eindrin gen und von Kompromittierungen in Netzwerken mit ein.
Mittelfristig soll die Vorlage den Datenschutz, die Datensicherheit sowie die Kontroll- und Handlungsfähigkeit bezüglich kritischer Infrastrukturen in der Schweiz stärken. Dies wird mit dem Betrieb von Netzbetriebszentren- (Network Operations Center [NOC]) und Sicherheitsoperationszentren (Security Operation Center [SOC]) sowie der Kernfunktionen (Core Networks) der modernen Mobilfunknetze in der Schweiz erreicht.
Es soll die Möglichkeit geschaffen werden, die Verwendung von Netzwerkanlagen, die als kritisch eingestuft werden, in Telekommunikationsnetzen besser kontrollieren zu können und es sollen strengere Sicherheitsanforderungen zur Anschaffung von Kom ponenten des Core-Netzes eingeführt werden. Die Ziele sollen insbesondere mittels neuer oder angepasster Begriffsdefinitionen der Festlegung von Rahmenbedingungen sowie der Durchführung von Kontroll-, Risikobewertungs- und Konformitätsverfahren, die sich auf kritische Netzwerkanlagen beziehen, erreicht werden. Neu müssen bei spielsweise die Hersteller von solchen Netzwerkanlagen eine Risikobewertung vorneh men sowie ein entsprechendes Konformitätsbewertungsverfahren mit Einbezug einer Drittstelle durchführen.
Mit den vorgeschlagenen Bestimmungen im Bereich der Adressierungselemente sollen die Nutzenden der modernen Kommunikationsmittel besser vor Cyberbedrohungen und weiteren mittels Fernmeldeinfrastrukturen begangener Straftaten geschützt wer den. Dabei ist zu beachten, dass die anerkannten Probleme im Bereich der Strafver folgung und auch der Prävention nicht im Fernmelderecht gelöst werden können. Die ses soll aber möglichst Regeln enthalten, welche die Strafverfolgungsbehörden unter stützen und der Prävention dienen, ohne dass das ordnungsgemässe Funktionieren der Kommunikation verhindert wird.
Die Einführung entsprechender Sicherheits- und Schutzmassnahmen bedingen eine Anpassung der geltenden Verordnungsbestimmungen. Erforderlich ist neben einer Teilrevision der Verordnung vom 9. März 20073 über Fernmeldedienste (FDV) auch eine Anpassung der Verordnung vom 25. November 20154 über Fernmeldeanlagen (FAV) sowie der dazugehörigen Verordnung des BAKOM vom 26. Mai 20165 über Fernmeldeanlagen (VFAV). Ebenfalls müssen punktuelle Änderungen in der Verord nung vom 6. Oktober 19976 über die Adressierungselemente im Fernmeldebereich (AEFV) erfolgen.
1.2 Geprüfte Alternativen und gewählte Lösung
Die nachfolgenden alternativen Handlungsoptionen wurden geprüft und verworfen:
• Beibehaltung des Status Quo Wenn keine neuen Sicherheitsregeln eingeführt werden, kann die Entwicklung der Telekommunikation mit dem technologischen Fortschritt nicht mithalten. Si cherheitslücken bleiben bestehen oder vergrössern sich sogar. Beim Miss brauch von Rufnummern könnten Anbieterinnen Spoofing weiterhin nur be
3 SR 784.101.1 4 SR 784. 101.2 5 SR 784. 101.21 6 SR 784.104
kämpfen, wenn sie davon tatsächlich Kenntnis haben. Der Schutz vor betrüge rischen Anrufen bliebe damit auf tieferem Niveau. Zudem bliebe die Nutzung von Schweizer Rufnummern durch eine kaum kontrollierbare Vielzahl von An bieterinnen möglich und Unterzuteilungen wären weiterhin nur schwer zu be aufsichtigen.
Verstärkte Selbstregulierung statt verbindlicher Vorgaben Empfehlungen oder freiwillige Branchenregeln reichen nicht aus, da sie oft nicht im Interesse der Anbieterinnen liegen. Zudem sind freiwillige Umsetzun gen aufwendig und teuer. Wirksame Verbesserungen erfordern daher rechtlich verbindliche und durchsetzbare Vorgaben.
Zulassungspflicht für Kernnetzkomponenten durch das BAKOM Eine Zulassungspflicht für zentrale Netzkomponenten und externe Prüfstellen ist mit hohem administrativem Aufwand und übermässigen Kosten verbunden.
Betrieb kritischer Funktionen unabhängig von anderen Rechtssystemen Lediglich vorzuschreiben, dass Mobilfunkdienstanbieterinnen sicherstellen sol len, dass zentrale Funktionen wie NOC, SOC und der Betrieb moderner Netze für Schweizer Dienste unabhängig von ausländischen Rechtssystemen erfol gen, ist schwer überprüfbar und durchsetzbar.
Zentrale staatliche Cyberabwehr für private Anbieterinnen Für eine zentrale staatliche Cyberabwehr für private Unternehmen fehlen aktu ell die finanziellen Mittel.
Pflicht zu einem Firmensitz in der Schweiz Die Verpflichtung für Mobilfunkanbieterinnen, einen Firmensitz in der Schweiz zu haben, würde keine zusätzlichen sicherheitsrelevanten Vorteile gegenüber einer Korrespondenzadresse oder einem Handelsregistereintrag bringen.
Erweiterte Kompetenzen für die ComCom bei der Frequenzvergabe Die Idee, der ComCom mehr Spielraum zu geben, um bei der Frequenz vergabe sicherheitsrelevante Bedingungen vorzusehen, müsste auf Gesetzes stufe geregelt werden.
Obligatorische Mitgliedschaft bei der GSMA Obwohl die GSM Association (GSMA) für ihre Mitglieder hilfreiche Mittel zur Verbesserung der Sicherheit bereitstellt und die Mitgliederbeiträge abhängig vom erzielten Umsatz sind, wurde aufgrund einer möglichen Verletzung der Vereinigungsfreiheit auf eine obligatorische Mitgliedschaft verzichtet.
Entlastungsmöglichkeiten für Unternehmen Mobile Virtual Network Operator (MVNO) werden von einem Grossteil der Si
cherheitsvorgaben ausgenommen. Weitere Entlastungsmöglichkeiten nach Ar tikel 4 Absatz 1 Buchstabe a des Bundesgesetzes vom 29. September 20237 über die Entlastung der Unternehmen von Regulierungskosten (UEG) sind nicht möglich. Ansonsten ist die Gefahr zu gross, dass Schwachstellen schnell lokalisiert würden und erhebliche Auswirkungen auftreten würden.
7 SR 930.31
Die gewählte Lösung besteht aus folgenden Elementen und ist in Ziffer 3 f. ausführ lich beschrieben:
Strengere Sicherheitsanforderungen für kritische Netzwerkanlagen Einführung verbindlicher Kontroll-, Risikobewertungs- und Konformitätsverfah ren für kritische Netzwerkanlagen.
Konformitätsprüfungen kritischer Netzwerkanlagen Die Hersteller müssen sicherstellen, dass ihre kritischen Netzwerkanlagen si cherheitskonform sind und deren Konformität mit den spezifischen Sicherheits anforderungen anhand des geeigneten Verfahrens nachweisen.
Verpflichtung zu «Secure by Design» und Nutzung von «Secure by Default»-Funktionen Mobilfunkkonzessionärinnen und Full MVNO müssen Netze betreiben, die von Beginn an sicher konzipiert sind und alle von den Herstellern bereitgestellten Sicherheitsfunktionen aktivieren.
Verpflichtende Zusammenarbeit und nationale Datenbank für Schwach stellen Mobilfunkkonzessionärinnen und Full MVNO müssen aktiv zusammenarbeiten, auch mit dem Bund, und sich regelmässig über Schwachstellen und Cyberan griffe in ihren Netzen austauschen.
Pflicht zur Detektion von Angriffen und Kompromittierungen Mobilfunkkonzessionärinnen und Full MVNO müssen Methoden und Tools ein führen, um Angriffe und Manipulationen in Mobilfunknetzen zu erkennen.
Betrieb von Netzbetriebs- und Sicherheitsoperationszentren zwingend in der Schweiz Netzbetriebs- und Sicherheitsoperationszentren (NOC und SOC) müssen in der Schweiz betrieben werden. Essenzielle Sicherheits- und Betriebsfunktio nen müssen ebenfalls in der Schweiz liegen, wobei Auslandsstandorte als be fristete Redundanz zulässig sind.
Erleichterte Bekämpfung von Rufnummernmissbrauch (Spoofing) Anbieterinnen sollen schon bei blossen Indizien für Spoofing aktiv werden kön nen, um Konsumentinnen und Konsumenten besser schützen zu können.
Beschränkung von Unterzuteilungen auf eine Stufe Telefonnummern sollen nur noch einmal weitergegeben werden dürfen, um die Rückverfolgbarkeit sicherzustellen, Aufsichtsaufwand zu reduzieren und Miss brauch zu erschweren.
Beschränkung missbräuchlicher Verwendung von Adressierungsres sourcen Anpassungen bei der Nutzung von Mobile Network Codes (MNC), Nummern blöcken und Global Titles (GT) sollen verhindern, dass diese Ressourcen im Signalisierungsnetz für digitale Angriffe oder Standortverfolgung missbraucht werden.
Pflicht zur Einhaltung internationaler Sicherheitsstandards
Mobilfunkanbieterinnen und Full MVNO müssen die internationalen Sicher heitsstandards beachten.
Die vorgesehen Pflichten adressieren bisher teilweise ungeregelte Bereiche des Fernmeldemarktes. Der Handlungsbedarf ergibt sich wie in Ziffer 1.1 dargestellt aus den technologischen Entwicklungen und den sich daraus ergebenden Möglichkeiten für deren (missbräuchliche) Nutzung. Die dargestellten Entwicklungen führen nicht dazu, dass der Regelungsbedarf in anderen Bereichen des Fernmeldemarktes ent fällt. Entsprechend gibt es keine Möglichkeiten, die betroffenen Unternehmen nach Artikel 4 Absatz 1 Buchstabe d UEG durch die Aufhebung von Regulierungen zu ent lasten.
1.3 Verhältnis zur Legislaturplanung und zur Finanzplanung sowie zu Strate
gien des Bundesrates Die Vorlage ist weder in der Botschaft vom 24. Januar 20248 zur Legislaturplanung, noch im Bundesbeschluss vom 6. Juni 20249 über die Legislaturplanung 2023–2027 angekündigt.
Die Teilrevision der genannten Verordnungen ist dennoch angezeigt, da die vorge schlagenen Massnahmen zur Erfüllung des Ziels 20 des Bundesbeschlusses zur Le gislaturplanung 2023–202710 beitragen. Gemäss diesem Ziel soll der Bund Cyberrisi ken antizipieren und wirksame Massnahmen ergreifen, um die Bevölkerung, die Wirt schaft sowie die kritischen Infrastrukturen zu schützen. Mit den vorgeschlagenen Si cherheitsmassnahmen kann diesbezüglich ein wichtiger Beitrag geleistet werden.
Die Nationale Cyberstrategie NCS11 gegen Cyberbedrohungen wie auch die Nationale Strategie zum Schutz kritischer Infrastrukturen12, namentlich das Ziel «Sichere und ver fügbare digitale Dienstleistungen und Infrastruktur»13, greifen diesen präventiven An satz auf, beauftragen den Bundesrat aber zugleich, Cyberrisiken und ‑verwundbarkei ten zu analysieren und unter Berücksichtigung von Bedürfnissen und Gesetzeslücken notwendige Regelungen vorzuschlagen. Die vorliegende Vernehmlassungsvorlage steht nicht nur im Einklang mit diesen Strategien, sondern trägt auch zu deren Umset zung bei.
1.4 Erledigung parlamentarischer Vorstösse
Mit der vorliegenden Vernehmlassungsvorlage werden die geforderten Sicherheitsan liegen gemäss Auftrag aus dem überwiesenen Postulat Pult (20.3984) «Digitale Infra struktur. Geopolitische Risiken minimieren» auf Verordnungsstufe umgesetzt. Die Vor lage trägt überdies zur Umsetzung der Anliegen des Postulats Maret (24.3632) «Uner wünschte Anrufe. Braucht es neue Massnahmen?», der Motion Seiler-Graf (24.4392) «Es braucht griffige Massnahmen gegen die missbräuchliche Verwendung von schwei zerischen Rufnummern» und der Motion Candinas (24.4391) «Es braucht einen wirk samen Schutz gegen Call-ID-Spoofing von schweizerischen Rufnummern!» bei.
