Parteien und Betreiber wollen Melde­pflicht bei Angriffen auf kritische Infra­strukturen

14. April 2022, 11:37
image

Es gibt auch kritische Stimmen. Digitalswitzerland fürchtet Doppelspurigkeit und zu viel Aufwand für die Meldungen bei Cyberangriffen.

Die Vernehmlassung zur Vorlage für die Einführung einer Meldepflicht für Cyberangriffe auf kritische Infrastrukturen ist beendet. Grundsätzlich gibt es für den Vorschlag des Bundesrats breite Zustimmung. Die Betreiber kritischer Infrastrukturen in der Schweiz begrüssen den Vorschlag.
Der Verband Schweizerischer Elektrizitätsunternehmen (VSE) unterstützt für die direkt betroffene Strombranche die Vorlage. Auch der Verband der Telekommunikation Asut sowie die Konferenz der kantonalen Gesundheitsdirektorinnen stellen sich hinter die Stossrichtung. Von den Parteien hält einzig die SVP eine entsprechende Revision des Informationssicherheitsgesetzes für überflüssig.
Die SP spricht sich für die Meldepflicht aus. Für die FDP schliesst das Gesetz eine Lücke. Grüne und Grünliberale sind ebenfalls dafür, aber stören sich daran, dass sie nur für Angriffe vorgesehen ist, nicht aber für Schwachstellen. Letzteres würde mehr präventive Aktionen zulassen, argumentieren sie.

"Erhebliches Schadenspotential"

Die Meldepflicht für Betreiber kritischer Infrastrukturen soll für solche Cybervorfälle und -angriffe gelten, die ein erhebliches Schadenspotential aufweisen. Dies seien insbesondere Angriffe, die die Funktionsfähigkeit gefährden oder mit Erpressung, Drohung oder Nötigung verbunden sind. Gemeldet werden sollen ausserdem Angriffe, die von einem fremden Staat veranlasst oder ausgeführt wurden, sowie Angriffe, die länger als 30 Tage unentdeckt blieben.

Das Gesetz definiert:

Cybervorfall: Ereignis beim Betrieb von Informatikmitteln, das dazu führen kann, dass die Vertraulichkeit, Integrität oder Verfügbarkeit von Informationen oder die Nachvollziehbarkeit ihrer Bearbeitung beeinträchtigt ist;
Cyberangriff: Cybervorfall, der von Unbefugten absichtlich ausgelöst wurde.
Die Vorlage verpflichtet laut Bundesrat nicht nur die Unternehmen zur Mitwirkung beim Schutz vor Cyberangriffen, sondern definiert auch die Aufgaben der Verwaltung zum Schutz von Wirtschaft und Bevölkerung. Zu diesem Zweck soll das Nationale Zentrum für Cybersicherheit (NCSC) beauftragt werden, die Öffentlichkeit vor Cyberbedrohungen zu warnen und sie für Risiken zu sensibilisieren. Zudem soll das Zentrum Meldungen nicht nur entgegennehmen, sondern auch technische Analysen durchführen und den Betroffenen Empfehlungen zum weiteren Vorgehen abgeben.
Die Stärkung des NCSC als Anlaufstelle erhält Zustimmung. Der Verband der Elektrizitätsunternehmen erwartet von dem Zentrum als Cyber-Reaktionsteam eine schnelle Abwehr und Bewältigung.

Präzisierungen verlangt

Digitalswitzerland erachtet die Einführung einer Meldepflicht für Betreiber von kritischer Infrastruktur als einen "wichtigen und richtigen Schritt", wie es in einer Stellungnahme heisst. Aber die Vorlage des Bundesrats müsse in gewissen Bereichen präzisiert werden, um Unklarheiten zu vermeiden. Das Gesetz lasse einen grossen Interpretationsspielraum, welche Unternehmen unter die Pflicht fallen, so Digitalswitzerland. Ausserdem sollten Überschneidungen mit bereits bestehenden Meldepflichten vermieden werden.
Darauf verweisen auch die Atomkraftwerke. Denn sie müssen Cyberangriffe und andere Ereignisse bereits dem Eidgenössischen Nuklearsicherheitsinspektorat (Ensi) melden. Eine Meldepflicht besteht auch bereits für kritische Infrastrukturen im Finanzsektor. Diese müssen Cybervorfälle der Finma melden. Daneben muss bei gewissen Datenschutzverletzungen der Edöb informiert werden.
Die neu einzuführende Meldepflicht für Cyberangriffe werde die bestehenden nicht ersetzen, heisst es im Bericht zur Vorlage. Deshalb sei es wichtig, dass der Aufwand für die Meldepflichtigen vertretbar sei, wenn sie gleichzeitig weitere Meldungen machen müssten.
Digitalswitzerland schlägt deshalb einen "One Stop Shop" für Meldungen vor. "Beim ganzen Gesetzesentwurf darf nicht vergessen werden, dass die Meldepflicht zwar ein wichtiger Beitrag zur schweizweiten Cybersicherheit leisten kann, für betroffenen Unternehmen in erster Linie jedoch eine administrative Belastung ist", lässt sich Andreas W. Kaelin, Senior Advisor Cybersecurity von Digitalswitzerland, zitieren. Ähnlich argumentiert die SVP. Die Einführung würde zu erheblichen Mehrkosten für die Wirtschaft führen.

Zuckerbrot und Peitsche

Mit der Einführung einer Meldepflicht, stellt sich auch die Frage, wie sie durchgesetzt werden soll. Einerseits brauche es positive Anreize für eine Meldung, erklärte der Bundesrat. Diese bestünden etwa durch die Unterstützung des NCSC sowie dessen technischen Einschätzungen.
Weiter könne eine Bussandrohung bei der Durchsetzung der Meldepflicht helfen. Wenn es zu einer Verletzung der Melde- oder Auskunftspflicht kommen sollte, besteht die Möglichkeit, dass das NCSC als ultima ratio eine Verfügung mit Bussandrohung erlässt. Die Obergrenze liegt bei 100'000 Franken. "Aufgrund der langbewährten Zusammenarbeit mit den kritischen Infrastrukturen geht das NCSC davon aus, dass diese Bestimmung weitgehend symbolischen Charakter hat und in erster Linie dazu dient, der Meldepflicht die nötige Beachtung zu verschaffen", heisst es im Bericht.

Loading

Mehr zum Thema

image

Kanton Zürich übernimmt die Informatik an Gymis und Berufsschulen

Die IT der Zürcher Schulen soll professionalisiert und zentralisiert werden. Der Kanton will sich um Ausrüstung, Wartung sowie Support kümmern.

publiziert am 28.6.2022
image

Credit Suisse setzt an der Informatik den Rotstift an

Die Grossbank will Rechenzentren schliessen und auf Multicloud setzen. Im Rahmen der Transformation steht auch ein Stellenabbau im riesigen Techteam zur Debatte.

publiziert am 28.6.2022
image

Bundesgericht bestätigt Netzsperren

Ausländische Anbieter von Online-Glücksspielen hatten versucht, sich gegen die sie verhängten Netzsperren zu wehren, blitzten aber vor Bundesgericht ab.

publiziert am 28.6.2022 1
image

Deepfakes von Vitali Klitschko sorgen für Aufregung

Mehrere europäische Politikerinnen und Politiker haben mit einem falschen Vitali Klitschko telefoniert. Manche haben die Deepfakes durchschaut, andere nicht.

publiziert am 27.6.2022