Ständeratskommission nimmt Motion ohne Gegenstimme an. Foto: Parlamentsdienste / Carmela Odoni
Eine Motion fordert die Durchführung dringend notwendiger Cybersicherheitsprüfungen, vermischt aber viele Themen. Dennoch wurde sie in erster Instanz einstimmig angenommen. Und dem Bundesrat gefällt sie auch.
Im Namen von Ständerat Josef Dittli (FDP/UR) reichte die Sicherheitspolitische Kommission des Ständerats eine Motion mit dem Titel "Durchführung dringend notwendiger Cybersicherheitsprüfungen" ein. Darin heisst es, dass "viele dringend notwendige Prüfungen der Cybersicherheit von vernetzten Infrastrukturen, Geräten und Anwendungen nicht durchgeführt" würden. Bei einer Annahme der Motion wird der Bundesrat beauftragt, "die notwendigen gesetzlichen Grundlagen zu schaffen und die finanziellen Mittel bereitzustellen".
Josef Dittli. Foto: Parlamentsdienste
Cybersicherheit vom Roboterstaubsauger bis zum AKW
Die jüngsten Beispiele von "schwerwiegenden Datendiebstählen und Betriebsunterbrüchen bei Behörden, öffentlichen Institutionen und bundesnahen Betrieben" würden zeigen, dass Cyberangriffe eine reale Bedrohung für alle Bereiche des öffentlichen Lebens darstellen. Es gebe im Bereich der "digitalen Produkte und Infrastrukturen derzeit jedoch kaum Gesetze oder verbindliche Standards, keine verbindlichen flächendeckenden Mindestanforderungen und keine gesetzlich verankerte Produkthaftung für Software".
"Kritische Produkte und Komponenten vernetzter Infrastrukturen, einschliesslich häufig verwendeter Frameworks und Open-Source-Komponenten" seien regelmässig durch unabhängige Organisationen auf ihre Cybersicherheit zu prüfen, fordert die Motion gleichermassen für Roboterstaubsauger und Kernkraftwerke.
Swico findet den Inhalt der Motion problematisch
Der Wirtschaftsverband für die digitale Schweiz, Swico, kritisiert die Motion deshalb in einer Stellungnahme (PDF). Die Motion sei so allgemein gehalten, dass "praktisch alle IT-Produkte in der Schweiz angesprochen wären". Auch der Begriff "Lücken" werde nicht näher spezifiziert, so Swico. Solche Begrifflichkeiten und Test-Umfänge müssten sinnvoll definiert und entsprechend eingegrenzt werden.
Bezüglich allfälliger "Testpflichten" sei eine enge Abstimmung oder Harmonisierung "mit anerkannten internationalen Standards, wie zum Beispiel dem Cyber Resilience Act der EU, notwendig, ohne der Wirtschaft über den Test-Aspekt hinausgehende Pflichten aufzuerlegen. Swico stört sich weiter daran, dass die Motion die Finanzierungsfrage offen lässt. Der Verband stehe einer "staatlichen Finanzierung kritisch gegenüber" und empfiehlt die Motion zur Ablehnung.
Bundesrat sieht noch Analysebedarf
Genützt hat das derweil wenig. Die Sicherheitskommission des Ständerats hat die Annahme der Motion einstimmig beschlossen. Sie sei der Ansicht, "dass in der Schweiz zahlreiche dringend notwendige Prüfungen der Cybersicherheit von vernetzten Infrastrukturen, Geräten und Anwendungen nicht durchgeführt werden".
Diese Woche äusserte sich der Bundesrat zur Motion. Und auch er findet den Inhalt gut und empfiehlt das Vorhaben zur Annahme. Sofern "die von der Motion geforderten Cybersicherheitsprüfungen auch ausserhalb der Bundesverwaltung stehende Dritte betreffen würden, wird der Umfang der Bundeskompetenzen für die Umsetzung der Motion noch eingehend zu analysieren sein", schreibt der Bundesrat in aller Kürze dazu. Und die Finanzierung solle "vollständig durch die Bedarfsträger sichergestellt werden, beispielsweise über die Erhebung von Gebühren".