Ausnahmeregelungen als Kernelement der Verordnung
In der zugehörigen Verordnung über die Cybersicherheit (CSV) regelt der Bundesrat die Umsetzung der Meldepflicht – und insbesondere die Ausnahmen davon. Dies sei das Kernelement der Verordnung, teilt die Regierung mit. Nicht meldepflichtig sind demnach:
- Alle Behörden und Unternehmen, bei denen ein Cyberangriff keine unmittelbaren Auswirkungen auf das Funktionieren der Wirtschaft oder das Wohlergehen der Bevölkerung hat.
- Unternehmen mit weniger als 50 Mitarbeitenden, einem Jahresumsatz oder einer Jahresbilanzsumme von weniger als 10 Millionen Franken.
- Behörden, die für weniger als 1000 Einwohnerinnen und Einwohner zuständig sind.
- Unternehmen aus dem Bereich kritische Infrastrukturen, die branchenspezifische Schwellenwerte unterschreiten. Zum Beispiel Eisenbahnbetriebe ohne Personenbeförderungskonzession oder Netzbetreiber, die weder das Schutzniveau A oder B haben.
Meldepflichtig sind damit ab Inkrafttreten beispielsweise Bundes-, Kantons- und grössere Gemeindebehörden, Organisationen in den Bereichen Sicherheit und Rettung, Trinkwasser- und Energieversorgung, aber auch Banken, Hochschulen oder die SBB.
Neuer Steuerungsausschuss soll Cyberstrategie prüfen
Darüber hinaus setzt der Bundesrat mit der Verordnung einen Steuerungsausschuss Nationale Cyberstrategie (StA NCS) ein. Dieser setzt sich laut Verordnungstext aus Vertreterinnen und Vertretern der Departemente, der Bundeskanzlei, der Kantone, der Wirtschaft, der Gesellschaft und der Hochschulen zusammen. Alle fünf Jahre würde der Bundesrat die Mitglieder bestimmen. Ausnahme sind die Kantonsvertreterinnen, welche die Konferenz der Kantonsregierungen festlegt.
Zu den Aufgaben des Steuerungsausschusses zählen die fünfjährliche Überprüfung der Nationalen Cyberstrategie (NCS) sowie die Beurteilung der Umsetzung der Massnahmen daraus. Darüber hinaus darf der Ausschuss dem Bundesrat Vorschläge für ergänzende Massnahmen machen und muss der Regierung, den Kantonen und der Öffentlichkeit jährlich über die Umsetzung der NCS Bericht erstatten.
An der Sitzung vom 22. Mai 2024 hat der Bundesrat die Vernehmlassung zur Verordnung über die Cybersicherheit eröffnet. Diese dauert bis zum 13. September 2024. Geplant ist, dass die Meldepflicht ab Januar 2025 in Kraft tritt.