Betreiber kritischer Infrastrukturen sollen Cyberangriffe mit grossem Schadenspotenzial künftig melden müssen. Darauf haben sich die Räte bereits geeinigt. Noch umstritten ist aber, wie weit die Meldepflicht gehen soll.

Der Nationalrat befasste sich am 11. September zum 2. Mal mit dem Informationssicherheitsgesetz. Er hatte in der ersten Beratungsrunde die vom Bundesrat vorgeschlagene Meldepflicht ausweiten und auch schwerwiegende Schwachstellen in Systemen meldepflichtig machen wollen. Der Ständerat wollte das bisher nicht.

Die Mehrheit der Sicherheitspolitischen Kommission beantragte nun einen Kompromiss: Eigene Entwicklungen der Unternehmen sollen von der Meldepflicht ausgenommen werden. Diesen Vorschlag hat die grosse Kammer mit 102 zu 80 Stimmen jetzt angenommen. Spezifische Eigenentwicklungen würden von anderen Betreibern nicht eingesetzt, sagte Kommissionssprecher Gerhard Andrey (Grüne/FR) dazu.

SVP und FDP lehnten die Meldepflicht für Schwachstellen ab und wollten dem Ständerat folgen. Es bestehe das Risiko, dass gemeldete Schwachstellen von Hackern angegriffen und Daten in die Hände von Kriminellen gelangen würden, bevor die Sicherheitslücken behoben seien, gab David Zuberbühler (SVP/AR) zu bedenken. Bundesrätin Viola Amherd fügte an, dass eine Aus­weitung der Meldepflicht eine Vielzahl von Meldungen auslösen würde. Es sei nicht klar definiert, was eine Schwachstelle sei. Auch den Kompromiss­vorschlag beurteile die Wirtschaft kritisch.

Die Vorlage geht wieder an den Ständerat. Dieser hatte die Ausweitung und damit eine Meldepflicht für Schwachstellen in seiner letzten Beratung im Juni mit 31 zu 13 Stimmen abgelehnt. "Die Ausweitung hätte einen unbestimmten Mehraufwand für die Betriebe und die Meldestelle zur Folge", sagte Ständerat Hans Wicki (FDP/NW). Zudem könne der Begriff "Schwachstelle" unter­schiedlich ausgelegt werden. Es bestehe Rechtsunsicherheit.