Betreiber kritischer Infrastrukturen sollen Cyberangriffe mit grossem Schadenspotenzial künftig melden müssen; dies innerhalb von 24 Stunden. Das hat nach dem Nationalrat auch der Ständerat entschieden. Wer der Meldepflicht vorsätzlich nicht nachkommt, riskiert eine Busse bis zu 100'000 Franken.
Die kleine Kammer hiess die nötigen Änderungen im Informationssicherheitsgesetz als Zweitrat mit 42 zu 0 Stimmen gut. Der Nationalrat hatte im März auf Antrag seiner Sicherheitspolitischen Kommission (SIK-N)
eine Ausweitung der Meldepflicht beschlossen. Diese soll nicht nur Cyberangriffe mit grossem Schadenspotenzial umfassen, sondern auch schwerwiegende Schwachstellen in Computersystemen. Die Mehrheit im Nationalrat versprach sich davon eine präventive Wirkung.
Vor dem Inkrafttreten dreht das Gesetz noch eine Runde
Der Ständerat lehnte diese Ausweitung mit 31 zu 13 Stimmen ab. Die Mehrheit erachtete die Meldepflicht als nicht zielführend, da nicht genügend Klarheit über die Anzahl betroffener Unternehmen sowie die Art der zu meldenden Schwachstellen bestehe. Deshalb geht die Vorlage zur Differenzbereinigung zurück an den Nationalrat.
Heute fehle eine Übersicht darüber, welche Angriffe wo stattgefunden hätten, da Meldungen an das NCSC freiwillig seien, schrieb der Bundesrat in der Botschaft. Durch die Meldepflicht sollen künftig alle Betreiberinnen und Betreiber kritischer Infrastrukturen am Informationsaustausch teilnehmen und so zur Frühwarnung beitragen.
Verteidigungsministerin Amherd sah die Freiwilligkeit beim Melden an Grenzen gekommen. Einige Unternehmen meldeten Vorfälle. Andere hingegen verzichteten darauf, profitierten aber von Meldungen anderer. Eine Meldepflicht gebe es in vielen Ländern, in der EU seit 2018.