8 BBl 2024 525
9 BBl 2024 1440
10 BBl 2024 1440, Artikel 21. https://www.fedlex.admin.ch/eli/fga/2024/1440/de#art_21. Bundesrat (2023a). Bundesrat (2023b). NCS (2023).
2 Rechtsvergleich, insbesondere mit dem europäischen Recht
Die Europäische Union (EU) ist ernsthaft besorgt um die Sicherheit ihrer digitalen Netz werke und Informationssysteme als kritische Infrastrukturen für Wirtschaft und Gesell schaft. Das EU-Recht soll deshalb auf die Schaffung eines sicheren und resilienten digitalen Ökosystems ausgelegt werden. Dazu werden Sicherheitsanforderungen für die wichtigen Akteure festgelegt, die Zusammenarbeit zwischen den Mitgliedstaaten gefördert und Zertifizierungs-, Überwachungs- und Sanktionsmechanismen eingeführt. Bürgerinnen und Bürger, Unternehmen und Institutionen sollen so vor Cyberbedrohun gen geschützt und das einwandfreie Funktionieren des digitalen Binnenmarkts sicher gestellt werden.
Die gesetzlichen Grundlagen der EU bilden im Bereich der Sicherheit der digitalen Inf rastrukturen einen umfassenden rechtlichen Rahmen und sind in drei Kategorien ge gliedert: ausschliesslich der Cybersicherheit gewidmete Regelwerke, Rechtsakte, die Bestimmungen zur Cybersicherheit enthalten und Grundlagen, die auf die Cybersicher heit verweisen. Im Bereich der Sicherheit der Infrastrukturen, der Dienste und der End geräte massgeblich sind im Wesentlichen die Bestimmungen des Rechtsakts zur Cy bersicherheit (Cybersecurity Act, CSA)14, der Cyberresilienz-Verordnung (Cyber Resi lience Act, CRA)15, der NIS2-Richtlinie über die Sicherheit der Netz- und Informations systeme16 sowie des Konnektivitäts-Instrumentariums für 5G und schnelles Breitband der Europäischen Kommission («5G-Toolbox»)17.
Das Abkommen zwischen der Schweizerischen Eidgenossenschaft und der EU über die gegenseitige Anerkennung von Konformitätsbewertungen (MRA Schweiz–EU)18 ist ein Instrument zum Abbau technischer Handelshemmnisse bei der Vermarktung zahl reicher Industrieerzeugnisse zwischen der Schweiz und der EU, insbesondere im Sek tor Funkanlagen und Telekommunikationsendgeräte (Kapitel 7). Entsprechend bein haltet das MRA Schweiz–EU verschiedene Cybersicherheitsvorschriften, die im Ein klang mit dem europäischen Recht stehen. Die Richtlinie 2014/53/EU über Funkanla gen (RED)19, an welche die Schweiz ihre Gesetzgebung gestützt auf ihre internationale Verpflichtung gemäss MRA angeglichen hat, schafft einen Regelungsrahmen für das Inverkehrbringen von Funkanlagen, der technische Anforderungen für den Schutz der Privatsphäre, den Schutz personenbezogener Daten und den Schutz vor Betrug um fasst. Die Bestimmungen, die 2022 als zusätzliche grundlegende Anforderungen in die VFAV aufgenommen wurden (vgl. Art. 1 und Anhang 1 VFAV), erhöhen die Cybersi cherheit bestimmter drahtloser Geräte (z.B. Smartphones, Smartwatches, Fitness-Tra cker und drahtlose Spielzeuge), die auf dem Schweizer Markt erhältlich sind. Solche
Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates vom 17. April 2019 über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kom munikationstechnik und zur Aufhebung der Verordnung (EU) Nr. 526/2013 (Rechtsakt zur Cybersicherheit), ABl. L 151 vom 7.6.2019, S. 15; geändert durch Verordnung (EU) 2025/37, ABl. L, 2025/37, 15.1.2025. Verordnung (EU) 2024/2847 des Europäischen Parlaments und des Rates vom 23. Oktober 2024 über horizontale Cy bersicherheitsanforderungen für Produkte mit digitalen Elementen und zur Änderung der Verordnungen (EU) Nr. 168/2013 und (EU) 2019/1020 und der Richtlinie (EU) 2020/1828 (Cyberresilienz-Verordnung), ABl. L, 2024/2847, 20.11.2024. Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Massnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (NIS-2-Richtlinie), ABl. L 333 vom 26.12.2022, S. 80. EU (2020). 18 SR 0.946.526.81 Richtlinie 2014/53/EU des Europäischen Parlaments und des Rates vom 16. April 2014 über die Harmonisierung der Rechtsvorschriften der Mitgliedstaaten über die Bereitstellung von Funkanlagen auf dem Markt und zur Aufhebung der Richtlinie 1999/5/EG, ABl. L 153 vom 22.5.2014, S. 62.
vernetzten Geräte müssen Funktionen aufweisen, die eine Beeinträchtigung des Kom munikationsnetzes verhindern, damit deren Resilienz gestärkt wird. Die Bestimmungen der VFAV gelten auch für 5G-Anlagen.
3 Grundzüge der Vorlage
3.1 Die beantragte Neuregelung
Die Neuregelungen bringen im Weiteren strengere Sicherheitsanforderungen für die Anschaffung und den Betrieb von Fernmeldeanlagen wie z. B. Mobilfunkantennen und Software mit sich. Dies betrifft sowohl die Mobilfunkkonzessionärinnen als auch die Full MVNO. Dies insbesondere deshalb, weil durch die Definition des Begriffs «kritische Netzwerkanlagen» und der damit verbundenen Sicherheitsanforderungen in der FAV Kontroll-, Risikobewertungs- und Konformitätsverfahren eingeführt werden, die sich auf «mobile und feste Netzwerkgeräte/-einrichtungen» beziehen. Die Herstellerinnen wer den zur Abgabe einer Kopie der technischen Unterlagen verpflichtet, welche die Kon formität der kritischen Netzwerkanlagen mit den erhöhten Sicherheitsanforderungen nachweist. Die mit dieser Revision eingeführten neuen Sicherheitsmassnahmen be treffen ausschliesslich die öffentlichen Fernmeldenetze, die für die Erbringung von Fernmeldediensten für Endkunden genutzt werden (Art. 2, Art. 28b und 28c FAV).
Zudem wird für die Mobilfunkkonzessionärinnen und Full MVNO eine Verpflichtung ge schaffen, regelmässig die Konformität ihres Kernnetzes und ihrer anderen kritischen Netzwerkanlagen gemäss den Technischen und administrativen Vorschriften (TAV) für die Sicherheit mobiler Telekommunikationsnetze zu überprüfen sowie auch den Nach weis zu erbringen, dass sie konform mit den verschiedenen harmonisierten internatio nalen Normen sind (Art. 96fbis FDV). Dem BAKOM wird es ermöglicht, Kontrollen der technischen Unterlagen, die in Besitz der Betreiberinnen sind, durchzuführen (Art. 28b
Die Mobilfunkkonzessionärinnen und die Full MVNO werden des Weiteren verpflichtet, sogenannte «Secure by Design»-Telekommunikationsnetze zu betreiben und alle Si cherheitsoptionen und -funktionen zu implementieren, die von den Herstellerinnen der Netzwerkanlagen «Secure by Default» zur Verfügung gestellt werden (Art. 96fbis FDV).
Mit der Vorlage wird für die Mobilfunkkonzessionärinnen und die Full MVNO zudem die Pflicht eingeführt, im Bereich der Sicherheit der Fernmeldenetze und -dienste aktiv un tereinander und mit den zuständigen Stellen des Bundes zusammenzuarbeiten. Aus serdem wird angestrebt, dass sie eine nationale Datenbank über unbefugtes Eindrin gen und von Schwachstellen in Mobilfunknetzen aufbauen und betreiben. Überdies müssen die Mobilfunkkonzessionärinnen und die Full MVNO Methoden und Instru mente zur Erkennung von unbefugtem Eindringen und von Kompromittierungen in Mo bilfunknetzen einrichten und einsetzen (Art. 96fbis FDV).
Ferner wird mit der geplanten Vorlage die Voraussetzung geschaffen, dass die Mobil funkkonzessionärinnen und die Full MVNO ihre Netzbetriebszentren (NOC) und ihre Sicherheitsoperationszentren (SOC) in der Schweiz betreiben müssen. Die Mobilfunk konzessionärinnen und die Full MVNO müssen des Weiteren neu sicherstellen, dass die für die Sicherheit und den Betrieb ihrer Netze essenziellen Funktionen in der Schweiz betrieben werden, wobei im Falle eines Ausfalles zeitlich befristet redundante Systeme im Ausland betrieben werden können (Art. 96f FDV).
Aufgrund des Gefahrenpotenzials zum Missbrauch von Schweizer Rufnummern sollen Anbieterinnen präventiver aktiv werden. In der Regel liegen den Anbieterinnen Anhalts punkte und Indizien vor, dass eine Nummer «gespooft» wird, ohne dass sie Kenntnis im Sinne eines vorliegenden Beweises haben. Dies macht es einfacher, Konsumentin nen und Konsumenten zu schützen. Die Tatsache, dass Schweizer Nummern in der Bevölkerung eine hohe Vertrauenswürdigkeit erwecken, wird von Betrügern bewusst ausgenutzt. Das schweizerische Fernmelderecht kennt liberale Nutzungs- und Zutei lungsbedingungen von Telefonnummern. Diese Vorgaben waren in Zeiten der Markt öffnung angezeigt und notwendig, um den Wettbewerb zu fördern. Mit der zunehmen den Digitalisierung und Globalisierung der Telekommunikation erschweren die gelten den regulatorischen Bedingungen jedoch sowohl die fernmelderechtliche Aufsicht wie auch die Arbeiten der Strafverfolgungsbehörden. Verschiedene Länder in Europa (z. B. Deutschland, Frankreich, Österreich, Finnland) haben bereits Massnahmen zum Schutz ihrer Nummernbereiche ergriffen. Auch wenn Anpassungen der fernmelde rechtlichen Vorgaben die Problematik allein nicht zu lösen vermögen, tragen sie den noch zur Eindämmung und effizienteren Verfolgung von Cyberbedrohungen und ande ren mittels Telekommunikationsinfrastruktur begangenen Straftaten bei (Art. 26a Abs. 6 FDV).
Gemäss geltendem Recht kann eine Inhaberin eines Nummernblocks ihrerseits Num mern an registrierte Anbieterinnen nach Artikel 4 FMG zum Erbringen von Fernmelde diensten zuteilen. Obschon entsprechende Unterzuteilungen dem BAKOM im Rahmen der Auslastungserhebungen gemeldet werden müssen, zeigt sich bei der fernmelde rechtlichen Aufsicht und auch der Strafverfolgung, dass die Rückverfolgung der Inha berin bei mehrfach erfolgter Weitergabe (Kaskade) teils schwer oder nicht mehr mög lich ist. Dies insbesondere, wenn mehrere Stufen von Unterzuteilungen ins und im Aus land erfolgen. Seitens Behörden fällt oftmals ein enormer Aufwand an, die Kaskaden an Unterzuteilungen nachzuvollziehen und nachzuführen, respektive die Anbieterinnen ins Recht zu fassen. Die Korrespondenz mit ausländischen Unternehmen ist dabei oft mals sehr aufwändig und selten zielführend. Gegenüber Unternehmen, die sich überall auf der Welt befinden können, ist die Durchsetzung der fernmelderechtlichen Vorgaben nahezu ausgeschlossen, auch wenn diese theoretisch dem Schweizer Fernmelderecht unterliegen. Es ist daher vorgesehen, die Bekämpfung von missbräuchlichen Verwen dungen schweizerischer Nummern mittels punktueller Vorgaben auf Verordnungsstufe zu unterstützen. Als Massnahme soll deshalb inskünftig nur noch eine einstufige Un terzuteilung von der Nummernblockinhaberin an eine einzige weitere Anbieterin (mit Sitz im In- oder Ausland) möglich sein, damit eine Identifikation der aktuellen Inhaberin jederzeit gewährleistet ist. Mit der Beschränkung der Unterzuteilung auf lediglich eine Stufe soll der administrative und aufsichtsrechtliche Aufwand und dessen Kosten ge senkt werden sowie gleichzeitig die Kontrolle über die Nutzung von Schweizer Num mern erhöht werden. Dies dient auch der Missbrauchsbekämpfung, da Schweizer Te lefonnummern oft in Zusammenhang mit Betrugsfällen, namentlich um gefälschte Nut zerkonten auf Online-Plattformen (Soziale Medien, Messenger-Apps wie WhatsApp) in Erscheinung treten oder bei Banken und Bezahldiensten (wie z. B. Twint) zur Regist rierung benutzt werden (Art. 23 Abs. 2 Bst. a und b AEFV).
