In einer aktuellen Entwicklung, datiert auf den 12. September 2023, wird darüber diskutiert, ob Betreiber entscheidender Einrichtungen zukünftig verpflichtet sein sollten, nicht nur Cyberangriffe, sondern auch schwerwiegende Sicherheitslücken den Behörden zu melden. Diese Frage hat zu kontroversen Debatten zwischen den legislativen Gremien geführt. Der nationale Gesetzgeber hat nun einen Kompromissvorschlag vorgelegt.
Am 12. September 2023 wurde eine wichtige Entscheidung getroffen. Sollten Betreiber von entscheidenden Infrastrukturen künftig nicht nur Cyberangriffe, sondern auch bedeutende Sicherheitslücken in ihren Computersystemen melden müssen? Diese Frage spaltet immer noch die beiden Kammern des Gesetzgebers. Der nationale Gesetzgeber, der ursprünglich die Meldung von Sicherheitslücken gefordert hatte, hat nun einen Schritt in Richtung des Bundesrates unternommen, der zuvor gegen diesen Vorschlag gestimmt hatte.
Gemäss Informationen von Behördenquellen hat das grössere legislative Organ beschlossen, proprietäre Entwicklungen von Unternehmen von der Meldepflicht auszunehmen. Diese Entscheidung folgte einem Antrag des sicherheitspolitischen Ausschusses des nationalen Gesetzgebers. Der Sprecher dieses Ausschusses, Gerhard Andrey, begründete den Antrag damit, dass andere Betreiber spezielle Eigenentwicklungen nicht nutzen würden.
Eine Minderheit in der Kammer hingegen plädierte dafür, dem Bundesrat zu folgen und die Meldepflicht für bedeutende Sicherheitslücken in Computersystemen gänzlich aufzuheben. Das Thema wird nun an das kleinere legislative Organ zurückverwiesen.
Am 1. Juni 2023:
Das Parlament hat einstimmig die Einführung einer Meldepflicht für Cyberangriffe auf wichtige Einrichtungen befürwortet. Doch diese Entscheidung ist noch nicht endgültig, wie von behördlichen Quellen berichtet wird. Denn der Vorschlag des nationalen Gesetzgebers, die Meldepflicht auch auf bedeutende Sicherheitslücken in Computersystemen auszudehnen, fand keine Zustimmung im Bundesrat. Dieser erweiterte Vorschlag wurde mit 31 zu 13 Stimmen abgelehnt. Die kleinere legislative Kammer folgte dabei Personen wie FDP-Mitglied Hans Wicki, der vor zusätzlichem Aufwand für Betriebe und die Meldestelle warnte. Das Thema wird nun zur Klärung von Meinungsverschiedenheiten wieder an den nationalen Gesetzgeber zurückverwiesen.
Am 16. März 2023:
Der nationale Gesetzgeber unterstützt nun die Einführung einer Meldepflicht für Cyberangriffe auf wichtige Einrichtungen. Laut behördlichen Informationen hat er die erforderlichen Änderungen am Bundesgesetz über die Informationssicherheit verabschiedet, und zwar mit 132 zu 55 Stimmen. Daraufhin sollen Betreiber wichtiger Einrichtungen künftig grosse Cyberangriffe innerhalb von 24 Stunden an das Nationale Zentrum für Cybersicherheit (NCSC) melden müssen. Bei vorsätzlicher Unterlassung riskieren sie eine Geldstrafe.
Der nationale Gesetzgeber hat auch vorgeschlagen, die Meldepflicht auf bedeutsame Sicherheitslücken in Computersystemen auszudehnen, und folgte damit einem Vorschlag seines Ausschusses für Sicherheitspolitik. Laut der Mitteilung erhofft sich das grössere legislative Organ eine vorbeugende Wirkung davon. Das Thema geht als nächstes an den Bundesrat.
In einer Stellungnahme kritisiert eine politische Partei in der Schweiz, dass das NCSC immer noch als Meldestelle vorgesehen ist. Dies liegt daran, dass das NCSC in eine Bundesbehörde umgewandelt und dem Verteidigungsministerium angegliedert wird. Dort sind auch Organisationen wie der Nachrichtendienst des Bundes (NDB) und die Armee untergebracht, die nach Meinung der Partei nicht im besten Interesse der Cybersicherheit handeln. Daher ist das NCSC nicht mehr als vertrauenswürdig anzusehen, und es sollte eine unabhängige Meldestelle geschaffen werden. Die Partei fordert auch, dass das NCSC verpflichtet wird, die Öffentlichkeit über gemeldete Cyberangriffe zu informieren, anstatt dies nur als Möglichkeit zu betrachten.
Am 2. Dezember 2022:
Der Bundesrat hat dem Parlament einen Vorschlag zur Änderung des Gesetzes über die Informationssicherheit im Bund vorgelegt. Dieser Vorschlag legt die gesetzlichen Grundlagen für die Verpflichtung der Betreiber wichtiger Einrichtungen fest, Cyberangriffe, die sie erlitten haben, zu melden.
Die zentrale Anlaufstelle für diese Meldungen wird das neue Bundesamt für Cybersicherheit sein.
Ursprüngliche Meldung vom 13. Mai 2022:
Die Idee einer Meldepflicht für Cyberangriffe auf wichtige Einrichtungen erfreut sich in der Schweiz grosser Unterstützung. Betreiber von kritischen Infrastrukturen könnten in Zukunft dazu verpflichtet werden, solche Vorfälle zu melden. Der Gesetzesvorschlag, den der Bundesrat im Januar 2022 in die Vernehmlassung geschickt hat, findet breite Zustimmung in Wirtschaft, Forschung und auf Kantonsebene, wie das Nationale Zentrum für Cybersicherheit (NCSC) mitteilt.
Insgesamt gingen etwa 100 Stellungnahmen ein, die die vorgeschlagenen Gesetzestexte grösstenteils befürworteten. Eine Meldepflicht bei einer zentralen Bundesstelle wird als ein sinnvolles Instrument zur Stärkung der Cybersicherheit angesehen. Den Betroffenen ist es besonders wichtig, dass diese Meldungen ohne zusätzlichen bürokratischen Aufwand erfolgen können.
Quelle: www.swisscybersecurity.net