Der Bundesrat hat das Eidgenössische Finanzdepartement (EFD) beauftragt, eine Vernehmlassungsvorlage betreffend die Einführung einer Meldepflicht bei Cyberangriffen für Betreiberinnen und Betreiber von kritischen Infrastrukturen auszuarbeiten. Er hat entsprechende Eckwerte für die Ausgestaltung der Vorlage festgelegt.
Die Schweiz kennt nur in einzelnen Sektoren Meldepflichten für Funktionsausfälle aber keine generelle Meldepflicht bei Cyberangriffen. Der Austausch zu Cyberangriffen bei kritischen Infrastrukturen wie etwa Energieversorgung, Telekommunikation oder Finanz- und Versicherungswesen erfolgt auf freiwilliger Basis über das Nationale Zentrum für Cybersicherheit (NCSC) im EFD. Gemäss der Nationalen Strategie zum Schutz der Schweiz vor Cyberrisiken (NCS) ist die Einführung von Meldepflichten zu prüfen. Zudem hat der Bundesrat mit der Verabschiedung des Postulatsberichts «Meldepflicht von schwerwiegenden Sicherheitsvorfällen bei kritischen Infrastrukturen» (Postulat 17.3475, Graf-Litscher) am 13. Dezember 2019 entsprechende Prüfaufträge erteilt.
Unter Einbezug der zuständigen Behörden der Kantone und des Bundes sowie der Wirtschaft hat das NCSC geprüft, ob eine Pflicht zur Meldung von Cyberangriffen eingeführt werden soll und wie sie ausgestaltet werden könnte. Das Bundesamt für Bevölkerungsschutz (BABS) hat geprüft, inwieweit Meldepflichten für Funktionsausfälle bei kritischen Infrastrukturen eingeführt oder ausgebaut werden sollen und ob diese Meldungen einer zentralen Stelle übermittelt werden sollen. Der Bundesrat hat von den Resultaten der Abklärungen Kenntnis genommen und basierend darauf das weitere Vorgehen beschlossen.
Eckwerte der Meldepflicht für Cyberangriffe
Der Bundesrat hat das EFD beauftragt, bis Ende 2021 eine Vernehmlassungsvorlage auszuarbeiten, welche die rechtlichen Grundlagen für eine Meldepflicht für kritische Infrastrukturen bei Cyberangriffen und bei der Entdeckung von Sicherheitslücken schafft. Auf Gesetzesstufe soll dabei eine zentrale Meldestelle bezeichnet und für alle Sektoren einheitlich bestimmt werden. Auch sollen die Kriterien definiert werden, wer innerhalb welcher Frist welche Vorfälle melden soll. Die konkreten Bestimmungen zur Ausgestaltung der Meldepflicht sollen, angepasst auf die sektorspezifischen Gegebenheiten, in entsprechenden Erlassen definiert werden. Dabei soll die Meldepflicht auf bereits bestehende sektorielle und datenschutzrechtliche Meldepflichten abgestimmt werden.
Die bei der Meldestelle eingegangenen Meldungen und die dabei erhobenen Daten sollen dazu genutzt werden, Frühwarnungen abzusetzen. Durch ein frühzeitiges Erkennen der Angriffsmethoden und entsprechende Warnungen sollen die Sicherheit der Schweiz gestärkt und die Einschätzung der Bedrohungslage verbessert werden. Daten über die Meldenden werden nicht weitergegeben.
Koordiniert durch das BABS sollen die Departemente zudem Vorschläge erarbeiten, wie Meldepflichten für Funktionsausfälle von kritischen Infrastrukturen in den bestehenden rechtlichen Grundlagen auf- oder ausgebaut werden können.
Ein Kommentar
Ich wurde in den vergangenen Monaten mehrmals per Mail von einer Swiss Post Adresse aufgefordert, dass mir ein Paket nicht zugestellt werden könnte, da ich zuerst noch einen kleinen Zolltarif überweisen müsste. Demnach wurde ich aufgefordert, meine Kontonageben zu machen.
Da ich wusste, dass ich keine Packete bestellt hatte, kam mir diese Mail-Nachricht sehr betrügerisch vor, obwohl das SwissPost Logo sehr, sehr verführerisch aussieht.
Vor ca einer Woche wurde ich mit einer SMS Nachricht, mit genau der gleichen Angaben, wieder mit dieser betrügerischen Aufforderung konfrontiert.
Heute habe ich jetzt in der Zeitung gelesen, dass diese Aufforderung absolut auf Betrug augeht, was mir meine Gefühle nun definitiv bestätigt hat. Einfach zur Kenntnisnahme…