Der Bundesrat hat die Vernehmlassung zur Vorlage für die Einführung einer Meldepflicht für Cyberangriffe bei kritischen Infrastrukturen eröffnet. Die Vorlage schaffe die gesetzlichen Grundlagen für die Meldepflicht und definiere die Aufgaben des Nationalen Zentrums für Cybersicherheit (NCSC). Das Zentrum sei als zentrale Meldestelle vorgesehen, so eine Mitteilung.

Das NCSC erhalte jede Woche durchschnittlich 300 Meldungen zu erfolgreichen oder versuchten Cyberangriffen. Diese helfen dem NCSC, die Bedrohungslage besser einschätzen und aktuelle Angriffsmuster erkennen zu können. Nun soll das Meldewesen gestärkt werden, indem Betreiber von kritischen Infrastrukturen verpflichtet werden, dem NCSC Cyberangriffe  zu melden.

Über die Meldepflicht solle sichergestellt werden, dass das NCSC über umfassende Informationen und ein aktuelles Lagebild verfügt. So solle es auch andere Betreibende kritischer Infrastrukturen frühzeitig vor Cyberangriffen warnen können, schreibt der Bundesrat.

Die Meldepflicht für Betreiber kritischer Infrastrukturen soll für solche Angriffe gelten, die ein erhebliches Schadenspotential aufweisen, wird in der Mitteilung ausgeführt. Dies seien insbesondere Angriffe, die die Funktionsfähigkeit gefährden oder mit Erpressung, Drohung oder Nötigung verbunden sind.

Die Vorlage verpflichte aber nicht nur die Unternehmen zur Mitwirkung beim Schutz vor Cyberangriffen, schreibt der Bundesrat, sondern definiere auch die Aufgaben der Verwaltung zum Schutz von Wirtschaft und Bevölkerung.

Zu diesem Zweck werde das NCSC beauftragt, die Öffentlichkeit vor Cyberbedrohungen zu warnen und sie für Risiken zu sensibilisieren. Zudem soll das NCSC Meldungen nicht nur entgegennehmen, sondern auch technische Analysen durchführen und den Meldenden Empfehlungen zum weiteren Vorgehen abgeben.

Bis anhin seien die Aufgaben des Bundes beim Schutz vor Cyberrisiken nicht auf Gesetzesstufe definiert gewesen. Mit der Verankerung der Meldepflicht im Informationssicherheitsgesetz (ISG) sollen nun auch die Aufgaben des NCSC, insbesondere auch dessen Zuständigkeit als Meldestelle, im ISG festgelegt werden.

Die Vernehmlassung zur Vorlage dauert bis zum 14. April 2022.

Im Gesetz wird auch definiert, für welche Unternehmen und Organisationen die Meldepflicht gelten soll. Grundlage sind die in der Nationalen Strategie zum Schutz kritischer Infrastrukturen aufgeführten Teilsektoren. Dazu gehören unter anderem Energieversorger, Banken, Spitäler, Hochschulen sowie Organisationen mit öffentlich-rechtlichen Aufgaben in den Bereichen Sicherheit, Rettung oder Trinkwasserversorgung.

Ebenso gelistet werden Anbieter von Fernmeldediensten, Online-Marktplätzen, Cloudcomputing und weiteren digitalen Services sowie Registrare von Domain-Namen und RZ-Betreiber in der Schweiz, falls die Dienste über eine grosse Userzahl verfügen oder eine hohe Bedeutung für die Wirtschaft haben.

Zu den "weiteren digitalen Diensten" gehören beispielsweise Angebote in den Bereichen Identitätsmanagement, Signaturen oder E-Voting, wie aus dem erläuternden Bericht hervorgeht.

Hinzu kommen auch Hersteller von Hard- und Software, deren Produkte von kritischen Infrastrukturen genutzt werden, sofern die Produkte einen Fernwartungszugang haben oder zur Steuerung und Überwachung von Systemen verwendet werden können.