Bundesrat definiert zahlreiche Ausnahmen für Meldepflicht bei Cybervorfällen

22. Mai 2024 um 09:51
image
Die SBB sind bei Cybervorfällen meldepflichtig. Foto: zVg

Die Verordnung über die Cybersicherheit regelt unter anderem, wie die Meldepflicht für Cyberangriffe bei kritischen Infrastrukturen umgesetzt wird. Ausserdem wird ein neues Security-Gremium ins Leben gerufen.

Das Parlament verabschiedete im vergangenen Herbst die Änderungen des Informationssicherheitsgesetzes (ISG), in dem eine Meldepflicht für Cyberangriffe bei kritischen Infrastrukturen festgehalten ist. Zudem wird darin das Bundesamt für Cybersicherheit (Bacs) als Meldestelle festgelegt.
Ausnahmeregelungen als Kernelement der Verordnung
In der zugehörigen Verordnung über die Cybersicherheit (CSV) regelt der Bundesrat die Umsetzung der Meldepflicht – und insbesondere die Ausnahmen davon. Dies sei das Kernelement der Verordnung, teilt die Regierung mit. Nicht meldepflichtig sind demnach:
  • Alle Behörden und Unternehmen, bei denen ein Cyberangriff keine unmittelbaren Auswirkungen auf das Funktionieren der Wirtschaft oder das Wohlergehen der Bevölkerung hat.
  • Unternehmen mit weniger als 50 Mitarbeitenden, einem Jahresumsatz oder einer Jahresbilanzsumme von weniger als 10 Millionen Franken.
  • Behörden, die für weniger als 1000 Einwohnerinnen und Einwohner zuständig sind.
  • Unternehmen aus dem Bereich kritische Infrastrukturen, die branchenspezifische Schwellenwerte unterschreiten. Zum Beispiel Eisenbahnbetriebe ohne Personenbeförderungskonzession oder Netzbetreiber, die weder das Schutzniveau A oder B haben.
Meldepflichtig sind damit ab Inkrafttreten beispielsweise Bundes-, Kantons- und grössere Gemeindebehörden, Organisationen in den Bereichen Sicherheit und Rettung, Trinkwasser- und Energieversorgung, aber auch Banken, Hochschulen oder die SBB.
Neuer Steuerungsausschuss soll Cyberstrategie prüfen
Darüber hinaus setzt der Bundesrat mit der Verordnung einen Steuerungsausschuss Nationale Cyberstrategie (StA NCS) ein. Dieser setzt sich laut Verordnungstext aus Vertreterinnen und Vertretern der Departemente, der Bundeskanzlei, der Kantone, der Wirtschaft, der Gesellschaft und der Hochschulen zusammen. Alle fünf Jahre würde der Bundesrat die Mitglieder bestimmen. Ausnahme sind die Kantonsvertreterinnen, welche die Konferenz der Kantonsregierungen festlegt.
Zu den Aufgaben des Steuerungsausschusses zählen die fünfjährliche Überprüfung der Nationalen Cyberstrategie (NCS) sowie die Beurteilung der Umsetzung der Massnahmen daraus. Darüber hinaus darf der Ausschuss dem Bundesrat Vorschläge für ergänzende Massnahmen machen und muss der Regierung, den Kantonen und der Öffentlichkeit jährlich über die Umsetzung der NCS Bericht erstatten.
An der Sitzung vom 22. Mai 2024 hat der Bundesrat die Vernehmlassung zur Verordnung über die Cybersicherheit eröffnet. Diese dauert bis zum 13. September 2024. Geplant ist, dass die Meldepflicht ab Januar 2025 in Kraft tritt.

Loading

Mehr zum Thema

image

Europäische Behörden verhaften Mitglieder der Ransomware-Bande Lockbit

Die internationale "Operation Cronos" gegen Lockbit läuft weiter. Vier Personen wurden festgenommen, weitere Server beschlagnahmt.

publiziert am 2.10.2024
image

Deutscher Verfassungsschutz warnt vor IT-Fachkräften aus Nordkorea

Die Behörde schreibt, die Arbeiter würden ihre Herkunft verschleiern und gestohlene Identitäten nutzen, um Aufträge zu erhalten.

publiziert am 1.10.2024
image

Deutsches Bundeskartell­amt nimmt sich Microsoft an

Der Konzern habe eine "überragende marktübergreifende Bedeutung für den Wettbewerb", stellen die Wettbewerbshüter fest. Diese haben die Möglichkeit, Geschäftspraktiken zu untersagen.

publiziert am 30.9.2024
image

EU-Datenschützer büssen Meta mit 91 Millionen Euro

Der Social-Media-Konzern speicherte Passwörter im Klartext. Nach einer Untersuchung der irischen Datenschutzbehörde wird Meta gebüsst.

publiziert am 30.9.2024