Lexipedia

17.3905 · Interpellation · 2017-09-29

Finanzdepartement

Erledigt

Wortlaut

Die Bedrohungslage im Cyber-Risk-Bereich ist sehr gross und nimmt immer mehr zu. Das beweisen die täglichen, zum Teil schwerwiegenden Vorfälle. Der Beschluss des Bundesrates, eine neue nationale Cyberstrategie zu erarbeiten, ist deshalb sehr zu begrüssen. Allerdings können in einer Strategie nur Ziele und Massnahmen, aber keine verbindlichen Vorschriften erlassen werden, etwa betreffend eine Meldepflicht bei Vorfällen oder Einhaltung von Mindestvorschriften. Deutschland zum Beispiel verfügt über ein solches Gesetz, welches solche Vorschriften regelt (IT-Sicherheitsgesetz).

Der Bundesrat wird gebeten, folgende Fragen zu beantworten:

1. Teilt er die Meinung, dass die geplante neue Nationale Cyberstrategie 2.0 durch ein nationales IT-Sicherheitsgesetz oder Cyber-Risk-Gesetz erlassen werden soll, welches zwingende/verbindliche Verhaltensvorschriften umfassen kann?

2. Besteht bereits eine Absicht des Bundesrates, ein nationales IT-Sicherheitsgesetz oder Cyber-Risk-Gesetz zu erarbeiten und dem Parlament vorzulegen?

3. Wenn ja, wie sieht ein allfälliger Zeitplan aus?

4. Wie würde dem Schutz für Bürgerinnen und Bürger und Unternehmer Rechnung getragen?

Stellungnahme des Bundesrates

Die Erfahrungen aus der Umsetzung der ersten nationalen Strategie zum Schutz der Schweiz vor Cyberrisiken (NCS) haben gezeigt, dass auf der Basis der aktuellen Gesetzesgrundlagen viel erreicht werden kann. Insbesondere im Bereich der kritischen Infrastrukturen besteht über die Melde- und Analysestelle Informationssicherung (Melani) eine sehr gut funktionierende Zusammenarbeit mit der Privatwirtschaft und den Hochschulen. Diese wird auch das Fundament der zweiten NCS für die Jahre 2018 bis 22 bilden. Im Rahmen der Ausarbeitung der neuen Strategie wurde aber - wiederum im Austausch mit Fachleuten aus der Privatwirtschaft und den Hochschulen - festgestellt, dass es Bereiche gibt, in welchen die bisherigen Massnahmen durch den Erlass von verbindlichen Vorschriften gestärkt oder ergänzt werden müssen. Beispiele dafür sind die von der Interpellantin erwähnten Mindeststandards oder eine Meldepflicht für Cybervorfälle.

Es wird sich jedoch erst mit der Umsetzung der Massnahmen der neuen Strategie zeigen, was konkret in welchen Gesetzen zu ändern bzw. zu ergänzen ist. So muss zum Beispiel zuerst sorgfältig geprüft werden, ob und für wen Meldepflichten zu Cybervorfällen eingeführt werden und in welchen Fällen sie gelten sollen. Vor der Verabschiedung der neuen Strategie und dem Umsetzungsplan ist es daher noch zu früh für Angaben, wann und in welcher Form der Bundesrat dem Parlament Gesetzesvorlagen unterbreiten wird.

Das Beispiel des dem Parlament bereits vorliegenden Informationssicherheitsgesetzes (ISG) zeigt aber, dass der Bundesrat gewillt ist, die zur Bewältigung von Cyberrisiken nötigen Gesetzesvorlagen auszuarbeiten und dem Parlament vorzulegen. Das ISG schafft für die Bundesbehörden verbindliche Vorgaben zur Informationssicherheit und trägt dadurch im Sinn der Interpellation zur Umsetzung der NCS bei.

Antwort des Bundesrates.