Weiter wird eine Anpassung betreffend die in den Mobilfunknetzen verwendeten Adres sierungselemente vorgeschlagen. Mit der vorgesehenen Änderung von Arti kel 47 AEFV soll die Zuteilung von Adressierungselementen (MNC und Nummernblö cke des Nummerierungsplans E.164) eindeutig mit der Zusammensetzung eines Glo bal Title (GT) verknüpft werden. Der GT muss daher ausdrücklich einen Teil der Ken nungen enthalten, die den zugewiesenen E.164-Nummernblöcken sowie den MNC zu geordnet sind.
Der GT wird in einem Signalisierungssystem verwendet, um die Weiterleitung von An rufen über die Mobilfunknetze sicherzustellen. Mit den Massnahmen soll verhindert werden, dass GT, die offensichtlich nicht ausdrücklich den zugewiesenen Adressie rungselementen zugeordnet sind, für betrügerische Zwecke im Signalisierungsnetz der Mobilfunknetze – beispielsweise zur Standortverfolgung von Mobilfunkkundinnen und Mobilfunkkunden – verwendet werden.
Die Einführung einer Verpflichtung für die Mobilfunkkonzessionärinnen und Full MVNO, die internationalen Sicherheitsstandards zu beachten, soll schliesslich ebenfalls zur Stärkung der Sicherheit und damit des Standorts Schweiz beitragen (Art. 96fbis FDV).
3.2 Umsetzungsfragen
Die vorgesehenen Massnahmen hinsichtlich Sicherheitsrisiken orientieren sich haupt sächlich an der «5G-Toolbox» der EU. Entsprechend sind diese für international tätige Anbieterinnen ohnehin zu berücksichtigen. Zudem basieren sie auf internationalen technischen Normen und Standards. Es ist deshalb von einer einfachen Umsetzbarkeit auszugehen und höhere regulatorische Anforderungen als bei vergleichbaren Regulie rungen im Ausland werden vermieden (vgl. Artikel. 4 Absatz 1 Buchstabe. b UEG).
Inwiefern der Vollzug der Regulierungen gemäss Artikel 4 Absatz 1 Buchstabe c UEG mit elektronischen Mitteln vereinfacht werden kann, lässt sich nicht abschliessend be urteilen. Interaktionen mit den Behörden finden nur in geringem Mass statt. Die Mass nahmen betreffen in erster Linie die betriebliche Organisation von rund 15 Mobilfunk betreiberinnen sowie einer unbekannten, maximal zweistelligen Anzahl von (internati onalen) Herstellerinnen von Netzwerkanlagen für Mobilfunknetze. Den betroffenen Un ternehmen steht es frei, mit welchen Mitteln sie die vorgegebenen Ziele erreichen.
4 Erläuterungen zu einzelnen Artikeln
4.1 Verordnung vom 9. März 2007 über Fernmeldedienste
Art. 1 Bst. e Begriffe
In Artikel 1 Buchstabe e wird neu definiert, was unter Full MVNO zu verstehen ist, näm lich eine Fernmeldedienstanbieterin, die unabhängig Mobilfunkdienste über das Funk zugangsnetz (Radio Access Network [RAN]) einer Mobilfunkkonzessionärin anbietet. Es handelt sich also um eine Anbieterin eines vollständigen virtuellen Mobilfunknetzes, die das RAN einer Mobilfunkkonzessionärin mietet. Ein Full MVNO kann somit gemäss folgender Kriterien definiert werden:
Registrierung als Fernmeldedienstanbieterin (FDA) beim BAKOM;
Inhaberin eines vom BAKOM verwalteten MNC ohne Einschränkungen;
Inhaberin eines vom BAKOM verwalteten Adressierungselementes des Nummerierungsplans E.164;
Partei eines nationalen Roaming-Abkommens (National Roaming Agree ment [NRA]) mit einer FDA, die Konzessionärin von Funkfrequenzen ist;
teilweiser oder vollständiger Besitz und Betrieb eines oder mehrerer eigener Mobilfunk-Kernnetze (Core Network).
Art. 26a Abs. 6 Übermittlung von Nummern
Anrufe von Betrügern mit gefälschter Schweizer Anrufernummer (Calling Line Identifi cation, [CLI]) sind ein weit verbreitetes Ärgernis mit erheblichem Schädigungspotenzial. Sie erwecken ungerechtfertigtes Vertrauen, das ausgenützt wird, um Angerufene in der Schweiz auf verschiedenste Weise zu betrügen und finanziell zu schädigen. Diese von diesen Betrügereien ausgehende Gefahr muss schnell, präventiv und wirksam be kämpft werden können. Darum sollen Massnahmen, welche die Anbieterinnen bereits heute gegen solche «gespoofte» Anrufe ergreifen müssen, nicht erst bei deren Kennt nis möglich sein, sondern schon bei begründetem Verdacht. Die Anbieterinnen haben keine Möglichkeit, tatsächlich Kenntnis von solchen betrügerischen Anrufen zu erhal ten, da insbesondere eine inhaltliche Überwachung, welche dazu gegebenenfalls nötig wäre, durch die Anbieterinnen grundsätzlich unzulässig ist. Tatsächliche Kenntnis kann oftmals erst im Nachhinein vorliegen, wenn bereits ein Schaden entstanden ist.
Neu reicht es bereits aus, dass Anbieterinnen den begründeten Verdacht haben, dass eine übermittelte Nummer ungültig ist oder ohne Nutzungsrecht verwendet wird und somit «gespooft» ist. Die Anforderungen für eine Unterdrückung einer Nummer oder für die Unterbindung eines Anrufs werden somit gelockert, damit ein schnelleres Tätig werden möglich ist.
Gestützt auf Artikel 26a Absatz 6 FDV haben die Anbieterinnen die Möglichkeit, die Übermittlung einer Nummer entweder zu verhindern (Unterdrückung der CLI) oder die Verbindung vollständig zu unterbinden. Der Verordnungsgeber räumt diesen Spielraum ein, weil es für die Anbieterinnen in der Praxis kaum möglich ist, im Vorfeld für jede mögliche Konstellation, in der Schweizer Nummern genutzt werden, mit Sicherheit fest zustellen, ob eine angezeigte Rufnummer ungültig ist, weil sie «gespooft» ist oder weil ein technischer Übertragungsfehler vorliegt. Andererseits haben die Anbieterinnen nur in Zusammenhang mit dem ihnen zugeteilten eigenen Nummernbereich und ihren Kun dinnen und Kunden die Möglichkeit, mit Sicherheit festzustellen, ob eine Nummer mit Nutzungsrecht eingesetzt wird. Es gibt beispielsweise keine Datenbank, welche den Anbieterinnen eine übergreifende Überprüfung erlauben würde. Dies kann von Anru fenden gezielt ausgenutzt werden, indem sie eine Nummer einer Kundin der Anbieterin A «spoofen», um potenziell Opfer zu erreichen, die Kunde bei Anbieterin B sind. Die konkreten Umstände können von Anruf zu Anruf und je nach Situation und Anbieterin (z.B. Grösse, Netzwerktechnologie etc.) erheblich variieren, weshalb den Anbieterin nen die freie Wahl zwischen den beiden Möglichkeiten zuzustehen ist.
In der Regel dürften sich die Anbieterinnen daher auf die Unterdrückung der CLI be schränken, da dies die mildere Massnahme darstellt. Eine weitergehende Blockierung eines Anrufs kommt wohl erst dann in Betracht, wenn der Anbieterin Informationen vor liegen, die praktisch keinen anderen Schluss zulassen, als dass es sich um einen be trügerischen Anruf handelt. Dies kann beispielsweise der Fall sein, wenn der eigene Nummernbereich betroffen ist. Dann kann eine Anbieterin feststellen, dass sich der entsprechende Kunde, beziehungsweise dessen zugewiesene Nummer nicht im Aus land befinden kann, etwa weil die Nummer oder das Gerät gleichzeitig im eigenen Netz in der Schweiz aktiv ist. Dies gilt auch bezüglich Ziffernfolgen, die als Rufnummer gar nicht existieren können, weil sie die Voraussetzungen der E.164-Nummernblockbe stimmungen nicht erfüllen, oder z.B. für Notrufnummern wie 117 oder 118. Weiter kön nen auch Anrufmuster darauf hindeuten, dass die angezeigten Nummern «gespooft» sind, so zum Beispiel eine extrem hohe Frequenz identischer Anrufe innerhalb weniger Sekunden («Wellencharakter») gleichen Ursprungs mit systematisch wechselnden
Nummern. In solchen eindeutig gelagerten Fällen wäre auch eine vollständige Blockie rung der Anrufe angezeigt. Da jedoch nur selten alle relevanten Informationen vorlie gen und die Bewertung laufend sowie in Echtzeit erfolgen muss, wird in den meisten Fällen weiterhin ein Rest an Unsicherheit verbleiben. Aus diesem Grund steht es den Anbieterinnen letztlich immer frei, stattdessen das mildere Mittel – die Unterdrückung der CLI – anzuwenden.
Art. 96d Geltungsbereich
Die Revision der Verordnung über Fernmeldedienste von 2022, die in Anlehnung an die in der EU laufenden Arbeiten betreffend Sicherheit der Fernmeldenetze erfolgte, umfasste nur die Mobilfunknetze der fünften Generation (5G). Aktuell wird die Gesetz gebung im Bereich der Netzsicherheit wie in manchen EU-Mitgliedstaaten auf alle Mo bilfunkgenerationen oder auch auf die Festnetze ausgeweitet.
Solange weltweit Netze älterer Generationen betrieben werden, müssen die Schweizer Betreiberinnen die Interkonnektion gewährleisten. Sie müssen deshalb bestimmte Netzknoten oder Funktionalitäten früherer Technologien (analoge Netze) weiterbetrei ben, die ursprünglich nicht für ein derart umfassendes und spezialisiertes Cybersicher heitsumfeld ausgelegt waren.
Ebenso können sich die von den Artikeln dieser Verordnung (Art. 96e, 96f, 96fbis und 96g) erfassten betroffenen Rechtssubjekte heute nicht mehr nur auf die Mobilfunkkon zessionärinnen (MNO) beschränken. Neu gelten die Verpflichtungen deshalb auch für die Full MVNO, da sie bestimmte kritische Netzknoten und -funktionalitäten unabhän gig von ihrer MNO betreiben (Art. 96d Abs. 2 Bst. b).
Grundsätzlich betreffen die neuen Sicherheitsmassnahmen, die den Mobilfunkkonzes sionärinnen und den Full MVNO auferlegt werden, nur diejenigen Unternehmen, die ein oder mehrere öffentliche Fernmeldenetze betreiben, die für die Erbringung von Fernmeldediensten für Endkunden genutzt werden.
Art. 96e Sicherheitsmanagementsystem
Absatz 1 dieser Bestimmung wird dahingehend ergänzt, dass nicht nur die Mobilfunk konzessionärinnen ein Informationssicherheits-Managementsystem auf Grundlage ei ner Risikoanalyse und der daraus abgeleiteten Sicherheitsziele entwickeln, implemen tieren und kontinuierlich überprüfen müssen, sondern auch die Full MVNO diese Pflicht haben. Da Full MVNO ebenfalls einen grossen Teil der Netzinfrastruktur selbst betrei ben, müssen für die Full MVNO dieselben Regeln gelten wie für die Mobilfunkkonzes sionärinnen. Art. 96f Betrieb sicherheitskritischer Fernmeldeanlagen
Absatz 1:
In Absatz 1 werden nun auch die Full MVNO explizit verpflichtet, sicherzustellen, dass die von ihnen betriebenen kritischen Netzwerkanlagen dem Stand der Technik entspre chen. Für die Definition, welche Anlagen als kritische Netzwerkanlagen im Sinne dieser Be stimmung gelten, ist die Legaldefinition in Artikel 2 Absatz 1 Buchstabe cbis FAV mass gebend.
Absatz 2: Die geografische Vorgabe zum Betrieb sicherheitskritischer Fernmeldeanlagen in der Schweiz soll die für den Betrieb, die Steuerung und Verwaltung wesentlichen Fernmel deanlagen umfassen. Davon betroffen ist beispielsweise das sogenannte 5G-Kernnetz (5G core network). Dieses ist cloud native konzipiert, was bedeutet, dass dessen Funk tionen oder Instanzen grundsätzlich in einem anderen geografischen Gebiet betrieben werden können als die Mobilfunkantennen (radio access network [RAN]). Während Erstere durch die Möglichkeit der virtualisierten Bereitstellung ortsungebunden sind, müssen sich Letztere physisch an dem Ort befinden, an welchem die Mobilfunkdienste erbracht werden. Für den RAN-Teil eines Mobilfunknetzes erübrigen sich daher geo grafische Vorgaben. Das geografische Gebiet für den Betrieb der sicherheitskritischen Fernmeldeanlagen, insbesondere der Netzbetriebs- und Sicherheitsoperationszentren, ist grundsätzlich auf die Schweiz beschränkt. Dies gilt neu sowohl für die Mobilfunk konzessionärinnen wie auch für die Full MVNO. Die Pflicht, dass bestimmte kritische Infrastrukturen oder Betriebszentren aus Sicher heitsgründen in der Schweiz sein müssen, ist gemäss der Artikel XIV Buchstabe a (Schutz der öffentlichen Ordnung), XIV Buchstaben c iii und XIVbis (Sicherheit) des An hangs 1B des Abkommens zur Errichtung der Welthandelsorganisation WTO20 (Allge meines Abkommen über den Handel mit Dienstleistungen, GATS) zulässig. Sie zielt darauf ab, die vom WTO-Recht geforderte Konformität mit den schweizerischen Ge setzen und Vorschriften im Bereich der Telekommunikationssicherheit (Art. 48a FMG) sicherzustellen. Ferner erfüllt die Pflicht das Erfordernis der Notwendigkeit nach WTO- Recht, da es sowohl aus technischen und operativen Gründen als auch angesichts der geo- und sicherheitspolitischen Gegebenheiten wichtig ist, die schweizerische Fern meldeinfrastruktur durch eine Standortpflicht sicherer zu machen. Diese Erhöhung der Sicherheit erfolgt neu durch geografische Vorgaben für kritische Fernmeldeinfrastruk turen und die Pflicht, für die Telekommunikation essenzielle Betriebszentren in der Schweiz zu betreiben. So können die Betriebskontinuität und die Sicherheit der Tele kommunikation von der Schweiz aus gewährleistet werden. Dem Verhältnismässig keitsprinzip wird insofern Rechnung getragen, als Absatz 3 den Mobilfunkkonzessio
närinnen und Full MVNO die Möglichkeit gibt, unter bestimmten Voraussetzungen über redundante Systeme in Staaten zu verfügen, die einen angemessenen Datenschutz garantieren. Absatz 3: Gemäss Buchstabe a dürfen redundante Systeme nur in Ländern betrieben werden, die einen angemessenen Datenschutz gewährleisten. Eine entsprechende Liste von Staaten, in welchen ein redundantes System betrieben werden darf, findet sich in An hang 1 der Verordnung vom 31. August 202221 über den Datenschutz.
Zweck der Bedingung in Buchstabe b ist, dass die sicherheitskritischen Fernmeldean lagen auch dann weiter funktionieren, wenn die Verbindungen in andere Staaten ge stört sind. Dies beispielsweise aufgrund diplomatischer Verwerfungen oder politischer Entwicklungen, die zu einer Sperre internationaler Fernmeldeverbindungen führen. Darüber hinaus soll verhindert werden, dass kryptografische Schlüssel durch die Aus übung von politischem oder juristischem Druck in die Hände von anderen Staaten fallen können.
20 SR 0.632.20 21 SR 245.11
Buchstabe c soll sicherstellen, dass die durch die Mobilfunkkonzessionärinnen und Full MVNO bereitgestellten Dienste der Sprachtelefonie und des Internetzugangs auch dann funktionieren, wenn die Verbindungen zu den redundanten Systemen gestört oder nicht mehr möglich sind. Zudem soll verhindert werden, dass die Gewährleistung der zuvor genannten Dienste durch korrumpierte Systeme, deren Betriebsstandort ei ner ausländischen Gesetzgebung untersteht, nicht eingeschränkt werden können. Hierzu trägt die geografische Verortung der Kontrolle und damit der Verwaltung der für den Betrieb notwendigen digitalen Schlüssel und Zertifikate entscheidend bei. Die Ver waltungshoheit in der Schweiz festzulegen, ist eine logische Konsequenz davon. Da bei sicheren Verbindungen in der Regel auf beiden Seiten private Schlüssel vorhanden sein müssen, ist es hingegen zulässig, dass von der Schweiz aus verwaltete Schlüssel auch in anderen Staaten gespeichert werden können. Die Kontrolle der digitalen Schlüssel umfasst damit sowohl die Erstellung, die Vertei lung, die Nutzung und die Deaktivierung sowie die Vorgabe von Richtlinien für die Spei cherung. Es muss sichergestellt sein, dass Schlüssel jederzeit von der Schweiz aus deaktiviert werden können. Gleiches gilt prinzipiell für die Vergabe von signierten digi talen Zertifikaten, die für den Betrieb notwendig sind. Diesbezüglich ist sicherzustellen, dass die Stammzertifizierungsstelle (root certification authority) als oberste und ver trauenswürdigste Instanz in der Schweiz lokalisiert ist und ein Widerruf von ausgege benen Zertifikaten (revocation) von der Schweiz aus jederzeit möglich ist. Für krypto grafische Schlüssel und Zertifikate, die der Verschlüsselung von gespeicherten Daten dienen, ist in den Richtlinien zur Speicherung vorzusehen, dass diese nur in der Schweiz gespeichert werden. Ihre Verwaltung hat unter Verwendung von in der Schweiz betriebenen und nach anerkannten Normen zertifizierten Hardware-Sicher heitsmodulen zu erfolgen. Damit werden vollständig cloudbasiert Schlüssel-Verwal tungs-Systeme (Key Management Systems [KMS]) ausgeschlossen. Im Ergebnis soll sichergestellt sein, dass ein Unterbruch internationaler Verbindungen die Gewährleistung des öffentlichen Telefondienstes und des Zugangsdienstes zum Internet in der Schweiz nicht stört. Die Fernmeldenetze sollen in ihrer Grundfunktion
nicht beeinträchtigt werden und die Fernmeldedienstanbieterinnen sollen die in ihrem Verantwortungsbereich liegenden Dienste vom Unterbruch unberührt gewährleisten können. Nicht adressiert werden damit Abhängigkeiten zu Diensten, die über das In ternet erbracht werden und deren Bereitstellung von Servern im Ausland abhängt. Diese liegen nicht im Verantwortungsbereich der Fernmeldedienstanbieterinnen (Bst. d). Absätze 4 und 5: Das BAKOM ist spätestens 48 Stunden nach Beginn eines Notbetriebes zu informie ren. Je nach Art und Schwere des Ausfalls legt das BAKOM die maximale Dauer fest, während derer der Betrieb über die redundanten Systeme im Ausland erfolgen darf. Es kann die Dauer jeweils verlängern, wobei darauf jedoch kein Anspruch besteht. Absatz 6: Abgeleitete kryptografische Schlüssel und Zertifikate zeichnen sich dadurch aus, dass jederzeit ein weiterer Schlüssel oder ein weiteres Zertifikat besteht, welches die Nut zung des abgeleiteten Schlüssels oder Zertifikats einschränken oder unterbinden kann. Bei den temporären Schlüsseln und Zertifikaten kommt ergänzend hinzu, dass diese nur kurzfristig gültig sind und nach einem definierten Zeitraum verfallen. Das BAKOM wird in technischen administrativen Vorschriften einen angemessenen Zeitraum festle gen.
Absatz 7: Zu protokollieren sind insbesondere Datum und Uhrzeit des Zugriffs, IP-Adresse von Quelle und Ziel, der Benutzername und Prozess, unter welchem der Zugriff erfolgt so wie relevante Meldungen zum Ereignis.
Art. 96fbis Sicherheitsmassnahmen
Absatz 1:
Diese Sicherheitsmassnahme umfasst mehrere Themen, die alle gleich wichtig sind. In technischer Hinsicht stellen die Mobilfunkkonzessionärinnen und die Full MVNO sicher, dass sie Geräte und Software bei verlässlichen Lieferanten beschaffen. Sie müssen gewährleisten, dass ihre Infrastrukturen ausreichend redundant ausgelegt sind. Aus serdem wenden sie auf sämtliche ihrer Infrastrukturen kontinuierlich die Prinzipien «Zero Trust», Segmentierung multipler Entitäten (Netzknoten) oder Funktionalitäten (Network Functions), Verschlüsselung und Schutz (Firewalls) an.
Da Sicherheit nicht nur von Geräten, sondern auch von Menschen abhängt, gewähren die Mobilfunkkonzessionärinnen und die Full MVNO ihren eigenen oder den im Rah men eines Unterauftrags tätigen Technikerinnen und Technikern nur eingeschränkten Zugang zu den Räumlichkeiten und Infrastrukturen ihrer IT- und Fernmeldenetze. Sie erstellen Handbücher mit detaillierten Beschreibungen des Vorgehens im Falle von Cy berbedrohungen oder -angriffen und stellen diese dem betroffenen Personal zur Ver fügung.
Die Cyberwelt kennt keine Grenzen und ist ständig Bedrohungen ausgesetzt. Wach samkeit rund um die Uhr ist deshalb zwingend. Die Mobilfunkkonzessionärinnen und die Full MVNO stellen in ihren Netzen kontinuierlich sicher, dass einerseits Anomalien und Schwachstellen erkannt und andererseits Spionage, Sabotage und der Abfluss besonders schützenswerter Personendaten ihrer Kundinnen und Kunden bekämpft werden. Sie sind bestrebt, ihre Anlagen auf dem neuesten Stand zu halten, und wen den unverzüglich alle verfügbaren Lösungen an, um Schwachstellen zu beheben.
Absatz 2:
Netzinfrastrukturen können definiert werden als die Hard- und Software-Ausstattung, welche die Erbringung von drahtlosen Kommunikationsdiensten (Sprache, Nachrich ten, Internet) für Mobilfunknutzerinnen und Mobilfunknutzer ermöglicht. Es handelt sich dabei um alle Anlagen der Zugangsnetze (RAN), Kernnetze (Core Network) und Trans portnetze (Transport Network) aller Generationen von Mobilfunknetzen (2G, 3G, 4G, 5G und folgende).
Die Netzinfrastrukturen müssen zwingend so genau wie möglich getestet werden, da mit Abweichungen von den Spezifikationen der Herstellerinnen/Lieferanten und den international anerkannten Standards vor ihrer Inbetriebnahme erkannt werden.
Besonderes Augenmerk sollte auf allfällige Hintertüren (Backdoors) gelegt werden, um die Manipulation von Netzelementen und den Abfluss von Daten im Zusammenhang mit Abonnementskundinnen und Abonnementskunden oder anderer Informationen zu verhindern, welche die Integrität und Sicherheit von Personen, Unternehmen, Wirt schaft oder Staat beeinträchtigen können. Netzinfrastruktur darf nicht in Betrieb ge
nommen werden, solange Zweifel am Bestehen solcher Bedrohungen nicht ausge räumt sind. Das gilt auch für die Inbetriebnahme wichtiger System-Aktualisierungen zu einem späteren Zeitpunkt.
Die Mobilfunkkonzessionärinnen und die Full MVNO überprüfen alle ihre Kommunika tionsnetze so häufig wie nötig mit leistungsstarken Scannern auf Kompromittierungen. Sie treten auf nationaler oder internationaler Ebene mit mindestens zwei weiteren an erkannten Betreiberinnen, die über vergleichbare Infrastrukturen verfügen, in Verbin dung, um sich über mögliche bekannte oder vermutete Kompromittierungen auszutau schen.
Alle von den Herstellerinnen/Lieferanten entwickelten standardisierten Optionen für die Netzsicherheit (Hard- oder Software) müssen in allen Kommunikationsnetzen der Mo bilfunkkonzessionärinnen und der Full MVNO implementiert werden (Abs. 1, letzter Satz). Der Begriff «standardisiert» bezieht sich beispielsweise auf die technischen Spe zifikationen 3GPP «TS 33.501»22 und auf die Empfehlungen «FS.40 – 5G Security Guide» der GSM Association23.
Absatz 3:
Die Überwachung wird in allen Teilen der Netze durchgeführt: im Funkzugangsnetz (RAN), Kernnetz (Core Network) und Transportnetz (Transport Network). Sie betrifft sowohl die Mobilfunknetze als auch die Signalisierungs- und Interkonnektionsnetze.
Die Mobilfunkkonzessionärinnen und die Full MVNO setzen kontinuierlich geeignete Instrumente ein, um Logfiles aller ihrer Netzknoten zu erstellen, zu sammeln und aus zuwerten und so Schwachstellen, Anomalien und unbefugtes Eindringen zu erkennen.
Anomalien werden anhand zweier grundlegender Prinzipien festgestellt: der Korrela tion mehrerer disparater, aber unwahrscheinlicher Ereignisse sowie einer ungewöhnli chen Abweichung vom normalen Systemverhalten.
