Der Bundesrat hat den Bericht «Varianten für Meldepflichten von kritischen Infrastrukturen bei schwerwiegenden Sicherheitsvorfällen» gutgeheissen. Dieser beschreibt die Kernfragen, welche sich in Bezug auf die Einführung von Meldepflichten stellen und zeigt mögliche Modelle zu ihrer Umsetzung auf. Basierend auf diesen Ergebnissen will der Bundesrat bis Ende 2020 Grundsatzentscheide über die Einführung von Meldepflichten fällen.
Die Schweiz kennt keine generelle Meldepflicht für Cybervorfälle. Der Austausch zu Cybervorfällen bei kritischen Infrastrukturen wie Energieversorgung, Telekommunikation oder Finanz- und Versicherungswesen erfolgt auf freiwilliger Basis über die Melde- und Analysestelle Informationssicherung (MELANI). Angesichts der raschen Entwicklung der Cyberrisiken stellt sich die Frage, ob dieser freiwillige Austausch genügt, um Bedrohungen frühzeitig und sektorenübergreifend zu erkennen. In der Nationalen Strategie zum Schutz der Schweiz vor Cyberrisiken (NCS) wird deshalb festgehalten, dass die Einführung von Meldepflichten zu prüfen ist. Zudem hat das Parlament ein Postulat überwiesen (17.3475 Graf-Litscher), welches vom Bundesrat verlangt, aufzuzeigen, wie Meldepflichten für Sicherheitsvorfälle bei kritischen Infrastrukturen eingeführt werden können.
Varianten für die Umsetzung
Mit dem Bericht «Varianten für Meldepflichten für kritische Infrastrukturen bei schwerwiegenden Sicherheitsvorfällen» liegen nun erste Ergebnisse dieser Prüfung vor. Der Bericht fasst die Ergebnisse der bisherigen Arbeiten zusammen und entwickelt Varianten zur Einführung von Meldepflichten. Diese wurden auf Basis der heute bereits bestehenden Meldepflichten für Sicherheitsvorfälle, den Erkenntnissen aus Interviews mit Expertinnen und Experten und den Analysen von Meldepflichten in anderen Ländern entwickelt. Wesentlich für die möglichen Varianten ist die Frage, ob Cybervorfälle einer separaten Stelle gemeldet werden müssen oder ob die in den Sektoren teilweise schon bestehenden Meldestellen für Sicherheitsvorfälle ergänzt werden sollen. Abhängig von dieser Organisationsstruktur ist zu beurteilen, ab welchem Ausmass Vorfälle meldepflichtig sind, welche Fristen für die Meldung gelten, ob Meldungen anonym abgegeben werden können und ob Sanktionen für den Unterlassungsfall definiert werden.
Grundsatzentscheid bis Ende 2020
Der Bundesrat hat das neu geschaffene Nationale Zentrum für Cybersicherheit im Eidgenössischen Finanzdepartement (EFD) zusammen mit dem Bundesamt für Bevölkerungsschutz (BABS) beauftragt, diese Fragen unter Einbezug der zuständigen Behörden der Kantone und des Bundes sowie der Wirtschaft abzuklären. Dabei ist auch zu prüfen, ob eine Ausweitung der generellen Meldepflichten für Funktionsausfälle bei kritischen Infrastrukturen vorgenommen werden soll. Bis spätestens Ende 2020 soll dem Bundesrat eine Vorlage unterbreitet werden, welche die Grundsatzentscheide zu den Meldepflichten von kritischen Infrastrukturen ermöglicht.
Lesen Sie auch: