Im Rahmen der Cyber Security Days im April hatte Finanzminister Ueli Maurer es schon angekündigt: Das Nationale Zentrum für Cybersicherheit (NCSC) soll erweitert werden. Es könnte etwa in ein Staatssekretariat oder Bundesamt für Cybersicherheit umgewandelt werden.

An seiner Sitzung vom heutigen 18. Mai hat der Bundesrat nun beschlossen, das NCSC in ein Bundesamt zu überführen. Er habe das Eidgenössische Finanzdepartement (EFD) beauftragt, bis Ende 2022 Vorschläge auszuarbeiten, wie das Amt ausgestaltet und in welchem Departement es angesiedelt werden soll, heisst es in einem Communiqué.

Die Bedeutung der Cybersicherheit habe in den vergangenen Jahren auf allen Ebenen stark zugenommen, führt der Bundesrat aus. Mit der Schaffung des NCSC im Jahr 2019 sei ein wichtiger Grundstein gelegt worden. Seither habe sich das NCSC mit aktuell rund 40 Mitarbeitenden stark weiterentwickelt.

Derzeit ist das NCSC im Generalsekretariat des EFD angesiedelt. Man habe verschiedene Optionen geprüft, wie es künftig als eigenständige Organisation geführt werden kann, schreibt der Bundesrat. Dabei sei beispielsweise auch ein gemeinsamer Betrieb mit den Kantonen oder eine Umgestaltung in eine Public-Private-Partnerschaft analysiert worden. Die Regierung sei zum Schluss gekommen, dass Cybersicherheit als staatspolitisch wichtige Aufgabe auch weiterhin direkt durch eine Bunderätin oder einen Bundesrat geführt werden soll.

Neben dem Ausbau der technischen Fachstelle, dem GovCERT, wurde eine Anlaufstelle für Meldungen von Cybervorfällen aus der Bevölkerung und der Wirtschaft aufgebaut sowie ein Schwachstellen-Management etabliert. Daneben unterstützt das NCSC Betreiber kritischer Infrastrukturen und ist vom Bundesrat als zentrale Meldestelle bei der Einführung der Meldepflicht für Cyberangriffe vorgesehen.

Ebenfalls heute hat der Bundesrat einen Bericht zur Wirksamkeitsüberprüfung der "Nationalen Strategie zum Schutz der Schweiz vor Cyber-Risiken (NCS) 2018–2022" zur Kenntnis genommen. Das Fazit der externen Gutachter sei insgesamt positiv, schreibt der Bundesrat. Die Umsetzung verlaufe planmässig und habe zu wichtigen Resultaten geführt.

Verbesserungspotenzial gebe es bei der Steuerung und Governance. Ausserdem fokussiere die aktuelle Strategie zu stark auf nationale und kantonale Stellen, Grossunternehmen und kritische Infrastrukturen. Für KMU, Gemeinden und die Bevölkerung sei noch zu wenig direkte Wirkung erzielt worden.

Positiv zu bewerten seien etwa die gemeinsam mit den Hochschulen entwickelten Standards und Labels. Mit der Schaffung eines Nationalen Testzentrums für Cybersicherheit in Zug würden zudem Fähigkeiten aufgebaut, um IT-Produkte vertieft zu analysieren. Und auch mit der geplanten Einführung einer Meldepflicht für Cyberangriffe auf kritische Infrastrukturen solle die Cybersicherheit verbessert werden.

Aufgrund der Resultate dieser Überprüfung hat der Bundesrat beschlossen, zusätzliche Ressourcen für den Schutz vor Cyberrisiken aufzubauen. Insgesamt seien dafür 25 Stellen bewilligt worden, heisst es in der Mitteilung. 10 davon sollen im NCSC angesiedelt sein, weitere 6 im Nachrichtendienst des Bundes und jeweils 2 beim Bundesamt für Informatik (BIT) und dem Eidgenössischen Departement für auswärtige Angelegenheiten. Die weiteren 5 Stellen entfallen auf die Fachämter der kritischen Sektoren, wie Energie, Telekommunikation oder Verkehr.