Bedroht eine durch diese Überwachung erkannte Gefahr unmittelbar die Sicherheit von Bevölkerung, Unternehmen, Wirtschaft oder Staat, melden die Mobilfunkkonzessionä rinnen und die Full MVNO dies unverzüglich den Polizeibehörden und den zuständigen Bundesbehörden. Sie arbeiten aktiv mit diesen zusammen, um die Risiken zu minimie ren und die Bedrohung zu beseitigen.
Absatz 4:
Für die Netzsicherheit gelten nicht die üblichen Gesetze von Markt und Wettbewerb. In diesem Bereich sind Solidarität und Zusammenarbeit besonders wichtig. Bei der Be kämpfung von Cyberangriffen zum Schutz von Bevölkerung, Unternehmen, Wirtschaft und Staat ist der Informationsaustausch entscheidend.
Die Anbieterinnen von Fernmeldediensten sind nach Artikel 96 FDV verpflichtet, Cy berangriffe mit einem gewissen Umfang (mindestens 10 000 betroffene Abonnentinnen und Abonnenten) der Nationalen Alarmzentrale (NAZ) zu melden und sich gegenseitig
https://portal.3gpp.org/desktopmodules/Specifications/SpecificationDetails.aspx?specificationId=3169. https://www.gsma.com/solutions-and-impact/technologies/security/gsma_resources/5g-security-guide-version-3-0/.
über die Art des Angriffs, die verursachten Schäden und die vorhergesehenen Mass nahmen für die rasche Wiederherstellung des sicheren Normalbetriebs zu informieren.
Soweit möglich und unter Wahrung von Vertraulichkeit und Datenschutz unterstützen sich die Mobilfunkkonzessionärinnen und die Full MVNO gegenseitig. Ferner sollten sich ihre Abteilungen für Cybersicherheit mehrmals jährlich treffen, um unter Beach tung von Vertraulichkeit und Datenschutz Erfahrungen auszutauschen und wirksame Schutzmassnahmen gegen Cyberangriffe zu erarbeiten.
Falls notwendig führen die Mobilfunkkonzessionärinnen und die Full MVNO im Beisein von Bundesstellen wie dem Bundesamt für Cybersicherheit (BACS) oder dem BAKOM jährlich einen oder mehrere Workshops durch.
Es sollte eine gemeinsame Datenbank eingerichtet werden, in der Schwachstellen, Anomalien und unbefugtes Eidringen protokolliert werden und die von jeder Mobilfunk konzessionärin und Full MVNO fortlaufend aufgrund neuer Erkenntnisse und aktueller Ereignisse ergänzt wird.
Absatz 5:
Die Mobilfunkkonzessionärinnen und die Full MVNO setzen kontinuierlich und syste matisch ein «SMS Home Routing»-System ein, um die Verbreitung von betrügerischen SMS- und Signalisierungsnachrichten zu bekämpfen.
«SMS Home Routing» ist eine Netzfunktion, die sicherstellt, dass jede für eine Abon nentin oder einen Abonnenten bestimmte SMS-Nachricht zuerst an das «Mobile Swit ching Center» (MSC) oder das «Short Message Service Center» (SMSC) ihres oder seines Heimnetzes geleitet wird, auch wenn sie oder er sich im Roaming befindet.
Das «SMS Home Routing»-System der Mobilfunkkonzessionärinnen und der Full MVNO zwingt ihr «Home Location Register» (HLR), immer mit einer Heimadresse zu antworten, die auf ihr «Home-Mobile Switching Center» (H-MSC) oder ihr «Home- Short Message Service Center» (H-SMSC) verweist, und niemals den tatsächlichen Standort, d. h. die Adresse des ausländischen «Visitor-Mobile Switching Center» (VMSC) der Abonnentin oder des Abonnenten, die oder der sich im Roaming befindet, preiszugeben.
Indem die SMS-Nachrichten der sich im Roaming befindenden Nutzerinnen und Nutzer zuerst auf die Netze der heimischen Mobilfunkanbieterin zurückgeleitet werden, bevor sie an die Empfängerin oder den Empfänger übermittelt werden, haben die heimischen Mobilfunkanbieterinnen die Möglichkeit, anormale oder betrügerische Nachrichten effi zient zu filtern.
Ohne ein solches System werden SMS von der Mobilfunkanbieterin des Landes, in dem sich die Abonnentinnen und Abonnenten im Roaming befinden, direkt an die Emp fängerin oder den Empfänger zugestellt, ohne dass die heimische Mobilfunkanbieterin eine Möglichkeit zur Kontrolle der Sicherheit hat. Je nach Seriosität der Roaming-Be treiberin beziehungsweise abhängig davon, ob sie Sicherheitsfilter einsetzt oder nicht, können betrügerische Nachrichten ihr Ziel mit potenziell unangenehmen (uner wünschte Werbung und Phishing usw.) oder gefährlichen Folgen (Ortung von Perso nen, Abfangen oder Manipulation von Daten usw.) erreichen.
Absatz 6:
Solange weltweit analoge Fest- oder Mobilfunknetze betrieben werden, erfordert deren Interkonnektion Signalisierungsprotokolle. Einige dieser Protokolle wurden zu einer Zeit erstellt, in der sie nur von einer kleinen Zahl von vertrauenswürdigen Akteurinnen und Akteuren genutzt wurden, und nicht mit erweiterten Sicherheitsmechanismen ver sehen waren. Mit dem Aufkommen der mobilen Kommunikation und des Internets ha ben immer mehr Akteurinnen und Akteure aller Art Zugang zu diesen Protokollen und zu den Netzen erhalten. Da diese Sicherheitslücken nicht auf globaler Ebene kontrol liert werden können, muss jede Mobilfunkkonzessionärin und jede Full MVNO Mass nahmen für ihre eigene Infrastruktur ergreifen.
Bei den Filterinstrumenten handelt es sich um Signalisierungs-Firewalls, die auf den Signalisiertransferpunkten der einzelnen Netztypen und -generationen installiert sind. Falls nötig, werden auch direkt auf dem HLR oder dem MSC Filteroperationen vorge nommen. Da sich die Cyberbedrohungslage ständig verändert, sind auch die Filterre geln nicht statisch. Die Mobilfunkkonzessionärinnen und die Full MVNO passen ihre Filterregeln laufend an die technologische Entwicklung und die neuen Bedrohungen an.
Selbst bei der Abschaltung bestimmter Generationen von Mobilfunknetzen (2G, 3G) betreiben die Mobilfunkkonzessionärinnen und die Full MVNO manche Knoten (Bei spiel: Knoten «Signalling Transfer Points» [STP] für die 2G-Netze) dieser veralteten Netze weiter, um die Interkonnektion sicherzustellen. In diesem Fall betreiben sie auch die damit verbundenen Firewalls weiter.
Die Mobilfunkkonzessionärinnen und die Full MVNO verwenden die international aner kannten technischen Normen und Best Practices für Betrieb und Sicherheit.
Im Bereich der Sicherheit der Signalisierungsnetze sind unter anderem die folgenden Dokumente relevant:
3GPP: 5G Security Evolution in 3GPP Release 18;
3GPP: Overview of 5G Security Evolution in 3GPP Release 19;
GSMA: FF.09 Introduction to SMS Fraud;
GSMA: FS.07 SS7 and SIGTRAN Network Security;
GSMA: FS.11 SS7 Interconnect Security Monitoring Guidelines;
GSMA: FS.21 Interconnect Signalling Security Recommendations;
GSMA: FS.36 5G Interconnect Security;
GSMA: IR.70 SMS SS7 Fraud;
GSMA: IR.71 SMS SS7 Fraud Prevention;
GSMA: IR.82 SS7 Security Network Implementation Guidelines;
GSMA: SG.22 SMS Firewall Best Practices and Policies;
ENISA: 5G Threat Landscape for 5G Networks;
ENISA: Signalling Security in Telecom SS7/Diameter/5G.
Eine weitere Pflicht zur Betrugsbekämpfung in den Signalisierungsnetzen wurde in Ar tikel 47g (Verbot der Vermietung von Global Titles) AEFV aufgenommen.
Art. 96g Abs. 2 Anwendbare Vorschriften, Normen und Aufsicht
In Absatz 2 werden neu auch die Full MVNO aufgeführt. Das BAKOM kann nun neben den Mobilfunkkonzessionärinnen auch sie verpflichten, sich auf eigene Kosten einer Prüfung durch eine qualifizierte Stelle zu unterziehen oder ihre Fernmeldeanlagen überprüfen zu lassen, wenn ein begründeter Verdacht auf einen Rechtsverstoss be steht und dies zur Feststellung des Sachverhalts erforderlich ist. Art. 108e Übergangsbestimmung zur Änderung vom … Damit den Mobilfunkkonzessionärinnen sowie den Full MVNO genügend Zeit bleibt, um die geforderten Änderungen gemäss Artikel 96f Absatz 2 und 3, insbesondere den Betrieb der Netzbetriebs- und Sicherheitsoperationszentren, in der Schweiz zu betrei ben, ist eine angemessene Übergangsfrist vorzusehen. Diese beträgt 24 Monate ab Inkrafttreten der entsprechenden Änderung.
4.2 Verordnung vom 25. November 2015 über Fernmeldeanlagen
Die Artikel 28b und 28c sind Teil des neuen Abschnitts 1a über kritische Netzwerkan lagen im 4. Kapitel der FAV («Besondere Bestimmungen»).
Grundsätzlich betreffen die neuen Sicherheitsmassnahmen die Herstellerinnen von kritischen Netzwerkanlagen, die bestimmt sind für den Betrieb in Fernmeldenetzen, welche für die Erbringung von öffentlichen Fernmeldediensten für Endkunden genutzt werden.
Die Fernmeldeinfrastruktur nach Artikel 48a Absatz 2 FMG umfasst allgemein alle Produkte mit digitalen Elementen im Sinne der Cyberresilienz-Verordnung der EU (CRA). Dadurch kann dem Umstand Rechnung getragen werden, dass die Cybersi cherheitsanforderungen neu weitgehend horizontal und unabhängig von den betroffe nen Branchen ausgestaltet sind. In diesem Zusammenhang ist es sinnvoll, sich auch auf die technischen Normen der europäischen Komitees für Normung zu stützen. In Anbetracht des MRA Schweiz–EU, das Handelshemmnisse zwischen der Schweiz und der EU verhindert, sollte zudem die schweizerische Gesetzgebung über Fernmel deanlagen und -infrastrukturen mit dem europäischen Recht und mit den Zertifizie rungssystemen im Bereich der Cybersicherheit insbesondere für 5G harmonisiert werden, welche die EU-Agentur für Cybersicherheit (European Network and Informa tion Security Agency, ENISA) konzipiert hat.
Art. 2 Abs. 1 Bst. c und cbis Begriffe
Zunächst wird der Begriff der Fernmeldeendeinrichtung in Artikel 2 Absatz 1 Buch stabe c FAV präzisiert: Es kann sich um Funkanlagen oder um leitungsgebundene Anlagen handeln, die dazu bestimmt sind, direkt oder indirekt an Schnittstellen von ganz oder teilweise für die Erbringung von Fernmeldediensten genutzten Fernmelde netzen angeschlossen zu werden. Der Verweis auf Artikel 3 Buchstabe b FMG erüb rigt sich und wird gestrichen.
Weiter ist in Artikel 2 Absatz 1 Buchstabe cbis FAV der Begriff der kritischen Netzwerk anlage zu definieren, auf die sich die Bestimmungen in diesem neuen Abschnitt be ziehen. Es handelt sich um jede Anlage, die Teil eines Netzes ist, das für die Bereit stellung von Fernmeldediensten (vgl. Art. 3 Bst. b FMG) genutzt wird und deren Stö rung oder Fehlfunktion zu einem Ausfall oder einer erheblichen Beeinträchtigung des Betriebs von Fernmeldeinfrastrukturen führen oder die öffentliche Sicherheit gefähr den kann. Es ist Aufgabe der Herstellerin, zum Zeitpunkt des Inverkehrbringens
der Anlage deren bestimmungsgemässe Nutzung zu definieren. Sache der Netzbe treiberin ist es wiederum, Anlagen zu verwenden, die dazu bestimmt sind, in ein Netz integriert und darin betrieben zu werden.
