Der schweizerische Bundesrat will eine Meldepflicht für Cyberangriffe bei kritischen Infrastrukturen einführen. Zu diesem Zweck hat er an seiner heutigen Sitzung die Botschaft zur Änderung des Bundesgesetzes über die Informationssicherheit beim Bund gutgeheissen und zuhanden des Parlaments verabschiedet. Die Vorlage soll die gesetzlichen Grundlagen zur Meldepflicht für Betreiber kritischer Infrastrukturen schaffen und die Aufgaben des Nationalen Zentrums für Cybersicherheit (NCSC) definieren, welches als zentrale Meldestelle für Cyberangriffe vorgesehen ist.
Hintergrund dazu sei, dass erfolgreiche Cyberangriffe weitreichende Folgen für die Verfügbarkeit und Sicherheit der Schweizer Wirtschaft haben könnten. Die Bevölkerung, Behörden und Unternehmen seien täglich dem Risiko eines Cyberangriffs ausgesetzt, so das NCSC in einer Aussendung dazu. Heute fehle eine Übersicht darüber, welche Angriffe wo stattgefunden haben, da Meldungen an das NCSC nur auf freiwilliger Basis erfolgten. Dank einer Meldepflicht erhalte das NCSC künftig eine bessere Übersicht über die in der Schweiz erfolgten Cyberangriffe und die Vorgehensweisen der Angreifer. Dadurch werde eine bessere Einschätzung der Bedrohungslage möglich und Betreiber kritischer Infrastrukturen könnten frühzeitig gewarnt werden. Der Bundesrat wolle durch die Meldepflicht sicherstellen, dass alle Betreiber von kritischen Infrastrukturen am Informationsaustausch teilnehmen und so zur Frühwarnung beitragen würden, heisst es.
An seiner heutigen Sitzung hat der Bundesrat zudem Kenntnis vom Ergebnis des Vernehmlassungsverfahrens zum Gesetzesentwurf genommen. Insgesamt gingen laut den Angaben 99 Stellungnahmen von Kantonen, Betreibern kritischer Infrastrukturen sowie Vertretenden aus Forschung und Wirtschaft ein. Die Vernehmlassung zeige eine breite Zustimmung für die Vorlage. Die Einführung einer Meldepflicht und die Verankerung des NCSC als nationale Meldestelle würden als wichtige Schritte zu einer Verbesserung der Cybersicherheit in der Schweiz erachtet, wird in der Aussendung betont. Ein wichtiges in der Vernehmlassung genanntes Anliegen sei zudem, dass die Meldepflicht möglichst unbürokratisch umgesetzt werde und keinen grossen Zusatzaufwand mit sich bringe.
Um eine Meldung so einfach wie möglich zu gestalten, werde das NCSC ein elektronisches Meldeformular zur Verfügung stellen. Meldungen könnten dadurch einfach erfasst und auf Wunsch direkt weiteren Stellen übermittelt werden. Die Gesetzesvorlage verpflichte zudem nicht nur die Unternehmen zur Mitwirkung beim Schutz vor Cyberangriffen, sondern auch das NCSC, den Meldenden subsidiäre Unterstützung bei der Reaktion auf Cyberangriffe anzubieten. Das Gesetz definiere ausserdem, wie das NCSC die Wirtschaft und Bevölkerung beim Schutz vor Cyberbedrohungen unterstütze. Es regle dazu insbesondere die Funktion des NCSC als Anlaufstelle für Fragen zu Cyberbedrohungen und als Meldestelle für Schwachstellen.
