Der Nationalrat hiess die nötigen Änderungen im Bundesgesetz über die Informationssicherheit beim Bund mit 132 zu 55 Stimmen von der SVP gut. Damit hat die grosse Kammer die Meldepflicht für Cyberangriffe auf kritische Infrastrukturen beschlossen. Angriffe müssen neu innert 24 Stunden gemeldet werden. Wer der Meldepflicht vorsätzlich nicht nachkommt, riskiert eine Busse.

Auf Antrag seiner Sicherheitspolitischen Kommission (SIK-N) beschloss der Nationalrat eine Ausweitung der Meldepflicht. Diese soll nicht nur Cyberangriffe mit grossem Schadenspotenzial umfassen, sondern auch schwerwiegende Schwachstellen in Computersystemen. Die Kommission versprach sich davon präventive Wirkung.

Laut Gesetz muss das NCSC bei Kenntnis einer Schwachstelle den Hersteller der betroffenen Hard- oder Software informieren und zur Behebung eine Frist setzen. Im Gegensatz dazu kann der Leiter des NCSC, Florian Schütz, bei möglichen Straftaten, also Cyberangriffen, Anzeige gegen die Kriminellen bei den Strafverfolgungsbehörden erstatten.

Die SVP hätte die Limite bei 72 Stunden setzen wollen, unterlag aber klar. Die SVP wollte auch auf Bussen von bis zu 100'000 Franken für die Verletzung der Meldepflicht verzichten. Der Nationalrat folgte aber auch hier mit 130 zu 55 Stimmen dem Bundesrat. Demnach riskiert eine Busse von bis zu 100'000 Franken, wer die Meldepflicht vorsätzlich nicht erfüllt.

Zur Meldung von Cyberangriffen soll das NCSC ein elektronisches Meldeformular zur Verfügung stellen. Meldungen könnten dadurch einfach erfasst und auf Wunsch direkt weiteren Stellen übermittelt werden, schrieb der Bundesrat.

Die Vorlage geht nun an den Ständerat.