Als Ausfälle oder erhebliche Beeinträchtigungen der Infrastrukturen gelten insbeson dere eine weitreichende Panne im Mobilfunknetz (4G/5G), die Anrufe, SMS und den Internetzugang grossflächig verunmöglicht, eine längere Unterbrechung der Notfall netze, welche die Kommunikation mit den Rettungsdiensten verhindert, grossange legte Cyberangriffe (z. B. Denial-of-Service-Angriff), die die Fernmeldenetze einer Be treiberin lahmlegen, erhebliche physische Schäden (Brand, Überschwemmung, Sabo tage) an Telefonzentralen, Glasfaserleitungen oder Relaisstationen oder auch der Ausfall der Signalisierungs- oder Routingsysteme, der weiträumig zu fehlerhafter, ver zögerter oder verlorener Kommunikation führt. Ein Angriff auf die öffentliche Sicher heit besteht zum Beispiel dann, wenn Systeme zur Warnung der Bevölkerung (SMS- Alarmierung, Sirenen, Verbreitung über Radio/TV) im Falle einer Naturkatastrophe oder einer unmittelbaren Gefährdung nicht zur Verfügung stehen und so die Informa tion und den Schutz der Bevölkerung verhindern.
Eine Netzwerkanlage unterliegt den Anforderungen nach Artikel 28b und Artikel 28c FAV, wenn sie zu den kritischen Netzwerkanlagen gehört (das BAKOM führt eine Liste der kritischen Netzwerkanlagen) und für die Integration und den Betrieb inner halb eines Fernmeldenetzes bestimmt ist.
Art. 28b Grundsätze
Artikel 28b Absatz 1 FAV legt das Bewertungsverfahren fest, das den Herstellerinnen ermöglicht, die für kritische Netzwerkanlagen geltenden Sicherheitsanforderungen zu erfüllen. Um den Aufwand möglichst klein zu halten, ist ein Verfahren auf eigene Ver antwortung der Herstellerinnen vorgesehen. Letztere bewerten die Konformität ihrer Anlagen mit den Sicherheitsanforderungen und erstellen die technischen Unterlagen, die unter anderem eine Analyse der Sicherheitsrisiken enthalten.
Die Bewertung beruht auf einer international, insbesondere auf europäischer Ebene, anerkannten Methode. Als Referenz dienen kann namentlich die 5G-Toolbox der EU (Abs. 2). Die Herstellerin legt die technischen Unterlagen einer anerkannten Konfor mitätsbewertungsstelle zur Beurteilung vor. Anhand der eingereichten technischen Unterlagen und ihrer Analyse entscheidet die Konformitätsbewertungsstelle, ob die Konformität mit den Sicherheitsanforderungen nachgewiesen wurde. Ist dies der Fall, stellt sie eine Konformitätserklärung aus, welche die technischen Unterlagen vervoll ständigt. Dieses Verfahren ähnelt einem Audit und stützt sich auf ein Verfahren, das für Funkanlagen bereits angewendet wurde und sich bewährt hat. Die Bewertung muss durchgeführt werden, bevor die Anlage in Verkehr gebracht wird.
Gemäss Absatz 3 kann das BAKOM unter Berücksichtigung der internationalen Praxis in der VFAV definieren, welche Anlagen kritische Netzwerkanlagen sind, und unter Be achtung der anerkannten internationalen Normen und Praxis die spezifischen Anforde rungen festlegen. In Anhang 8 VFAV werden die kritischen Netzwerkanlagen aufge führt, die einer Konformitätsbewertung in Bezug auf die Sicherheit zu unterziehen sind. Aufgrund der mit Artikel 48a Absatz 2 FMG vorgesehenen Kompetenzdelegation im Bereich der Infrastrukturen kann der Bundesrat diese Regelung der FAV und VFAV auf Infrastrukturen anwenden bzw. ausweiten, die keine Fernmeldeanlagen im engeren
Sinne darstellen. Dabei handelt es sich etwa um Software, elektrische Geräte oder Be triebssysteme und andere Systeme zur Verwaltung der Cybersicherheit (vgl. Anhang 8 VFAV).
Art. 28c Konformitätserklärung und technische Unterlagen
Herstellerinnen, die eine Konformitätsbewertung nach Artikel 28b Absatz 1 FAV durchführen, müssen die technischen Unterlagen während zehn Jahren aufbewahren und sie dem BAKOM auf Verlangen vorlegen können. Diese für das Inverkehrbringen von Industrieprodukten geltende Standarddauer geht aus dem neuen EU-Rechtsrah men («New Legislative Framework» [NLF]) hervor. Die technischen Unterlagen bele gen, dass das Produkt die grundlegenden gesetzlichen Anforderungen erfüllt. Wäh rend dieser zehn Jahre können die Behörden von der Herstellerin den Nachweis for dern, dass das Produkt zum Zeitpunkt des Inverkehrbringens konform war. Die Markt aufsichtsbehörden können den Zugang zu den Unterlagen unter anderem im Falle ei nes Audits, nach einem Unfall oder bei Zweifeln an der Konformität eines Produkts verlangen (Abs. 1).
Da dieser Bereich international nicht harmonisiert ist und insbesondere die einzelnen EU-Mitgliedstaaten unterschiedlich vorgehen, kann das BAKOM andere Verfahren als gleichwertig anerkennen. Dabei kann es sich unter anderem um Verfahren handeln, die auf Zertifizierungssystemen beruhen und ein gleichwertiges Sicherheitsniveau ge währleisten wie dasjenige, das in der schweizerischen Gesetzgebung gefordert wird. Es soll vermieden werden, dass eine kritische Anlage, die bereits «sicher» ist, einem erneuten Konformitätsbewertungsverfahren unterzogen wird (Abs. 2).
Die für das Inverkehrbringen verantwortliche Person muss der Betreiberin des Fern meldenetzes, in das die kritische Anlage integriert ist, eine Kopie der technischen Un terlagen abgeben (Abs. 3).
Art. 44b Übergangsbestimmung zur Änderung vom …
Eine zweijährige Übergangsfrist lässt den Herstellerinnen die notwendige Zeit, um die Konformitätsbewertung der kritischen Netzwerkanlagen vorzunehmen. Bei den Netz werkanlagen wird für bereits in Netze integrierte Anlagen nur dann eine Konformitäts bewertung verlangt, wenn sie noch auf dem Markt bereitgestellt werden.
4.3 Verordnung vom 6. Oktober 1997 über die Adressierungselemente im
Fernmeldebereich Art. 23 Abs. 2 Bst. a und b Untergeordnete Zuteilungen
Gemäss geltender Vorgabe kann eine Inhaberin eines Nummernblocks ihrerseits Num mern an registrierte Anbieterinnen nach Artikel 4 FMG zum Erbringen von Fernmelde diensten weitergeben und somit unterzuteilen. Obschon entsprechende Unterzuteilun gen dem BAKOM im Rahmen der jährlichen Auslastungserhebungen gemeldet werden müssen, zeigt sich im Rahmen der fernmelderechtlichen Aufsicht und auch der Straf verfolgung, dass die Rückverfolgung der Inhaberin bei mehrfach erfolgter Weitergabe (Kaskade) teils schwer oder nicht mehr möglich ist. Dies insbesondere, wenn mehrere Stufen von Unterzuteilungen ins und im Ausland erfolgen.
Seitens BAKOM fällt oftmals ein enormer Aufwand an, diese Kaskaden an Unterzutei lungen nachzuvollziehen und nachzuführen, respektive die Anbieterinnen ins Recht zu
fassen. Die Korrespondenz mit ausländischen Unternehmen ist oftmals sehr aufwändig und selten zielführend. Gegenüber diesen Unternehmen, die sich irgendwo auf der Welt befinden können, ist eine Durchsetzung der fernmelderechtlichen Vorgaben na hezu ausgeschlossen, auch wenn diese aufgrund der Nutzung von schweizerischen Nummern auch dem Schweizer Fernmelderecht unterliegen. Es soll inskünftig nur noch eine einstufige Unterzuteilung von der Nummernblockinhaberin an eine einzige weitere Anbieterin (mit Sitz im In- oder Ausland) möglich sein, damit eine Identifikation der ak tuellen Inhaberin jederzeit gewährleistet ist.
Art. 47 Abs. 2, 4 und 5 Zuteilung eines MNC
Absatz 2:
Der Internationale Eisenbahnverband (Union Internationale des Chemins de fer; UIC) fördert die Zusammenarbeit und den Austausch zwischen den Eisenbahngesellschaf ten weltweit. Zu seinen Zielen gehört die Verbesserung der Sicherheit und Effizienz des Schienenverkehrs. Er setzt sich zudem für die Entwicklung technischer Standards und Innovationen ein, die zur Modernisierung der Infrastruktur und der Dienstleistungen beitragen. Durch die Förderung von Innovation trägt der UIC ausserdem zur Integration und Vernetzung des weltweiten Schienennetzes bei.
Um eine sichere und zuverlässige Kommunikation zwischen Zügen und Betriebszent ralen zu gewährleisten, hat der UIC in Zusammenarbeit mit verschiedenen europäi schen Eisenbahngesellschaften und Mobilfunkanbieterinnen in den 1990 Jahren ein spezielles Funkkommunikationssystem für den Eisenbahnsektor namens Global Sys tem for Mobile Communications – Rail(way) (GSM-R oder GSM-Rail) geschaffen. Die ses Funkkommunikationssystem basiert auf der damals vorherrschenden GSM-Tech nologie (2G), die an die spezifischen Anforderungen der Bahnkommunikation und die speziellen Bedürfnisse des Bahnschienenverkehrs angepasst wurde. GSM-R ermög licht die Übertragung von Sprach- und Datenkommunikation und trägt zur Effizienz und Sicherheit des Bahnschienenverkehrs bei. Es wird weltweit in vielen Ländern einge setzt, um die Betriebsabläufe zu optimieren und die Interoperabilität zwischen verschie denen nationalen Eisenbahnsystemen zu gewährleisten.
Die technologische Entwicklung leistungsfähigerer Funkkommunikationssysteme für Bahnanwendungen, die Digitalisierung, die ständig steigenden Anforderungen an Si cherheit, Übertragungsgeschwindigkeit und Datenaustausch zwischen den beteiligten Akteuren im Bahnschienenverkehr sowie die mittelfristige Abschaltung der GSM-Tech nologie (2G) hat die UIC dazu bewogen, das GSM-R Funkkommunikationssystem durch ein neues Funkkommunikationssystem namens Future Railway Mobile Commu nication System (FRMCS), das die 5G-Mobilfunktechnologie unterstützt, abzulösen.
FRMCS soll bis 2035 voll funktionsfähig sein und bis dahin parallel zu GSM-R betrieben werden. GSM-R soll dabei schrittweise ausser Betrieb genommen werden. Artikel 47 Absatz 2 ist somit anzupassen und das Akronym FRMCS hinzuzufügen, da dieses die neue Mobilfunktechnologie für Eisenbahnnetze definiert.
Absätze 4 und 5:
Im Rahmen des Betriebs ihrer Netze haben die Mobilfunkbetreiberinnen vor mehreren Jahren ein Signalisierungsprotokoll eingeführt und nutzen dieses seither für die Wei terleitung von Nachrichten, die den Austausch verschiedener Informationen (Identifika
tionsdaten, Zieldaten, SMS-Nachrichten usw.) zwischen den einzelnen Mobilfunkbe treiberinnen ermöglichen. Dieses Signalisierungsprotokoll wurde ohne Sicherheitsvor richtungen konzipiert, da die Vertrauenswürdigkeit der Netzbetreiberinnen vorausge setzt wurde. Aufgrund der intrinsischen Schwachstellen des Protokolls können böswil lige Nutzerinnen und Nutzer mit Zugang zu den Signalisierungsnetzen heute bestimmte Sicherheitslücken ausnutzen.
Die Fachpresse24 hat Ereignisse aufgegriffen, bei denen unseriöse Mobilfunkbetreibe rinnen das Signalisierungsnetz zu betrügerischen Zwecken nutzen. Angesichts dieser Vorfälle hat die GSMA Verhaltenskodizes25 verfasst, die in erster Linie darauf abzielen, die Sicherheit, die Vertrauenswürdigkeit und den Schutz der im Mobilfunknetz übermit telten Daten zu gewährleisten. Mit der Übernahme dieser Kodizes verpflichten sich die Betreiberinnen eines Fernmeldenetzes, ihren Grundsätzen entsprechende Massnah men umzusetzen, zusammenzuarbeiten, um das Vertrauen innerhalb der weltweiten Mobilfunkbranche zu stärken, und die technischen Ressourcen (wie die GT, siehe Zif fer 4.1) nur zu den vorgesehenen Zwecken zu nutzen, ohne rechtswidrige Aktivitäten zu begünstigen.
