Bundesrat definiert zahlreiche Ausnahmen für Meldepflicht bei Cybervorfällen

22. Mai 2024 um 09:51
image
Die SBB sind bei Cybervorfällen meldepflichtig. Foto: zVg

Die Verordnung über die Cybersicherheit regelt unter anderem, wie die Meldepflicht für Cyberangriffe bei kritischen Infrastrukturen umgesetzt wird. Ausserdem wird ein neues Security-Gremium ins Leben gerufen.

Das Parlament verabschiedete im vergangenen Herbst die Änderungen des Informationssicherheitsgesetzes (ISG), in dem eine Meldepflicht für Cyberangriffe bei kritischen Infrastrukturen festgehalten ist. Zudem wird darin das Bundesamt für Cybersicherheit (Bacs) als Meldestelle festgelegt.
Ausnahmeregelungen als Kernelement der Verordnung
In der zugehörigen Verordnung über die Cybersicherheit (CSV) regelt der Bundesrat die Umsetzung der Meldepflicht – und insbesondere die Ausnahmen davon. Dies sei das Kernelement der Verordnung, teilt die Regierung mit. Nicht meldepflichtig sind demnach:
  • Alle Behörden und Unternehmen, bei denen ein Cyberangriff keine unmittelbaren Auswirkungen auf das Funktionieren der Wirtschaft oder das Wohlergehen der Bevölkerung hat.
  • Unternehmen mit weniger als 50 Mitarbeitenden, einem Jahresumsatz oder einer Jahresbilanzsumme von weniger als 10 Millionen Franken.
  • Behörden, die für weniger als 1000 Einwohnerinnen und Einwohner zuständig sind.
  • Unternehmen aus dem Bereich kritische Infrastrukturen, die branchenspezifische Schwellenwerte unterschreiten. Zum Beispiel Eisenbahnbetriebe ohne Personenbeförderungskonzession oder Netzbetreiber, die weder das Schutzniveau A oder B haben.
Meldepflichtig sind damit ab Inkrafttreten beispielsweise Bundes-, Kantons- und grössere Gemeindebehörden, Organisationen in den Bereichen Sicherheit und Rettung, Trinkwasser- und Energieversorgung, aber auch Banken, Hochschulen oder die SBB.
Neuer Steuerungsausschuss soll Cyberstrategie prüfen
Darüber hinaus setzt der Bundesrat mit der Verordnung einen Steuerungsausschuss Nationale Cyberstrategie (StA NCS) ein. Dieser setzt sich laut Verordnungstext aus Vertreterinnen und Vertretern der Departemente, der Bundeskanzlei, der Kantone, der Wirtschaft, der Gesellschaft und der Hochschulen zusammen. Alle fünf Jahre würde der Bundesrat die Mitglieder bestimmen. Ausnahme sind die Kantonsvertreterinnen, welche die Konferenz der Kantonsregierungen festlegt.
Zu den Aufgaben des Steuerungsausschusses zählen die fünfjährliche Überprüfung der Nationalen Cyberstrategie (NCS) sowie die Beurteilung der Umsetzung der Massnahmen daraus. Darüber hinaus darf der Ausschuss dem Bundesrat Vorschläge für ergänzende Massnahmen machen und muss der Regierung, den Kantonen und der Öffentlichkeit jährlich über die Umsetzung der NCS Bericht erstatten.
An der Sitzung vom 22. Mai 2024 hat der Bundesrat die Vernehmlassung zur Verordnung über die Cybersicherheit eröffnet. Diese dauert bis zum 13. September 2024. Geplant ist, dass die Meldepflicht ab Januar 2025 in Kraft tritt.

Loading

Mehr erfahren

Mehr zum Thema

image

Schluss mit schwachen und kompromittierten Passwörtern in Active Directory

Passwörter sind immer noch die wichtigste Methode zur Authentifizierung von Nutzern und zur Absicherung des Zugriffs auf Daten Ihrer Organisation. Das macht sie aber auch zu beliebten Zielen der Cyberkriminellen. Doch es gibt Tools und Methoden, um die Passwortsicherheit wirkungsvoll zu verbessern.

image

Sichere dir jetzt dein Cyber Security-Know-how!

Starte jetzt deine zukunftssichere Karriere mit einer Weiterbildung in Cyber Security bei IFA, der Höheren Fachschule aus dem Bereich «Informatik und Security».

image

Neuer Steuerungsausschuss Cyberstrategie steht

Das Gremium soll die Nationale Cyberstrategie prüfen und weiterentwickeln. Maya Bundt übernimmt das Präsidium.

publiziert am 7.6.2024 1
image

FBI hat 7000 Schlüssel für Lockbit-Opfer

Sowohl aktuelle als auch frühere Opfer können sich beim FBI melden und so vielleicht ihre Daten entschlüsseln.

publiziert am 7.6.2024