Parteien und Betreiber wollen Melde­pflicht bei Angriffen auf kritische Infra­strukturen

14. April 2022, 11:37
image

Es gibt auch kritische Stimmen. Digitalswitzerland fürchtet Doppelspurigkeit und zu viel Aufwand für die Meldungen bei Cyberangriffen.

Die Vernehmlassung zur Vorlage für die Einführung einer Meldepflicht für Cyberangriffe auf kritische Infrastrukturen ist beendet. Grundsätzlich gibt es für den Vorschlag des Bundesrats breite Zustimmung. Die Betreiber kritischer Infrastrukturen in der Schweiz begrüssen den Vorschlag.
Der Verband Schweizerischer Elektrizitätsunternehmen (VSE) unterstützt für die direkt betroffene Strombranche die Vorlage. Auch der Verband der Telekommunikation Asut sowie die Konferenz der kantonalen Gesundheitsdirektorinnen stellen sich hinter die Stossrichtung. Von den Parteien hält einzig die SVP eine entsprechende Revision des Informationssicherheitsgesetzes für überflüssig.
Die SP spricht sich für die Meldepflicht aus. Für die FDP schliesst das Gesetz eine Lücke. Grüne und Grünliberale sind ebenfalls dafür, aber stören sich daran, dass sie nur für Angriffe vorgesehen ist, nicht aber für Schwachstellen. Letzteres würde mehr präventive Aktionen zulassen, argumentieren sie.

"Erhebliches Schadenspotential"

Die Meldepflicht für Betreiber kritischer Infrastrukturen soll für solche Cybervorfälle und -angriffe gelten, die ein erhebliches Schadenspotential aufweisen. Dies seien insbesondere Angriffe, die die Funktionsfähigkeit gefährden oder mit Erpressung, Drohung oder Nötigung verbunden sind. Gemeldet werden sollen ausserdem Angriffe, die von einem fremden Staat veranlasst oder ausgeführt wurden, sowie Angriffe, die länger als 30 Tage unentdeckt blieben.

Das Gesetz definiert:

Cybervorfall: Ereignis beim Betrieb von Informatikmitteln, das dazu führen kann, dass die Vertraulichkeit, Integrität oder Verfügbarkeit von Informationen oder die Nachvollziehbarkeit ihrer Bearbeitung beeinträchtigt ist;
Cyberangriff: Cybervorfall, der von Unbefugten absichtlich ausgelöst wurde.
Die Vorlage verpflichtet laut Bundesrat nicht nur die Unternehmen zur Mitwirkung beim Schutz vor Cyberangriffen, sondern definiert auch die Aufgaben der Verwaltung zum Schutz von Wirtschaft und Bevölkerung. Zu diesem Zweck soll das Nationale Zentrum für Cybersicherheit (NCSC) beauftragt werden, die Öffentlichkeit vor Cyberbedrohungen zu warnen und sie für Risiken zu sensibilisieren. Zudem soll das Zentrum Meldungen nicht nur entgegennehmen, sondern auch technische Analysen durchführen und den Betroffenen Empfehlungen zum weiteren Vorgehen abgeben.
Die Stärkung des NCSC als Anlaufstelle erhält Zustimmung. Der Verband der Elektrizitätsunternehmen erwartet von dem Zentrum als Cyber-Reaktionsteam eine schnelle Abwehr und Bewältigung.

Präzisierungen verlangt

Digitalswitzerland erachtet die Einführung einer Meldepflicht für Betreiber von kritischer Infrastruktur als einen "wichtigen und richtigen Schritt", wie es in einer Stellungnahme heisst. Aber die Vorlage des Bundesrats müsse in gewissen Bereichen präzisiert werden, um Unklarheiten zu vermeiden. Das Gesetz lasse einen grossen Interpretationsspielraum, welche Unternehmen unter die Pflicht fallen, so Digitalswitzerland. Ausserdem sollten Überschneidungen mit bereits bestehenden Meldepflichten vermieden werden.
Darauf verweisen auch die Atomkraftwerke. Denn sie müssen Cyberangriffe und andere Ereignisse bereits dem Eidgenössischen Nuklearsicherheitsinspektorat (Ensi) melden. Eine Meldepflicht besteht auch bereits für kritische Infrastrukturen im Finanzsektor. Diese müssen Cybervorfälle der Finma melden. Daneben muss bei gewissen Datenschutzverletzungen der Edöb informiert werden.
Die neu einzuführende Meldepflicht für Cyberangriffe werde die bestehenden nicht ersetzen, heisst es im Bericht zur Vorlage. Deshalb sei es wichtig, dass der Aufwand für die Meldepflichtigen vertretbar sei, wenn sie gleichzeitig weitere Meldungen machen müssten.
Digitalswitzerland schlägt deshalb einen "One Stop Shop" für Meldungen vor. "Beim ganzen Gesetzesentwurf darf nicht vergessen werden, dass die Meldepflicht zwar ein wichtiger Beitrag zur schweizweiten Cybersicherheit leisten kann, für betroffenen Unternehmen in erster Linie jedoch eine administrative Belastung ist", lässt sich Andreas W. Kaelin, Senior Advisor Cybersecurity von Digitalswitzerland, zitieren. Ähnlich argumentiert die SVP. Die Einführung würde zu erheblichen Mehrkosten für die Wirtschaft führen.

Zuckerbrot und Peitsche

Mit der Einführung einer Meldepflicht, stellt sich auch die Frage, wie sie durchgesetzt werden soll. Einerseits brauche es positive Anreize für eine Meldung, erklärte der Bundesrat. Diese bestünden etwa durch die Unterstützung des NCSC sowie dessen technischen Einschätzungen.
Weiter könne eine Bussandrohung bei der Durchsetzung der Meldepflicht helfen. Wenn es zu einer Verletzung der Melde- oder Auskunftspflicht kommen sollte, besteht die Möglichkeit, dass das NCSC als ultima ratio eine Verfügung mit Bussandrohung erlässt. Die Obergrenze liegt bei 100'000 Franken. "Aufgrund der langbewährten Zusammenarbeit mit den kritischen Infrastrukturen geht das NCSC davon aus, dass diese Bestimmung weitgehend symbolischen Charakter hat und in erster Linie dazu dient, der Meldepflicht die nötige Beachtung zu verschaffen", heisst es im Bericht.

Loading

Mehr zum Thema

image

Genfer Kantonalbank gewinnt erneut im Rechtsstreit gegen IBM

Im jahrelangen Gezanke um einen IT-Vertrag hat die BCGE die nächste Hürde genommen. Nun kann nur noch das Bundesgericht IBM vor der Zahlung von 46,8 Millionen bewahren.

publiziert am 25.11.2022
image

Bazl übernimmt EU-Drohnenregeln

Mit den neuen Drohnen-Regeln will der Bund unter anderem die Privatsphäre der Bevölkerung schützen. Insbesondere im Kanton Zürich wartete man schon lange auf verbindliche Regeln.

publiziert am 25.11.2022
image

Cyberangriff auf Infopro trifft auch Gemeinde Messen

Die Solothurner Gemeinde musste ihre Services nach einem Angriff herunterfahren. Derzeit kommuniziert sie über eine provisorische GMX-E-Mail-Adresse.

publiziert am 25.11.2022
image

Whatsapp-Leck: Millionen Schweizer Handynummern landen im Netz

Durch einen Hack haben Unbekannte fast 500 Millionen Whatsapp-Telefonnummern ergaunert und verkaufen diese nun im Web. Auch Schweizer Userinnen und User sind davon betroffen.

publiziert am 25.11.2022 1