Schweizer Betreiber kritischer Infrastrukturen sollen Cyberangriffe mit grossem Schadenspotenzial künftig innert 24 Stunden melden müssen. Dies hat nach dem Nationalrat auch der Ständerat entschieden. Wer der Meldepflicht vorsätzlich nicht nachkommt, muss mit einer Busse rechnen.
Die kleine Kammer hat die entsprechenden Änderungen im Informationssicherheitsgesetz für gut befunden. Nun geht die Vorlage zur Differenzbereinigung wieder zurück an den Nationalrat. Dieser hatte im März auf Antrag seiner Sicherheitspolitischen Kommission (SIK-N) eine Ausweitung der Meldepflicht beschlossen. Diese sollte nicht nur Cyberangriffe mit grossem Schadenspotenzial umfassen, sondern auch schwerwiegende Schwachstellen in Computersystemen. Die Mehrheit im Nationalrat versprach sich davon eine präventive Wirkung. Im Ständerat hingegen lehnte diese Ausweitung mit 31 zu 13 Stimmen ab. Die Mehrheit erachtete die Meldepflicht als nicht zielführend, da nicht genügend Klarheit über die Anzahl betroffener Unternehmen sowie die Art der zu meldenden Schwachstellen bestehe.