Vor diesem Hintergrund sieht Absatz 4 vor, dass die in den Absätzen 1 und 1bis ge nannten Fernmeldedienstanbieter und Betreiber von Telekommunikationsnetzen die erforderlichen technischen, organisatorischen und betrieblichen Massnahmen gegen die missbräuchliche Verwendung eines MNC ergreifen müssen. Sie halten sich dabei an die anerkannten internationalen Normen, Empfehlungen und Praktiken in diesem Bereich, was bedeutet, dass sie die Verhaltenskodizes der GSMA übernehmen müs sen (Abs. 4; vgl. auch Art. 96fbis Abs. 6 FDV). Das BAKOM kann die erforderlichen technischen und administrativen Vorschriften erlassen, insbesondere bei Bedarf die erforderlichen internationalen Empfehlungen und Praktiken festlegen (Abs. 5).
Art. 47g Global Titles
Absatz 1:
Ein GT dient der Weiterleitung der im Signalisierungsprotokoll verwendeten Signalisie rungsnachrichten und stellt so den Informationsaustausch zwischen den verschiede nen Knotenpunkten der Mobilfunknetze sicher. Auf diese Weise können Informationen von Anrufen, SMS, Identifikationsdaten usw. zwischen den Betreiberinnen übermittelt werden. Diese Netzwerkadresse ermöglicht zusammen mit einem MNC, der einer Mo bilfunknetzbetreiberin zugeteilt wurde, ein Mobilfunknetz in einem bestimmten Land eindeutig zu identifizieren und Signalisierungsnachrichten über das Signalisierungs netz der Mobilfunknetze zu übertragen. Dies dient der Verwaltung der Authentifizie rung, Standortidentifikation und Rechnungsstellung sowie des Roamings zwischen Mo bilfunknetzen einer Betreiberin, der eine Abonnentin oder ein Abonnent oder ein Mobil funkgerät zugeordnet ist.
Die GT werden von den E.164-Nummern abgeleitet, die das BAKOM den Mobilfunk betreiberinnen zuteilt. Folglich dürfen nur Fernmeldedienstanbieterinnen, denen Adres sierungselemente (Nummernblöcke des Nummerierungsplans E.164 nach Arti
https://www.lighthousereports.com/investigation/ghost-in-the-network/. https://www.gsma.com/newsroom/wp-content/uploads//FS.52-v1.0.pdf.
kel 20 AEFV) für die Erbringung von Mobilfunkdiensten zugewiesen wurden, von die sen Elementen abgeleitete GT zur Verwendung in Signalisierungs- und Interkonnekti onsnetzen erstellen.
Absatz 2:
Bei der Vermietung von GT handelt es sich um eine Praxis, bei der eine Mobilfunkbe treiberin ihre GT an Dritte (beispielsweise SMS-Aggregatoren oder Unternehmen) ver mietet und diesen so ermöglicht, Signalisierungsnachrichten weiterzuleiten, ohne einen eigenen GT zu besitzen. Dadurch müssen diese Dritten keine Investitionen in eine voll ständige Infrastruktur tätigen. Diese Praxis birgt jedoch gewisse Risiken, insbesondere im Falle einer potenziell illegalen oder betrügerischen Verwendung der vermieteten GT, bei der mitunter besonders schützenswerte Personendaten offengelegt und die Repu tation der Betreiberin, der die GT ursprünglich gehören, geschädigt werden.
Eine unangemessene Verwendung der vermieteten GT ermöglicht namentlich dem Mieter, SMS, einschliesslich Einmalcodes für die Authentifizierung (One Time Pass word, OTP), abzufangen oder zu lesen, indem die Sicherheitslücken des Signalisie rungsprotokolls ausgenutzt werden. Ferner ist es dadurch möglich, Abonnentinnen und Abonnenten durch Ausnutzung von Standortanfragen zu Überwachungszwecken zu verfolgen und zu lokalisieren, die Herkunft von Nachrichten zu verschleiern, was Betrug oder Identitätsmissbrauch erleichtert, und die eigene wahre Identität im Signalisie rungsnetzwerk zu verbergen. Untersuchungen haben gezeigt, dass eine missbräuchli che Verwendung von GT mit schweren Verbrechen wie Tötungen oder gesetzeswidri ger Überwachung in Verbindung gebracht wurde. Die Reglementierung ihrer Nutzung trägt somit zur Bekämpfung solcher Aktivitäten bei.
Absatz 2 bezweckt daher ein Verbot der Vermietung von GT, um so weit wie möglich zu verhindern, dass Lücken im Signalisierungssystem der Mobilfunknetze ausgenutzt werden. Diese Lücken könnten Betrügerinnen und Betrügern oder böswilligen Akteu rinnen und Akteuren ermöglichen, Nachrichten und Anrufe abzufangen oder umzulei ten oder Nutzerinnen und Nutzer zu orten. Die betroffenen Betreiberinnen dürfen die GT, die sie von eigenen E.164-Nummern ableiten, folglich nicht an Dritte vermieten. In klar dokumentierten Einzelfällen kann das BAKOM, sofern alle Sicherheitsmassnah men bei der Verwendung der GT gewährleistet sind, keine anderen Alternativen beste hen und die Nutzung der vermieteten GT den Empfehlungen der GSMA entspricht, Ausnahmen vorsehen und spezifische Regeln dazu erlassen, wie die vermieteten GT verwendet werden müssen.
Diese Massnahmen verringern die Sicherheitsrisiken für die Mobilfunknetze erheblich, indem sie den nicht kontrollierten Zugang zum weltweiten Mobilfunknetz einschränken und so die Möglichkeiten für böswillige Aktivitäten wie das Abfangen von Kommunika tion, das unrechtmässige Tracking oder den Versand von Spam reduzieren. Sie sorgen für eine grössere Transparenz und Nachvollziehbarkeit des Signalisierungsverkehrs und erleichtern es so, die heute im Zusammenhang mit der Vermietung von GT fest gestellten Missbräuche zu erkennen und zu bekämpfen. Zudem verringern diese Mas snahmen die Reputationsrisiken für die Mobilfunkanbieterinnen, die dadurch vermei den, mit betrügerischen oder gesetzeswidrigen Nutzungen ihrer Ressourcen in Verbin dung gebracht zu werden. Die Einschränkung der Vermietung von GT ermöglicht, ge gen Betrug vorzugehen, die Sicherheit zu erhöhen und die Integrität und das Vertrauen in das nationale und internationale mobile Ökosystem zu wahren.
Art. 56d Übergangsbestimmung zur Änderung vom …
Absatz 1:
Mit Absatz 1 der Übergangsbestimmungen wird den Anbieterinnen von Fernmelde diensten eine Frist von zwei Jahren ab Inkrafttreten eingeräumt, um mehrstufige Un terzuteilungen rückabwickeln zu können. Die Anbieterinnen, welche Nummern von der Nummernblockinhaberin erhalten und daraus wiederum Nummern unterzugeteilt ha ben, erhalten diese Frist, um die bestehenden Verträge mit ihren weiteren Partnerinnen zu kündigen und die Unterzuteilungen rückgängig zu machen. Dabei müssen die Num mern an die Nummernblockinhaberin oder die Anbieterin der ersten Stufe der Unterzu teilung übertragen werden. Die Kundinnen und Kunden, welche die Nummern nutzen, sollen somit genügend Zeit erhalten, ein Angebot bei einer dieser beiden Anbieterinnen (Nummernblockinhaberin oder Anbieterin der ersten Stufe) einzuholen oder ganz auf die Nutzung zu verzichten.
Absatz 2:
Anbieterinnen, die vor Inkrafttreten der vorliegenden Verordnung GT an Dritte vermietet haben und keine Bewilligung des BAKOM erhalten haben, sind verpflichtet, die Ver mietung innerhalb von 12 Monaten nach Inkrafttreten der vorliegenden Verordnung oder zum nächsten möglichen vertraglich vereinbarten Kündigungstermin zu kündigen, sofern dieser Termin vor dem 27. Mai 2026 vereinbart wurde. Ausnahmegenehmi gungsgesuche nach Artikel 47g Absatz 2 AEFV müssen innerhalb von 3 Monaten nach Inkrafttreten der vorliegenden Verordnung eingereicht werden. Damit bleibt den Anbie terinnen genügend Zeit, Vertragskündigungen vorzunehmen bzw. ein Gesuch nach Ar tikel 47g Absatz 2 AEFV zu stellen.
Anhang Begriffe und Abkürzungen
Die folgenden Begriffe und Abkürzungen werden neu in das Kapitel «Begriffe und Ab kürzungen» der AEFV aufgenommen:
- FRMCS (Future Railway Mobile Communication System): Zukünftiges Bahnmo bilkommunikationssystem für die europäischen Schienennetze.
- Global Title: Netzwerkadresse, die vom Signalisierungsprotokoll zur Weiterlei tung von Signalisierungsnachrichten (SMS, Anrufe, andere Mobilfunkdienste) zwischen verschiedenen Betreiberinnen verwendet wird.
5 Auswirkungen
5.1 Auswirkungen auf den Bund
Mit der Umsetzung der geplanten Massnahmen zur Erhöhung der Netzsicherheit und zum Schutz vor Cyberbedrohungen entsteht ein personeller oder finanzieller Mehrauf wand für den Bund, welcher mit den bestehenden Ressourcen bewältigt werden kann. Die erforderlichen Arbeiten infolge der vorgeschlagenen Änderungen und Neuerungen können somit durch die bestehenden Personal- und Finanzressourcen im BAKOM ge tragen werden. Für die Initialphase fallen voraussichtlich keine spezifischen Kosten an. Für allfällige wiederkehrende Aufsichtstätigkeiten fallen pro Jahr voraussichtlich bis zu
270 000 Franken Aufwand an.
5.2 Auswirkungen auf Kantone und Gemeinden sowie auf urbane Zentren, Ag
glomerationen und Berggebiete Die geplante Vorlage hat keine spezifischen finanziellen oder personellen Auswirkun gen auf Kantone, Gemeinden, urbane Zentren, Agglomerationen oder Berggebiete.
5.3 Auswirkungen auf die Volkswirtschaft
Die vorgesehenen Anpassungen der Verordnungen entfalten volkswirtschaftliche Wir kungen, die über den sicherheitspolitischen Nutzen hinausreichen. Mit der Verbesse rung der technischen und organisatorischen Massnahmen im Bereich der Informations- und Kommunikationstechnologie wird die Widerstandsfähigkeit kritischer digitaler Inf rastrukturen erhöht. Eine höhere Systemsicherheit reduziert das Risiko von Unterbrü chen, Cyberangriffen oder technischen Ausfällen, was gesamtwirtschaftlich die Konti nuität zentraler staatlicher und privatwirtschaftlicher Leistungen stärkt. Dies insbeson dere durch zeitgemässe Sicherheitsstandards und klare Zuständigkeiten für den Be trieb kritischer IT-Infrastrukturen. Stabil funktionierende digitale Dienste wirken sich po sitiv auf die Standortattraktivität aus und schaffen verlässliche Rahmenbedingungen für Unternehmen, die auf sichere Daten- und Kommunikationsinfrastrukturen angewie sen sind. Gleichzeitig fördert die verbesserte Resilienz das Vertrauen von Bevölkerung, Wirtschaft und internationalen Partnern in staatliche digitale Dienstleistungen, was Transaktionskosten senkt und die Effizienz erhöht.
Die Regulierungskosten nach Artikel 5 UEG, die den betroffenen Unternehmen durch die neuen Sicherheitsanforderungen im Mobilfunkbereich entstehen, lassen sich nur schwer präzise berechnen oder abschätzen. Dies hängt insbesondere damit zusam men, dass die Betreiberinnen sehr unterschiedlich organisiert sind und viele der vorge schlagenen Sicherheitsmassnahmen bereits teilweise umgesetzt haben. Zudem beein flussen sich technische und organisatorische Faktoren gegenseitig, was eine einheitli che Bewertung zusätzlich erschwert. Für eine präzise Ermittlung der Kosten wären Ein zelbefragungen sämtlicher Unternehmen nötig. Ein solches Vorgehen würde sowohl die Firmen als auch die Behörden erheblich belasten und letztlich zu einer Vielzahl von Einzelfallbeurteilungen führen. Für ein solches Verfahren stehen weder die benötigte Zeit noch die erforderlichen personellen Ressourcen zur Verfügung. Den grössten Ein fluss auf die regulatorischen Zusatzkosten haben mit hoher Wahrscheinlichkeit die Massnahmen im Bereich NOC und SOC. Auf Basis einer groben Annahme ist mit Kos ten von bis zu 2 Millionen Franken pro Jahr und Mobilfunkanbieterin zu rechnen. Dabei handelt es sich primär um Personalkosten. Während die Unternehmen zwar alle mit denselben Anforderungen und je nach aktueller Situation mit zusätzlichen Kosten kon frontiert werden, kann davon ausgegangen werden, dass diese zusätzlichen Kosten positive Effekte für die Arbeitnehmenden entfalten, weil Arbeitsplätze in die Schweiz verlagert werden.
