Lexipedia

Amherd Viola · Bundesrat · 2023-03-16

Amherd Viola · Bundesrat · Wallis · 2023-03-16

Wortprotokoll

Cyberangriffe sind eine zentrale Bedrohung für Wirtschaft, Staat und Gesellschaft. In enger Zusammenarbeit mit der Privatwirtschaft, den Kantonen und den Hochschulen tritt der Bund gegen diese Bedrohung an. Eine grosse Herausforderung dabei ist, dass Angreifer ihre Methoden ständig ändern. Entscheidend für die rechtzeitige Warnung und Abwehr von Cyberangriffen ist daher, dass neue Angriffsmethoden rasch erkannt werden. Aus diesem Grund sind Meldungen zu Cyberangriffen an das NCSC sehr wichtig.

Das NCSC führt heute schon eine Meldestelle, an welche Cyberangriffe gemeldet werden können. Über eine geschlossene Plattform pflegt es zudem den Informationsaustausch mit kritischen Infrastrukturen. Dieser freiwillige Informationsaustausch stösst aber an Grenzen. Während einige Unternehmen sich aktiv daran beteiligen, profitieren andere von den Warnungen, ohne selber zum Informationsaustausch beizutragen. Dies ist vor allem dann störend, wenn es sich bei den Unternehmen um kritische Infrastrukturen handelt, deren Funktionieren für uns alle von grosser Bedeutung ist.

Der Bundesrat hat sich deshalb dafür entschieden, dem Parlament die Einführung einer Meldepflicht für Cyberangriffe auf kritische Infrastrukturen vorzuschlagen, wie sie bereits in vielen Ländern existiert und in der EU 2018 eingeführt wurde. Verfolgt wird damit das Ziel, den Informationsaustausch zu stärken und dem NCSC fundierte Einschätzungen zu Cyberbedrohungen in der Schweiz zu ermöglichen.

Der Meldepflicht unterstellt werden kritische Infrastrukturen sowie Organisationen, bei denen ein Cyberangriff direkte Auswirkungen auf kritische Infrastrukturen hat. Diese müssen schwerwiegende Cyberangriffe innerhalb von 24 Stunden über ein elektronisches Meldeformular dem NCSC melden. Erfüllen Organisationen die Meldepflicht nicht, werden sie vom NCSC auf die Meldepflicht hingewiesen. Erst wenn weiterhin keine Reaktion erfolgt, ist das NCSC befugt, die Meldung über eine Verfügung einzufordern. [PAGE 554]

Neben der Meldepflicht legt die Vorlage auch fest, welche Aufgaben der Bund in der Cybersicherheit übernimmt. Insbesondere wird das NCSC verpflichtet, den kritischen Infrastrukturen subsidiäre erste Hilfe bei der Bewältigung von Cyberangriffen anzubieten.

Schliesslich berücksichtigt die Vorlage auch den Schutz der Meldenden. Das NCSC leitet ohne Einverständnis keine Angaben über die Meldenden an andere Stellen weiter. Ausnahmen sind nur für die Weiterleitung an den Nachrichtendienst bei Bedrohungen der nationalen Sicherheit und für Weiterleitungen an die Strafverfolgungsbehörden bei Fällen von schwerer Kriminalität möglich.

Zusammenfassend kann gesagt werden, dass die Einführung der Meldepflicht weder zu einer finanziellen noch zu einer administrativen Belastung für die Unternehmen führt. Sie stärkt vielmehr die Zusammenarbeit zwischen Bund und Privatwirtschaft. Dafür sind folgende Gründe ausschlaggebend:

1.[NB]Die Meldepflicht kann ohne grösseren Aufwand über ein Meldeformular erfüllt werden.

2.[NB]Die Informationen werden vom NCSC vertraulich behandelt.

3.[NB]Die Meldung führt zu einem Anspruch auf subsidiäre Unterstützung durch das NCSC.

4.[NB]Sanktionen sind bei Nichterfüllung der Meldepflicht erst als letztes Mittel möglich.

In der Vernehmlassung wurde die Meldepflicht überwiegend begrüsst. 89 von 99 Teilnehmenden, darunter alle Kantone, unterstützten die Einführung einer Meldepflicht, nur 7 haben sich dagegen ausgesprochen. Umstritten war die Einführung einer Sanktion bei Nichteinhaltung der Meldepflicht. 24 Teilnehmende lehnten eine Sanktionierung ab. Wir haben beschlossen, daran festzuhalten, da es wenig sinnvoll ist, eine Pflicht einzuführen, wenn sie nicht durchgesetzt werden kann. Weil das NCSC die Unternehmen vor der allfälligen Verfügung einer Sanktion aber darauf hinweisen muss, dass die Meldepflicht nicht erfüllt wurde, gehen wir davon aus, dass es kaum zu Sanktionen kommen wird.

Ansonsten gab es in der Vernehmlassung Präzisierungsvorschläge, die wir grösstenteils übernehmen konnten. Die Vorlage findet insgesamt also breite Zustimmung. Sie legt das rechtliche Fundament für die bereits gut etablierte Zusammenarbeit zwischen Wirtschaft und Staat.

Ihre Kommission beurteilt das gleich und empfiehlt Ihnen, wie gehört, auf die Vorlage einzutreten. Sie will dabei sogar noch etwas weiter gehen als der Bundesrat. Sie will die Unternehmen dazu verpflichten, nicht nur Cyberangriffe, sondern auch neu entdeckte Schwachstellen in den verwendeten Informatikmitteln zu melden. Die Kommission beantragt entsprechend, Artikel 74d mit einem zweiten Absatz zu ergänzen, der festlegt, dass bisher unbekannte Schwachstellen in betriebskritischen Informatikmitteln gemeldet werden müssen.

Der Antrag der Kommission stärkt den präventiven Charakter der Vorlage. Die Meldepflicht setzt nicht erst ein, wenn bereits ein Angriff passiert ist, sondern bereits, wenn ein solcher möglich ist. Gleichzeitig muss man sich bewusst sein, dass jede Ausweitung der Meldepflicht zu einem Mehraufwand bei den betroffenen Unternehmen führen kann. Es gilt also beim Änderungsantrag der Kommission, ebenso wie bei der Beurteilung der gesamten Vorlage, zwischen dem Aufwand für die Unternehmen und der Stärkung der Cybersicherheit abzuwägen. Ich bin überzeugt, dass der Nutzen dieser Vorlage für die Cybersicherheit den Aufwand für die betroffenen Unternehmen deutlich übersteigt.

Ich bitte Sie deshalb, Ihrer Kommission zu folgen und auf die Vorlage einzutreten und ihr dann auch zuzustimmen.