Post hat fast eine Million an Bug-Bounty-Prämien ausbezahlt
Seit 2020 läuft das offizielle Bug-Bounty-Programm der Post. Mit Erfolg, denn rund 3000 Schwachstellen wurden bis jetzt gemeldet.
Bundesrat definiert zahlreiche Ausnahmen für Meldepflicht bei Cybervorfällen
22. Mai 2024 um 09:51
Die Verordnung über die Cybersicherheit regelt unter anderem, wie die Meldepflicht für Cyberangriffe bei kritischen Infrastrukturen umgesetzt wird. Ausserdem wird ein neues Security-Gremium ins Leben gerufen.
Das Parlament verabschiedete im vergangenen Herbst die Änderungen des Informationssicherheitsgesetzes (ISG), in dem eine Meldepflicht für Cyberangriffe bei kritischen Infrastrukturen festgehalten ist. Zudem wird darin das Bundesamt für Cybersicherheit (Bacs) als Meldestelle festgelegt.
Ausnahmeregelungen als Kernelement der Verordnung
In der zugehörigen Verordnung über die Cybersicherheit (CSV) regelt der Bundesrat die Umsetzung der Meldepflicht – und insbesondere die Ausnahmen davon. Dies sei das Kernelement der Verordnung, teilt die Regierung mit. Nicht meldepflichtig sind demnach:
- Alle Behörden und Unternehmen, bei denen ein Cyberangriff keine unmittelbaren Auswirkungen auf das Funktionieren der Wirtschaft oder das Wohlergehen der Bevölkerung hat.
- Unternehmen mit weniger als 50 Mitarbeitenden, einem Jahresumsatz oder einer Jahresbilanzsumme von weniger als 10 Millionen Franken.
- Behörden, die für weniger als 1000 Einwohnerinnen und Einwohner zuständig sind.
- Unternehmen aus dem Bereich kritische Infrastrukturen, die branchenspezifische Schwellenwerte unterschreiten. Zum Beispiel Eisenbahnbetriebe ohne Personenbeförderungskonzession oder Netzbetreiber, die weder das Schutzniveau A oder B haben.
Meldepflichtig sind damit ab Inkrafttreten beispielsweise Bundes-, Kantons- und grössere Gemeindebehörden, Organisationen in den Bereichen Sicherheit und Rettung, Trinkwasser- und Energieversorgung, aber auch Banken, Hochschulen oder die SBB.
Neuer Steuerungsausschuss soll Cyberstrategie prüfen
Darüber hinaus setzt der Bundesrat mit der Verordnung einen Steuerungsausschuss Nationale Cyberstrategie (StA NCS) ein. Dieser setzt sich laut Verordnungstext aus Vertreterinnen und Vertretern der Departemente, der Bundeskanzlei, der Kantone, der Wirtschaft, der Gesellschaft und der Hochschulen zusammen. Alle fünf Jahre würde der Bundesrat die Mitglieder bestimmen. Ausnahme sind die Kantonsvertreterinnen, welche die Konferenz der Kantonsregierungen festlegt.
Zu den Aufgaben des Steuerungsausschusses zählen die fünfjährliche Überprüfung der Nationalen Cyberstrategie (NCS) sowie die Beurteilung der Umsetzung der Massnahmen daraus. Darüber hinaus darf der Ausschuss dem Bundesrat Vorschläge für ergänzende Massnahmen machen und muss der Regierung, den Kantonen und der Öffentlichkeit jährlich über die Umsetzung der NCS Bericht erstatten.
An der Sitzung vom 22. Mai 2024 hat der Bundesrat die Vernehmlassung zur Verordnung über die Cybersicherheit eröffnet. Diese dauert bis zum 13. September 2024. Geplant ist, dass die Meldepflicht ab Januar 2025 in Kraft tritt.
Loading
Security-Behörde nennt Citrix-Lücke "unakzeptables Risiko"
Die Schwachstelle in Citrix-Netscaler lässt die CISA aktiv werden. US-Behörden müssen sofort handeln.
Ingram Micro erholt sich von Cyberangriff
Der IT-Distributor ist wieder voll funktionsfähig. Noch ist aber unklar, ob und was für Daten beim Ransomware-Angriff gestohlen wurden.
100 Tage Meldepflicht: Das Bacs zieht erste Bilanz
Das Bundesamt für Cybersicherheit äussert sich zum Aufwand, den die Meldepflicht gebracht hat. Und gibt Zahlen zu den eingegangen Meldungen bezüglich Sektoren sowie Art der Angriffe bekannt.