Ein Bericht der Verwaltung kommt unter anderem zum Schluss, dass es dem Bund bisher nicht gelungen sei, die Sicherheit für ICT-Produkte adäquat zu verbessern. Nach wie vor gebe es zahlreiche Sicherheitslücken. Vor allem für kritische Infrastrukturen gebe es nur wenige verbindliche Vorgaben zur Sicherheit und zur sicheren Anwendung im IKT-Bereich.

So das Fazit des Berichts "Produktesicherheit und Supply Chain Risk Management in den Bereichen Cybersicherheit und Cyberdefence". Diesen hat der Bundesrat an seiner Sitzung vom 24. November gutgeheissen. Mit dem Bericht erfüllt er zwei Postulate, die nach der Cybersicherheit bei der Beschaffung der Armee sowie der Sicherheit von Hard- und Softwarekomponenten in kritischen Infrastrukturen fragen.

Die Herausforderungen in den Bereichen Produktesicherheit und Supply Chain Risk Management (SCRM) in der Cybersicherheit und der Cyberdefence seien sehr gross, heisst es im Bericht. Risiken, die auf mangelnde Sicherheit bei Produkten zurückzuführen sind, könnten heute nur reduziert, aber nicht verhindert werden.

Eine breite Anwendung von international anerkannten Standards könnte einen Beitrag zur Verbesserung der Sicherheit leisten. Im Bereich der Produktesicherheit würden bereits heute zahlreiche Standards existieren. Vorgaben zum SCRM im Bereich der Cybersecurity seien deutlich weniger weit entwickelt.

Dies habe auch damit zu tun, dass das Thema von den Standardisierungsgremien erst in den letzten Jahren aufgenommen worden sei. "Die Risiken in den Lieferketten wurden erst zum Thema, als erkannt wurde, in welchem Ausmass Staaten aus geopolitischen Interessen Einfluss auf strategisch wichtige Lieferanten nehmen", heisst es im Bericht. Ausserdem sei es schwierig zu definieren, ab wann ein Risiko in der Lieferkette zu gross ist. Die meisten Standards zum SCRM würden sich deshalb auf Prozesse und Methoden fokussieren. Dies habe zur Folge, dass es sich tendenziell um unverbindliche Anweisungen handle und nicht um verbindliche Normen.

Mit Blick auf kritische Infrastrukturen heisst es im Bericht, es gebe aktuell nur wenige verbindliche Vorgaben zur Anwendung von Standards im Zusammenhang mit der Produktesicherheit und dem SCRM. Rechtliche Vorgaben zu schaffen, wäre denkbar, ebenso die Schaffung von Vorgaben zur Sicherheit der IT-Produkte selbst.

Allerdings müsse man bedenken, dass solche Vorgaben oft zu sehr aufwändigen Zertifizierungsverfahren führen. "Zertifizierungen durchzuführen und aktuell zu halten ist wegen der Komplexität vieler IKT-Systeme und den häufigen Updates, die bei solchen Systemen durchgeführt werden, für die Hersteller und die Einkäufer mit einem hohen Zeit- und Kostenaufwand verbunden", heisst es im Bericht.

Zudem wird auf die Nationale Strategie zum Schutz der Schweiz vor Cyberrisiken (NCS) verwiesen. Im Rahmen der Umsetzung prüfe der Bundesrat, in welchen Bereichen Regulierungsbedarf bestehe. Ganz generell sei auch zu prüfen, wie die Kapazitäten zur Analyse von Produkten und den Produktionsprozessen verbessert werden könnten. Dies entspreche auch einer Forderung, die ICTswitzerland im Whitepaper "Supply Chain Security" erhoben habe.