Bundesrat denkt an Gebühren für Cybersecurity-Prüfungen

5. September 2024 um 09:27
image
Ständeratskommission nimmt Motion ohne Gegenstimme an. Foto: Parlamentsdienste / Carmela Odoni

Eine Motion fordert die Durchführung dringend notwendiger Cyber­sicher­heits­prüfungen, vermischt aber viele Themen. Dennoch wurde sie in erster Instanz ein­stimmig an­genommen. Und dem Bundesrat gefällt sie auch.

Im Namen von Ständerat Josef Dittli (FDP/UR) reichte die Sicherheitspolitische Kommission des Ständerats eine Motion mit dem Titel "Durchführung dringend notwendiger Cybersicherheitsprüfungen" ein. Darin heisst es, dass "viele dringend notwendige Prüfungen der Cybersicherheit von vernetzten Infrastrukturen, Geräten und Anwendungen nicht durchgeführt" würden. Bei einer Annahme der Motion wird der Bundesrat beauftragt, "die notwendigen gesetzlichen Grundlagen zu schaffen und die finanziellen Mittel bereitzustellen".
image
Josef Dittli. Foto: Parlamentsdienste

Cybersicherheit vom Roboterstaubsauger bis zum AKW

Die jüngsten Beispiele von "schwerwiegenden Datendiebstählen und Betriebsunterbrüchen bei Behörden, öffentlichen Institutionen und bundesnahen Betrieben" würden zeigen, dass Cyberangriffe eine reale Bedrohung für alle Bereiche des öffentlichen Lebens darstellen. Es gebe im Bereich der "digitalen Produkte und Infrastrukturen derzeit jedoch kaum Gesetze oder verbindliche Standards, keine verbindlichen flächendeckenden Mindestanforderungen und keine gesetzlich verankerte Produkthaftung für Software".
"Kritische Produkte und Komponenten vernetzter Infrastrukturen, einschliesslich häufig verwendeter Frameworks und Open-Source-Komponenten" seien regelmässig durch unabhängige Organisationen auf ihre Cybersicherheit zu prüfen, fordert die Motion gleichermassen für Roboterstaubsauger und Kernkraftwerke.

Swico findet den Inhalt der Motion problematisch

Der Wirtschaftsverband für die digitale Schweiz, Swico, kritisiert die Motion deshalb in einer Stellungnahme (PDF). Die Motion sei so allgemein gehalten, dass "praktisch alle IT-Produkte in der Schweiz angesprochen wären". Auch der Begriff "Lücken" werde nicht näher spezifiziert, so Swico. Solche Begrifflichkeiten und Test-Umfänge müssten sinnvoll definiert und entsprechend eingegrenzt werden.
Bezüglich allfälliger "Testpflichten" sei eine enge Abstimmung oder Harmonisierung "mit anerkannten internationalen Standards, wie zum Beispiel dem Cyber Resilience Act der EU, notwendig, ohne der Wirtschaft über den Test-Aspekt hinausgehende Pflichten aufzuerlegen. Swico stört sich weiter daran, dass die Motion die Finanzierungsfrage offen lässt. Der Verband stehe einer "staatlichen Finanzierung kritisch gegenüber" und empfiehlt die Motion zur Ablehnung.

Bundesrat sieht noch Analysebedarf

Genützt hat das derweil wenig. Die Sicherheitskommission des Ständerats hat die Annahme der Motion einstimmig beschlossen. Sie sei der Ansicht, "dass in der Schweiz zahlreiche dringend notwendige Prüfungen der Cybersicherheit von vernetzten Infrastrukturen, Geräten und Anwendungen nicht durchgeführt werden".
Diese Woche äusserte sich der Bundesrat zur Motion. Und auch er findet den Inhalt gut und empfiehlt das Vorhaben zur Annahme. Sofern "die von der Motion geforderten Cybersicherheitsprüfungen auch ausserhalb der Bundesverwaltung stehende Dritte betreffen würden, wird der Umfang der Bundeskompetenzen für die Umsetzung der Motion noch eingehend zu analysieren sein", schreibt der Bundesrat in aller Kürze dazu. Und die Finanzierung solle "vollständig durch die Bedarfsträger sichergestellt werden, beispielsweise über die Erhebung von Gebühren".

Loading

Mehr erfahren

Mehr zum Thema

image

Crowdstrike: Wie Business Resilience vor Ausfällen schützt

Ein fehlerhaftes Software-Update der Firma Crowdstrike führte im Juli 24 zu weltweiten IT-Ausfällen. Betroffen waren Flughäfen, Spitäler, Banken und Telcos. Der Vorfall verdeutlicht die Abhängigkeit von digitalen Systemen und die Bedeutung von Business Resilience und Business Continuity Management.

image

VMware patcht vCenter Server

Zwei Schwachstellen könnten ausgenutzt werden, um Schadcode einzuschleusen und Rechte zu erweitern. Es gibt Patches, aber keine Workarounds.

publiziert am 18.9.2024
image

Ständerat hält an verbindlichen Cybersecurity-Prüfungen fest

Trotz Kritik nahm der Ständerat eine Motion für "dringend notwendige" Cybersicherheitsprüfungen an. Bundesrätin Amherd sieht noch einen umstrittenen Punkt.

publiziert am 18.9.2024
image

Kanton Aargau und Gemeinden wollen Verwaltung gemeinsam digitalisieren

Kanton und Gemeinden haben eine Absichtserklärung zur "Digitalen Verwaltung Aargau" unterzeichnet, um die Digitalisierung weiter voranzutreiben.

publiziert am 18.9.2024