Das Parlament versenkt für Betreiber kritischer Infrastrukturen die Meldepflicht für gravierende Schwachstellen. Der Nationalrat beschloss, sich der Position des Ständerats anzuschliessen und auf eine Meldepflicht für schwerwiegende Schwachstellen zu verzichten.

Im Rat hiess es, es sei besser, jetzt die letzte Differenz zur kleinen Kammer auszuräumen, als noch mit dem Geschäft in die Einigungskonferenz zu gehen. Die Änderung des Informationssicherheitsgesetzes ist nun bereit für die Schlussabstimmungen am Ende der Herbstession in den beiden Räten.

Die Einigkeit zwischen den beiden Räten heisst, dass Betreiber von kritischen Infrastrukturen künftig Cyberangriffe mit grossem Schadenspotenzial dem Bund melden müssen. Dies gilt zum Beispiel für Bundesrat und Parlament, die Bundesanwaltschaft, die Armee, Hochschulen, Banken, Gesundheits- und Energieversorger, die SRG und Bahnunternehmen.

Laut der nun bereinigten Vorlage wird das Nationale Zentrum für Cybersicherheit (NCSC) die zentrale Meldestelle für Cybervorfälle sein. Dieses soll ein elektronisches Meldeformular zur Verfügung stellen. Meldungen könnten dadurch einfach erfasst und auf Wunsch direkt weiteren Stellen übermittelt werden, schrieb der Bundesrat in der Botschaft zur Vorlage.

Wer der Meldepflicht vorsätzlich nicht nachkommt, soll mit bis zu 100'000 Franken gebüsst werden können.