Die neuen Anforderungen an die Betreiberinnen von Mobilfunknetzen führen zudem dazu, dass Sicherheitsstrategien überarbeitet und teilweise erheblich ausgeweitet wer den müssen. Insbesondere im Zusammenhang mit der Weiterentwicklung hin zu ech ten 5G-Kernnetzen ist sehr wahrscheinlich mit zusätzlichen Investitionen zu rechnen. Diese können kurzfristig zu Mehrkosten führen, mittelfristig jedoch den technologischen Wandel beschleunigen, indem Anreize geschaffen werden, veraltete und kosteninten sive Technologien wie z.B. 3G schneller ausser Betrieb zu nehmen. Volkswirtschaftlich wirken solche Modernisierungsschritte dämpfend auf langfristige Betriebs- und War tungskosten und steigern die Innovations- und Wettbewerbsfähigkeit des gesamten Sektors.
Die Gleichbehandlung von Mobilfunkkonzessionärinnen und Full MVNO kann in Ein zelfällen dazu führen, dass das Geschäftsmodell der Full MVNO beeinträchtigt wird. Da dadurch aber faire Wettbewerbsbedingungen geschaffen und gleichzeitig Risiken reduziert werden, rechtfertigt sich eine Gleichbehandlung aus gesamtwirtschaftlichen Kosten-Nutzen-Überlegungen. Letztlich werden dadurch vorhandene Marktverzerrun gen beseitigt. Anbieterinnen sollen keine Wettbewerbsvorteile daraus ziehen können, dass sie auf sicherheitsrelevante Massnahmen verzichten. Dies stärkt das Vertrauen der Konsumentinnen und Konsumenten, die unabhängig von der Anbieterin auf sichere Dienstleistungen angewiesen sind. Ein funktionierender und transparenter Telekom munikationsmarkt bildet eine wesentliche Grundlage für wirtschaftliche Stabilität und die verlässliche Bereitstellung kritischer digitaler Dienste, insbesondere vor dem Hin tergrund der zunehmenden Abhängigkeit von digitalen Wertschöpfungsketten.
Die Pflicht, eine Konformitätsbewertung für kritische Netzwerkanlagen durchzuführen gilt für die (meist internationalen) Hersteller, deren Anzahl maximal im tiefen zweistel ligen Bereich geschätzt wird, und wird deren Aufwand erhöhen. Der zusätzliche zeitli che Aufwand ist schwierig abzuschätzen, dürfte sich aber für eine grosse Herstellerin mit vielen angebotenen Produkten mit grosser Wahrscheinlichkeit auf maximal eine Vollzeitstelle belaufen. Die Vorgaben des vorliegenden Entwurfs orientieren sich an der Entwicklung der internationalen Rahmenbedingungen, wodurch ein Grossteil dieser zu sätzlichen Kosten für die Hersteller ohnehin anfällt. Zudem entstehen auf Seiten der Mobilfunkbetreiber Mehrkosten, weil die Projekte für den Netzausbau länger dauern werden. Gleichzeitig erhöht eine konsequente sicherheitstechnische Überprüfung die Wahrscheinlichkeit, dass Infrastrukturen langfristig ohne gravierende Störungen betrie ben werden können. Eine höhere Zuverlässigkeit reduziert gesamtwirtschaftliche Risi ken wie Produktionsausfälle, Datenverluste oder Versorgungsengpässe und wirkt sta bilisierend auf vernetzte Wirtschaftsprozesse. Werden dabei schwerwiegende Kompro mittierungen entdeckt, können zwar weitere Kosten entstehen; zugleich wird verhin dert, dass unsichere Systeme in Betrieb gehen und potenziell wesentlich höhere volks wirtschaftliche Schäden verursachen.
Insgesamt stärken die vorgesehenen Massnahmen die digitale Souveränität der Schweiz, fördern stabile und faire Marktbedingungen und reduzieren sicherheitsbe dingte Risiken für Wirtschaft und Gesellschaft. Die daraus resultierenden volkswirt schaftlichen Effekte zeigen sich in Form erhöhter Sicherheit, verbesserter Effizienz und einer langfristigen Stärkung des Wirtschaftsstandorts Schweiz.
5.4 Auswirkungen auf die Gesellschaft
Mit den beantragten Neuregelungen wird der Schutz der Endkundendaten verbessert. Auch führt die Vorlage zu einer höheren Ausfallsicherheit der Fernmeldeanlagen. Die Auswirkungen auf die Gesellschaft, insbesondere auf die Endkundinnen und Endkun den der Mobilfunknetze, sind als positiv zu betrachten. Beispielsweise werden durch die Beschränkung der Vermietung von GT auf Mobilfunkanbieterinnen oder Betreibe rinnen von Telekommunikationsnetzen missbräuchliche Nutzungen wie der Massen versand von Spam-Nachrichten, «Smishing» oder betrügerischer SMS-Verkehr, der die Reputation des legitimen GT nutzt, eingeschränkt. Daher wird es bei missbräuchli cher oder unangemessener Nutzung einfacher sein, die fehlbare Betreiberin zu identi fizieren und Massnahmen zu ergreifen, um die Aktivitäten der beteiligten Stellen zu beschränken oder zu stoppen und so Abonnentinnen und Abonnenten oder Konsu mentinnen und Konsumenten zu schützen.
Die Konsumentinnen und Konsumenten werden durch die Anpassung der Bestimmung zur Übermittlung von Nummern besser vor betrügerischen, unlauteren und lästigen 30/33
Anrufen geschützt. Hingegen sehen sich Konsumentinnen und Konsumenten durch die Neuregelung betreffend Unterzuteilung allenfalls gezwungen, die Anbieterin zu wech seln, beziehungsweise ihre Nummer zu einer anderen Anbieterin portieren zu lassen.
5.5 Andere Auswirkungen
Auswirkungen auf die Umwelt oder andere Auswirkungen sind nicht zu erwarten.
6 Rechtliche Aspekte
6.1 Delegation von Rechtsetzungsbefugnissen und Erlassform
Mit den vorliegenden Bestimmungen wird insbesondere Artikel 48a Absatz 2 Buchsta ben a und b sowie Artikel 28 Absatz 6 Buchstaben a und d FMG umgesetzt. Diese Bestimmungen räumen dem Bundesrat zum Schutz vor Gefahren, zur Vermeidung von Schäden und zur Minimierung von Risiken die Möglichkeit ein, Regelungen über die Sicherheit von Informationen, von Fernmeldeinfrastrukturen und -diensten sowie Adressierungselementen zu erlassen. Der Bundesrat kann insbesondere Bestimmun gen erlassen bezüglich Verfügbarkeit, Betrieb, Sicherstellung von redundanten Infra strukturen, Meldung von Störungen, Nachvollziehbarkeit von Vorgängen und Umlei tung oder Verhinderung von Verbindungen sowie Unterdrückung von Informationen nach Absatz 1. Diese Gesetzesbestimmung gibt dem Bundesrat einen relativ grossen Spielraum der Bereiche, in denen er legiferieren kann.
Die vorliegenden Bestimmungen stützen sich zudem auf die nach den Artikeln 31 Ab satz 1, 32, 32a und 33 Absatz 2 FMG vorgesehenen Kompetenzdelegationen. Auf die ser Grundlage kann der Bundesrat Vorschriften über das Importieren, das Anbieten, das Bereitstellen auf dem Markt und die Inbetriebnahme von Fernmeldeanlagen fest legen, insbesondere hinsichtlich grundlegender Anforderungen im Bereich der techni schen Sicherheit und der Konformitätsbewertung.
Die Vorlage enthält rechtsetzende Bestimmungen, die nach Artikel 182 der Bundesver fassung der Schweizerischen Eidgenossenschaft vom 18. April 199926 (BV) in Form einer Bundesratsverordnung soweit er durch Verfassung oder Gesetz dazu ermächtigt ist, zu erlassen sind. Mit diesen im vorliegenden Revisionsprojekt angepassten Verord nungsbestimmungen nutzt der Bundesrat die Kompetenz, in den Bereichen Sicherheit von Fernmeldeanlagen sowie Verfügbarkeit und Betrieb von sicherheitsrelevanten Fernmeldeinfrastrukturen, Bestimmungen zu erlassen. In Artikel 62 Absatz 2 FMG (siehe auch Art. 105 Abs. 1 FDV und 41 Abs. 1 FAV) ist vorgesehen, dass der Bundes rat dem BAKOM die Aufgabe übertragen kann, die notwendigen technischen und ad ministrativen Vorschriften zu erlassen. Dabei muss das BAKOM die international gel tenden Normen berücksichtigen.
6.2 Vereinbarkeit mit internationalen Verpflichtungen der Schweiz
Die Vorlage schafft keine Unvereinbarkeit mit den internationalen Verpflichtungen der Schweiz. So fallen namentlich die geplanten Massnahmen für Netzwerkanlagen nicht unter das Abkommen zwischen der Schweiz und der EU über die gegenseitige Aner kennung von Konformitätsbewertungen27 und stellen somit keine technischen Handels hemmnisse dar. Die Vorlage ist damit mit den internationalen Verpflichtungen der Schweiz, die aus dem MRA Schweiz-EU resultieren, vereinbar.
26 SR 101 27 SR 0.946.526.81
Die Pflicht nach Artikel 96f Absatz 2 FDV, bestimmte Infrastrukturen oder Betriebszen tren aus Gründen der technischen Sicherheit in der Schweiz anzusiedeln, ist gemäss der Artikel XIV Buchstabe a (Schutz der öffentlichen Ordnung), XIV Buchstabe c iii und XIVbis (Sicherheit) des GATS (siehe entsprechende Ausführungen zu Art. 96f Abs. 2) zulässig. Das gilt auch für die neuen Sicherheitsanforderungen für Fernmeldeanlagen gemäss Artikel XIV Buchstabe a Ziffer i (Sicherheit) des Anhangs 1A des Abkommens zur Errichtung der WTO (Allgemeines Zoll- und Handelsabkommen, GATT) sowie der Artikel 2.10, 5.4 und 5.7 (Nationale Sicherheit) des Anhangs 1A.6. de l’Accord instituant l’OMC (Accord sur les obstacles techniques au commerce OTC).
6.3 Unterstellung unter die Ausgabenbremse
Mit der Vorlage werden weder neue Subventionsbestimmungen noch neue Verpflich tungskredite oder Zahlungsrahmen beschlossen. Die Vorlage ist somit nicht der Aus gabenbremse (Art. 159 Abs. 3 Bst. b BV) unterstellt.
6.4 Einhaltung des Subsidiaritätsprinzips und des Prinzips der fiskalischen
Äquivalenz Das Subsidiaritätsprinzip und das Prinzip der fiskalischen Äquivalenz sind von der Vor lage nicht betroffen.
6.5 Datenschutz
Die geplanten Massnahmen wurden datenschutzrechtlichen Risikovorprüfungen unter zogen. Das Ausmass der vorgesehenen Datenbearbeitung erfordert keine weiterge hende Datenschutzfolgeabschätzung.
6.6 Abkürzungsverzeichnis
BAKOM Bundesamt für Kommunikation
BJ Bundesamt für Justiz
ComCom Eidgenössische Kommunikationskommission
ENISA European Network and Information Security Agency
EU Europäische Union
Full MVNO Full Mobile Virtual Network Operator
GSMA GSM Association
GT Global Title
MNC Mobile Network Code
NCS Nationale Cyberstrategie
BACS Bundesamt für Cybersicherheit
RAN Radio Acess Network
TAV Technische und administrative Vorschriften
UVEK Eidgenössisches Departement für Umwelt, Verkehr, Energie und Kom munikation
6.7 Literaturverzeichnis
Bundesrat (2023a): Nationale Cyberstrategie (NCS), https://www.newsd.ad min.ch/newsd/message/attachments/76793.pdf, 04.2023.
Bundesrat (2023b): Nationale Strategie zum Schutz kritischer Infrastrukturen, https://www.babs.admin.ch/de/ski, 16.06.2023.
NCS (2023): Ziel: Sichere und verfügbare digitale Dienstleistungen und Infrastruktur, https://www.ncsc.admin.ch/ncsc/de/home/strategie/ziele-massnahmen/ncs-ziel-si chere-verfuegbare-digitale-dl-infrastruktur.html, letztmals abgerufen am 01.05.2026.
EU (2020): Cybersecurity of 5G networks – EU Toolbox of risk mitigating measures, https://digital-strategy.ec.europa.eu/en/library/cybersecurity-5g-networks-eu-toolbox- risk-mitigating-measures, 23.01.2020.