Der Bundesrat hat kurz vor Jahresende entschieden, dass Betreiber kritischer Infrastrukturen Cyberangriffe mit erheblichem Schadenspotenzial melden müssen. Als zentrale Meldestelle ist das NCSC vorgesehen, das die Meldepflicht möglichst unbürokratisch umsetzen soll.

Nun hat die Sicherheitspolitische Kommission des Nationalrates (SIK-N) mit 16 zu 1 Stimme bei 6 Enthaltungen die Vorlage zur Annahme empfohlen. Meldepflichtig sollen dabei nur Cyberangriffe sein, die schwerwiegende Auswirkungen haben, indem sie beispielsweise eine Gefährdung für die Funktionsfähigkeit der kritischen Infrastrukturen darstellen.

Die Kommission bestätigt weiter den Vorschlag des Bundesrats, das Nationale Zentrum für Cybersicherheit (NCSC) als Meldestelle im Gesetz zu verankern. Punkto Meldepflicht geht die SIK-N sogar weiter als die Regierung und will auch eine Meldepflicht für Schwachstellen in Computersystemen.

Aus Sicht der Mehrheit wird die Meldepflicht einen besseren Überblick über die Lage im Bereich der Cyberangriffe ermöglichen, heisst es in einer Mitteilung der Kommission. Ebenso soll diese dafür sorgen, dass Opfer von Cyberangriffen diese seltener mit einer Lösegeldzahlung zu beheben versuchen. Ein Antrag, die Meldefrist von 24 auf 72 Stunden zu verlängern, wurde in der Kommission mit 16 zu 7 Stimmen abgelehnt.

Als erstbehandelnder Rat ist nun der Nationalrat an der Reihe, der voraussichtlich in der Frühlingssession ab dem 27. Februar darüber debattieren wird. Anschliessend geht das Geschäft in den Ständerat.