Es hat sich nur noch um eine Formsache gehandelt: In seiner Schlussabstimmung hat das Parlament das angepasste Informationssicherheitsgesetz verabschiedet. Dabei haben sich der Ständerat mit 43 zu 0 Stimmen (1 Enthaltung) und der Nationalrat mit 141 zu 54 Stimmen (ebenfalls 1 Enthaltung) dafür ausgesprochen. Die Nein-Stimmen in der grossen Kammer stammten aus der SVP-Fraktion.

Das angepasste Gesetz tritt auf 2024 in Kraft und verpflichtet Betreiber kritischer Infrastrukturen, Cyberangriffe zu melden.

Grundsätzlich war diese Meldepflicht im Parlament nicht umstritten. Für viele Debatten hatte aber eine vorgeschlagene Erweiterung gesorgt: Nicht nur Angriffe, sondern auch schwerwiegende Sicherheitslücken sollten gemeldet werden. Diese Ausweitung auf Anfrage der Sicherheitspolitischen Kommission des Nationalrats fand aber keine Mehrheit im Ständerat. Schliesslich folgte der Nationalrat der kleinen Kammer und verzichtete auf die Ausweitung. Es sei besser, die letzte Differenz auszuräumen, als mit dem Geschäft in die Einigungskonferenz zu gehen, hiess es zuletzt.

Künftig müssen Betreiber kritischer Infrastrukturen einen Cyberangriff dem Nationalen Zentrum für Cybersicherheit (NCSC) melden. Wer dem vorsätzlich nicht nachkommt, soll mit bis zu 100'000 Franken gebüsst werden können. Damit Meldungen möglichst einfach gemacht werden können, soll das NCSC ein elektronisches Formular zur Verfügung stellen. Meldungen könnten dadurch einfach erfasst und auf Wunsch direkt weiteren Stellen übermittelt werden, schrieb der Bundesrat in der Botschaft zur Vorlage.

Mehr zum Thema erfahren Sie in unserer Podcast-Episode von vergangener Woche: